有个足球雷竞技app网络世界最近举办了我们的第一次聊天,与两个安全专家抱着对抗的价值网络访问控制。在这一点Pro-NaC侧乔尔斯奈德(图,顶部)和在镶边,理查德Stiennon。乔尔是一位高级伙伴Opus one是一家位于图森,AZ的咨询公司,以及网络世界实验室联盟的成员。有个足球雷竞技app自1981年以来,他一直在与网络和信息安全合作,并占用了几本书。Stiennon是一个安全顾问,流行的演讲者和创始人Seccom Global.,一个托管安全服务提供商专注于统一的威胁管理。他写了Stiennon安全网络世界的博客。有个足球雷竞技app以下是一个完整的,编辑的事件的成绩单。
主持人 - 朱莉如我们准备好开始了。欢迎光临我们的客人。
Richard_Stiennon.:你好!
Joel_Snyder.:Hiya大家!
主持人 - 朱莉:在我们开始对NAC的专业人员/缺点的意见之前,让我们定义该技术。乔尔,你对NAC的定义是什么?(理查德,乔尔回复后,我们将要求您对此问题的回复。)
Joel_Snyder.:我对NAC的定义是什么?......好的,给我一个秒。
Richard_Stiennon.: 时间到。
Joel_Snyder.:NAC是以用户为中心的,基于网络的,访问控制。NAC更改我们如何进行访问控制。这是NAC中的“AC”。它是网络访问控制。这是“n”。使用NAC,您所允许的是什么=您是谁+您的端点安全状态+如何表现。“等于标志”也不是静态;它是f(),一个连续评估的函数。这不是离散数学;这是微积分。 Thus, What You Are Allowed To Do (ACCESS CONTROL) is continuously evaluated based on things that change, largely How You Behave.
简单来说,AC = Auth [Authentication] + EPC [End Point Control] + NBAD [Network Behavior Anomaly Detection]。任何使用NAC的人都必须决定这三个组件中哪一个是重要的,以及有多重要。因此,您可以拥有100% EPC和0% Auth和0% NBAD的NAC解决方案。你可以有一些是100% Auth和0% EPC和0% NBAD。你甚至可以有AC = 0%的情况,因为他们所做的只是得到一个报告。
如果您查看思科的原始产品,和微软原始产品,他们都是关于EPC的。有0%auth,0%nbad,甚至(在微软的情况下)0%AC。每个人都被允许选择任何产品解决他们拥有的任何问题。那些家伙是早期的采用者,解决了一个古老的问题:在公司网络上糟糕的juju。他们已经继续前进了。如果他们没有,那也不会是一个问题。我们有多个供应商,所以每个人都可以竞争相同的美元,但是这样可以存在不同的解决方案。产品没有可替代品。问题不一样。这一切都很好。 NAC is a technology. Not a product. That's my definition. .
主持人 - 朱莉:理查德,你对NAC的定义是什么?
Richard_Stiennon.:sheesh。我知道NAC很复杂,但我认为这会更容易定义。类似:NAC是类固醇的访问控制。它添加了机器状态,如配置,病毒签名等到访问控制方程。该概念由Cisco于2003年引入,作为MSBlaster创建的问题的解决方案:网络受感染的网络进入工作。就像类固醇的其他东西都易于心力衰竭,内部出血,并发症,并且只是平凡的丑陋外观。
主持人 - 朱莉:好的,第二个问题:乔尔,你认为什么是NAC的价值?(理查德,乔尔回复后,我们将要求您对此问题的回复。)
Joel_Snyder.:看,NAC对于一个关键原因很重要:它改变了我们的焦点。多年来,我们花了我们的时间关注周边。然后我们开始看着里面。但我们一直专注于IP地址:在防火墙中戳戳IP A可以在C端口C上获取IP B.与IPSec相同。尽管人们有机会做精细的VPN,但没有人这样做是因为产品使它成为噩梦。让我们在这里获得一些历史。
然后SSL VPN来临,需要钩子,并且捕获的钩子是“每个用户策略”。所有那些关于防火墙上的政策的所有这些都不好,没有工具,突然间,SSL VPN家伙有它。我们可以将人们分为团体并专注于用户的安全政策 - 这是上帝意图。不是IP地址,而是人。[注意:另请参阅VPN:六个燃烧问题]
NAC正在将这种以用户为中心的技术带入网络世界。它是一个用于进行以用户为中心的基于网络的访问控制的工具。这就是NAC,也是它如此令人兴奋的原因。当然,“用户”实际上是“用户”和“他们正在使用的设备”的总和,因为对于像我这样的网络人来说,用户和笔记本/台式机是同一个实体。NAC让我们把安保带到我们之前无法做到的地方。这就是NAC的价值所在。
主持人 - 朱莉:理查德,你认为NAC的价值是什么,你会回答乔尔对这个问题的回答是什么?
Richard_Stiennon.:ewww,抓住我清除我的口味。我也是一个网络的人,但我不想去我之前没有去过的地方。我同意NAC改变了焦点。它将其从安全性和网络以及基础架构和桌面变化。暂时对整体安全性。
主持人 - 朱莉:乔尔,你对理查德的回应有反驳吗?
Joel_Snyder.:你必须解释对我的不利部分,因为我没有得到它。(他打开了门宽......)
Richard_Stiennon.好吧,这么想。我们处在一个威胁越来越大的时代。我们有中国黑客在我们的网络中,内部人员窃取ID和信用卡,机器人和DDOS威胁。出于某种原因在思科,微软等的所有这些暴力变化供应商中希望我们能够阻止一切,并在机器和网络之间实现他们的特定品牌的绑定品牌。NAC根本不是安全解决方案。
Joel_Snyder.:你在这里制作零和游戏参数吗?如果我们在NAC上花时间,那么我们就不会在中国黑客上花时间?因为我不认为NAC不是安全的声明真的可辩护,诚实地。
Richard_Stiennon.:你打赌。我所知道的大多数CIO,不仅今年没有额外的预算,而是被要求减少他们的花费。
Joel_Snyder.访问控制是我们为安全所做的基本工作之一。
Richard_Stiennon.我们最好弄清楚我们的定义;我对用户访问控制没有问题。我有很多端点访问控制的问题。
Joel_Snyder.:你意味着NAC是净成本。我相信它可以是净储蓄。
Richard_Stiennon.:我相信NAC是一种净成本*和*一些减少网络价值到企业的东西。
Joel_Snyder.:好吧,我不想进入这个“同意不同意”废话,但是......不,它不是,不,它没有。:-)
主持人 - 朱莉: Richard,如果NAC不是答案,那么什么是执行终端安全和其他政策的答案?(Joel, Richard回答后,我们会问你对这个问题的回答。)
Richard_Stiennon.:哦,所以我们*谈论结束点执法吗?
Joel_Snyder.:嗯,朱莉是。
Richard_Stiennon.:我以为赛门铁克,微软,Bigfix已经解决了这一点。我是一个网络家伙。除了我必须使用之外,我不处理终点。那是帮助台子的人。
Joel_Snyder.:根据MBlaster、赛门铁克、微软和BigFix的定义,它们并没有解决这个问题。
Richard_Stiennon.:因此,对于终点执行我建议与补丁管理公司交谈。MSBlaster基本上是大多数企业的零日[漏洞利用]。如果他们已经完全部署了NAC,他们仍然会被击中。
Joel_Snyder.:绝对,像Bigfix一样的补丁管理公司,Lumizen(旧的ParkLink),它们是一些NAC部署的重要组成部分。那些需要终点安全性的人。并非所有NAC部署都需要终点安全性。(见上面的定义......)
Richard_Stiennon.:所以要做NAC,你需要多个供应商的产品一起工作吗?
Joel_Snyder.:要做网络,你需要多个供应商的产品一起工作。再次,NAC不是产品。这是一种技术,如动态路由。
Richard_Stiennon.:对于网络来说,您可以使用像TCP / IP等良好的可理解协议一起使用它们。什么是NAC标准这些供应商遵循以确保他们一起工作?
Joel_Snyder.:NAC标准是一个单独的问题,真的与NAC是否有用完全正交。我同意我们需要更好的标准,我们需要更好地遵守标准。
Richard_Stiennon.:所以你必须有一个不需要互操作性的情况,如所有思科解决方案?
Joel_Snyder.:没有。在Interop的iLabs,我们有十几个供应商,他们都在一起玩游戏。我不认为NAC是一种观点,一种技术。它不是一种产品。我可以整合并拥有一个包括多厂商互操作性的NAC解决方案。
Richard_Stiennon.:我同意它正在变成一个宗教,这让我成为一名无神论者。
Joel_Snyder.:每个NAC解决方案都具有互操作性。75%的企业有思科。所以NAC必须与之合作。99.99%的企业有窗户。所以NAC必须与之合作。但是,互操作性再次偏离我们的主要问题,即:它是有用的吗?
Richard_Stiennon.:所以NAC是一种强制执行Cisco-Microsoft的方式的方法吗?你的问题假定NAC值得。
Joel_Snyder.:外观,互操作性是给定的。没有思科的帮助,它已被证明。让我们继续实现技术的有用性,而不是TCG / TNC是否将其行为在一起。
Richard_Stiennon.:那么,NAC的有用目的是什么。这显然不是威胁保护。
Joel_Snyder.:没有什么是明显的。NAC在我定义的那样它是以用户为中心的。基于网络的。访问控制。它很有用,因为我们以前从未有过那样。
Richard_Stiennon.:那为什么我们需要终点!!! ???用户访问控制已经存在自一天。
Joel_Snyder.:否,用户访问控制没有。是的,当然我们有身份验证。看看LAN中有多少人使用802.1x。不太多。为什么?好吧,客户吸了。得到了固定的。人们害怕它,因为分析师公司告诉他们。而且,最重要的是,我们没有真正的工具来管理它。
Richard_Stiennon.:我在14年前配置了RADIUS。它是必要的,有效。
Joel_Snyder.:半径并不意味着我们知道谁在墙上的一个洞的另一端。
Richard_Stiennon.:因此NAC是部署访问控制的问题的答案?
Joel_Snyder.:自身认证是有趣的,但不足以让802.1x的痛苦值得关注。每个人都知道新技术有痛苦和福利/愉悦。如果疼痛大于好处,那么它不会被吸收。这很简单。NAC让我们将一堆不同的部分(802.1x,以用户为中心的策略,终点安全,IDS / NBAD)集成并集成。这就是缺少的东西。这就是今天可用的东西。那是我们要去的地方。这就是为什么NAC很有趣。这就是为什么人们兴奋。
Richard_Stiennon.:我们来谈谈NAC的痛苦。
Joel_Snyder.:为什么你继续偏离这是有用的问题吗?疼痛。互操作性。让我们坚持一个主题。
Richard_Stiennon.:我知道你在微软的午睡,乔尔上很热,所以我花了一些时间来看看它。我吓坏了。看看所有这些组件!一个2008年服务器运行系统健康验证器,SP3和上面的机器上的系统健康代理,对于IPsec,您需要一个额外的健康登记机构,大概是另一台Win08机器(与您的CA相同?),以及每个桌面上的IPsec依赖派对EC和服务器。(我甚至不确定这些都是什么,但是有用于无线和有线访问的单独的。)
因此,在设置IPSec连接时,有一个服务器发出健康证书(X.509)?这是在1阶段之前还是之后?阶段2?每个会议后证书是否撤销?如果SHA确定终点不再符合终点会发生什么?它撕下了IPsec隧道吗?证书是否撤销?所有这些事情如何互相交谈?他们使用哪些协议/端口?我不想在没有支付咨询公司数百万美元的情况下部署这样的东西。 Scary stuff. .
Joel_Snyder.:我不确定如何回答这个问题。怎么样:“我不认为你明白了午睡点?”在IKE V1中没有人特别感兴趣。什么午睡是有趣的是能够拥有标准架构,了解终点合规如何与网络和PDP互动。
Richard_Stiennon.:那么当他们在vpning时,你如何检查某人的机器状态?
Joel_Snyder.:SSL VPN Guys为五年来策略了。
Richard_Stiennon.:您只是说标准不是对NAC的价值讨论的一部分。
Joel_Snyder.:你是那个睡午觉的人。我还在努力让我们保持有用的主题。看,这是一种技术。许多企业使用它,但它们如何使用它以及他们使用它的位置取决于他们想要解决的问题。正如我所看到的,你对NAC的愿景就像你进来并说动态路由不好,因为撕裂没有缩放。好吧,你们两个人都错了:对于一些不需要规模的人来说,RIP很好。RIP不是动态路由,就像询问它们被感染的终点不是NAC一样。
Richard_Stiennon.:好的,让我们以一些案例来讨论其有效性。
Joel_Snyder.: 好的。蓝色山脊昨天给了我一个11个名单:-)
Richard_Stiennon.:请提及那个不是edu或米尔的人。
Joel_Snyder.:edu和米尔有什么问题?
Richard_Stiennon.:拥有解决教育和军事需求的产品并非企业市场。那是利基。
Joel_Snyder.:这是一个Frickin'巨大的利基。但是,让我们下车。
Richard_Stiennon.:对于那些提出这个问题的人来说,是的。
Joel_Snyder.:好的,所以这是一个简单的例子,一个为一群小型子组织提供它的组织。
Richard_Stiennon.:MSSP [托管安全服务提供商]?
Joel_Snyder.:不 - 让我们说这是美国的大国之一,它是一个半外包IT部门。每个子部门,如参议院,房子等,是一个交战派。事实上,每个参议员都在彼此战争。在这种特殊的情况下,我们解决的问题是,无论他们在首都哪里,每个参议员/代表/员工都需要“在他们的局域网上”。
Richard_Stiennon.:适用于网络分割。在IP层的网络VDOM中的VLAN。
Joel_Snyder.:不,VLAN不起作用。在这种情况下不扩展。但如果没有数百人,VLAN会有效。无论如何,这无关紧要。重要的是,网络用户可以放心,他们没有连接到网络的错误部分。NAC帮助了。我们让他们验证,分配了一个组,群体暗示了ACL。
Richard_Stiennon.: 不好了!不是ACL!你吓到了我。您用什么来强制执行,管理,记录这些ACL?
Joel_Snyder.听着,你要不要继续谈这个话题?我们在这里讨论的是实用性。而不是他们购买的产品。
Richard_Stiennon.:这是有用的,但应该通过网络解决,而不是主机代理和单独的服务器。它多少钱???
Joel_Snyder.:需要有需要。需要满足。我们使用“NAC技术”来做。在这种情况下,没有主机代理。事实证明,惊喜,惊喜,这些家伙使用窗户,微软似乎已经放弃了他们所需要的东西。我不知道总成本。请记住,这是一个州立立法机关。用Blackhawk直升机和私人喷气机隐藏在预算中。但我可以这样说。没有人需要获得权力花钱,因为它并不是很多。
Richard_Stiennon.:那么,你是说使用现有技术部署来实现目标是否有好处?
主持人 - 朱莉:我们在与会者的队列中有很多问题,所以我们将继续继续回答尽可能多的回答。
lucas_burke在高等教育中,用户通常可以将任何设备添加到网络中。你没有奢侈的企业级控制。对我来说,NAC可以同时解决很多问题,比如跟踪我的网络上被盗的设备,执行病毒标准,关闭流氓无线ap等。理查德:有比NAC更好的方法吗?我很想听。
Richard_Stiennon.:我对高等教育的Laissez Faire Network Admin有一个巨大的问题。任何协议,允许任何操作。通过部署NAC,您可以绝对控制有错误配置的笔记本电脑/服务器的人,但您拒绝放入阻止他们从黑客停止所需的控件!或以其他方式滥用您的系统。在大多数大学中,卫生系统已经迁移到安全的环境中。其余的组织也应该看一下。
丹尼:我相信我们必须专注于“端点安全”作为NAC的主要传统目标。允许对网络进行干净访问。我已经调查了几种NAC解决方案,似乎没有真正的代理人就没有可行的解决方案。有些可能是易腐的。如果特定的NAC解决方案使用交换机作为具有专有协议的执法点,我认为如何从joel中获取一些例外“互操作性”(参见几个小家伙名称思科,北电和瞻博知命名一些)。
Joel_Snyder.:Danny:我很好,你想专注于自己的端点安全性。正如我上面写的那样,无论你需要解决什么是你的问题,如果你想专注于终点安全性,那么只要在评估产品时简单地说明你想要专注的东西。对提前的事情有所了解,将大量挽救您的时间。但实际上,瞻博网络和思科肯定会使用基于标准的RADIUS属性。因此,当我说“给定的互操作性时,”我的意思是它是一个给定的,因为我们在互操作中证明它。看,http://www.opus1.com/nac.为了我们的结果。(我没有提到北电,因为他们没有玩,所以我不知道他们是否会在标准内工作)
phreno:Richard:一些NAC产品提供行为政策执行。我可以获得阻止僵尸网络,DDOS攻击等的身份,端点检查和行为策略执行,该执行确实在网络上找到了方法。其他技术提供哪些技术?
Richard_Stiennon.:很棒的问题。这是IPS / AV行业正在进行的地方。允许受感染的终点连接,但不允许它伤害我。过滤出边缘的攻击。您在某些“NAC解决方案”中所指的能力是他们所说的录取控制。这很好,但行动应该是删除数据包,而不是结束点连接。
夹子:我公司的问题之一是担心供应商和承包商将在数百个地点中的一些LAN插孔中插入一些局域网插孔并将恶意软件传播到网络上。当您有这么多位置时,您如何解决这个问题(经济实惠),并且您需要能够检查所有流量?
Joel_Snyder.:查克:我通常称之为“客人接入”是人们查看NAC的巨大司机之一。还要记住,如果您只想解决访客访问,那也没关系。
Richard_Stiennon.:很简单。只是对网络进行身份验证!
Joel_Snyder.这里有两个子主题。一种是客人需要在室内,另一种是客人需要在室外。如果客人去外面,你就有很多简单的选择。一是你可以认证合法用户,任何不认证的人或者不在MAC OUI列表上的人(比如VoIP电话,打印机)都会被丢弃在防火墙外或DSL一次性线上。
如果客人进入内部,那么它更难。您可能希望在这里有需要内部访问的访客和承包商之间进行区分。但是,只需识别它们并进行俘虏门户身份验证,您就可以在您已经拥有的交换机上放置一堆便宜的访问控制。您可以为CCA [Cisco Clean Access等内容等内容支付Cisco Money,但该产品现在被称为Cisco NAC Appliance],或者使用类似解决方案的开源,只能以客人达到。
lucas_burke:Richard:除了信息安全视角外,NAC的网络和桌面 - 是否会降低整体风险?
Richard_Stiennon.:我相信NAC没有什么可以减少整体风险。它不会抵消恶意(或愚蠢的)用户。它不会阻止黑客骑在经过身份验证的机器上,它不会遇到零日蠕虫。实际上并不是一个强大的身份验证解决方案,所以你仍然必须划分它。
Joel_Snyder.:我可以在星期六晚上引用吗?简......
Richard_Stiennon.:你无知的sl * t?
Joel_Snyder.我们就说“我不同意”吧。如果你能否认它并不能降低风险,那么我就会提出相反的主张。
Richard_Stiennon.:好的,joel你会做什么来阻止最终用户对域控制器做一个ddos?或嗅到电线并窃取帐户并进入Oracle数据库?
Joel_Snyder.: “这取决于。”
Richard_Stiennon.:NAC会是你的答案吗?
Joel_Snyder.一个是域控制器应该用它自己的技术来保护,包括一个带有一些反dos技术的防火墙。
Richard_Stiennon.:所以你仍然需要层界面?即使在这个NAC的东西上花了大雄鹿?为什么不仅要做安全并继续前进?
Joel_Snyder.:实际上,该防火墙应该大约10年前安装。
Richard_Stiennon.:不在edu它不是。
Joel_Snyder.:NAC并不解决对DC的DOS问题。
Richard_Stiennon.:或恶意用户做任何事,或任何不正当的行动,如注入感染的网络!
Joel_Snyder.:如果他们知道他们在每次坐在网络上都被积极识别,那么恶意用户可能会三思而后行。实际上,NAC有助于感染很多。
Richard_Stiennon.:嘿,这不是我,你的NAC只是没有看到我的机器上MSBLAST2009的副本。
Joel_Snyder.:因为NAC包括终点合规性和终点行为的不断评估的功能,但NAC为我们提供了敲击行为行为不端的工具。
Richard_Stiennon.:宿主AV对感染有很大帮助。我刚花了几百万。你是说我还需要别的东西才能让主机AV正常工作吗?这是怎么回事?
Joel_Snyder.:没有NAC,我们没有这些工具,或者我们减少了使用专有产品来解决点问题。是的,你需要执法。这是NAC中的“AC”。
Richard_Stiennon.:我已经拥有这些产品。为什么我需要微软到处都能执行它们?
Joel_Snyder.:我看过的每个NAC部署,我听说过的每个人都有一个惊喜因素。
Richard_Stiennon.:嗯?
Joel_Snyder.:惊喜是多级PC与主机AV有多简单。与世界上最微软的Savvy IT部门交谈。他们会告诉你,他们对他们的合规程度如何惊讶。提出它有多难。
Richard_Stiennon.:那么为什么不捍卫那些具有一些活跃的网络技术的机器?
Mike88:这个问题适用于Joel和Richard:我公司目前正在评估控制用户访问的解决方案,并确保在连接到网络之前符合机器。我目前的反病毒供应商能够提供可以解决这些问题的集成NAC功能。你认为结合反病毒和NAC是一个很好的策略吗?
Joel_Snyder.:Mike88:我认为如果您喜欢EPC(终点遵守)作为NAC解决方案的一部分,那么将其集成到NAC是简化部署的好方法。如果您的A / V供应商将为您提供便宜或免费提供NAC,请将其置于其中。
Richard_Stiennon.:你必须回答几个问题。您有单独的网络和桌面部门吗?或者他们是同一个人。不要忘记Mike88,即通过基于Config的电机阻止您将有大量的新支持呼叫。由于乔尔指出,大多数机器都是*不是*符合要求。值得痛苦吗?
Joel_Snyder.:NAC并不意味着阻止。随着一些公司所做的,您可以进行报告。
Richard_Stiennon.:它意味着隔离和修复没有?否则我们在这里做什么?
Joel_Snyder.:这是一个明智的第一步。这取决于你可以放在头脑中的照片多大程度上。身份验证,隔离等并不一切都是自动化的。对于一些企业来说,前门有一个带有夜间夜间的Pudgy的家伙是“认证”。NAC是一种解决方案,而不是产品。在你的头上纹身。NAC是一种技术。把它放在另一个脸颊上。
Richard_Stiennon.:NAC是一个问题,而不是解决问题。
XYZ.:Richard - Access Control的一部分是资源分配后身份验证和成功授权。我们如何从网络级别实现这一点而无需大量ACL管理?
Richard_Stiennon.:很棒的问题XYZ。您需要集中的IAM(识别和访问管理);那里的大量伟大的解决方案。Gartner拥有IAM的整个会议。我也会远离Nac。
Joel_Snyder.:我也跳了一下。肖恩·康弗里刚写了一篇关于NAC的论文。(他不想叫它NAC,他叫它认证网络架构——ANA)。不管怎样,他的观点是,你不需要拥有超细粒度的acl来大幅降低风险。
Richard_Stiennon.:*我的* Point是您需要达到细粒度的访问控制来保护您的企业。
Joel_Snyder.:细粒度是一种光谱。你不是那个擅自倡导vlan的人吗?我说如果你有粗控制,甚至去/禁止,那就是风险的降低。
Richard_Stiennon.: 我们同意。
Joel_Snyder.你必须用像Chris Hoff或Pete Lindstrom这样的人来计算出花在哪里的边际美元是值得的,以减少边际风险。NAC可以同时容纳所有这些。
Richard_Stiennon.:我只是讨厌NAC的“没有去”意味着你被踢开了网络。
Joel_Snyder.我们在无线网络上一直都是“不去”。这是南汽。802.1X认证(隐藏在WPA中)。如果你不这样做,就没有人脉。
Richard_Stiennon.: NAC的定义泡沫正在扩大。
Joel_Snyder.:AC = AUTH + EPC + NBAD。相同的定义。但0%EPC。一切都是一致的。
Richard_Stiennon.这个网站的政策是什么????这是访问控制最关键的功能。政策的政策,政策。
丹尼Richard:你之前就用户访问控制和终端访问控制做了一个有趣的评论。你能详细解释一下吗?具体来说,基于用户的访问控制如何帮助防止网络上的受感染计算机?特别是考虑到移动“用户”谁可以登录从各种终端进出局域网?
Richard_Stiennon.:实际上我不关心受感染的机器。如果用户验证您关心他们所在的群体以及授予它们的特权。他们的机器是另一个问题。只是过滤掉坏事。
丹尼:乔尔:您如何看到移动设备操作系统,Mac,Linux在NAC Technologies中被适应?
Joel_Snyder.:丹尼:“不好。”让我详细说明。显然,主要关注的是主要部署问题,即Windows系统。自然而然,他们的处理比其他任何东西都更好。此外,由于富裕的NAC策略之后的任何人都没有0%,人们更关注EPC和EPS通常与Windows,而不是Treos和BlackBerry的Windows(不是这是正确的,但我们只能打击上一场战争, 正确的?)。
所以我希望更好地支持非Windows设备(这是真正的问题)和需求,它会来。在纯粹的认证意义上,他们已经得到了很好的支持。
Richard_Stiennon.:这是我的nac问题:
1.它根本不是安全解决方案。没有任何NAC产品的单个方面,可保护网络从恶意用户身上保护网络。
这不是零日保护。在下一次爆发期间,NAC将不做任何保护网络。
3.它引入了一种新的技术层,其目的是阻止访问网络。网络管理员大部分工作周都花在网络上。介绍让他们关闭网络的东西并不有吸引力。
4.绕过NAC几乎是微不足道的。你要做的就是贿赂本地特工。
5.它违反了Stiennon的第一个网络安全法则:你永远不相信终点报告自己的状态。
主持人 - 朱莉:我们现在没时间了。我们有几个问题,我们将前进到Joel和Richard在他们的博客中回答。
Joel_Snyder.:我是反博客。没有一个,抱歉:-)但我确实有电子邮件......您可以通过打字“Joel Snyder”来点击“我感到幸运”进入谷歌。
主持人 - 朱莉:此聊天的成绩单将在24小时内提供m.amiribrahem.com.还在m.amiribrahem.com/chat/和microsoft子网的归档部分中(www.microsoftsubnet.com)和思科子网(www.ciscosubnet.com.)。请加入我们即将到来的聊天。一切都在2 - 3点。等等//m.amiribrahem.com/chat/
星期三,7月30日-与吉姆麦茨勒实施广域网加速
星期二,8月19日 - Facebook:朋友或敌人?带斯科什
Richard_Stiennon.:再见,谢谢你的加入。
Joel_Snyder.: 再见。保持安全。或者其他的东西。
还要看到这些最近的聊天记录
Crimeware:了解新的攻击和防御,作者Markus Jakobsson和Zulfikar Ramzan
LAN交换机安全:与克里斯托弗Paggen有关您的交换机了解的黑客