来自Opus One的安全专家Joel Snyder最近作为嘉宾参加了一个实时网络世界的聊天,在那里他讨论了网络访问控制的状态。有个足球雷竞技appSnyder说,那些谁是反NAC根本不懂技术。他回答的技术问题,从与会者的转换包括为什么ACL是比的VLAN,NAC(管理)的肮脏阴暗的角落更好,为什么一些反NAC专家们完全搞错了。
来自Opus One的安全专家Joel Snyder最近作为嘉宾参加了一个实时网络世界的聊天,在那里他讨论了网络访问控制的状态。有个足球雷竞技app斯奈德说,微软正在成为NAC的明显赢家之一,但微软的技术是建立的基础,而不是最终目标。他还说那些反对nac的人根本不了解这项技术。他回答了与会者提出的一系列技术问题,包括为什么acl比vlan更好,NAC(管理)的肮脏黑暗角落,以及802.1X是如何以及为什么。以下是完整的文字记录。
Moderator-Keith:请欢迎安全专家乔尔·斯奈德,与咨询公司的高级合伙人作品一号从图森,亚利桑那州,和的构件有个足球雷竞技app网络世界实验室联盟。今天的聊天将重点放在有关NAC的事实和虚构,回答什么NAC产品能和不能做什么,包括与无线技术的缺点,插件和更多的整合问题。
Joel_Snyder:基思,这是伟大的,是这里!
主持人 - 朱莉在等待Joel输入第一个问题的答案时,这里有一个预先提交的问题:你刚从互操作实验室带着大量的NAC测试回来。你学到的最有趣的事情是什么?
Joel_Snyder:谢谢你的邀请!我会在对互操作实验室NAC资源网站的间距(http://www.opus1.com/nac/)。那有一堆我们的白皮书(大约13个),我们所有的设备配置,NAC上的类,和大约90mb的东西我们已经收集和学习了关于NAC。我们注意到的真正有趣的事情是事情最终开始收敛。我们跑一个漂亮的小图形(点击“点击查看”图)在上周的NWW中谈到了家族树,关键是人们似乎愿意让微软在NAC中占据主导地位。所以我们真正关注的是:XP SP3和Vista内置了什么?如果你不喜欢内建的东西,你怎么扩展呢?除了MS NPS之外,我们当然还有其他的政策决策点——Cisco、Avenda Systems、Juniper和Radiator,以及FreeRADIUS之类的。即使在客户端,也有一些有趣的事情。例如,您可以添加更多的系统运行状况代理/验证器,或者您可以使用其他请求,或者您可以使用非windows或pre-XPSP3操作系统,或者您可以考虑使用其他设备,如相机、VoIP电话和打印机。我们最后做了十几个演示,所有演示都展示了一个完整的NAC解决方案需要什么。它真正关注的是"让我们从微软开始并从那里工作了。”远不止想有三个料仓就像我们在不在一起工作,过去所做的那样满足。[编者按:也可以看看有个足球雷竞技app网络世界的NAC买家指南对数十种南汽产品进行比较。
布赖恩:我被要求对.1x进行基于端口的身份验证。我保留建议在生产环境中使用这种方法,因为在我们1,000节点的LAN(运行10.4和10.5的mac, Windows 95到Vista的pc)上使用的是混合客户机。我认为支持会变成一场噩梦,而且我不知道有谁在使用。1x。你有什么想法?
Joel_Snyder:我听你的。802.1X是优秀的技术,但你必须有客户支持。mac 10.4/10.5没有问题——它都是内置的。但是对于Windows,你只能在win2000 SP3或更晚的版本中使用。当然,Juniper的人会说你应该选择Odyssey,它有统一的体验,支持早期的Windows版本,这是一个很棒的东西,我也可以投票支持它。支持噩梦?很难说。我相信,一旦你解决了最初的问题,你最终得到的支持电话就会更少。这取决于你所处的环境。如果你说的是教育市场,这是一回事。如果你在谈论一个企业,我认为它是可以管理的。
顺便说一下,它是8021 x,不是8021 x。常见错误,但是如果使用大写版本,您还可以使用l33t特权纠正一些供应商。
fyatim:我们已经看到了NAC空间中的一些整合。你能否提供NAC市场上的更新和它的标题?
Joel_Snyder对于微软,这是肯定的。关键是桌面就是一切微软正在发出正确的声音关于标准性和开放性,使事物在全局中的工作。因此,我们已经看到微软和可信计算组织(TCG)聚在一起,我认为这只是一个时间问题,我们也会看到其他供应商,比如思科,至少有一个很好的适应微软网络访问保护(NAP)框架。
RalphSam2例如我在一家大公司工作。我们在北美的500个工厂有大约3万名员工。管理层希望看到集中的NAC。所有的产品评价都很糟糕。对大型网站(超过1000人)有利的,对小型网站(少于10人)不利。我们该怎么办?
Joel_Snyder:嗯,孩子,这是一个垒球。当然,你应该聘请作品一号,以帮助:-)不过说真的,我认为你需要后退一步,弄清它是什么,你关心你的NAC部署最多。你的访问控制这样做呢?对于端点安全?你必须缩小它是什么,你想,然后你可以放在一起,将工作根据您的要求的解决方案。我同意,没有一个通用的答案,但我认为,如果设计正确,你可以做到这一点。我们看到在Interop是从VLAN的移动能力(这肯定会在小型站点不工作)到访问控制列表(ACL),其工作和规模精美。如果你没有去沿着这条路走下去,我建议在这些方面的思考。很多小家伙都迷恋上的VLAN,这就是不按比例。
雪莉:你能说详细了解为什么您认为ACL是更好/比VLAN的网络访问控制扩展性更强?这在我看来,ACL可以得到非常大的,如果你的网络是不容易summarizable。你如何在它们之间选择?
Joel_Snyder问得好,谢谢!对于vlan,我不喜欢的是我们已经在大多数网络中烧毁了它们。我们正在用它们做其他事情,并且要改变VLAN基础设施是困难的,除非你有一个新领域的网络,没有人这样做。但是,有了acl,您就可以使用现有的VLAN结构,而不必改变它。这也解决了让人们在进出隔离时跳过vlan的问题,这是我(作为一个Mac用户)真正感兴趣的。的确,acl可能会变得很丑,但我认为您不应该在端口级别上进行完全控制,而应该进行广泛的控制。如果你想要大量的acl,那么你需要专门的硬件:consensus, Nevis,而且我认为HP也在谈论这个话题。我现在真的很看好acl,因为Interop的实验室帮助证明了它们的工作。我们这里讲的是前十字韧带,对吧?
Tom2342:由于微软的NAP客户端本身并不端点数据,其他一些厂商的NAC客户提供量附近的任何地方提供的,你为什么要在所有管它?
Joel_Snyder:哥们。NAP客户端只是一个基础。你不只是做的一切,微软表示,对不对?他们提供了一个伟大的基地和您建立在此基础之上,以满足您的需求。如果你是一个小网站,你坚持使用他们。但如果你有赛门铁克,那么你层上,使用NAP SHA / SHV顶部的SEP11。如果您有迈克菲,同样的协议。Sophos的,同样的协议。我们在实验室中进行测试Avenda和蓝岭以及所有坐在NAP的顶部。你与微软启动的原因是他们更了解自己的O / S比别人,这样会最大限度的能力进行互操作。 And then you take your preferred end-point security partner and put it on top using the SHA/SHV model. It is totally clean and totally extensible.
主持人 - 朱莉预先提交的问题:TCG/TNC刚刚宣布IF-MAP是什么,你怎么看它?[编者注:TCG的NAC方案被称为可信网络连接(TNC)]。
Joel_Snyder:IF-MAP非常酷。我们很幸运,因为TCG允许我们提前进入NDA,我们能够在宣布的同时得到白皮书。说独家新闻吧!无论如何,IF-MAP都是关于拥有一种结构化的方式来存储、关联和检索网络上用户和设备的身份、访问控制和安全态势信息。IF-MAP很酷的一点是它不仅仅是针对NAC的,尽管这只是第一步。这是一种最终将整个世界的政策和状态信息整合在一起的方式,这些信息在过去是完全私有的,甚至是不可做的。
我对IF-MAP非常兴奋,因为我认为这是基于标准的NAC中缺失的主要内容之一,它弥补了一个巨大的漏洞。我希望我们能得到很好的领养。TNC的人似乎有六个供应商都已经在他们的产品中包括IF-MAP,他们正在Interop的展台上进行演示。Aruba, ArcSight, Juniper, Lumeta, nSolutions, Infoblox都在做演示。
RandyJ:我期待实现NAC明年我们的校园。我们是一家无线校园与一些有线。我刚才讲了很多不同的厂商。什么是前两家公司你会推荐,为什么?
Joel_Snyder嗯,这要看情况了,谁请你吃午饭?老实说,如果我不知道你到底想要达到什么目标,我就不能轻易回答这个问题。最明显的答案就是布拉德福德,因为他们比任何人(至少在我的测试中是这样)都更了解教育,也做得更好。它们是围绕教育问题建立的,所以这将是非常适合的。从那以后,就很难说了。我会看看你还有哪些好的合作伙伴,看看他们是否能满足你的需求。换句话说,如果你是一家Enterasys商店,去和他们谈谈。铸造等。
利奥:你能对NAC微软和思科之间的关系,现在评论和项目它的未来?真正的合作和分工?或碰撞提前?
Joel_Snyder很难说。有很多人参与其中。我想说,现在我们有两大巨头,他们面临着合作的巨大压力,试图找到一个暂时的解决办法。尽管在一起有很多乐趣,但从长远来看,微软和思科不可避免地会有不同的利益。我不认为会有大的冲突,因为微软的主要兴趣是在桌面电脑,而思科无意在这方面竞争。当思科准备好他们的NAC管理解决方案的新版本,并彻底重新架构ACS和CCA的时候,像NPS这样的东西可能会被搁置一旁。我个人认为,思科在交换机市场占有74%的份额,微软在台式机市场占有95%(或更多)的份额,从长远来看,这一点不会有太大改变。所以我希望思科能在他们擅长的领域发挥领导作用:交换机、布线柜等等,而微软在他们绝对擅长的领域:桌面电脑。任何一方进入对方的领地似乎都很危险。
WillBean11聊天的题目是“事实与虚构”,那么关于NAC我们应该注意哪些“虚构”呢?
Joel_Snyder噢,问得好。关于NAC最重要的误区是什么?这一切都是关于终端安全的?我们的员工中有一些名人似乎对此感到困惑。NAC是关于访问控制和网络,以及用户焦点。这是最大的困惑。另一个:NAC产品可以满足你的需求。我还没有见过一个超过100台设备的网络能够由一个供应商解决所有问题。让我看看我能不能在我们进行的过程中想出更多…
主持人 - 朱莉:我想你指的是丰富的斯蒂农在他的斯蒂农保安博客。他把它称为:“甚至不要打扰在网络准入控制投资他发动了一场大规模的NAC攻击。有反应吗?
Joel_Snyder:我认为里奇是一个非常聪明的人,但是他对NAC的很多想法都是带有一点关于NAC的好处的狭隘观点。他真正关注的是端点安全的东西,他在这个领域的评论是相当可靠的。但当涉及到大局时,他就迷失了方向,因为他没有通过这个非常狭隘的视角来考虑NAC。如果你真的退后一步了解NAC是什么,你会发现Rich关注的是1/4的溶液。我不认为他在故意误导任何人;他对NAC的定义非常严格与其他NAC世界所信奉的完全不一致。
瑞奇:你有什么处理的非Windows机器的建议,或“非OS”设备共 - 例如IP电话,相机,医疗设备等?