在这个网络世界聊有个足球雷竞技app天,安全专家乔尔·斯奈德揭示了网络访问控制技术的真相。较小的厂商统治,TCG / TNC,现在包括微软的NAP,是观赏,即使没有思科的阵营。
Moderator-Julie
欢迎来到网络世界聊天。有个足球雷竞技app我们今天的嘉宾是安全专家Joel Snyder,他将揭露“关于NAC的真相”。Joel will answer your questions about NAC, security, or anything else on your mind.
joel_snyder
部屋乡亲!欢迎到NAC-土地。
地址解析协议
NAC解决方案可以使用一个供应商的无线接入点和另一个供应商的RADIUS服务器部署吗?还是一个端到端的解决方案?谢谢。
joel_snyder
当然,您不应该局限于单一的供应商。当然,这将取决于NAC解决方案的选择,但在我们的测试实验室中,我们使用了Aruba和Airespace(咳咳)Cisco无线设备,并与其他政策决策点供应商取得了巨大成功,包括微软和Juniper。我不认为需要从一个供应商那里得到所有的东西,事实上,除了思科,我不认为任何一个NAC供应商真正涵盖无线和PDP (RADIUS)方面。所以多供应商是一个现实。你不是思科公司的吧?:-)
Moderator-Julie
PRE提交的问题:什么是最大的缺憾你NAC实现中可以看到?
joel_snyder如果你看一下小敏的测试几个星期前,你会看到她得到了真正不同的产品跟真的一样的设计。这使得它很难知道什么是适合你的。
这很难说。我认为NAC缺乏标准化的方法和策略,是真正阻止我们。我们希望有不同的产品有不同的要求,但NAC产品全线如此不同,这使得人们很难知道将解决他们的需求。你必须是一个产品的评价大师只是了解一些这些产品之间的细微差别。我认为这会动摇随着时间的推移,但
amiller219
什么是实施的最大障碍在你看来,如价格,复杂性,基础设施的变化,等等?
joel_snyder
组织。NAC需要三队打球在一起:在桌面的乡亲中,安全人员和网络乡亲。如果他们不能在所有他们想要做什么,为什么同意,它是注定要失败的。与政治交易,其他一切问题就变得琐碎。
Grumpynettech
你怎么看从无线客户端(.1x)NAC的好的方面,无线(一般用户),经文有线接入,也为来宾和/或供应商?我们应该有什么补救/检查能够执行或者期望能够执行?
joel_snyder
那么,这一切都取决于(我讨厌别人说)。我认为NAC的“本地”用户(有人在你的领域,像你的员工)应该做了很多自我补救的 - 不只是抛出一个弹出框。对于guest用户,我不认为NAC是有很多的补救功能。你真的希望人们下载随机软件并安装它只是读他们的电子邮件?我猜有些人这样做,但一般我认为NAC /嘉宾作为整治和无重点内容划分用户和保护的东西。
JMS-缅因州
乔尔,你对带内和带外NAC解决方案有什么看法?垒球,管它呢…
joel_snyder
我不得不扔在这里的定义,看看你是否同意:带我觉得作为一个盒子,如可能游标/ Consentry /尼维斯甚至思科CCA(在在线模式,这是一个选项),控制所有访问。出带外就是我喜欢称之为“边缘执法”,更802.1X-Y。混合动力是更中途,如门锁配套Down或CCA在该模式下。无论如何,给出的定义:缘是真的,我想我们想去大企业部署。它扩展,它处理的负荷,并且它不依赖于一个单一的点做强制执行。带我觉得更适用于偶尔的访客访问 - 在你的客人之间的那些箱子下降之一,让它处理该负载。BAM,问题就解决了,这很简单,等等。当然,这并不意味着带人无法处理负载,但真要瞄准边缘执法是否合身,并且去IN-波段,如果它不。而且还有的地方带更好的拟合不计其数。
存款准备金率
但是,这种缩放的借口难道不是在说,当前的NAC技术将在几年内被带内设备所取代吗?
joel_snyder
嗯。这取决于你的定义“带家电。”我认为,防火墙到该端口是一两年,其中“情侣”可能更像是一个十年会发生什么。这将需要多长时间那种智力和速度移动到交换机端口?很难说,但可以肯定的是的,我想怎么看到它发生。
Jeff_Caruso
如果用户在执行任何特定的NAC,直到排序厂商这一切拖延?
joel_snyder
当然不是。你需要买,买,买,所以那些可怜的家伙能跟上他们的Boxters付款。不,说真的,不过,你可以今天看解决了很多与现有解决方案的问题点在未来有更广泛的范围内更好的解决方案。我看到很多人用“痛点”这一需求的解决方案 - 他们应该为今天有事走了。而且,今天的一点点经验将帮助您选择合适的解决方案的明天。如果你买了50000个企业用户在Windows域中的NAC解决方案在30楼?好吧,我会做一会首先在测试部署,如果我是你。
taco2
乔尔,你怎么看与思科的NAC设备的挑战?
joel_snyder曼迪切割它(这里也)和思科在她的北西西考了所有的生气了,但说实话我没有关于它的强烈的意见。它已经因为我有它在我的实验室很长一段时间,我不喜欢提出意见,直到我在我带了箱子。
老实说,我不能回答这个问题非常好,因为我没有在我的实验室了吧。
ServerGuy42
喜乔尔 - 我学为我的CCNA,也想进入无线和NAC。哪些步骤我应该得到更多有关此主题的知识?
joel_snyder
那么,802.1X是你真正需要了解的东西。我会确保我真的“得到了”知道NAC和利弊/这种做法的利弊(有两个!)。我还配置了802.1X交换机上,并做一些测试,以确保你知道什么是容易的,什么是硬 - 有FUD的关于一大堆。
格列布
最近网络世界NAC测试中排名前两位的解决方案(赛门铁克和ForeScout)使用了两种完全不同有个足球雷竞技app的NAC方法——客户端和无客户端。你对“客户vs无客户”的争论有什么看法?
joel_snyder
我的想法是,人们使用NAC的原因有很多,而且他们可能会发现全客户vs少客户更能满足他们的需求。老实说,如果你为员工做NAC,你需要一个客户。如果你是为客人做的,你希望没有客户。如果你想要一个解同时满足这两个条件,那么你需要一个同时满足这两个条件的解。是用SSL VPN搞出来的;NAC的家伙迟早也会这样。
kevsull小憩和TCG脑海里浮现。
在标准,什么是你对提议约为标准,这些所谓的财团的意见,但仔细一看,你可以告诉他们是供应商为主导的和自私的。
joel_snyder
你的问题透露出一定的偏见,但即便如此,我认为标准还是很关键的。如果没有一套好的标准,这项技术将会惨败。想想PKI,在某种程度上,还有用于远程访问的IPsec VPN。供应商之间的争吵太多了,而“搁置分歧向前迈进”的太少了。I think that TCG/TNC is the one to watch; Microsoft (NAP) has joined in and is on the bus. The only one who is lagging behind TCG/TNC right now is Cisco and that's largely a personality difference as far as I can tell.
nacnac
系统扫描 - 如果的主要问题之一是A / V [防病毒],操作系统补丁等的无效 - 为什么所有有关验证沸沸扬扬,那些东西都在的地方吗?我得到了降低风险的说法,但最终你要验证工具是有没有解决的问题,不是吗?
joel_snyder
这是降低风险的问题。我完全同意,知道A/V的存在并不能说明你是否被感染。事实上,大多数人都不明白,我很高兴你明白了。但是答案是,如果你有A/V至少你被感染的几率比没有感染的要低。因此,虽然遵守政策只是遵守政策,但如果你在制定政策时不是一个白痴,那么该政策确实能降低风险。记住,我们不可能降到0。
FrostBe
我们有很多的承包商,我们正在试图限制他们对服务器的某些部分的访问,NAC可以做到这一点?
joel_snyder
NAC和承包商是很难的。你有这样的情况下,你要投入大量的软件在他们的系统,他们可能不会成说。我认为,你可以找到很好的NAC解决方案,将工作 - “姿势Y”你要寻找一个更“执法-Y”不是产品较好的选择是直列家伙我之前提到的,当然瞻博网络,这是所有在那的。
dougdooley
您如何看待微软在NAC领域的合作意愿?他们似乎对每个人都很友好——与Juniper的UAC联合演示,与思科的约翰•钱伯斯(John Chambers)路演?这是一种绝望的迹象,还是客户在做正确的事情,还是两者都有?
joel_snyder
Doolster !MS是正确的。要么是这样,要么就是他们在睁眼撒谎,我相信他们是诚实的。我和他们以及一些聪明的人进行了很好的交谈,我认为他们在做正确的事情。老实说,没有人想写电脑软件,至少在网络安全方面没有。既然微软愿意为我们做这些,我们为什么还要这么做呢?合作,而不是死亡。
存款准备金率
什么是你的NAC产品5年的眼光从现在开始?
joel_snyder
通用“乏味”。就像VPN。我们都拥有它,我们需要它,它不是那么令人兴奋。这就是我们想要的。通用性浊音。我们必须去质朴镇,然后移动到Dullsville。这是一个好兆头。
存款准备金率
再格列布的问题 - 你怎么想后入院为无客户端的NAC(也适用于员工)的解决方案?
joel_snyder
后入场让我懊恼。对我来说,后入场是承认你的产品没有做什么它需要。NAC是NAC。你想预录取,后入院,和研究生。在一个产品。都是需要5年 - 从 - 现在的NAC解决方案。
光盘
是不是IETF开发的厂商中立的标准是什么?当所有厂商贡献?
joel_snyder
IETF是,但它是一个有点惨败。我请你阅读NEA分钟。有很多涉及自我的。我喜欢的东西它是IETF,但我相信,它作为一个标准开发组织的有效性在最近几年急剧下降。我很想看到IETF做,有没有谁参加聪明人一堆,但他们受到拖累,“每个人都有发言权,即使他们不应该说这么多”的人群。我的钱是在TCG / TNC,至少这一年。我很乐意被证明是错误的,但。
主持人 - 基思
PRE-提交问题:任何开源NAC项目在那里,很有趣?
joel_snyder蒂姆·格林写了一大篇几个月前关于开源的NAC,真正覆盖的市场和项目好。这是可用选项的最佳公正的讨论之一。我听说过,蒂姆的唯一项目错过了在该文章是FirePipes。
在这方面有很多动作,其中一些扩展了想象力。基于Chris Hessing最近领导的Xsupplicant工作,Open1X人员(现在是OpenSEA的主要驱动者,安全边缘访问)主要对Linux客户感兴趣。这真是太酷了,当然,除了Linux桌面和笔记本电脑在当今世界的渗透基本上是zip。但是他们所做的工作与Mac世界有着巨大的关联,而苹果已经离开了这个行业,并将在嵌入式设备方面有所帮助,目前大多数设备都是基于Linux的。那些家伙聪明得吓人,值得一看。
ServerGuy42
你有什么关于把NAC像打印机,PDA等终端的想法?
joel_snyder
你绝对必须有对付这些家伙的一些方法;那就是在NAC杀手一角情况。人们不会去想很多,但任何NAC解决方案(至少对于企业用户)无法充分应对“愚蠢的客户端”(打印机,掌上电脑,智能手机,数码相机具有Wi-Fi等)留下一个巨大的安全漏洞。当然,这一切都取决于你为什么这样做NAC在首位 - 也许打印机是不是其中的一部分,如果你专注于客人,例如。
主持人 - 基思
PRE提交的问题:当涉及到NAC,产品性能不是选择供应商的唯一原因。还有什么其他因素我应该考虑之前,我买?
joel_snyder