思科，TCG提供基本的终端安全

终点安全评估可以是使NAC成为价值投资的杀手组件。测试终点安全评估需要最多的实验室时间和努力，但它也被证明是NAC领域最不充满了问题。

我们的三个标准使用方案：员工，客人和无代理设备 - 我们首先集中在员工终点安全性上。

除了自己的思科安全服务客户端（CSSC）评估工具，思科引入了5个终端安全评估工具，包括趋势科技、McAfee、LANDesk和Bigfix的产品。对于TCG/TNC，我们使用了PatchLink、Symantec和Juniper的工具。

只需检查防病毒和个人防火墙事实证明，对这两种方案来说，地位都太容易了。首先进入我们的测试平台的是来自趋势科技(在CNAC上)和赛门铁克(在TCG/TNC上)的简单终端安全工具，我们为员工设置了一项政策，要求他们的机器具有当前的和活动的软件版本，否则将对他们进行相应的隔离。显然，终端安全厂商已经在我们测试的笔记本电脑上很好地集成了他们的产品与NAC客户端工具(用于CNAC的Cisco CSSC/CTA和用于TCG/TNC的Juniper UAC客户端)。

我们进一步证实，McAfee和LANDesk都成功地进行了整合，并处理了隔离和补救，没有发生相关事件。尽管，安装这些工具花费了很长时间——对于这些企业级的工具，你不只是把它们塞进去;你必须完成所有这些安装、自我培训、配置并将不同的工具连接在一起——与思科ACS策略引擎的实际集成相当简单。

我们遇到的最大问题是让所有不同的场景集成到Cisco ACS GUI中。因为思科ACS从独立的半径延伸出来服务器在这个NAC策略引擎中，策略定义和不同的条件以一种非常令人困惑的方式分散在GUI周围。然而，公平地说，我们推动思科ACS超越了普通企业所能做的:没有人会同时在他们的台式机上运行McAfee、LANDesk和Trend Micro。

通过整合更简单的终点安全工具的成功使得我们转向更大的狗，代表补丁管理并且符合符合性供应商Bigfix（CNAC）和PatchLink（TCG / TNC）两家供应商都在其NAC集成阶段，因此我们有一些密集的技术支持和一些快速的错误修复，以便在NAC环境中缝合在一起。这使得总集成比更简单的包装更困难，但是当一切都在工作......好吧时，一切都在工作。

总的来说，我们使用补丁管理工具的经验要好于使用简单的端点评估产品，因为这些工具具有非常强大的补救策略。如果您一直在寻找一个更全面的补丁管理和遵从工具的借口，NAC是另一支箭。如果您已经在运行补丁管理，您会发现TCG/TNC和CNAC的用户体验都非常棒。

例如，这些补丁管理工具很擅长设置对话框，告诉用户正在发生什么和为什么发生。用户不是简单地说“你被隔离了”，而是对正在发生的事情有一种感觉，一旦补丁管理工具完成了它的工作，他就会真正从炼狱中出来。在某些情况下，补丁管理工具还可以进行自我修复，例如打开简单关闭的病毒扫描程序。

我们还验证了持续保护到位：检测到在会议期间遵守遵守的用户被检测，隔离，并且只能让回馈兰一旦他们恢复了顺从。这在CNAC和TCG/TNC中都很有效。

Mac困境

脱离我们的Windows XP环境，我们的成功较少。

我们员工拥有的Mac笔记本电脑在尝试验证时也遇到了同样的问题:缺少NAC客户端意味着没有办法将姿态信息从客户端传递回NAC策略服务器。

启用状态检查后，将这些系统连接到网络的唯一方法是让它们充当客户用户:不运行802.1X，而是通过故障连接到客户虚拟LAN (VLAN)并获得IP地址。在那里，一旦他们进入客户VLAN，思科就提供了一个简单的解决方案，基于我们以前用来获得客户访问权限的QualysGuard扫描技术。使用CNAC，我们能够定义一个策略，允许用户进入网络，该策略基于对他们作为客户用户启动的QualysGuard审计的结果。

在TCG/TNC网络中，Juniper采用了一种不同的方法来解决这个问题，建议我们使用其UAC设备的内置姿态检查工具。UAC姿态检测基于与Juniper SSL VPN产品线相同的技术，支持Mac和Linux平台。在我们的测试中，一旦Mac用户连接到专用门户，UAC设备将一个端点安全检查工具下推到浏览器中，它将检查姿势并允许相应访问。这种方法也适用于拥有个人或非托管Windows机器而没有NAC客户机的员工。

无代理设备，如我们的打印机，Palm TX和诺基亚E61和VoIP电话没有任何真正的挑战 - 因为没有终点安全性来测试。我们继续使用我们在经过无代理状态检查的测试期间安装的工具，包括QualySguard扫描仪，信标设备和QRadar，所有这些都可以充当终点安全姿势检查策略。我们发现Qualysguard扫描仪对我们的缓慢有点过于侵略性无线PDA设备，导致诺基亚E61智能手机上的几个崩溃。与思科CNAC和我们的TCG / TNC框架集成时，灯架运行良好，有助于检测假装成为思科VoIP电话的Linux笔记本电脑。

关于终点安全的经验教训

在CNAC和TCG/TNC框架中，将端点安全性、用户身份验证和访问控制结合在一起的承诺似乎很好地充实了可靠的NAC部署。我们发现，PatchLink和BigFix等高端补丁管理系统为用户提供了出色的体验。如果遵守政策是重要的，那么我们测试的所有工具都是可靠的执行者。

CNAC肯定具有巨大的营销肌肉，并为我们提供了更广泛的终点安全姿势检查工具，而不是我们可以找到TCG / TNC框架。与此同时，瞻博勒的UAC设备给了我们一些希望Mac和Linux姿势检查。

访客用户及其姿势的问题似乎是一个艰难的问题。无论您是想审计访客用户还是尝试将姿势检查到浏览器中都会取决于您自己的安全策略，以及如何处理员工和客人的终点安全性。

虽然CNAC和TCG / TNC都有帮助解决此操作，但网络管理人员可能希望查看添加其他保护技术，例如任何访客用户和其余的网络之间的入侵防御系统。这将提供比检查系统实际​​上没有感染或从事恶意活动的姿势更大的安全性。

斯奈德是亚利桑那州图森的咨询公司Opus One的高级伙伴。他可以在乔尔·尼斯汇_Popus1.com达成他。

斯奈德也是网络世界实验室联盟的成员，该公司的合作社在网络行业中有个足球雷竞技app的合作社，每个人都会在每次审查中带来几年的实践经验。对于更多实验室联盟信息，包括成为会员所需的内容，转到m.amiribrahem.com/alliance.．

在此包中查看其他故事：

主要的故事:NAC现在为你做什么？

使用XP客户端进行TNAC身份验证非常简单

NAC的执行工具不足

NAC管理可能是一个令人头痛的问题

了解更多关于这个主题的信息

好的SSL VPN能提供好的NAC吗?

为什么Vista会从NAC中消失?

NAC一体机测试即将进行

测试方法

NAC买方指南