使用XP客户端进行NAC认证是一件轻而易举的事
在处理无代理设备和来宾访问时,会出现并发症
在等待IF-MAP发布的同时,我们带来了QRadar,一款来自Q1实验室的SIM卡,来解决客户和无代理设备的问题。我们设置了一个QRadar设备,并使用TCG/TNC协议将其连接到Juniper UAC策略决策点。QRadar与TCG/TNC的链接背后的想法非常出色:当您发现某个设备出现问题时,应该尽快采取行动阻止或隔离该设备。作为一个SIM, QRadar处于一个独特的位置,可以通过系统在整个网络中启动的警报和日志来知道系统何时开始“坏”。不幸的是,虽然QRadar通过TCG/TNC协议直接连接到Juniper UAC,但将系统标记为“bad”的实际操作是手动操作,需要操作员选择设备并设置其状态。
我们还遇到了与网络层相关的概念问题。当使用QRadar检测到系统不正常时,常见的标识信息是该系统上的IP地址,可能还有用户凭证。然而,在802.1X认证期间,当QRadar被问及系统的相关信息时,IP地址是不知道的,因为它还没有被分配。如果希望用户坐在行为不端的同一系统前,可能会导致误报。
从NAC认证中学到的教训
从框架的角度来看,在Windows笔记本电脑用户身份验证的主流案例方面,中航集团和TCG/TNC处于良好的状态。在这个关键时刻,一切都运行得很好,除了Vista存在巨大的不确定性(见故事,Vista是什么),它已全部交付,并准备在今天实现。
添加802.1X但没有思科CSSC或Juniper UAC客户端的用户,暴露了Juniper发货产品中的一个漏洞,我们不得不添加第二个RADIUS服务器来修补。由于能够同时处理不同类型的RADIUS查询,CNAC领域更优雅地涵盖了这个场景。
当我们通过其他场景增加复杂性时,我们很快发现NAC需要更多的硬件和软件,而不仅仅是一个RADIUS服务器和一些客户端工具。NAC网络的许多功能同样依赖于我们所选择的交换机和无线设备的配置灵活性。
引入外部信息源,就像我们在使用QualysGuard、QRadar和Beacon时所做的那样,看起来是一种很好的方法,可以帮助增加NAC部署的安全性,并减少在使用许多嵌入式设备的网络中所需的定制配置数量。然而,集成水平和信息质量在这个阶段是基本的。尽管人们似乎对将这些产品与CNAC和TCG/TNC框架集成有浓厚的兴趣,但我们认为需要更多的功能来真正解决部署问题。
斯奈德是亚利桑那州图森市一家名为Opus One的咨询公司的高级合伙人。可以通过Joel.Snyder@opus1.com与他联系。
斯奈德还是网络世界实验室联盟(Network World La有个足球雷竞技appb Alliance)的成员,该联盟由网络行业顶尖的评论家组成,他们对每一篇评论都有多年的实践经验。欲了解更多实验室联盟信息,包括成为会员需要什么条件,请访问m.amiribrahem.com/alliance。
主要的故事:NAC现在能为您做什么?
查看此包中的其他故事:
了解有关此主题的更多信息
版权©2007Raybet2