NAC执法手段功亏一篑

在复杂的网络,需要采用专有方案

有个足球雷竞技app |

在NAC中的“C”代表控制:基于有效的认证和终点定义访问网络资源安全姿势用户。直到在我们的测试这一点上,中航和TCG / TNC很友好同床异梦,有许多在他们的结果相同的高点和低点的提供非常相似的功能。

当我们到了画面的控制部分,我们发现,不只是白色和黄色的奶酪在那里:它更像是有从中选择246升的味道。

在这条腿我们的比较,我们的使用场景是不重要的,因为一旦你到了控制部分,每个人 - 员工,客人和无代理的设备 - 都是一样的。所以在这里我们磨练的期权每边给了我们一系列令人眼花缭乱的。

我们如何设置Cisco NAC

即使思科提供一个专有的框架,但它仍然是世界上最大的网络硬件制造商。因此,执法选项列表运行的页面。我们开始与局域网交换机和802.1X认证,这给了我们虚拟LAN(VLAN)为基础的访问控制。如果你满意的VLAN中,思科拥有大约电流的一半,几十个家庭LAN开关,以及两两三次,在刚刚退役的硬件仍然是完全能够中航。另外,所有的思科无线设备,从独立接入点,Airespace公司的无线交换机,可以执行点为好。

许多思科交换机还具有包过滤功能,以及中航部署还可以采用包过滤器。即使当我们添加了这些数据包过滤器,我们没有拉伸中航执法的范围。思科有所谓的“二层IP”和“三层IP” NAC客户,这有利于终端安全和执法措施,放弃认证。这些NAC客户端模式与开关以及额外的强制选项IOS路由器工作。我们没有测试二层IP或3层IP客户端模式,因为缺乏验证的,但思科的工程师告诉我们,这些客户端的认证版本正在开发中,但不能说,当他们将被释放。

我们如何建立TCG-TNC NAC

Cisco的ASA系列火墙/ VPN设备也可以是NAC实施点。我们配置了ASA5100是我们中航部署,这使我们能够要求端点安全评估,我们会允许通过IPSec VPN隧道有人到我们的网络之前的一部分。

缺乏政策工具

虽然没有什么突出的控制点的短缺有货币政策工具,利用所有这种力量的不足。由于中航需要的Cisco ACS,我们只能表示由于其固有的局限性的最原始的政策。

例如,用户不能被放置在多组和具有重叠资源的访问。试图定义可能结合VLAN的数据包过滤,VPN和端点安全性将是什么几乎是不可能的,但最根本的ACS用户界面的网络政策。而对于我们的网络在每一个不同的安全策略,我们不得不提出四点到10增加的ACS。

好消息是,当我们单独进行各航先进的访问控制的测试都取得了成功。当我们添加数据包过滤器和其他控制,他们从Cisco ACS服务器连接到网络执行点推,而我们,确实锁定。

如果任何事情都会忍住先进的中航部署,它在ACS的控制功能。这根本就不是最多的是用于控制的一般网络政策工具的任务,所以有在中航做任何超出控制在这个节骨眼上一小VLAN的很少或没有点。

当然,这可能不是一个问题。在许多网络中,一打的VLAN可能是所有一个非常成功的NAC部署所需的分区和访问控制。而且,如果适合你的网络,你可能会与Cisco ACS和最近的复古(即,在过去几年发布的任何开关)思科硬件非常高兴。事实上,如果你只是在做基于VLAN的访问控制,你可以使用非Cisco交换机非常成功。这就是说,这些必须非常精心设计的交换机具有相同的功能集思科的Catalyst线,如凯创矩阵C2我们在我们的测试平台了。

瞻博网络的力量

但是,如果你真的想要的东西非常强大的访问控制?瞻博网络采用NAC与UAC设备和Juniper的ScreenOS中,基于防火墙产品线,但只有TCG / TNC NAC框架内的集成一个新的水平。利用瞻博网络的访问控制模型,你不仅独立用户基于VLAN,则你的内部网络也分散防火墙,为每个用户提供完整的状态防火墙规则。

定义策略NAC是既简单又直观。我们发现,调试UAC设备和ScreenOS防火墙比必要的更加复杂和困难,但一旦我们确实得到了漏洞,一切都按预期。

瞻博的做法是强大的,但取决于瞻博客户端和Juniper UAC设备与Juniper防火墙一起工作 - 获得所有额外的访问控制功能需要的专有魔法相当数量。

这一点被敲定回家时,游标网络出来我们的实验室,其EdgeWall 8800执行点和附带EdgeWall控制服务器。作为一个独立的NAC厂商,游标有自己的强有力的故事(见故事有个足球雷竞技app网络世界这些产品即将测试),配有状态防火墙,多平台的端点状态评估,并在多千兆机箱集成的入侵预防系统。游标在本次测试作为执法点加入了TCG / TNC阵营,与我们的UAC家电政策和端点安全整合。

作为一个纯粹的TCG / TNC的球员,我们只能够使用有关的EdgeWall的能力,10%,因为所有的功能强大的策略控制的是,与瞻博网络高级访问控制解决方案,专属于游标自己的控制服务器。通过驱动从UAC家电的EdgeWall,我们无法推动政策下到EdgeWall - 我们只能够使用它作为一个防火墙开关。当然,我们也采取了政策退出的UAC电器,并把所有的游标的控制服务器控制的 - 一个战略,其中EdgeWall器具被用作主要的控制机制的网络中工作得很好。

经验教训关于NAC实施

如果你的NAC访问控制将被限制在VLAN分配,你也不会被强调中航或TCG / TNC框架非常多,也不你会发现很多差异化的框架。

但是,如果你想先进的访问控制,如数据包过滤器或状态防火墙添加到您的NAC部署,你会发现显著差异。虽然思科肯定有最广泛的全球硬件,中航框架正在举行回来所需思科ACS策略引擎,对于任何一种复杂的网络安全策略定义的一个不适合的工具。你可以很容易地下井带TCG / TNC专有的路径,而是要Juniper的UAC控制器显著更好的工具,与各种各样的低端和高端执法点一起。

斯奈德是在作品之一,在亚利桑那州图森的一家咨询公司的高级合伙人,他可以在Joel.Snyder@opus1.com到达。

NW实验室联盟

斯奈德也是网络世界实验室联盟的成员,合作在网络业界首屈一指的评有个足球雷竞技app审每个带来承受多年的每个复习的实践经验。欲了解更多实验室联盟的信息,包括如何才能成为会员,请m.amiribrahem.com/alliance

请参阅本包其他的故事:

主要事迹:可NAC现在你做什么?

与XP客户端NAC认证是一个单元

思科,TCG提供基本的端点安全

NAC管理可有头痛

了解更多关于这个话题

清除选择题:NAC产品的最大的公开审查

没有一个良好的SSL VPN提供良好的NAC?

为什么Vista是NAC景观不见了?

NAC在地平线上的所有功能于一身的测试

测试方法

NAC采购指南

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

斯奈德,一个网络世界有个足球雷竞技app测试联盟合作伙伴,在作品一号在亚利桑那州图森的高级合伙人,他可以达到

©2007Raybet2

IT薪资调查:结果是