ConSentry挤掉了尼维斯在线NAC设备测试

新成立的共识网络和Nevis网络已经进入了网络访问控制环，它们提供在线执行产品，保证高水平的安全，对现有网络基础设施的影响最小。

用例是这样的：企业要实现NAC，但他们希望尽量减少变更和升级他们的安装LAN交换基础设施。我们测试了LANShield和LANenforcer盒具有10和12对，分别为千兆以太网港口。在核心开关旁边安装任何一个设备。对于来自配线柜的每个上行链路，使用端口对在传输到核心交换机之前通过设备运行流量。这为您提供了一个控制点——两家公司都称其设备控制器而不是安全开关——来验证用户，应用高度详细的每个用户状态的防火墙控制，并将其用作内部ip。

我们看着这些产品作为NAC设备，重点在四个方面对于任何NAC部署的关键：身份验证和授权，端点安全状况评估，交通执法和系统管理（见《我们如何测试NAC产品》）。我们正在评估这些产品在一个单独的测试性能和可用时会公布这些结果。

身份验证和授权

认证是LANShield和LANenforcer难以掌握的一块NAC图片。因为它们在网络中处于更深的位置，所以用户如何验证设备的身份并没有简单的答案。最明显的方法是使用基于web的自保门户，这两个产品都支持将其作为身份验证方法。通过专属门户，用户连接到网络，获得IP地址，然后启动Web浏览器并尝试打开Web页面。LANShield和LANenforcer拦截这种通信，并将用户的浏览器重定向到一个允许用户进行身份验证的页面。

我们发现在LANenforcer的强制网络门户的重大设计缺陷。我们测试的版本不会让你使用自己的证书颁发机构或签名SSL证书一个值得信赖的知名证书颁发机构。如果没有一个可信证书颁发机构，你问的人连接到您的网络和未认证的系统，他们不知道，在任何情况下最好的办法给他们的用户名和密码。尼维斯说，这是将使用自己的数字证书和证书颁发机构在它的下一个版本的能力。

自保门户对于酒店和热点通常很好，但对于企业网络的身份验证来说不是特别友好的方法。出于这个原因，LANenforcer让网络管理器启用了自注册，在这种情况下，LANenforcer会记住经过身份验证的用户的媒体访问控制(MAC)地址，时间是可配置的(8小时到1年)，而且不需要重新验证。

我们的测试表明，虽然这个特性工作得很好，但它并不是与被俘门户相关的问题的通用补救方法。由于基于MAC的认证安全性很差——MAC地址很容易被窃取和欺骗——自注册方法采用了侵入性的认证方法，大大削弱了整体的安全模型。

对于身份验证问题，consensus有一个更好的方法:作为专属门户的替代方案的被动身份验证。如果用户正在登录到Windows域或正在使用802.1X认证无线或有线LAN访问，LANShield监视身份验证通过并推断用户的身份(在Windows登录的情况下)或他们所属的组(在802.1X身份验证的情况下)。

在我们的认证测试中，我们在这两个产品中都发现了问题。兰盾最初不会与我们的Funk合作(瞻博网络）半径服务器（这个问题是固定的软件的新版本），并LANenforcer具有与从RADIUS和轻型目录访问协议（组的分配设计问题和错误LDAP)服务器。如果使用Windows Active Directory服务器进行身份验证，那么使用LANenforcer应该没有问题，但我们的测试表明，即使使用常见的现成配置，也可能无法从LDAP或RADIUS分配组成员。

我们也失望地看到，当尼维斯LANsight安全管理器用于配置设备，所有的认证是由LANsight服务器代理。这使得失败的可怕单点，因为管理服务器就是一个Linux的服务器。当我们的LANsight服务器LANenforcer失去通讯联系，失去了大部分的配置信息，并要求LANenforcer的重新安装和重新配置，我们发现了这个问题。

一旦用户通过验证，ConSentry和尼维斯盒需要一种方法来分配正确的安全执法政策。ConSentry每个用户使用灵活的系统，包括认证组，白天和存取方法在一个单一时间角色映射。尼维斯有一个不太灵活的系统，基于从认证服务器返回的组分配角色。

但是，如果你正在使用LDAP身份验证和用户在多个组，尼维斯用于合并不同的安全策略精心设计的系统。这种能力将是谁希望有缩放到大量的群体非常细粒度的安全执法网络管理员非常有吸引力，因为尼维斯让每个组有一个更准确的政策。

ConSentry LANShield控制器和Insight指挥中心

评分：3.78

www.consentry.com

LANShield是一个高速、高密度的防火墙，拥有10对千兆以太网端口。两厢情愿将其定位为NAC设备，将其放在配线柜交换机和网络核心之间，以验证用户和执行安全策略。

LANShield的身份验证选项范围从不显眼的（如看由Windows域登录GO）使用捕Web门户，主动认证。这种灵活的认证以及精心设计的策略定义工具和灵活的执行控制去。当与ConSentry的洞见指挥中心管理系统联手，LANShield“控制器”可以作为在企业NAC环境中的可扩展的构建块。

LANShield伸入安全的许多不同的领域，但是，不同程度的成功。与Check Point端点安全性评价的合作伙伴关系使ConSentry的有力工具出了门开始的，即使管理层不完全集成。用于检测和阻止内部恶意软件选项，例如蠕虫没有很好地在我们研究了该产品的版本中实现。我们还发现，在Insight GUI需要一些重新设计。总体而言，LANShield是惊人的成熟，这样的新产品，并已经在很短的时间很长的路要走。

端点安全状况评估

在许多企业为NAC一个关键因素是端点安全：评估是不是在连接到网络，并限制对设备的访问设备的姿势合规企业策略。ConSentry和尼维斯满足这一要求，但不是一个令人满意的程度。

使用LANenforcer, Nevis使用一个下推到用户PC(假设Windows和Internet Explorer正在运行，并且有管理员权限)的ActiveX控件来检查操作系统补丁级别和防病毒和反间谍软件的存在。由于主要尼维斯验证方法是强制网络门户，端点安全评价登录顺序期间作为Web页面加载发生。未通过这些检查可以降落在你的用户导向补救的隔离状态;LANenforcer还可以配置为需要定期重新评估在用户登录。

不幸的是，使用LANenforcer的自我注册工具，以避免经历认证手段强制网络门户有没有机会LANenforcer下推端点安全状态评估工具。在我们的测试中，我们遇到了一个问题：本尼维斯端点安全工具坚持认为，我们需要为我们的Windows XP的笔记本电脑特定的补丁，而微软的Windows更新服务不同意或提供特定的补丁。这不是大问题，因为人的尼维斯接口的不透明度和缺乏配置控制的。一旦我们发现了这个问题，没有什么我们可以做些什么，因为LANsight看不到所需要的补丁列表或手动更新或覆盖。

ConSentry在其LANShield方法几乎是相同的尼维斯，有类似的限制。ConSentry已联手与Check Point，销售的Check Point完整性无客户端安全性为一体的综合端点安全姿势评估工具。Check Point的完整性工具比尼维斯端点安全工具更复杂。例如，它会检查间谍软件，不只是反间谍软件的存在。你可以用它来其他类型的检查添加到您的策略。这ConSentry-Check Point的组合还支持更广泛的客户端平台，包括旧版本的Windows和端点安全工具包括Java和ActiveX版本。

即使有一个更复杂的客户端安全状态评估工具，ConSentry和尼维斯有同样的问题：用户必须去一个网页下载该工具。随着强制网络门户，界面是那样干净尼维斯，但是当你使用的ConSentry LANShield被动验证方法之一（如看一个Windows域登录），有没有涉及网页。在这种情况下，LANShield可以拦截下一个Web连接的客户端发出，并推低端点安全的工具，但不能保证用户将使用其Web浏览器。

耐威LANenforcer和LANSight安全管理

评分：3.35

www.nevisnetworks.com

LANenforcer是一个高速，高密度的防火墙和IPS设备设计行配线间交换机和网络的核心之间去。随着12双千兆以太网端口，在LANenforcer被指定为处理多达1000个用户使用10Gbps的最高速度。

尼维斯却偏偏强调LANenforcer尽可能多的IPS性质的NAC功能，并具有良好的思想出IPS的设置功能旨在捕获恶意软件和内部蠕虫。

深入网络对身份验证和实施都提出了挑战，而且Nevis做出了一些企业用户或网络管理员可能无法接受的设计选择。身份验证是通过被控制的web门户完成的。这方便了使用Nevis自己的ActiveX客户端进行终端安全态势评估，但是对于许多环境可能太过干扰。网络管理员还可能发现LANsight安全管理器(Nevis的基于gui的管理系统)在定义复杂的安全策略时显得笨拙。

我们与LANenforcer最关心的是大量的bug，我们几乎在每一个组件中发现，包括端点安全，恶意软件检测，管理和硬件本身。正如任何新产品，尼维斯可能需要更多的时间来摇出一些与此版本的问题。

入侵防御起到了重要作用

Nevis和consensus try都意识到围绕端点安全态势评估及其特定拓扑的问题。一种解决方案可能是安装一个同时处理身份验证和姿态评估的专有客户端;这是方法思科NAC Framework使用。ConSentry说，它正在开发它自己的客户，而尼维斯正在考虑增加一个客户端，以加强其安全状态评估。