的意见

安全网络接入的行业标准

我很乐意多久听到关于思科的专有增强的负面评论。我是思科的众多(许多,许多,许多)员工之一,他们积极参与标准机构组织,包括IETF。今天的许多网络标准始于完成标准完成前的专有解决方案。

作为一个不仅对安全创新充满热情,而且对这些创新的标准化充满热情的人,我想我应该指出一些我最近参与或非常感兴趣的努力。

隧道EAP(TEAP):

在今年5月,隧道EAP(TEAP)规范正式发布为RFC-7170。此RFC正式使思科在EAP-FASTV2中的EAP-SKIPIAPIAPIAING AEAP-SCIPIAL的标准中可以在任何802.1X请求者或身份验证服务器中实现的标准。请注意,与DOT1X环境中的所有EAP通信一样,EAP型对认证器(Switch |)完全透明地透明。这意味着它不需要思科交换机或无线控制器来使用Teap,只是支持协议的请求者和身份验证。

与其他身份验证协议相比,TEAP具有一些独特的优势。具有TLS版本协商能力;它可以使用被请求方和认证服务器支持的任何内部方法(EAP-MSChapV2, EAP-GTC, EAP-TLS);它能够将机器和用户的凭证链在一个EAP-Transaction中。

这满足了巨大的行业需求,通过一种标准的方式来验证和授权它是已授权的资产和已授权的用户,并使用混合的身份来源:Certificates / Username & PWD / One-Time-Passwords /其他两因素身份验证机制。

例子:

  • 使用证书(EAP-TLS)的设备身份验证,显示计算机属于该公司以及Active Directory的用户名/密码身份验证(EAP-MSCHAPv2)。
  • 设备身份验证使用Active Directory帐户和密码(EAP-MSChapV2),这验证了机器是域成员并且是活动的,再加上对Active Directory (EAP-MSChapV2)的用户名/密码身份验证。
  • 设备认证使用证书(EAP-TLS),显示计算机(笔记本电脑、台式机、平板电脑、手机等)属于公司再加上用户名/密码认证到Active Directory (EAP-MSChapV2)。

通过在单个授权中同时使用机器和用户身份验证,可以验证它是授权用户和授权机器。不只是其中之一。

TEAP的其他优势:

  1. Teap使用TLS会话恢复而无需维护服务器状态(类似于EAP-FAST) - 这允许服务器扩展以处理大量的客户端。
  2. 在隧道内提供证书。这将允许TEAP频道内的证书续订。如果使用内部方法(如用户名/密码),则可以使用BYOD配置初始证书的备用方法(如用户名/密码)。TeAP基本上正在运行REAP频道内部安全传输(EST)的注册。
  3. TEAP具有EAP Channel Bindings来将TEAP使用的上下文(有线、无线、IKEv2、L3等)绑定到TEAP交换中。<<这有多大价值??太棒了!
  4. TEAP具有可扩展的TLV格式,可用于在TEAP隧道中携带用于其他目的的数据。如PT-EAP(姿势传输),用于通过TEAP通道提供姿势检查数据传输。<<理论上是在EAP协议中传输姿态数据的真实方法(最终)。

与所有标准一样,这一标准是由来自不同公司的许多个人编写和贡献的,包括但不限于:思科、瞻博、英飞凌和其他公司。我想感谢我的朋友和同事们的努力,他们是我尊敬和钦佩的人:Nancy Cam-Winget, Joe Salowey, Hao Zhou和Steve Hanna。

接下来的步骤是让那些想要TEAP和eap链接的客户给他们的销售代表Cisco、Microsoft、Apple、谷歌、Juniper(即将成为Pulse)等公司的销售代表打电话(选择你喜欢的端点和认证服务器)。告诉你的销售团队这个功能有多需要,并让他们把它投入到他们的路线图中。

安全组标记(SGT)和安全组Exchange协议(SXP)

我以前在我的博客上谈到过这种创新技术(见:安全组标记基础知识。)

今年早些时候,思科提交了一份关于SGT交换协议(SXP)的信息草案,向非思科网络和安全应用程序供应商开放了SGT的使用。此后,他们更新了提交的信息草案,其中包括SGT交换协议(SXP)和SGT以太网帧格式。

http://www.ietf.org/id/draft-smith-kandula-sxp-01.txt.

这曾经是100%思科专有,并要求所有思科网络基础设施,安全设备和策略服务器。这些提交允许其他供应商在电线或通过凝固协议上使用思科产品实施内联标记和交换标签。

非常非常感谢Kevin Regan、Mitsunori Sagae、Darrin Miller、Joe Salowey、Michael Smith、Sue Thomson和Rakesh Kandula将这一不可思议的创新作为信息草案发表。

PxGrid.

很久前,Cisco SVP Chris Young宣布了一种新的创新,以共享安全应用程序之间的上下文安全数据,称为PxGrid。

今年7月,PXGRID被称为互联网草案,并在多伦多IETF 90展出(和非常受欢迎)。

pxGrid是思科的一项创新,也是世界上第一个可扩展的机制,用于在安全应用程序之间多向共享安全相关数据。它的用途可以扩展到安全性之外的其他管理领域。

与任何拟议的标准一样,厨房里有更多的厨师而不是思科。拟议的标准由思科,瞻博网络(很快是脉冲),麦克菲,波音,NIST等。该提案前进,它看起来很可能是安全自动化和连续监测(SACM)的IETF标准的主要贡献者。

特别感谢这个标准工作属于:南希·坎佩特,斯科特教皇,丽莎洛伦辛,悬崖卡恩,史蒂夫·维玛,史蒂夫汉娜,大卫沃尔默尔,以及许多其他人!沿着这样一个才华横溢的群体工作是一种荣幸和荣幸。

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn评论是最重要的主题。
相关:

Aaron Woland,CCIE No. 20113,是思科系统的主要工程师。他的主要工作职责包括具有ISE,解决方案增强,标准开发和期货的安全访问和身份部署。

在这个博客中表达的观点是Aaron Woland的观点,不一定代表思科系统的观点。

版权©2014Raybet2

SD-WAN采购商指南:要询问供应商(和您自己)的关键问题