同意在在线NAC设备测试中消除痣

Pair提供了增强的访问控制,对现有网络的影响最小。

有个足球雷竞技app |

初创企业Approvery Networks和Nevis Networks已经进入网络访问控制圈,推出了在线强制执行产品,承诺在对现有网络基础设施影响最小的情况下实现高水平的安全性。
Lanshield CS2400控制器V2.2和Insight命令中心 总体评级
3.78
公司:同意网络。费用:Lanshield $ 38,500和洞察力为8,000美元。优点:优秀的政策定义工具;多功能身份验证和执行选项。反对的论点:入侵保护系统功能较弱。
LANenforcer 2024 V2.0和LANsight安全管理器 总体评级
3.35
公司:尼维斯网络。费用:LANenforcer为35000美元,LANsight为7000美元。优点:网络安全可视性;角色分配的多功能性。缺点:政策定义笨拙;仅封印门户验证只有实际选项。
崩溃 同意 尼维斯
认证/授权

20%

 4. 3.
端点安全25% 3.5 3.5
执法和知识产权25% 4. 3.5
系统管理20% 3.5 3.5
稳定性/成熟度20% 4. 3.
总分 3.78 3.35
有个足球雷竞技app网络世界买家指南:在NWW IT买家指南中研究您的NAC产品选项。点击这里。
得分钥匙:5:例外情况;4:非常好;三:平均数;2:低于平均水平;1:一致低于标准

使用情况如下:企业想要实现NAC,但他们希望最大限度地减少其安装的LAN交换基础架构的变更和升级。我们测试的Lanshield和Lanenforcer盒子分别有10和12对千兆以太网港口。在核心交换机旁边安装任一设备。对于来自配线室的每个上行链路,在将其传送到核心交换机之前,使用端口对运行设备中的流量。这为您提供了一个控制点——两家公司都称其设备为控制器,而不是安全交换机——来验证用户身份,应用高度详细的每用户有状态防火墙控制,并用作内部IP。

我们将这些产品视为NAC设备,并专注于对任何NAC部署至关重要的四个区域:认证和授权,端点 - 安全姿势评估,交通执行和系统管理(参见“我们如何测试NAC产品”)。我们将在单独的测试中评估这些产品的性能,并将在测试结果可用时公布。

认证和授权

对于LANShield和LANenforcer来说,身份验证是NAC图中很难掌握的一部分。因为他们位于网络深处,用户如何对设备进行身份验证没有简单的答案。最明显的方法是使用基于Web的captive portal,这两种产品都支持将其作为身份验证方法。使用captive portal,用户连接到网络,获取IP地址,然后启动Web浏览器并尝试打开网页。LANShield和LANenforcer拦截此通信,并将用户的浏览器重定向到允许其进行身份验证的页面。

兰希尔酒店
同事的Lanshield控制器是一款高速,高密度的串联防火墙,耦合了一个灵活的身份验证选项,可为公司提供多功能执行控制。

我们在Lanenforcer的俘虏门户中找到了一个主要的设计缺陷。我们测试的版本不允许您使用自己的证书颁发机构或众所周知的可信证书颁发机构来签署SSL证书。如果没有值得信赖的证书颁发机构,您就要求人们连接到您的网络,并将其用户名和密码提供给未经认真验证的系统,他们不知道,而不是在任何情况下最好的主意。奈维斯表示,它正在添加自己在下一个版本中使用自己的数字证书和证书颁发机构的能力。

捕获式门户通常适用于酒店和热点,但对于企业网络的身份验证而言,它并不是一种特别友好的方法。因此,LANenforcer允许网络管理器启用自注册,其中LANenforcer会在一段可配置的时间段(八小时到一年)内记住经过身份验证的用户的媒体访问控制(MAC)地址,而不需要重新验证。

我们的测试表明,虽然此功能工作得很好,但它并不是解决捕获门户相关问题的通用方法。由于基于MAC的身份验证提供的安全性很差(MAC地址很容易被盗和伪造),因此自注册方法采用侵入式身份验证方法,大大削弱了整体安全模型。

ConSentry有一个更好的方法来解决身份验证问题:被动身份验证可以替代被动门户。如果用户正在登录到Windows域或正在使用802.1X身份验证无线或有线LAN访问,LANShield监视身份验证通过并推断用户身份(在Windows登录的情况下)或他们所属的组(在802.1X身份验证的情况下)。

在我们的身份验证测试中,我们发现这两种产品都存在问题。LANShield一开始不会和我们的Funk合作(杜松)半径服务器(该问题已通过更新版本的软件修复),LANenforcer存在与RADIUS和轻型目录访问协议中的组分配相关的设计问题和错误(LDAP)服务器。如果您使用Windows Active Directory服务器进行身份验证,则可以使用LANenforcer,但我们的测试表明,即使使用常见的现成配置,您也可能无法从LDAP或RADIUS分配组成员资格。

我们还失望地看到,当Nevis的LANsight Security Manager用于配置设备时,所有身份验证都由LANsight服务器代理。这会导致可怕的单点故障,因为管理服务器只是一个Linux.服务器。当我们的LANsight服务器与LANenforcer失去通信、丢失大多数配置信息并需要重新安装和重新配置LANenforcer时,我们发现了此问题。

一旦用户通过身份验证,同意和Nevis框需要一种方法来分配正确的安全实施策略。同意使用灵活的系统将每个用户映射到单个角色,该系统包括身份验证组、时间和访问方法。Nevis的系统灵活性较低,根据aut返回的组分配角色hentication服务器。

但是,如果您使用LDAP进行身份验证,并且一个用户在多个组中,那么Nevis有一个设计良好的系统,用于合并不同的安全策略。这一功能对于希望将非常细粒度的安全实施扩展到大量组的网络管理者来说极具吸引力,因为Nevis让每个组都有一个更精确的策略。

同意Lanshield控制器和Insight命令中心

得分:3.78

www.approvery.com

LANShield是一种高速、高密度防火墙,具有10对千兆以太网端口。Approvery将其定位为NAC设备,将其置于配线柜交换机和网络核心之间,以验证用户身份并强制执行安全策略。

Lanshield的身份验证选项范围从不引人的(例如观看Windows域名登录)以使用Rective Web Portal进行活动身份验证。身份验证的这种灵活性以及精心设计的策略定义工具包和多功能强制执行控制。在与同谋的洞察指挥中心管理系统合作时,Lanshield“控制器”可以作为公司NAC环境中的可扩展构建块。

不过,Lanshield延伸到许多不同的安全领域,取得了不同的成功。对于端点安全评估的伙伴关系,即使管理层未完全集成,也可以将一个强大的工具与起始门出来的强大工具。在我们查看的产品的版本中,检测和阻止内部恶意软件的检测和阻止内部恶意软件的选项并不充分利用。我们还发现Insight Gui需要一些重新设计。总的来说,Lanshield在这类新产品中对这种新产品感到惊讶,并且在短时间内已经走了很长的路要走。

端点安全姿态评估

NAC在许多企业中的一个关键驱动程序是端点安全性:评估连接到网络的设备的姿势并限制对不在的设备的访问遵守与公司政策。同意和尼维斯解决了这一要求,但不是令人满意的程度。

Nevis使用LANenforcer实现端点安全性的方法是使用一个ActiveX控件,该控件下推到用户的PC上(假设Windows和Internet Explorer正在运行,并且具有管理员权限),用于检查操作系统补丁级别以及防病毒和反间谍软件的存在。由于principal Nevis身份验证方法是一个捕获式门户,因此在加载网页的登录过程中会进行端点安全评估。未能通过这些检查可能会使您处于隔离状态,以便进行用户指导的补救;LANenforcer还可以配置为在用户登录时要求定期重新评估。

不幸的是,使用LANenforcer的自注册功能来避免通过捕获门户进行身份验证意味着LANenforcer没有机会推下端点安全态势评估工具。在我们的测试中,我们遇到了一个问题:Nevis端点安全工具坚持我们需要一个特定的ou补丁r Windows XP笔记本电脑,而Microsoft Windows Update服务不同意或不提供该特定修补程序。这并不像Nevis界面不透明和缺少配置控制那样严重。一旦发现问题,我们就无能为力,因为LANsight无法查看所需的修补程序列表或手动更新或者覆盖它。

尼维斯·兰强者
尼维斯已经选择强调其LANenforcer控制器的IPS特性以及NAC特性。该产品具有一套经过深思熟虑的IPS功能,旨在捕获恶意软件和内部蠕虫。

同意在其Lanshield中的方法几乎与Nevis的方法相同,具有类似的限制。同意已与校验点合作,销售检查点完整性无客户端安全性作为集成端点安全性姿势评估工具。检查点的完整性工具比尼维斯端点安全工具更复杂。例如,它检查间谍软件,而不仅仅是存在反间谍软件的存在。您可以使用它来添加其他类型的检查到您的策略。此同事 - 检查点组合还支持更广泛的客户端平台,包括旧版本的Windows和Endpoint-Security工具的Java和ActiveX版本。

即使有了更复杂的客户姿势评估工具,Approvery和Nevis也有同样的问题:用户必须到网页下载该工具。使用captive portal,界面就像Nevis’一样干净,但当您使用一种同意的LANShield被动身份验证方法(如观看Windows域登录)时,不会涉及任何网页。在这种情况下,LANShield可以拦截客户端建立的下一个Web连接并按下endpoint security工具,但不能保证用户会使用他们的Web浏览器。

Nevis Lanenforcer和Lansight安全经理

分数:3.35

www.nevisnetworks.com

LANENFORCER是一种高速,高密度的防火墙和IPS设备,设计用于在接线壁橱交换机和网络的核心之间串联。使用12对千兆以太网端口,Lanenforcer指定为处理多达1000个用户,最高速度为10Gbps。

Nevis选择了强调LANenforcer的IPS特性和NAC特性,并拥有一套经过深思熟虑的IPS特性,旨在捕获恶意软件和内部蠕虫。

深入网络对身份验证和实施提出了挑战,尼维斯做出了一些企业用户或网络管理员可能无法接受的设计选择。身份验证是通过一个附带的web门户完成的。这有助于使用Nevis自己的ActiveX客户端进行端点安全态势评估,但对于许多环境来说可能过于侵入性。网络管理员还可能发现,在定义复杂的安全策略时,Nevis基于GUI的管理系统LANsight Security Manager很笨拙。

我们对LANENFORCER的最大关注是我们在几乎每个组件中找到的大量错误,包括端点安全性,恶意软​​件检测,管理和硬件本身。与任何新产品一样,尼维斯可能需要更多时间来撼动此版本的一些问题。

入侵预防发挥作用

Nevis和Approvery都知道端点安全态势评估及其特定拓扑的相关问题。一种解决方案可能是安装一个专有客户端,处理身份验证和姿势评估;这就是我们的方法思科NAC框架使用。Approvery表示,它正在开发自己的客户,而尼维斯正在考虑增加一名客户,以加强姿势评估。

相关的:
1.2. 第1页
第1页,共2页
IT薪水调查2021:结果是令人满意的