802.1x - אנדרלמוסיה בHIGH-END
אני שמח לבשר שהיום בצהריים סיימתי סוף כל סוף לבחון את כל פתרונות הNAC שרציתי.
וכשאני מתכוון NAC - אני מתכוון לאימפלמנטציה של 802.1x עבור DYNAMIC VLAN עם 802.1q וקביעת החלטת VLAN על סמך מדיניות אבטחה. אחרי הרבה מאוד מעבדות , והקמת תרחישים ותצורות שונות אני עצוב לבשר שאין עדיין סטנדרט למימוש NAC עם CLIENT SECURITY או לצורך העניין NAC עם HOST POLICY ENFORCEMENT בצורה סבירה.
ובכן הפתרונות שבדקתי היו
CISCO - שהיו בהחלט חוד החנית מבחינה טכנולוגית ובהחלט בעלי פתרון קרוב למושלם
JUNIPER - עם פתרון הUAC האיכותי המתבסס על טכנולוגיית הODYSSEY
CHECKPOINT - עם פתרון הINTEGRITY האיכותי שלהם המשלב טכנולוגיה של ZONELABS עם פתרון מנוהל וRADIUS PROXY עבור NAC.
FORTINET - עם פתרון שעדיין לא מכוון לתצורת הNAC אבל בהחלט מהווה CLIENT SECURITY AGENT חשוב מאוד ונותן הרבה משמעויות.
היו גם MCAFEE עם פתרון מאוד יעיל , אבל לא נפוץ בארץ ולכן לא יצא לי לבדוק אותם כפי שרציתי ולקבל גם סיפורי לקוח.
לצערי , לא היה אף פתרון שדומה לפתרון אחר . אם מצאתי יתרונות בHOST CHECKER המעולה של ג'וניפר , הם נפלו על חוסר בPERSONAL ENFOREMENT עבור מדיניות , לעומת צ'קפוינט שנתנו FIGHT מעולה בEND-POINT אבלקצת נופלים מבחינת היכולת שלהם כNAC. ועל פורטינט אין מה לדבר , נכון לעכשיו הפתרון שלהם לא קרוב למציאות , יש להם CLIENT SECURITY מעולה , שעובר בצורה רוחבית את רוב המתחרים ( לפחות מי שבדקתי ) אבל לא מראים יכולות NAC כלשהן כלל.
סיסקו בכל מקרה נותנים בכיוון הNAC את הפתרון המעניין ביותר , הALLIANCE שלהם עם Microsoft מהווה פריצת דרך, ואני אצטט כאן חבר, קורן לב מסיסקו - שאומר שברגע שהחברה ששולטת לך במערכות ההפעלה , והחברה ששולטת לך בתשתית מאחדות פעולה - שאר השחקנים יתאימו את עצמם או יעלמו - ואני מאמין שהוא צודק.
בכל מקרה , בכל הנוגע לEND-POINT SECURITY CLIENT הגעתי למסקנה שINTEGRITY של צ'קפוינט מהווה פתרון כמעט מושלם נכון לעכשיו , במיוחד לאחר הרכישה של POINTSEC ושל REFLEX MAGNETICS אשר לדעתי ישתלבו מהר מאוד במוצר ויהפכו אותה לנקודת האכיפה שאין להתעלם ממנה.
כNAC DEVICE - ג'וניפר שחקן רב עוצמה ולדעתי הקל ביותר להטמעה בארגון בכל סדר גודל שהו ולא רלוונטי האם WIFI או WIRED - הפתרון בעל מעטפת איכותית וקל מאוד להגדרה ותחזוקה, אם כי יקר.
בשילוב - אם כל התשתית היא סיסקו - אז אין לאן לברוח - הפתרון של סיסקו הוא המלא ביותר , כי רק הם רואים היום את השילוב של הCSA יחד עם הNAC תוך חתירה להפעלת אלמנטים כגון מניעת זליגת מידע ( הCLIENT מאפשר למשל לחסום COPY\PASTE בין תוכנות שונות ומאפשר לבנות מעטפת REASONABLE USE עבור המשתמש ).
נראה לאן הדברים יובילו אותנו... מעניין לראות מה יביא רבעון 2 של 2007 בתחום הNAC
אין לי ספק שכמו ששנת 2005-6 היו שנות ההתעוררות של הUTM , הBUZZWORD החדש יהיה עכשיו NAC , מה שבתקווה יעיר מחדש גם נושאים כמו PKI וכדומה.
וכשאני מתכוון NAC - אני מתכוון לאימפלמנטציה של 802.1x עבור DYNAMIC VLAN עם 802.1q וקביעת החלטת VLAN על סמך מדיניות אבטחה. אחרי הרבה מאוד מעבדות , והקמת תרחישים ותצורות שונות אני עצוב לבשר שאין עדיין סטנדרט למימוש NAC עם CLIENT SECURITY או לצורך העניין NAC עם HOST POLICY ENFORCEMENT בצורה סבירה.
ובכן הפתרונות שבדקתי היו
CISCO - שהיו בהחלט חוד החנית מבחינה טכנולוגית ובהחלט בעלי פתרון קרוב למושלם
JUNIPER - עם פתרון הUAC האיכותי המתבסס על טכנולוגיית הODYSSEY
CHECKPOINT - עם פתרון הINTEGRITY האיכותי שלהם המשלב טכנולוגיה של ZONELABS עם פתרון מנוהל וRADIUS PROXY עבור NAC.
FORTINET - עם פתרון שעדיין לא מכוון לתצורת הNAC אבל בהחלט מהווה CLIENT SECURITY AGENT חשוב מאוד ונותן הרבה משמעויות.
היו גם MCAFEE עם פתרון מאוד יעיל , אבל לא נפוץ בארץ ולכן לא יצא לי לבדוק אותם כפי שרציתי ולקבל גם סיפורי לקוח.
לצערי , לא היה אף פתרון שדומה לפתרון אחר . אם מצאתי יתרונות בHOST CHECKER המעולה של ג'וניפר , הם נפלו על חוסר בPERSONAL ENFOREMENT עבור מדיניות , לעומת צ'קפוינט שנתנו FIGHT מעולה בEND-POINT אבלקצת נופלים מבחינת היכולת שלהם כNAC. ועל פורטינט אין מה לדבר , נכון לעכשיו הפתרון שלהם לא קרוב למציאות , יש להם CLIENT SECURITY מעולה , שעובר בצורה רוחבית את רוב המתחרים ( לפחות מי שבדקתי ) אבל לא מראים יכולות NAC כלשהן כלל.
סיסקו בכל מקרה נותנים בכיוון הNAC את הפתרון המעניין ביותר , הALLIANCE שלהם עם Microsoft מהווה פריצת דרך, ואני אצטט כאן חבר, קורן לב מסיסקו - שאומר שברגע שהחברה ששולטת לך במערכות ההפעלה , והחברה ששולטת לך בתשתית מאחדות פעולה - שאר השחקנים יתאימו את עצמם או יעלמו - ואני מאמין שהוא צודק.
בכל מקרה , בכל הנוגע לEND-POINT SECURITY CLIENT הגעתי למסקנה שINTEGRITY של צ'קפוינט מהווה פתרון כמעט מושלם נכון לעכשיו , במיוחד לאחר הרכישה של POINTSEC ושל REFLEX MAGNETICS אשר לדעתי ישתלבו מהר מאוד במוצר ויהפכו אותה לנקודת האכיפה שאין להתעלם ממנה.
כNAC DEVICE - ג'וניפר שחקן רב עוצמה ולדעתי הקל ביותר להטמעה בארגון בכל סדר גודל שהו ולא רלוונטי האם WIFI או WIRED - הפתרון בעל מעטפת איכותית וקל מאוד להגדרה ותחזוקה, אם כי יקר.
בשילוב - אם כל התשתית היא סיסקו - אז אין לאן לברוח - הפתרון של סיסקו הוא המלא ביותר , כי רק הם רואים היום את השילוב של הCSA יחד עם הNAC תוך חתירה להפעלת אלמנטים כגון מניעת זליגת מידע ( הCLIENT מאפשר למשל לחסום COPY\PASTE בין תוכנות שונות ומאפשר לבנות מעטפת REASONABLE USE עבור המשתמש ).
נראה לאן הדברים יובילו אותנו... מעניין לראות מה יביא רבעון 2 של 2007 בתחום הNAC
אין לי ספק שכמו ששנת 2005-6 היו שנות ההתעוררות של הUTM , הBUZZWORD החדש יהיה עכשיו NAC , מה שבתקווה יעיר מחדש גם נושאים כמו PKI וכדומה.
Labels: architecture, nac
הפיתרון של Sygate / Symantec נחשב לפיתרון מוביל, לא בחנת אותו ?
Posted by Unknown | 2:50 PM
לצערי לא בחנתי את הפתרון , ויש עוד עשרות רבות של פתרונות שלא יכולתי לבדוק במסגרת פרוייקט בחינה , ולכן החלטתי לבדוק יצרנים שיש לי איתם קשרי עבודה טובים ומהם אני אקבל סיוע בזמן הבדיקות.
Posted by barry | 3:01 PM
היי,
כאן אפשר לקרוא על NAC של סימנטק ועל עוד כמה אחרים:
http://www.infoworld.com/article/07/02/05/06TCnac_4.html
Posted by Anonymous | 9:44 AM
NAC I think shines in giving you more flexibility in terms of protecting the LAN from wireless, wired, guest and unmanaged devices. It also offers more options in how testing is completed and how enforcement can be accomplished.I don't think SSL VPNs and NAC solutions are done evolving and growing up yet...
Joel Snyder has a good article up over on Network:
and he ask "Is SSL VPN the ugly duckling of NAC?"...Interesting:)
http://www.networkworld.com/reviews/2007/041907-nac-ssl-vpn.html?page=1
Posted by Anonymous | 9:58 PM
אחד ה- NAC הטובים שלא בחנת הוא של ALCATEL LUCENT במקור Consentry
NAC חזק מאד בתצורת IN LINE
Posted by Anonymous | 3:16 PM