Los beneficios de la solución Full NAC VS simple server de radio

Navega tus respuestas
0

En caso de que queramos habilitar la autenticación dot1x en la red cableada sin usar el comprobador de host, ¿todavía necesitamos una solución NAC o simplemente un servidor AAA simple para autenticar la asignación de VLAN dinámica y de host? ¿Algún valor agregado para la solución NAC en este caso?

    
pregunta Mr.lock 31.03.2017 - 08:22
fuente

2 respuestas

1
  

¿Algún valor agregado para la solución NAC en este caso?

Parte de la respuesta a eso depende de por qué está implementando dot1x.

Un paralelo que encuentro útil es Trusted Network Connect , que es Strongswan TNC docs proporciona algunos casos de uso.

Para repetir las preocupaciones principales de la descripción general del progenitor de TNC:

  

Cumplimiento

     
  • Visibilidad de la red y el punto final      
    • ¿Quién y qué hay en mi red?
      •   
    •   
  • Cumplimiento de puntos finales      
    • ¿Los dispositivos en mi red son seguros?
      •   
    • ¿Es apropiado el comportamiento del usuario / dispositivo?
      •   
    •   

Control de acceso

     
  • Cumplimiento de la red      
    • Bloquear usuarios, dispositivos o comportamientos no autorizados
      •   
    • Conceder niveles adecuados de acceso a usuarios / dispositivos autorizados
      •   
    •   

Orchestration

     
  • Coordinación del sistema de seguridad      
    • Comparta información en tiempo real sobre usuarios, dispositivos, amenazas, etc.
      •   
    •   

802.1x cubre la parte de cumplimiento de la red de esa lista, NAC brinda la posibilidad de cubrir a otros.

Sospecho que una gran parte de su 'necesidad' de NAC sería sobre cuánto tiene necesidades de cumplimiento y si tiene suficiente control sobre los puntos finales que son importantes para que la creación y el mantenimiento de un conjunto de políticas de NAC valgan la pena.

    
respondido por el iwaseatenbyagrue 31.03.2017 - 18:56
fuente
2

La solución de NAC básica utiliza dos características. Postura y Profilling.

En el caso de no usar Host Checker (Agente), está "perdiendo" las características de postura: verifique parches, av, registro y otras cosas.

Al utilizar solo un servidor de radio, está "perdiendo" la perforación del punto final. Esto puede tener un gran impacto, eso depende del tamaño de su red.

Si es una red pequeña, sin muchos tipos de puntos finales: computadoras portátiles, teléfonos celulares, cámaras, etc., debería estar bien.

Pero si tiene una red de tamaño mediano, será difícil administrar y controlar todo tipo de puntos finales. Eso es exactamente lo que hacer para ti.

    
respondido por el PedroMC 31.03.2017 - 14:46
fuente

Lea otras preguntas en las etiquetas

¿Está utilizando solo una versión de dirección IP (IPv4 / IPv6) un riesgo de disponibilidad? La suma de comprobación de Kali Linux SHA1 cambió durante y después de la descarga