I vantaggi della soluzione Full NAC VS server radius semplice

0

Nel caso in cui vogliamo abilitare l'autenticazione dot1x sulla rete cablata senza usare il checker host, abbiamo ancora bisogno di una soluzione NAC o semplicemente di un semplice server AAA per autenticare l'host e l'assegnazione dinamica della VLAN? In questo caso, qualsiasi valore aggiunto per la soluzione NAC?

    
posta Mr.lock 31.03.2017 - 08:22
fonte

2 risposte

1

Any added value for the NAC solution in this case?

Parte della risposta a questo dipende dal motivo per cui stai implementando dot1x.

Un parallelo che ritengo utile è Trusted Network Connect , che Strongswan TNC doc fornisce alcuni casi d'uso.

Per ripetere le preoccupazioni principali della panoramica dei progenitori di TNC:

Compliance

  • Network and Endpoint Visibility
    • Who and what’s on my network?
  • Endpoint Compliance
    • Are devices on my network secure?
    • Is user/device behavior appropriate?

Access Control

  • Network Enforcement
    • Block unauthorized users, devices, or behavior
    • Grant appropriate levels of access to authorized users/devices

Orchestration

  • Security System Coordination
    • Share real-time information about users, devices, threats, etc.

802.1x copre la parte di applicazione della rete di tale elenco, NAC offre la possibilità di coprire gli altri.

Ho il sospetto che una grande parte del tuo "bisogno" di NAC riguardi quanto hai bisogno di conformità e se hai abbastanza controllo sugli endpoint che contano per rendere la creazione e il mantenimento di una serie di politiche NAC che valga la pena.

    
risposta data 31.03.2017 - 18:56
fonte
2

La soluzione di NAC basic utilizza due funzionalità. Postura e profilazione.

Nel caso in cui non si utilizzi Host Checker (Agent) si stanno "perdendo" le caratteristiche di postura - controllare patch, av, registro e altre cose.

Usando solo un server radius stai "perdendo" il profiling dell'endpoint. Ciò potrebbe avere un impatto enorme, a seconda delle dimensioni della rete.

Se è una piccola rete, con molti tipi di endpoint: notebook, cellulari, webcam ecc. Dovrei essere ok.

Ma se hai una rete di medie dimensioni sarà difficile gestire e controllare tutti i tipi di endpoint. Questo esattamente ciò che i profiling fanno per te.

    
risposta data 31.03.2017 - 14:46
fonte

Leggi altre domande sui tag