RE: NAC

<VENDOR>

>> A. Cisco Network Admission Control (NAC) is an industry-wide
collaboration
>> led by Cisco, to focus on limiting damage from emerging security threats
>> such as viruses and worms. <snip> 
>>
http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns75/netqa09186a00801d82
2e.html
>> http://www.cisco.com/warp/public/779/largeent/nac/index.html

> Se ho capito bene..

>1. Che la compatibilita' come al solito e' un'opinione.

Mi sfugge qualcosa.. Compatibilita' di cosa e con cosa ? Al massimo parlerei
di integrazione, ed integrare tecnologie di  quattro (CSCO, NET, SYMC, TMIC)
diversi vendor. La mia opinione é che sia un passo in avanti ad un problema
tutto sommato sentito. Ma ripeto, mi sfugge credo qualcosa, primo fra tutti
la compatibilita' che tu sottolinei sia mancante.

>2. Che devo avere un demone o qualcosa che faccio inspection di tutto cio'
che
>   c'e' sul mio pc e trasmette dati ad oggetti "a me" sconosciuti.

Se il problema é il deployment del 'demone' (si chiama CTA, 'Cisco Trust
Agent'), questo sara' incluso nelle prossime versioni di antivirus dei tre
vendor sopracitati, quindi il problema del delpoyment e' minore di quello
che sembra.
Se il problema e' che questo demone invii ' dati ad oggetti "a te"
sconosciuti', su questo ci sono delle considerazioni da fare. 
- che I dati ad oggetti "a te" sconosciuti sono relativi alla presenza o
meno di tecnologie e relativa profilatura rispetto ad una policy di
sicurezza della rete. Vedila come una sofisticata autenticazione 802.1x
- che gli oggetti a "a te" sconosciuti sono gli strumenti di policy
enforcement della gestione dei sistemi informativi ai quali tu vuoi
accedere.
- Non vederla dal punto di vista esclusivamente di "a me", "a me" cosa mi
fanno, "da me" che dati vogliono sapere; vedila anche dal punti di vista di
"coloro" che hanno un sistema informativo, che ti vogliono dare accesso, e
che non per questo vogliono tirarsi la zappa sui piedi dando accesso "a te"
che hai delle policy di sicurezza differenti dalle loro. Il controllo e'
semplicemente sulla presenza o meno di un antivirus ed e' possibile
configurare in maniera molto granulare il 'che fare' in caso di non
compliance. Certo, tu vuoi difendere la tua privacy e non vuoi far sapere se
e che antivirus usi. Qualcun altro vuol difendere la confidenzialita',
integrita e disponibilita' dei dati sulla propria rete. Mica devi
implementare il tutto per forza. Secondo me e' importante avere una scelta.

>3. Che devo avere un antivirus come lo vogliono loro, se ne ho uno che
>   funziona meglio ma non e' sub-licenziato da cisco mi attacco.

No, Cisco non licenzia, ne sub-licenzia, ne prende nulla sulle licenze
antivirus. Certo devi avere l'antivirus come vogliono loro (non I quattro
vendor, quelli che definiscono le policy sulla rete.) che funzioni meglio o
peggio, e' una questione di policy compliance. Il fatto che 'ti attacchi' o
meno e' a discrezione dell'amministratore di rete. Io la cerco di vedere
anche da questo punti di vista. Se X vuole entrare nei miei sistemi
informativi, puo' non interessarmi la sua opinione che il suo antivirus e'
meglio del mio o meno, per entrare sulla mia rete si fa come dice
l'amministratore. 

>4. Che se devo andare da due clienti diversi con due policy di sicurezza
>   diverse e' meglio se prego, prima di attaccare il laptop alla rete ? 

(fermo restando che sono ateo) Meglio una persona che prega che due clienti
diversi che pregano, per una semplice questione di numeri. Scherzi a parte,
la situazione non e' drastica come la dipingi, infatti I due clienti
potranno ovviamente configurare zone ad accesso semi-pubblico per chi ha
particolari esigenze. Possono anche decidere di implementare questo livello
di sicurezza solo su particolari aree della rete. In altre parole, un
ipotetico "io" sulla "mia" server farm ho un livello altissimo di sicurezza,
e non ho intenzione ne di mettermi a fare delle prove su quanto sia sicuro
un PC altrui al momento (remoto) in cui questo dovesse sentire l'esigenza di
entrare sulla LAN della mia serverfarm. Voglio avere la scelt di dire che
non mi interessa nulla, li si entra configurati cosi', e se cosi' non e'
niente.

>Sono molto scettico, insomma..
Io sono molto ottimista. 
Ho una scelta in piu che prima non avevo.

Ciao,

________________________________
Marco Misitano, CISSP
Advanced Technologies, Security
Cisco Systems Italy, Milano


</VENDOR>



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List