Re: [ml] Network Access Control

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Dicembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Network Access Control
Mittente: Daniele Besana
Data: Fri,  8 Dec 2006 12:05:16 +0100 (CET)

Ciao,
feci un po' di scoutng tecnologico qualche tempo fa a riguardo.
Ci sono diversi approcci al problema, i prodotti sono in veloce
evoluzione e per questo vanno valutati bene.
Il NAC e' cmq una tecnologia di grande impatto in una rete.
Di seguito un breve resoconto (molto generale) che scrissi:
-
Le soluzioni si basano tipicamente su un client (che integra funzioni di
personal firewall) installato sulle macchine, che permette al server
centralizzato di svolgere le funzioni di verifica della sicurezza della
macchina.
Lâinstallazione puÃ essere distribuita o automatizzata via rete tentando
di accedere al PC con le credenziali di âdomain adminâ.
I sistemi di End-Point Security proteggono la rete anche dallâaccesso di
nuove macchine non gestite e quindi senza il client installato,
controllando passivamente la rete e rilevando nuovi host che vengono
analizzati per capire se sono gestiti dal sistema.
In caso di PC non gestiti verrÃ tentata unâinstallazione automatica del
client con le credenziali di âdomain adminâ, o presentando una pagina
web da cui lanciare il setup, per semplificare il deployment.
Le soluzioni di End-Point Security piÃ sofisticate arrivano ad avere una
granulare gestione delle politiche dei Personal Firewall dei client, che
consente addirittura la comunicazione tra host della stessa rete solo
tra macchine autorizzate.
Un eventuale âintrusoâ non potrÃ quindi contattare nÃ essere contattato
dagli altri PC anche se risiedono nella stessa LAN.
Alcune soluzioni si integrano con 802.1x per tenere il nuovo client in
una VLAN dedicata al check del client, una volta che il client e' stato
verificato la porta a cui e' connesso viene spostata in un'altra VLAN.
-

Non conosco le soluzioni che citi, pero' dai un occhio a 
<vendor>Juniper Unified Access Control
http://www.juniper.net/products/ua/
CheckPoint Integrity
McAfee EPO
</vendor>
Hanno features diverse e, come dicevo, vale la pena avere un'overview ti
tutto quello che offre il mercato in questo momento.

Ciao
-- 
Daniele Besana
IT Virtual Community
www.itvc.net
http://besa.itvc.net/blog/

On Tue, 2006-12-05 at 00:20 +0100, Mailing List Manager wrote:
> ----- Forwarded message from Giulia Gerini <giulia.gerini(at)gmail.com> -----
> From: Giulia Gerini <giulia.gerini(at)gmail.com>
> To: ml(at)sikurezza.org
> Subject: Network Access Control
> 
> Ciao a tutti,
> 
> volevo chiedere se qualcuno conosce qualche buona soluzione per il NAC
> (Network Access Control) ossia quei prodotti che verificano la compliance
> (secondo policy ben definite) di remote user che si devono collegare alla
> rete aziendale tramite connessioni Wi-Fi, Dial-up, Broadband ecc. Io conosco
> la soluzione proposta da Symantec (Endpoint Protection and Compliance),
> quella di Fiberlink (DNA Architecture - Extend360) e quella di iPass (global
> virtual network).
> 
> Conoscete queste soluzioni? Sapreste dirmi quale potrebbe essere la
> soluzione migliore?
> 
> Grazie,
> Giulia.
> ----- End forwarded message -----
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- [ml] Network Access Control, Mailing List Manager

Data:
- precedente: Re: [ml] Domanda forse già trattata OpenVPN e FASTWEB, Marcello Barnaba
- successivo: Re: [ml] Domanda forse già trattata OpenVPN eFASTWEB, Mat - PostMaster PT2
- indice

Argomento:
- precedente: R: [ml] Network Access Control, Massimo Baschieri
- successivo: Re: [ml] Network Access Control, Mailing List Manager
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005