Cisco leert netwerken zelfverdediging met NAC 4.0
Cisco Systems heeft een nieuwe versie van haar Network Admission Control (NAC) gepresenteerd. NAC 4.0 is ontworpen om bedrijven te beschermen tegen beveiligingsrisico’s, veroorzaakt door gebruikers en apparaten die niet voldoen aan door de onderneming gestelde beveiligingsvoorschriften.
De eerste versie van NAC zag in 2003 het licht, en versie 4.0 gaat door met het afdwingen van policies op netwerk entry points door het hele bedrijfsnetwerk. De oplossing is gebaseerd op vier fundamenten: authenticatie / posture assesment, het opleggen van policies, quarantaine / remediation en gecentraliseerd management. Op elk access entry point identificeert Cisco NAC 4.0 een verscheidenheid van gebruikers en netwerkapparaten – van werknemers en gastgebruikers, tot end points met verschillende operating systems (zoals Windows, Macintosh of Linux gebaseerde desktops en laptops, PDA’s, printers en IP-telefoons).
NAC stelt hun precieze rol vast bij het toegang geven tot het netwerk. Het controleert of ze voldoen aan de beveiligingsrichtlijnen en geeft de benodigde netwerkprivileges. Gebruikers en apparaten die niet voldoen aan de voorschriften, worden geblokkeerd en in quarantaine gezet. Patches en updates kunnen daarna automatisch geïnstalleerd worden.
Zodra systemen en/of gebruikers weer voldoen aan de voorschriften kunnen ze volledig toegang krijgen tot het netwerk. Verder voorziet het in een single sign on toegang tot het netwerk.
rommel kunnen betalen, de grotere jongens zijn. En die
hebben bijna nooit een homogeen Windows XP netwerk. En dat
is waar NAC4 goed op draait, een homogeen WINDOWS only
netwerk met 2003 servers en XP clients. Keej, tegenwoordig
is dan wel gebrekkige ondersteuning voor Red Hat linux, maar
niet op een multitude van verschillende patchlevels,
releases of builds. Verder is er dan wel de mogelijkheid
voor toegang tot printer en IP telefoons, maar vervolgens
mogen die printers en IPtelefoons ZELF wel over het hele
netwerk. Dus de beheerder moet zich authenticeren om erbij
te kunnen maar de telefoon zelf mag als het ware portscans
uitvoeren over de hele site of het hele WAN. Verder houden
ze weer vast aan het inmiddels dood en afgvoerde RADIUS,
terwijl bijna geen enkele andere toko dat nog gebruikt, die
zijn bijna allemaal over op LDAP. Een mixed omgeving met
Cisco en bijv Nortel of Juniper kan je dan vreselijk
opbreken. Terwijl nu juist diversiteit in je hardware
VEILIGER is daar niet je gehele infrastructuur met 1 bug
plat kan liggen. Nu nog wordt geld verdient met zombies.
Straks krijgen we maffia praktijken waarbij gezegd wordt "ik
krijg 10 miljoen van jou, anders liggen over 2 dagen al jouw
switches en routers plat."...
Samengevat, beveiliging is ALLES of niets... En je hebt er
zo weinig aan, als je heel je netwerk beveiligd hebt, zodat
geen enkel eng Windows XP laptopje meer aan het netwerk kan
hangen voordat er juiste datfile van McAfee op staat,
wanneer een printer of RSM geowned is en alle
vertrouwelijke gegevens afgevangen worden... Laat staan wat
er gebeurt als er een patch voor een non-nas4 compatible
systeem eruit gehaald wordt en/of voorzien van een
mac-cloner en van daaruit allerleid enge dingen gebeuren.
Overigens kan het, behalve met RADIUS, o.a. ook met TACACS+ en LDAP overweg. En last but not least.. Zowel Juniper als Nortel doen ook mee met NAC..
Je argumenten zijn leuk maar helaas ben je niet goed genoeg geinformeerd en zijn ze gebaseerd op onwaarheden.
Servers zijn over het algemeen opgesloten in een speciale ruimte waar
niet zomaar iedereen naar binnen kan lopen. De noodzaak om het netwerk
daar op deze manier te beveiligen is dan een stuk minder aangezien ook
niet iedereen daar zomaar iets in kan prikken. Dit soort zaken zijn echter
prima voor het beveiligen van het "gebruikers" gedeelte van het netwerk.
Simpelweg door te voorkomen dat er iemand een bestaande patch uit een
computer/printer trekt en daar zijn of haar laptop aanhangt. En juist grote
bedrijven halen voordeel uit het homogeen maken van de werkstations. Je
zult daar dan ook niet een veelvoud aan verschillende OSen tegenkomen
wat je wellicht wel in de serverruimte zult zien.
Overigens kan het, behalve met RADIUS, o.a. ook met TACACS+ en LDAP
overweg. En last but not least.. Zowel Juniper als Nortel doen ook mee
met NAC..
Je argumenten zijn leuk maar helaas ben je niet goed genoeg
geinformeerd en zijn ze gebaseerd op onwaarheden.
Goed opgemerkt, ik heb inmiddels meer dan voldoende kennis van
zelfverdedigende netwerken (SDN), NAC en SA (security agent )opgedaan.
Ook het argument prijs gaat niet meer op, concurrend ook op dat gebied
zijn ze tegenwoordig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
