802.1x/NAC na ACS czy NPS?

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

802.1x/NAC na ACS czy NPS?

#1

#1 Post autor: pogrom »

Cześć.
Przymierzam się do wdrożenia 802.1x i stoję przed wyborem w które rozwiązanie pójść. Póki co rozkminiam tak:
ACS:
ZA: Już mam, do AAA.
Ponoć lepsze raportowanie
PRZECIW: wymaga dodatkowego agenta na stacji.

NPS:
ZA: Agent wbudowany w system
PRZECIW: Kosz Windowsów 2012 Standard.

Czy ma ktoś z Was ma to za sobą i mógłby coś w miarę obiektywnie doradzić?
Ostatnio zmieniony 17 wrz 2014, 14:09 przez pogrom, łącznie zmieniany 1 raz.
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#2

#2 Post autor: Seba »

A skąd PRZECIW w ACS, że wymaga agenta na stacji?
Jeśli mowa o tzw. czystym 802.1x, bez posture assessment (czyli zaawansowany NAC), to po stronie klienta potrzebny jest suplikant. Kropka.
Może być Anyconnect, ale jak najbardziej działają też wbudowane opcje suplikanta per OS.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

#3

#3 Post autor: pogrom »

Dodam, że chciałbym też jakieś Heath Policies robić, nie tylko uwierzytelnianie.
Na górę
konny
wannabe
wannabe
Posty: 166
Rejestracja: 15 lip 2012, 13:45

#4

#4 Post autor: konny »

Jesli szukasz rozwiazania Enterprise to polecam ISE , ale jest to mega drogie i dosyc ciezkie we wdrozeniu. Z tego co pamietam to mozna pobrac triala ze storny Cisco na 30 dni i do pewnej licznby endpointow. Dawniej bylo obostrzenie ze nie mozna bylo kupic tego produktu jak nie miales inzynierow z odpowiendim szkoleniem ( jak twoj reseller ma to nie ma problemu takie obejscie ) ze wzgledu na duza liczbe zlych wdrozen. W IV kwartale miala wyjsc nowa wersja :-)
Na górę
Awatar użytkownika
pogrom
wannabe
wannabe
Posty: 154
Rejestracja: 24 lip 2007, 15:25
Lokalizacja: Warszawa

#5

#5 Post autor: pogrom »

To zbyt duża kobyła będzie. Potrzebuję czegoś na ~1000 endpointów. z tego co już zauważyłem. Raportowanie i debugowanie NPSa praktycznie nie istnieje. Trzeba się posiłkować logowaniem do bazy MSSQL i jakimiś raportami. Czyli rzeźba.
Na górę
Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#6

#6 Post autor: Seba »

Ogólnie ISE rozwiąże wszystkie Twoje problemy, od wymagań funkcjonalnych z uwierzytelnianiem, poprzez analizę statusu stacji końcowej, aż po raportowanie - wdrożenie wcale nie jest takie ciężkie, chociaż jak zwykle diabeł tkwi w szczegółach i potrzeba zintegrowania kilku komponentów z racji silnej integracji np. z AD, pewno wymagania w odniesieniu do infrastruktury, etc.
BTW 1000 end pointów to jest całkiem spore wdrożenie i z praktyki wychodzi, że podejście półśrodkami na tzw. skróty, z różnymi łatkami, próbami rzeźbienia, etc najczęściej kończy się niepowodzeniem.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
Na górę
ODPOWIEDZ

Wróć do „Security”