具備多種部署方式的存取控制方案

	每週二∼六出刊.2008.04.02   iThome產品技術報 下載PChome免費撥接
	本 期 目 錄 簡介/舊報明細 •具備多種部署方式的存取控制方案 •iT邦幫忙─整合802.1x部署NAC，要注意那些？ •假Google、雅虎的轉址、釣魚郵件資安事件頻傳 •從寫論文學平凡人的創新方法 手機決戰，Google進、Moto退 手機產業似乎走到一個轉折的分水嶺 優惠訊息 •資策會COBIT Foundation認證班，學習IT治理精髓！ •4/11虛擬化研討會耗資重金邀請講師，趕快報名！ •iT邦幫忙！IT人的知識分享社群！登入搶5000元 專題報導   具備多種部署方式的存取控制方案 Symantec Network Access Control 11.0提供正體中文的設定介面，可降低企業導入產品時的學習難度，不僅如此，產品本身也支援多種安裝方式，讓企業不需大幅變更網路架構。 Symantec Network Access Control（SNAC） 11.0是賽門鐵克在2007年底推出的網路存取控制（NAC）產品，此款產品原本是資安廠商Sygate旗下的產品，直到2005年賽門鐵克收購該公司之後，從此成為賽門鐵克資安產品線的其中一員。 新版產品在功能設計上有兩大特色，首先是整合同廠牌的企業端防毒軟體Symantec Endpoint Protection（SEP），兩項產品均使用相同的Symantec Endpoint Protection Manager Console主控臺管理使用者電腦，對於已經購買SEP的企業來說，可以有效降低設定上的難度，而且SEP的用戶端軟體也已經內建SNAC的代理程式，因此導入產品時，就不需要在同一臺電腦上額外安裝一次軟體，SNAC便能透過防毒軟體對使用者電腦實施安全檢查，了解電腦是否有遵循企業規定安裝所需要的防護軟體，與其他必要的修補程式。 Symantec的Network Access Control Enforcer 6100是一臺1U高度的機架式伺服器，具備多種安裝模式，可整合DHCP、802.1x協定，或者以閘道端設備的型態部署，隔離有安全問題的電腦。 首次出現的Symantec Network Access Control Enforcer 6100硬體裝置，也是產品設計的一項特色，過去企業在部署舊版的賽門鐵克NAC產品時，必須在一臺Linux伺服器上手動安裝Enforcer套件，將未能通過主機安全檢查的電腦隔離到其他的網路區域，而Symantec Network Access Control Enforcer 6100則是一臺預先裝好Enforcer套件的Linux伺服器，用戶只需要將設備連接到區域網路，完成必要的設定之後，就可以在短時間上線運作。 全文>> 專欄   iT邦幫忙─整合802.1x部署NAC，要注意那些？ 為了抑制在內部網路傳布的病毒，因此公司決定購買NAC，並同時導入802.1x。在決定導入802.1x之前，企業的IT人員必須對於目前的網路架構能夠有全盤的了解，同時在原廠，或者是經銷商技術人員的協助之下訂立一套縝密的移轉計畫，才能夠將架構變更所帶來的衝擊降到最低。 iT邦幫忙是 iThome Online專為 IT 人推出的新服務，在這個 IT 知識分享社群裡，有疑問的人可以找到答案，有知識的人可以幫助他人。快來這裡與 IT 人一起討論交流。 更多IT解答，請至iT邦幫忙 在802.1x的網路架構下，NAC不但可以透過管理者所制定好的各項安全政策，稽核使用者電腦的安全狀態，同時也具備身分驗證的機制，確保不具備員工身分的外部人士，無法隨意連接企業網路。 802.1x與EAP 802.1x是IEEE制定的一項身分驗證標準，而非單一的網路通訊協定，在802.1x的架構下，企業可以透過前端的網路設備，像是交換器、無線AP等，要求使用者輸入連線所需的一組帳號、密碼，然後向後端的帳號伺服器發出驗證的請求，確認使用者具備存取網路資源的權限之後，前端的設備就會開啟網路埠（無線網路的網路埠是虛擬的），允許連線通過。 依照加密方式的不同，它又可向下繼續細分為EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-LEAP，以及安全強化後得EAP-PEAP/ PEAP（Protected Extensible Authentication Protocol，PEAP）等數種，目前較為常見的有EAP-MD5、EAP-TLS，以及EAP-PEAP/PEAP等三種。 三層式架構，多用於無線網路 802.1x在架構上，可以分做三層：申請者（Supplicant）、驗證者（Authenticator），以及驗證伺服器（Authentication Server），各層之間皆是透過EAP加以鏈結溝通。 全文>> 專題報導   假Google、雅虎的轉址、釣魚郵件資安事件頻傳 Gmail、雅虎拍賣出現釣魚郵件，內嵌惡意網頁比例變高，也有越來越多駭客利用自動轉址功能，將網頁直接導向惡意網頁。要杜絕類似的攻擊，定期修補漏洞、不連可疑網址、查網域名稱是自保之道。 當企業對大型搜尋和入口網站依賴日深同時，有越來越多的駭客假冒Google、Yahoo等提供的服務，趁機竊取使用者帳號、密碼。近來除發現Gmail、雅虎郵件都出現偽冒的釣魚郵件外，資安廠商Cisco IronPort也發出警告，近期透過Google、雅虎公開的轉址服務，連結到惡意網頁的比例有逐漸升高的趨勢。 Gmail釣魚郵件以提升郵件容量為餌 多數人都知道Gmail提供大容量免費信箱服務，但這個大容量究竟是多少，不見得有許多人清楚。日前就有駭客假冒Gmail小組發信給特定對象，表示可將郵件儲存容量從4GB提升到6GB外，並提供一個看似是Gmail官方連結的連結（mail.google.com/mail/updateservices），但若從釣魚郵件點選此一網址後，則會被導引到其他的惡意網址（googleaccounts-login.dynalias.com /google/ServiceLoginservicemail&passivetrue/Fmail.google.com3Dl 垃圾郵件內含惡意網頁轉址連結 Cisco IronPort日前發表的資安警告中也指出，Google、雅虎提供的自動轉址功能遭駭客濫用。IronPort臺灣暨華南區技術顧問總監林育民表示，.這個手法在過去2個月逐漸增加，「全世界大約有1％的垃圾郵件，隱含這種轉址攻擊的網址連結，使用者若沒察覺，就會連結到惡意網頁。」他說，駭客將合法的網頁利用轉址的功能，把使用者的連線自動轉址到惡意網頁。 全文>> 專欄   從寫論文學平凡人的創新方法 把創新具體化，不要視為抽象的東西，站在巨人的肩膀上，找到創新的機會點，只要老闆願意這麼看待創新，先從一點點的小改善做起，慢慢累積後，成效就會成等比級數的成長。 創新對很多老闆而言，是一個太抽象的口號，它不夠具體，而且時常被誤認為是要靠運氣、要靠天分，管理創新甚至被認為只是一門藝術，但其實並非一定如此。 近來學術界有一個比較流行的議題，就是由IBM倡導的SSME（Service Science, Management and Engineering），簡單來說，這是一套管理創新的方法和技術，藉由科學化的管理方法，讓創新可以按部就班，一再重複進行。例如在服務的創新上，就已歸納了數十個科學化的方法去作創新的研發。讓創新的成功有方法可循，而非歸功於運氣，這就是SSME追求的目標。 創新有一個可以管理的方式，就不會只是藝術，老闆就可以訓練員工往創新的路上走，可以透過給環境、給方法、給工具，那麼創新就不再只是前10%的天才才能做得到，其他70%的平凡人也能做得到。 頂尖的天才怎麼做創新？Google就是一個很好的例子，Google容許員工撥出20％的工作時間，做自己感興趣的專案研究，作得好的專案就會被選為公開的服務。Google可以這麼做，是因為他的員工都是前10％的天才型人物，所以採用開放式創新管理，就是不限制、給予自由發揮的空間。 全文>> 前期文章 全部歷史文章 出刊日期 出刊主題 2008-04-01 新一代Banking IT的目標 2008-03-29 踢爆網站漏洞，直指問題核心的... 2008-03-28 Wellcome每月結帳從12小時縮短... 2008-03-27 看英特爾怎麼做資安 主編推薦   •從星光舞台學管理智慧 •金錢遊戲=理財+理債 •0.4cm 的輕薄∼MacBook Air •瑞士品牌攻勢 我要訂閱這份報紙 我要取消這份報紙 訂報說明 ．本電子報內容由 iThome online 提供 PChome ePaper 電子報版權所有，關於電子報發送有任何疑問，請聯絡 客服 台北市敦化南路二段105號11樓 ，TEL：(02)2708-8038，FAX：(02)27094848。
	．廣告刊登 ．授權服務 ．隱私權聲明 ．消費者保護 ．兒童網路安全 ．關於PChome ．徵人 網路家庭版權所有、轉載必究 Copyrightc PChome Online