2008-04-01

具備多種部署方式的存取控制方案

 
每週二∼六出刊.2008.04.02
 
本 期 目 錄 簡介/舊報明細
具備多種部署方式的存取控制方案
iT邦幫忙─整合802.1x部署NAC,要注意那些?
假Google、雅虎的轉址、釣魚郵件資安事件頻傳
從寫論文學平凡人的創新方法
手機決戰,Google進、Moto退
手機產業似乎走到一個轉折的分水嶺

優惠訊息

資策會COBIT Foundation認證班,學習IT治理精髓!
4/11虛擬化研討會耗資重金邀請講師,趕快報名!
iT邦幫忙!IT人的知識分享社群!登入搶5000元

專題報導 

具備多種部署方式的存取控制方案

Symantec Network Access Control 11.0提供正體中文的設定介面,可降低企業導入產品時的學習難度,不僅如此,產品本身也支援多種安裝方式,讓企業不需大幅變更網路架構。

Symantec Network Access Control(SNAC) 11.0是賽門鐵克在2007年底推出的網路存取控制(NAC)產品,此款產品原本是資安廠商Sygate旗下的產品,直到2005年賽門鐵克收購該公司之後,從此成為賽門鐵克資安產品線的其中一員。

新版產品在功能設計上有兩大特色,首先是整合同廠牌的企業端防毒軟體Symantec Endpoint Protection(SEP),兩項產品均使用相同的Symantec Endpoint Protection Manager Console主控臺管理使用者電腦,對於已經購買SEP的企業來說,可以有效降低設定上的難度,而且SEP的用戶端軟體也已經內建SNAC的代理程式,因此導入產品時,就不需要在同一臺電腦上額外安裝一次軟體,SNAC便能透過防毒軟體對使用者電腦實施安全檢查,了解電腦是否有遵循企業規定安裝所需要的防護軟體,與其他必要的修補程式。

Symantec的Network Access Control Enforcer 6100是一臺1U高度的機架式伺服器,具備多種安裝模式,可整合DHCP、802.1x協定,或者以閘道端設備的型態部署,隔離有安全問題的電腦。
首次出現的Symantec Network Access Control Enforcer 6100硬體裝置,也是產品設計的一項特色,過去企業在部署舊版的賽門鐵克NAC產品時,必須在一臺Linux伺服器上手動安裝Enforcer套件,將未能通過主機安全檢查的電腦隔離到其他的網路區域,而Symantec Network Access Control Enforcer 6100則是一臺預先裝好Enforcer套件的Linux伺服器,用戶只需要將設備連接到區域網路,完成必要的設定之後,就可以在短時間上線運作。

全文>>
專欄 

iT邦幫忙─整合802.1x部署NAC,要注意那些?

為了抑制在內部網路傳布的病毒,因此公司決定購買NAC,並同時導入802.1x。在決定導入802.1x之前,企業的IT人員必須對於目前的網路架構能夠有全盤的了解,同時在原廠,或者是經銷商技術人員的協助之下訂立一套縝密的移轉計畫,才能夠將架構變更所帶來的衝擊降到最低。

iT邦幫忙是 iThome Online專為 IT 人推出的新服務,在這個 IT 知識分享社群裡,有疑問的人可以找到答案,有知識的人可以幫助他人。快來這裡與 IT 人一起討論交流。

更多IT解答,請至iT邦幫忙



在802.1x的網路架構下,NAC不但可以透過管理者所制定好的各項安全政策,稽核使用者電腦的安全狀態,同時也具備身分驗證的機制,確保不具備員工身分的外部人士,無法隨意連接企業網路。

802.1x與EAP
802.1x是IEEE制定的一項身分驗證標準,而非單一的網路通訊協定,在802.1x的架構下,企業可以透過前端的網路設備,像是交換器、無線AP等,要求使用者輸入連線所需的一組帳號、密碼,然後向後端的帳號伺服器發出驗證的請求,確認使用者具備存取網路資源的權限之後,前端的設備就會開啟網路埠(無線網路的網路埠是虛擬的),允許連線通過。

依照加密方式的不同,它又可向下繼續細分為EAP-MD5、EAP-TLS、EAP-SIM、EAP-TTLS、EAP-LEAP,以及安全強化後得EAP-PEAP/ PEAP(Protected Extensible Authentication Protocol,PEAP)等數種,目前較為常見的有EAP-MD5、EAP-TLS,以及EAP-PEAP/PEAP等三種。

三層式架構,多用於無線網路
802.1x在架構上,可以分做三層:申請者(Supplicant)、驗證者(Authenticator),以及驗證伺服器(Authentication Server),各層之間皆是透過EAP加以鏈結溝通。

全文>>
專題報導 

假Google、雅虎的轉址、釣魚郵件資安事件頻傳

Gmail、雅虎拍賣出現釣魚郵件,內嵌惡意網頁比例變高,也有越來越多駭客利用自動轉址功能,將網頁直接導向惡意網頁。要杜絕類似的攻擊,定期修補漏洞、不連可疑網址、查網域名稱是自保之道。

當企業對大型搜尋和入口網站依賴日深同時,有越來越多的駭客假冒Google、Yahoo等提供的服務,趁機竊取使用者帳號、密碼。近來除發現Gmail、雅虎郵件都出現偽冒的釣魚郵件外,資安廠商Cisco IronPort也發出警告,近期透過Google、雅虎公開的轉址服務,連結到惡意網頁的比例有逐漸升高的趨勢。

Gmail釣魚郵件以提升郵件容量為餌
多數人都知道Gmail提供大容量免費信箱服務,但這個大容量究竟是多少,不見得有許多人清楚。日前就有駭客假冒Gmail小組發信給特定對象,表示可將郵件儲存容量從4GB提升到6GB外,並提供一個看似是Gmail官方連結的連結(mail.google.com/mail/updateservices),但若從釣魚郵件點選此一網址後,則會被導引到其他的惡意網址(googleaccounts-login.dynalias.com /google/ServiceLoginservicemail&passivetrue/Fmail.google.com3Dl
垃圾郵件內含惡意網頁轉址連結
Cisco IronPort日前發表的資安警告中也指出,Google、雅虎提供的自動轉址功能遭駭客濫用。IronPort臺灣暨華南區技術顧問總監林育民表示,.這個手法在過去2個月逐漸增加,「全世界大約有1%的垃圾郵件,隱含這種轉址攻擊的網址連結,使用者若沒察覺,就會連結到惡意網頁。」他說,駭客將合法的網頁利用轉址的功能,把使用者的連線自動轉址到惡意網頁。

全文>>
專欄 

從寫論文學平凡人的創新方法

把創新具體化,不要視為抽象的東西,站在巨人的肩膀上,找到創新的機會點,只要老闆願意這麼看待創新,先從一點點的小改善做起,慢慢累積後,成效就會成等比級數的成長。

創新對很多老闆而言,是一個太抽象的口號,它不夠具體,而且時常被誤認為是要靠運氣、要靠天分,管理創新甚至被認為只是一門藝術,但其實並非一定如此。

近來學術界有一個比較流行的議題,就是由IBM倡導的SSME(Service Science, Management and Engineering),簡單來說,這是一套管理創新的方法和技術,藉由科學化的管理方法,讓創新可以按部就班,一再重複進行。例如在服務的創新上,就已歸納了數十個科學化的方法去作創新的研發。讓創新的成功有方法可循,而非歸功於運氣,這就是SSME追求的目標。

創新有一個可以管理的方式,就不會只是藝術,老闆就可以訓練員工往創新的路上走,可以透過給環境、給方法、給工具,那麼創新就不再只是前10%的天才才能做得到,其他70%的平凡人也能做得到。

頂尖的天才怎麼做創新?Google就是一個很好的例子,Google容許員工撥出20%的工作時間,做自己感興趣的專案研究,作得好的專案就會被選為公開的服務。Google可以這麼做,是因為他的員工都是前10%的天才型人物,所以採用開放式創新管理,就是不限制、給予自由發揮的空間。

全文>>
前期文章 全部歷史文章
出刊日期 出刊主題
2008-04-01 新一代Banking IT的目標
2008-03-29 踢爆網站漏洞,直指問題核心的...
2008-03-28 Wellcome每月結帳從12小時縮短...
2008-03-27 看英特爾怎麼做資安
主編推薦  
從星光舞台學管理智慧
金錢遊戲=理財+理債
0.4cm 的輕薄∼MacBook Air
瑞士品牌攻勢
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服
台北市敦化南路二段105號11樓 ,TEL:(02)2708-8038,FAX:(02)27094848。
廣告刊登授權服務隱私權聲明消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online

沒有留言: