2009/2/23 Rissone Ruggero: [...] > Implementando una soluzione NAC tieni sotto controllo tutte le possibili > fonti di vulnerabilita', a prescindere da > cosa utilizza il dipendente "indisciplinato".
Non capisco come un NAC possa controllare interfacce di rete sui client, diverse da quelle con cui il client stesso si collega alla rete aziendale... forse ho bisogno di essere illuminato? .-) Secondo me, se qualcuno ha una seconda interfaccia di rete su un PC (qualsiasi essa sia, Ethernet PcCard, WiFi, Bluetooth, modem, UMTS...) non hai modo di controllarla da NAC, a meno di non avere il PC integrato nell'Active Directory e smanettare con le Group Policy, come già suggerito. Ma non è facile. Oltretutto, questo fa comunque a cazzotti con la mobilità dell'utente, che magari con lo stesso laptop deve essere in grado di viaggiare e di usare l'UMTS quando non è in ufficio. La soluzione migliore è come a volte accade non tecnica, ovvero imporre una policy aziendale. Quando vedi attività di malware o di traffico di rete non consentito provenire da un client, lo "becchi" specificamente e allora controlli se il tizio ha rispettato la policy o meno - e un controllo su una singola persona è piuttosto facile da fare. Altra possibilità è avere un agreement con una compagnia telefonica per un APN dedicato alla tua azienda, su cui applichi security policy e tariffazione dedicati... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
