3
Kennt jemand www.lan-secure.com und deren Produkte?
Wir sind ein Unternehmen mit 150 Mitarbeitern, haben insgesamt 18 Netzwerkswitches, alle von 3COM, insgesamt knapp unter 500 Nodes.
Nun möchte ich NAC - Network Access Control etablieren und bin auf der Suche nach geeigneter und bezahlbarer Software.
Die Switches selber sind eben keine Ciscos und demnach gibt es auch kein VMPS.
Ich will die 3COMs aber auch nicht ersetzen. SNMP können die auch... zumindest ein wenig...
2952 und 3200, sowie 4500er kommen zum Einsatz, wenn ich es richtig im Gedächtnis habe..
Ich habe eine Lösung von www.lan-secure.com gefunden, die nach Installation innerhalb kurzer Zeit in Betrieb genommen werden konnte - 30 Tage Testversion.
Die Lösung läuft unter Windows, benötigt geringe Resourcen, hat binnen zwei Minuten meine Switches erfasst und nach kurzem Chat mit dem Support waren die Policies auch so eingerichtet, dass die authorisierten Rechner ins Netz an dem Testswitch kamen und "unbekannte" Rechner entsprechend geloggt, der Port geblocked und ich per Mail benachrichtigt wurde.
Alles in Allem ordentlich. Die 3COMs haben wohl Probleme, dass per SNMP MIB das VLAN am Port dynamisch umgeschaltet werden kann. Das muss ich noch prüfen.
Aber zumindest kommt der Eindringling nicht mehr widerstandslos ins Netz und wird geblockt.
Die Lösung kostet in unserer Größenordnung rund 1000 Euro und ab dem 2ten Jahr 15% des Kaufpreises Softwareupdate und Support.
Nun der Haken:
Ein Manual? Gibt es praktisch nicht, nur den Windows Hilfefile, der die einzelnen Funktionen grob erklärt.
Der Hersteller ist quasi rund um die Uhr per Chat erreichbar, reagiert schnell und ist sehr hilfsbereit und verweist auch darauf, sich um die Probleme und Fragen zu kümmern..
Ich bin etwas zwiegespalten. Einerseits ist ein SNMP Management nichts, was binnen der nächsten zwei drei Jahre nicht mehr eingesetzt werden kann.
Insofern ist der Kauf kein Roulettespiel.
Andererseits wäre ich schon etwas beruhigter, wenn ich von jemandem, der sich schon "getraut" hat, das Produkt zu kaufen und einzusetzen, eine Meinung oder kurzen Erfahrungsbericht haben könnte.
Sollte jemand ein alternatives Produkt vorschlagen können, bitte, ich bin offen. Aber bitte nicht auf Linux basis, danke
Danke fürs Feedback - schöne Feiertage
Oliver
Nun möchte ich NAC - Network Access Control etablieren und bin auf der Suche nach geeigneter und bezahlbarer Software.
Die Switches selber sind eben keine Ciscos und demnach gibt es auch kein VMPS.
Ich will die 3COMs aber auch nicht ersetzen. SNMP können die auch... zumindest ein wenig...
2952 und 3200, sowie 4500er kommen zum Einsatz, wenn ich es richtig im Gedächtnis habe..
Ich habe eine Lösung von www.lan-secure.com gefunden, die nach Installation innerhalb kurzer Zeit in Betrieb genommen werden konnte - 30 Tage Testversion.
Die Lösung läuft unter Windows, benötigt geringe Resourcen, hat binnen zwei Minuten meine Switches erfasst und nach kurzem Chat mit dem Support waren die Policies auch so eingerichtet, dass die authorisierten Rechner ins Netz an dem Testswitch kamen und "unbekannte" Rechner entsprechend geloggt, der Port geblocked und ich per Mail benachrichtigt wurde.
Alles in Allem ordentlich. Die 3COMs haben wohl Probleme, dass per SNMP MIB das VLAN am Port dynamisch umgeschaltet werden kann. Das muss ich noch prüfen.
Aber zumindest kommt der Eindringling nicht mehr widerstandslos ins Netz und wird geblockt.
Die Lösung kostet in unserer Größenordnung rund 1000 Euro und ab dem 2ten Jahr 15% des Kaufpreises Softwareupdate und Support.
Nun der Haken:
Ein Manual? Gibt es praktisch nicht, nur den Windows Hilfefile, der die einzelnen Funktionen grob erklärt.
Der Hersteller ist quasi rund um die Uhr per Chat erreichbar, reagiert schnell und ist sehr hilfsbereit und verweist auch darauf, sich um die Probleme und Fragen zu kümmern..
Ich bin etwas zwiegespalten. Einerseits ist ein SNMP Management nichts, was binnen der nächsten zwei drei Jahre nicht mehr eingesetzt werden kann.
Insofern ist der Kauf kein Roulettespiel.
Andererseits wäre ich schon etwas beruhigter, wenn ich von jemandem, der sich schon "getraut" hat, das Produkt zu kaufen und einzusetzen, eine Meinung oder kurzen Erfahrungsbericht haben könnte.
Sollte jemand ein alternatives Produkt vorschlagen können, bitte, ich bin offen. Aber bitte nicht auf Linux basis, danke
Danke fürs Feedback - schöne Feiertage
Oliver
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165084
Url: https://administrator.de/contentid/165084
Printed on: April 19, 2024 at 20:04 o'clock
3 Comments
Latest comment
Hallo Oliver,
ich kann dir nichts zu lan-secure sagen, allerdings hab ich bei uns port-security (802.1x mit zertifikaten bzw. Mac-Authentication gegen w2k3 ad) mit vlan zuweisung über radius auf den 4500 und 4500g switches zum laufen gebracht...
also falls du ein bischen basteln willst, kannst dich gern melden =)
grüße,
stefan
ich kann dir nichts zu lan-secure sagen, allerdings hab ich bei uns port-security (802.1x mit zertifikaten bzw. Mac-Authentication gegen w2k3 ad) mit vlan zuweisung über radius auf den 4500 und 4500g switches zum laufen gebracht...
also falls du ein bischen basteln willst, kannst dich gern melden =)
grüße,
stefan
Hallo Stefan,
das klingt gut, Radius läuft bei mir auch, SSLs stellt die entsprechende Instanz bei mir ebenfalls aus.
Wo ich in dem Umfeld scheiterte, war das Anlegen der Mac Adressen im AD.
Konkret geht's um iPhones und iPads, also nichts, was man mal schnell im AD anmelden kann.
Ich habe eine Anleitung im Netz gefunden, aus der hervorgeht (mal extrem zusammengefasst), dass man Benutzer anlegen soll, deren Name und Kennwort die MAC Adresse des iPhones sein soll.
Das habe ich gemacht, diese PseudoBenutzer dann ebenfalls in meine RADIUS_WLAN Benutzergruppe gepackt, die in der Richtlinie von Radius verwendet wird.
Das hat dann aber dazu geführt, dass lt. Ereignisprotokoll im IAS Radius die Default Richtlinie verwendet wurde, die den Zugriff pauschal sperrt.
Ich bin nicht dahinter gekommen, weshalb sich der IAS so verhält.
Und so lange ich den Schritt nicht auf die Reihe bekomme, denk ich noch gar nicht an VLANs
Grüße
Oliver
das klingt gut, Radius läuft bei mir auch, SSLs stellt die entsprechende Instanz bei mir ebenfalls aus.
Wo ich in dem Umfeld scheiterte, war das Anlegen der Mac Adressen im AD.
Konkret geht's um iPhones und iPads, also nichts, was man mal schnell im AD anmelden kann.
Ich habe eine Anleitung im Netz gefunden, aus der hervorgeht (mal extrem zusammengefasst), dass man Benutzer anlegen soll, deren Name und Kennwort die MAC Adresse des iPhones sein soll.
Das habe ich gemacht, diese PseudoBenutzer dann ebenfalls in meine RADIUS_WLAN Benutzergruppe gepackt, die in der Richtlinie von Radius verwendet wird.
Das hat dann aber dazu geführt, dass lt. Ereignisprotokoll im IAS Radius die Default Richtlinie verwendet wurde, die den Zugriff pauschal sperrt.
Ich bin nicht dahinter gekommen, weshalb sich der IAS so verhält.
Und so lange ich den Schritt nicht auf die Reihe bekomme, denk ich noch gar nicht an VLANs
Grüße
Oliver
Momentan hänge ich bzgl MAC Adressen Überprüfung hier:
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.
Meine Vorgehensweise zusammengefasst.
In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.
Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender
Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...
Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?
Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.
Grüße
Oliver
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.
Meine Vorgehensweise zusammengefasst.
In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.
Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender
Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...
Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?
Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.
Grüße
Oliver
