Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kennt jemand www.lan-secure.com und deren Produkte?

Mitglied: roadtek

roadtek (Level 1) - Jetzt verbinden

22.04.2011 um 18:36 Uhr, 3100 Aufrufe, 3 Kommentare

Wir sind ein Unternehmen mit 150 Mitarbeitern, haben insgesamt 18 Netzwerkswitches, alle von 3COM, insgesamt knapp unter 500 Nodes.
Nun möchte ich NAC - Network Access Control etablieren und bin auf der Suche nach geeigneter und bezahlbarer Software.
Die Switches selber sind eben keine Ciscos und demnach gibt es auch kein VMPS.
Ich will die 3COMs aber auch nicht ersetzen. SNMP können die auch... zumindest ein wenig...
2952 und 3200, sowie 4500er kommen zum Einsatz, wenn ich es richtig im Gedächtnis habe..

Ich habe eine Lösung von www.lan-secure.com gefunden, die nach Installation innerhalb kurzer Zeit in Betrieb genommen werden konnte - 30 Tage Testversion.
Die Lösung läuft unter Windows, benötigt geringe Resourcen, hat binnen zwei Minuten meine Switches erfasst und nach kurzem Chat mit dem Support waren die Policies auch so eingerichtet, dass die authorisierten Rechner ins Netz an dem Testswitch kamen und "unbekannte" Rechner entsprechend geloggt, der Port geblocked und ich per Mail benachrichtigt wurde.
Alles in Allem ordentlich. Die 3COMs haben wohl Probleme, dass per SNMP MIB das VLAN am Port dynamisch umgeschaltet werden kann. Das muss ich noch prüfen.
Aber zumindest kommt der Eindringling nicht mehr widerstandslos ins Netz und wird geblockt.
Die Lösung kostet in unserer Größenordnung rund 1000 Euro und ab dem 2ten Jahr 15% des Kaufpreises Softwareupdate und Support.

Nun der Haken:
Ein Manual? Gibt es praktisch nicht, nur den Windows Hilfefile, der die einzelnen Funktionen grob erklärt.
Der Hersteller ist quasi rund um die Uhr per Chat erreichbar, reagiert schnell und ist sehr hilfsbereit und verweist auch darauf, sich um die Probleme und Fragen zu kümmern..
Ich bin etwas zwiegespalten. Einerseits ist ein SNMP Management nichts, was binnen der nächsten zwei drei Jahre nicht mehr eingesetzt werden kann.
Insofern ist der Kauf kein Roulettespiel.
Andererseits wäre ich schon etwas beruhigter, wenn ich von jemandem, der sich schon "getraut" hat, das Produkt zu kaufen und einzusetzen, eine Meinung oder kurzen Erfahrungsbericht haben könnte.

Sollte jemand ein alternatives Produkt vorschlagen können, bitte, ich bin offen. Aber bitte nicht auf Linux basis, danke

Danke fürs Feedback - schöne Feiertage
Oliver
Mitglied: bstefan82
23.04.2011 um 08:57 Uhr
Hallo Oliver,

ich kann dir nichts zu lan-secure sagen, allerdings hab ich bei uns port-security (802.1x mit zertifikaten bzw. Mac-Authentication gegen w2k3 ad) mit vlan zuweisung über radius auf den 4500 und 4500g switches zum laufen gebracht...
also falls du ein bischen basteln willst, kannst dich gern melden =)

grüße,

stefan
Bitte warten ..
Mitglied: roadtek
23.04.2011 um 17:00 Uhr
Hallo Stefan,

das klingt gut, Radius läuft bei mir auch, SSLs stellt die entsprechende Instanz bei mir ebenfalls aus.
Wo ich in dem Umfeld scheiterte, war das Anlegen der Mac Adressen im AD.
Konkret geht's um iPhones und iPads, also nichts, was man mal schnell im AD anmelden kann.
Ich habe eine Anleitung im Netz gefunden, aus der hervorgeht (mal extrem zusammengefasst), dass man Benutzer anlegen soll, deren Name und Kennwort die MAC Adresse des iPhones sein soll.
Das habe ich gemacht, diese PseudoBenutzer dann ebenfalls in meine RADIUS_WLAN Benutzergruppe gepackt, die in der Richtlinie von Radius verwendet wird.
Das hat dann aber dazu geführt, dass lt. Ereignisprotokoll im IAS Radius die Default Richtlinie verwendet wurde, die den Zugriff pauschal sperrt.

Ich bin nicht dahinter gekommen, weshalb sich der IAS so verhält.

Und so lange ich den Schritt nicht auf die Reihe bekomme, denk ich noch gar nicht an VLANs

Grüße

Oliver
Bitte warten ..
Mitglied: roadtek
27.04.2011 um 14:24 Uhr
Momentan hänge ich bzgl MAC Adressen Überprüfung hier:
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.

Meine Vorgehensweise zusammengefasst.

In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.

Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender

Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...

Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?

Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.


Grüße

Oliver
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Kennt Jemand Edimax WLAN?
gelöst Frage von StefanKittelLAN, WAN, Wireless5 Kommentare

Hallo, hat Jemand Erfahrungen mit Edimax WLAN APs und Controller? Ich habe eben Werbung von API bekommen. Diese Geräte ...

Suche Projektpartner
Kennt jemand gute Projektbörsen ?
gelöst Frage von ChewraptorSuche Projektpartner5 Kommentare

Hallo, ich bin in Auftragsschwachen zeiten immer mal wieder auf Projektbörsen unterwegs um mir kleine Aufträge an Land zu ...

Windows Userverwaltung

Kennt jemand ein Berechtigungstool wie 8MAN?

gelöst Frage von ALucaKWindows Userverwaltung1 Kommentar

In der Firma suchen wir ein Tool, mit dem wir unsere Berechtigungen schnell und einfach bearbeiten können. Es sollte ...

Drucker und Scanner

Kennt jemand das Kyocera Control Center?

gelöst Frage von departure69Drucker und Scanner17 Kommentare

Hallo. Wir haben Leasing/Miete/Klick für ein paar MFPs und Kopierer ausgeschrieben und dabei eine Softwarelösung, eine Art "Middleware" verlangt, ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 6 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 6 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 10 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server39 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...