9
NAC - Network Access Control
Hallo!
Und zwar gibt es ja NAC - Network Access Control
nun meine Frage welches Programm dazu würde ihr vorschlagen....?
Wie funktioniert das genau mit denn einstellungen....
Könnt ihr mir bitte weiterhelfen da ich leider sonnst nichts anfinden über das thema?!
Und zwar gibt es ja NAC - Network Access Control
nun meine Frage welches Programm dazu würde ihr vorschlagen....?
Wie funktioniert das genau mit denn einstellungen....
Könnt ihr mir bitte weiterhelfen da ich leider sonnst nichts anfinden über das thema?!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114639
Url: https://administrator.de/contentid/114639
Printed on: April 26, 2024 at 23:04 o'clock
9 Comments
Latest comment
Hi,
dazu fällt mir jetzt spontan ein Radius-Server für Mac-based-Authentication ein.
Gruß
dazu fällt mir jetzt spontan ein Radius-Server für Mac-based-Authentication ein.
Gruß
Hallo,
NAC ist keine reine Softwarelösung, sondern benötigt immer auch entsprechende Netzwerkhardware. In sofern ist die Frage falsch gestellt... (und solltest du bereits entsprechende Hardware haben, dann solltest du das ganze unbedingt auch von der Seite aufrollen).
Gruß
Filipp
NAC ist keine reine Softwarelösung, sondern benötigt immer auch entsprechende Netzwerkhardware. In sofern ist die Frage falsch gestellt... (und solltest du bereits entsprechende Hardware haben, dann solltest du das ganze unbedingt auch von der Seite aufrollen).
Gruß
Filipp
Naja nur das probelm ist ja das ich keinen radius server will der auf mac adressen spezialisiert ist sonnder genau nen nac oder nap!
Cisco Router sind im einsatz.... bzw hp pro curve switches
Cisco Router sind im einsatz.... bzw hp pro curve switches
Ja, und? Schon mal im Manual geschaut, ob die NAC-Funktionen können, und zu welcher Software sie kompatibel sind?
nein werd ich mir dann mal anschaun... danke für die info... ich war mir nicht sicher ob das rein ne software sache ist oder beidseitig also hard und software
Zitat von @DrakeosX:
nein werd ich mir dann mal anschaun... danke für die info... ich
war mir nicht sicher ob das rein ne software sache ist oder beidseitig
also hard und software
nein werd ich mir dann mal anschaun... danke für die info... ich
war mir nicht sicher ob das rein ne software sache ist oder beidseitig
also hard und software
jaaa... und welchen Sinn soll bitte eine reine Softwarelösung haben? Es geht darum, das Netz vor Rechnern mit bösartiger Software zu schützen. Soll die dann im Zweifelsfall selber sagen "ich bin böse, ich gehe mal lieber nicht in's Netz"?
Und wenn man gar keinen Überblick hat hilft die Wikipedia ja meistens weiter
http://en.wikipedia.org/wiki/Network_Access_Control
http://en.wikipedia.org/wiki/Network_Admission_Control
Hallo,
NAC ist, wenn diese funktionieren soll und Sicherheit bieten soll, keine Software Lösung sondern ein Konzept.
Eine Eierlegende Wollmilchsau dafür gibt es nicht.
Neben einer User Authentifizierung gehört eine Software verwaltung oder eine Gerätehärtung (z.B. welche User dürfen welche USB Geräte verwenden), eine Katastrophen Planung und diverse andere Punkte dazu.
Wenn du Cisco und HP einsetzt soltest du dir die Sicherheitskonzepte und Mechanismen von Cisco mal ansehen,
Neben QoS, Radius und gesicherten Zugängen, Verschlüsselungen für Datenträgern die von verschiedenen Anbietern kommen können solltest du dir Gedanken machen was du von einem NAC erwartest.
Brammer
NAC ist, wenn diese funktionieren soll und Sicherheit bieten soll, keine Software Lösung sondern ein Konzept.
Eine Eierlegende Wollmilchsau dafür gibt es nicht.
Neben einer User Authentifizierung gehört eine Software verwaltung oder eine Gerätehärtung (z.B. welche User dürfen welche USB Geräte verwenden), eine Katastrophen Planung und diverse andere Punkte dazu.
Wenn du Cisco und HP einsetzt soltest du dir die Sicherheitskonzepte und Mechanismen von Cisco mal ansehen,
Neben QoS, Radius und gesicherten Zugängen, Verschlüsselungen für Datenträgern die von verschiedenen Anbietern kommen können solltest du dir Gedanken machen was du von einem NAC erwartest.
Brammer
Das ist zufällig ein Thema mit dem ich mich recht intensiv beschäftigt habe.
Bei NAC ist der Grundgedanke dass ein Clientrechner BEVOR er Zugriff auf das Netzwerk bekommt erstmal überprüft wird auf Sicherheitsmerkmale wie Antivirussoftware und AV-Signaturen, Updatestand, laufende Prozesse usw und nur wenn er bestimmte Merkmale aufweist dann bekommt er Netzzugang.
Dies soll die Sicherheit in Netzen erhöhen.
Hersteller die NAC Lösungen anbieten gibt es viele - Firmen die es wirklich produktiv einsetzen jedoch sehr wenige.
Und das aus gutem Grund. Die Sicherheit steigt - doch die Verfügbarkeit sinkt weil die Technik viel zu unausgereift ist und zu viele herstellerübergreifende Abhängigkeiten bestehen die sich ständig verändern. Wieviel Manpower ist eine Firma jedoch in solch einen "Luxux" bereit zu investieren? Steigt die Sicherheit dadurch tatsächlich massiv?
Ich denke das Verhältnis zwischen Aufwand und Sicherheitsgewinn fällt sehr ernüchternd aus.
Cisco NAC, Juniper UAC, Enterasys, Microsoft - mittlerweile gibt es viele Anbieter.
Daraus resultiert der Gedanke, NAC nicht einzusetzen.
WENN man schon Netzkontrolle machen will, dann doch ganz einfach mit 802.1X Authentisierung am Switch, ähnlich wie beim WLAN.
Wenn ich nur Domänen-Rechnern erlaube sich am Netz anzumelden (recht einfach via 802.1X fähigem Switch und einem IAS Radius realisierbar), dann hat man schon viel gewonnen da keine Fremd- oder Privatpcs Zugang zum Netz bekommen.
Und da ein Domainrechner sowieso in aller Regel in einer Antivirendomäne ist und zentral überwacht wird mti ohnehin bestehender AV-Infrastruktur, und auch in aller Regel bereits zentrales Updatemanagement bereitsteht ist NAC überflüssig.
Klar besteht da zwar das "Risiko" dass auch ein Rechner der mal ungepatcht ist ins Netz kommt - doch wie gross ist die REALE Bedrohung wirklich wenn ein Rechner nicht IMMER auf dem AKTUELLSTEN stand ist?
NAC ist was für Theoretiker und Perfektionisten die einem Ideal hinterherjagen das schlicht nicht mit annehmbarem Aufwand realisierbar ist.
Und natürlich ein schönes Spielzeug für Admins die zuviel Zeit haben..
Bei NAC ist der Grundgedanke dass ein Clientrechner BEVOR er Zugriff auf das Netzwerk bekommt erstmal überprüft wird auf Sicherheitsmerkmale wie Antivirussoftware und AV-Signaturen, Updatestand, laufende Prozesse usw und nur wenn er bestimmte Merkmale aufweist dann bekommt er Netzzugang.
Dies soll die Sicherheit in Netzen erhöhen.
Hersteller die NAC Lösungen anbieten gibt es viele - Firmen die es wirklich produktiv einsetzen jedoch sehr wenige.
Und das aus gutem Grund. Die Sicherheit steigt - doch die Verfügbarkeit sinkt weil die Technik viel zu unausgereift ist und zu viele herstellerübergreifende Abhängigkeiten bestehen die sich ständig verändern. Wieviel Manpower ist eine Firma jedoch in solch einen "Luxux" bereit zu investieren? Steigt die Sicherheit dadurch tatsächlich massiv?
Ich denke das Verhältnis zwischen Aufwand und Sicherheitsgewinn fällt sehr ernüchternd aus.
Cisco NAC, Juniper UAC, Enterasys, Microsoft - mittlerweile gibt es viele Anbieter.
Daraus resultiert der Gedanke, NAC nicht einzusetzen.
WENN man schon Netzkontrolle machen will, dann doch ganz einfach mit 802.1X Authentisierung am Switch, ähnlich wie beim WLAN.
Wenn ich nur Domänen-Rechnern erlaube sich am Netz anzumelden (recht einfach via 802.1X fähigem Switch und einem IAS Radius realisierbar), dann hat man schon viel gewonnen da keine Fremd- oder Privatpcs Zugang zum Netz bekommen.
Und da ein Domainrechner sowieso in aller Regel in einer Antivirendomäne ist und zentral überwacht wird mti ohnehin bestehender AV-Infrastruktur, und auch in aller Regel bereits zentrales Updatemanagement bereitsteht ist NAC überflüssig.
Klar besteht da zwar das "Risiko" dass auch ein Rechner der mal ungepatcht ist ins Netz kommt - doch wie gross ist die REALE Bedrohung wirklich wenn ein Rechner nicht IMMER auf dem AKTUELLSTEN stand ist?
NAC ist was für Theoretiker und Perfektionisten die einem Ideal hinterherjagen das schlicht nicht mit annehmbarem Aufwand realisierbar ist.
Und natürlich ein schönes Spielzeug für Admins die zuviel Zeit haben..