6
Netzwerk mit NAC absichern sinnvoll?
Hi!
Wir haben bei einem Kunden ein Netzwerk mit Switches von HP / Aruba übernommen.
Es gibt 2 Core Switches sowie Access Switche.
Die Access Switche (30 Stück) sind auf einem recht großen Arial verteilt.
Tunrschuhadministration ist hier Standard
Ich möchte das Netz nun absichern bzw. Einen besseren Überblick:
-WLAN Login für Gäste
-Überblick Netzerk, Info bei Fehlern, Traffic etc
-Absicherung LAN Ports
Vlans sind bereits vorhanden um die Netze zu trennen wie PCs, Drucker, VoIP.
Die Überlegung ist nun ob wir hier HPE IMC einführen um die Switches einfacher konfigurieren zu können.
Die Frage ist nun auch ob wir hier HPC ClearPass als NAC Lösung einführen sollen... damit würde man sofort erkennen wenn
Ein ungewolltes Gerät per LAN angeschlossen wird (Zertifikatsprüfung etc möglich)... auch ist eine Guest Option möglich - sinnvoll beim WLAN.
Was meint ihr dazu?
Oder genügt IMC (Basic) und wir blockieren alle MAC Adressen die unbekannt sind am Switch (port security).
Wenn ein Mitarbeiter seinen PC aus der Dose stöpselt, ein anderes Gerät dafür anschließt wird dieses "blockiert" am Port, da andere MAC Adresse.
Und für den WLAN Zugang nutzen wir die Option von Aruba airwave/Central?
Wie ist eure Erfahrung?
Mit freundlichen Grüßen
Wir haben bei einem Kunden ein Netzwerk mit Switches von HP / Aruba übernommen.
Es gibt 2 Core Switches sowie Access Switche.
Die Access Switche (30 Stück) sind auf einem recht großen Arial verteilt.
Tunrschuhadministration ist hier Standard
Ich möchte das Netz nun absichern bzw. Einen besseren Überblick:
-WLAN Login für Gäste
-Überblick Netzerk, Info bei Fehlern, Traffic etc
-Absicherung LAN Ports
Vlans sind bereits vorhanden um die Netze zu trennen wie PCs, Drucker, VoIP.
Die Überlegung ist nun ob wir hier HPE IMC einführen um die Switches einfacher konfigurieren zu können.
Die Frage ist nun auch ob wir hier HPC ClearPass als NAC Lösung einführen sollen... damit würde man sofort erkennen wenn
Ein ungewolltes Gerät per LAN angeschlossen wird (Zertifikatsprüfung etc möglich)... auch ist eine Guest Option möglich - sinnvoll beim WLAN.
Was meint ihr dazu?
Oder genügt IMC (Basic) und wir blockieren alle MAC Adressen die unbekannt sind am Switch (port security).
Wenn ein Mitarbeiter seinen PC aus der Dose stöpselt, ein anderes Gerät dafür anschließt wird dieses "blockiert" am Port, da andere MAC Adresse.
Und für den WLAN Zugang nutzen wir die Option von Aruba airwave/Central?
Wie ist eure Erfahrung?
Mit freundlichen Grüßen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 339566
Url: https://administrator.de/contentid/339566
Printed on: April 18, 2024 at 11:04 o'clock
6 Comments
Latest comment
Hi Mikado90,
NAC macht immer und überall Sinn!
Gerade auf einem großen Campus ist es kaum möglich deine Switche so abzusichern, das hier kein "Fremder" Zugriff erlangen kann. Es gibt verschiedene Produkte, aber BSI Zertifiziert ist meines Wissens nur Macmon. Wenn du genauere Infos vom BSI zum Thema NAC habe willst einmal hier klicken.
In deinem Kontext würde ich es davon abhängig machen ob eine Softwareverteilung (SCCM) vorhanden ist und du somit ein Zertifikat ausrollen kannst. Es ist nämlich nicht nur mit der PKI getan die an die Domäne gekoppelt ist zum Thema 802.1x.
Um hier tiefer einzusteigen ist eine Ausführliche Planung notwendig, bei vielen Firmen, welche sich vorher nicht ordentlich mit der Umsetzung von 802.1x auseinandergesetzt haben war es genauso schnell abgeschafft, wie eingeführt.
Für Arubaprodukte würde sich der Clearpass Policy Manager anbieten Clearpass hier kannst du z.B. Zertifikatsbasiert oder Gerätebasiert SSIDs zulassen oder sperren, ist eigentlich eine ziemlich gute Lösung, ist aber nicht so Hardwareorientiert wie Macmon.
Von Open Source würde ich bei diesem Thema abraten, da hier zu viele Finger im Spiel sind.
Ich hoffe ich konnte dir helfen, wenn nicht dann frag einfach
Gruß,
phil905
NAC macht immer und überall Sinn!
Gerade auf einem großen Campus ist es kaum möglich deine Switche so abzusichern, das hier kein "Fremder" Zugriff erlangen kann. Es gibt verschiedene Produkte, aber BSI Zertifiziert ist meines Wissens nur Macmon. Wenn du genauere Infos vom BSI zum Thema NAC habe willst einmal hier klicken.
In deinem Kontext würde ich es davon abhängig machen ob eine Softwareverteilung (SCCM) vorhanden ist und du somit ein Zertifikat ausrollen kannst. Es ist nämlich nicht nur mit der PKI getan die an die Domäne gekoppelt ist zum Thema 802.1x.
Um hier tiefer einzusteigen ist eine Ausführliche Planung notwendig, bei vielen Firmen, welche sich vorher nicht ordentlich mit der Umsetzung von 802.1x auseinandergesetzt haben war es genauso schnell abgeschafft, wie eingeführt.
Für Arubaprodukte würde sich der Clearpass Policy Manager anbieten Clearpass hier kannst du z.B. Zertifikatsbasiert oder Gerätebasiert SSIDs zulassen oder sperren, ist eigentlich eine ziemlich gute Lösung, ist aber nicht so Hardwareorientiert wie Macmon.
Von Open Source würde ich bei diesem Thema abraten, da hier zu viele Finger im Spiel sind.
Ich hoffe ich konnte dir helfen, wenn nicht dann frag einfach
Gruß,
phil905
Moin,
"Da gibt es doch was von aqui" ;)
Netzwerk Management Server mit Raspberry Pi
Das sollte in diesem Kontext sicher helfen. Wenn man das einmal richtig eingerichtet hat, ist der Wartungsaufwand recht gering. Vorallem wenn man es hintenrum so oder so an ein LDAP-Backend, AD oder etwas vergleichbares hängt.
Gruß
Chris
"Da gibt es doch was von aqui" ;)
Netzwerk Management Server mit Raspberry Pi
Das sollte in diesem Kontext sicher helfen. Wenn man das einmal richtig eingerichtet hat, ist der Wartungsaufwand recht gering. Vorallem wenn man es hintenrum so oder so an ein LDAP-Backend, AD oder etwas vergleichbares hängt.
Gruß
Chris
Moin,
man kann dies auch mit Windows Server 2012 implementieren.
Unter Microsoft nennt sich sowas NAP (Network Access Protection). Das kann man mit Netzwerkrichtlinien und Netzwerkzugriffschutz implementieren.
Diese Rollen/Features sind beim Server 2012 dabei und müssen nur installiert und konfiguriert werden.
Es ist halt die Frage, was für Dich verständlicher, einfacher und besser umsetzbar ist.
Gruss Penny.
man kann dies auch mit Windows Server 2012 implementieren.
Unter Microsoft nennt sich sowas NAP (Network Access Protection). Das kann man mit Netzwerkrichtlinien und Netzwerkzugriffschutz implementieren.
Diese Rollen/Features sind beim Server 2012 dabei und müssen nur installiert und konfiguriert werden.
Es ist halt die Frage, was für Dich verständlicher, einfacher und besser umsetzbar ist.
Gruss Penny.
Dämlicherweise haben die Akrobaten die NAP aber aus Server 2016 (bzw. aus Windows 10) entfernt.
Daher ist das Einrichten von NAP in Windows Umgebungen nicht mehr sonderlich zukunftsträchtig.
Man sollte auf andere Lösungen ausweichen.
Grüße
pelzfrucht
Daher ist das Einrichten von NAP in Windows Umgebungen nicht mehr sonderlich zukunftsträchtig.
Man sollte auf andere Lösungen ausweichen.
Grüße
pelzfrucht
Vielen Dank für die Info - OpenSource / kostenlose Tools Habe ich schon gedanklich ausgeklammert. Im Fehlerall brauche ich schnellen Support.
Ich lasse mir jetzt Angebote zu macmon und clearpass zukommen.
Da es jetzt schon einige "ist zu teuer" aussagen seitens des Kunden gibt bin ich gespannt
Falls zu teuer, werde ich mit der Port Security beginnen, besser als nichts...
ClearPass bzw macmon sieht kann ich später auch noch nachziehen.
Danke für die Hilfe
Ich lasse mir jetzt Angebote zu macmon und clearpass zukommen.
Da es jetzt schon einige "ist zu teuer" aussagen seitens des Kunden gibt bin ich gespannt
Falls zu teuer, werde ich mit der Port Security beginnen, besser als nichts...
ClearPass bzw macmon sieht kann ich später auch noch nachziehen.
Danke für die Hilfe
bezüglich Server 2016 ist das echt eine seltsame Entscheidung. Unter Server 2008r2 funktioniert NAP hier sehr gut bei einigen Kunden.
