Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kennt jemand www.lan-secure.com und deren Produkte?

Frage Netzwerke Netzwerkmanagement

Mitglied: roadtek

roadtek (Level 1) - Jetzt verbinden

22.04.2011 um 18:36 Uhr, 3063 Aufrufe, 3 Kommentare

Wir sind ein Unternehmen mit 150 Mitarbeitern, haben insgesamt 18 Netzwerkswitches, alle von 3COM, insgesamt knapp unter 500 Nodes.
Nun möchte ich NAC - Network Access Control etablieren und bin auf der Suche nach geeigneter und bezahlbarer Software.
Die Switches selber sind eben keine Ciscos und demnach gibt es auch kein VMPS.
Ich will die 3COMs aber auch nicht ersetzen. SNMP können die auch... zumindest ein wenig...
2952 und 3200, sowie 4500er kommen zum Einsatz, wenn ich es richtig im Gedächtnis habe..

Ich habe eine Lösung von www.lan-secure.com gefunden, die nach Installation innerhalb kurzer Zeit in Betrieb genommen werden konnte - 30 Tage Testversion.
Die Lösung läuft unter Windows, benötigt geringe Resourcen, hat binnen zwei Minuten meine Switches erfasst und nach kurzem Chat mit dem Support waren die Policies auch so eingerichtet, dass die authorisierten Rechner ins Netz an dem Testswitch kamen und "unbekannte" Rechner entsprechend geloggt, der Port geblocked und ich per Mail benachrichtigt wurde.
Alles in Allem ordentlich. Die 3COMs haben wohl Probleme, dass per SNMP MIB das VLAN am Port dynamisch umgeschaltet werden kann. Das muss ich noch prüfen.
Aber zumindest kommt der Eindringling nicht mehr widerstandslos ins Netz und wird geblockt.
Die Lösung kostet in unserer Größenordnung rund 1000 Euro und ab dem 2ten Jahr 15% des Kaufpreises Softwareupdate und Support.

Nun der Haken:
Ein Manual? Gibt es praktisch nicht, nur den Windows Hilfefile, der die einzelnen Funktionen grob erklärt.
Der Hersteller ist quasi rund um die Uhr per Chat erreichbar, reagiert schnell und ist sehr hilfsbereit und verweist auch darauf, sich um die Probleme und Fragen zu kümmern..
Ich bin etwas zwiegespalten. Einerseits ist ein SNMP Management nichts, was binnen der nächsten zwei drei Jahre nicht mehr eingesetzt werden kann.
Insofern ist der Kauf kein Roulettespiel.
Andererseits wäre ich schon etwas beruhigter, wenn ich von jemandem, der sich schon "getraut" hat, das Produkt zu kaufen und einzusetzen, eine Meinung oder kurzen Erfahrungsbericht haben könnte.

Sollte jemand ein alternatives Produkt vorschlagen können, bitte, ich bin offen. Aber bitte nicht auf Linux basis, danke

Danke fürs Feedback - schöne Feiertage
Oliver
Mitglied: bstefan82
23.04.2011 um 08:57 Uhr
Hallo Oliver,

ich kann dir nichts zu lan-secure sagen, allerdings hab ich bei uns port-security (802.1x mit zertifikaten bzw. Mac-Authentication gegen w2k3 ad) mit vlan zuweisung über radius auf den 4500 und 4500g switches zum laufen gebracht...
also falls du ein bischen basteln willst, kannst dich gern melden =)

grüße,

stefan
Bitte warten ..
Mitglied: roadtek
23.04.2011 um 17:00 Uhr
Hallo Stefan,

das klingt gut, Radius läuft bei mir auch, SSLs stellt die entsprechende Instanz bei mir ebenfalls aus.
Wo ich in dem Umfeld scheiterte, war das Anlegen der Mac Adressen im AD.
Konkret geht's um iPhones und iPads, also nichts, was man mal schnell im AD anmelden kann.
Ich habe eine Anleitung im Netz gefunden, aus der hervorgeht (mal extrem zusammengefasst), dass man Benutzer anlegen soll, deren Name und Kennwort die MAC Adresse des iPhones sein soll.
Das habe ich gemacht, diese PseudoBenutzer dann ebenfalls in meine RADIUS_WLAN Benutzergruppe gepackt, die in der Richtlinie von Radius verwendet wird.
Das hat dann aber dazu geführt, dass lt. Ereignisprotokoll im IAS Radius die Default Richtlinie verwendet wurde, die den Zugriff pauschal sperrt.

Ich bin nicht dahinter gekommen, weshalb sich der IAS so verhält.

Und so lange ich den Schritt nicht auf die Reihe bekomme, denk ich noch gar nicht an VLANs

Grüße

Oliver
Bitte warten ..
Mitglied: roadtek
27.04.2011 um 14:24 Uhr
Momentan hänge ich bzgl MAC Adressen Überprüfung hier:
Leider scheitere ich an der Radius Policy, die eine Überprüfung ermöglicht.

Meine Vorgehensweise zusammengefasst.

In den Eigenschaften des AD Benutzers, Reiter Einwählen, unter "Anruferkennung verifizieren", die MAC Adressen der erlaubten Geräte erfassen.
AD Benutzer ist Mitglied der Gruppe WLAN_Radius_Anwender (wird in Radius benötigt)
Ad Benutzer hat in Eigenschaft Einwählen, RAS Zugriff gestattet.

Auf IAS Server
In den RAS Richtlinien für den Access Point eine Regel anlegen,
Bedingung 1: Client IP Adresse = Access Point IP 10.0.0.x
Bedingung 2: Windows Group stimmen überein mit AD DOMÄNE\WLAN_Radius_Anwender

Jetzt wäre noch eine dritte Bedingung von Nöten, die die Caller ID Überprüfung macht, die nach meinem Verständnis,
die erfassten MAC Adressen aus der Anruferkennung mit der MAC Adresse des sich einwählenden zb. Iphones validiert.
Aber die Regel bekomme ich nicht hin...

Hat da jemand einen Tipp für mich? Gehe ich da komplett falsch ran?

Gleich vorab, die Access Points sind ultraintelligent (sarkasmus).. Sie erlauben entweder Radius Auth oder Mac Adressen Filterung, beides zugleich ist nicht.


Grüße

Oliver
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Userverwaltung
gelöst Kennt jemand ein Berechtigungstool wie 8MAN? (1)

Frage von ALucaK zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Kennt Jemand Edimax WLAN? (5)

Frage von StefanKittel zum Thema LAN, WAN, Wireless ...

Suche Projektpartner
gelöst Kennt jemand gute Projektbörsen ? (5)

Frage von Chewraptor zum Thema Suche Projektpartner ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...