Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Simples NAC gesucht

Frage Netzwerke Netzwerkmanagement

Mitglied: sigkill

sigkill (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 15.04.2014, 2449 Aufrufe, 7 Kommentare

Hallo,

Ich suche eine Lösung, welche die Ports von managbaren Switchen(TP-Link TL-SG3424, evtl. Cisco SG200-xx,
Netgear ProSafe ) überwacht und abhängig von den angeschlossenen MACs passenden VLANs zuordnet...
Prima wäre auch ein zugehöriger DHCP-Server so dass man neue Geräte(MACs) an einer stelle inventarisieren und
IPs/VLANs zuordnen kann. Das ganze für 50-100 Geräte.

Weitergehende NAC-Funktionalität wird nicht gebraucht, dafür sollte das ganze relativ einfach administrierbar und
kostengünstig sein. Open Source wäre erste Wahl. Alles was ich bis jetzt gefunden habe erscheint mir doch
recht überdimensioniert für den Zweck.
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert 15.04.2014
Hier findest du deine Lösung mit einem Raspberry Pi der für deine User Anzahl reicht oder wenn du etwas mehr brauchst nimmst du ein Intel NUC:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
bzw.
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Einfacher und preiswerter gehts nicht !
Bitte warten ..
Mitglied: sigkill
14.04.2014 um 16:39 Uhr
Danke für die Tipps

Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig. (IP-Kameras, RS232-Server und ähnliches emdedded Zeug)....
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern? Also mal abgesehen von der Sicherheit. Dass man MACs fälschen kann, davon habe ich schon gehört ;)

Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören? Wird das passend erkannt oder muss man den Port am Switch manuell konfigurieren? (Ideal wäre in dem Fall: Alle Geräte am Port im selben VLAN->passendes VLAN zuordnen. Ist ein "falsches" oder unbekanntes Gerät dabei -> Gast- bzw. Quarantäne-VLAN)

noch mal paar allgemeine Infos:
Es handelt sich um eine kleine Firma, das Netz ist seit 15 Jahren flach und dumm. Damals bestand es allerdings aus Server+3 PCs. Nun hat es mittlerweile eine Größe erreicht, wo es so nicht weiter geht. Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden, im recht großen und unübersichtlichen Firmengelände sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen, mehr Clients, mehr Server, mobile Devices etc....
Das Netz muss also völlig neu strukturiert werden. Budget ist (wie so oft) extrem knapp bemessen.

Geplant sind 5 VLANs ... eins für die "klassische" Rechentechnik, eins für das Security-Zeugs, eins für VoIP, ein Managment- und ein Gast-VLAN für private Geräte. Als Router und DHCP-Server soll vorerst ein Mikrotik RB750GL arbeiten, später eine Linux-Firewall. Auf einem Linux-Server könnte FreeRADIUS und PowerDNS laufen(bisher macht der Accesspoint DNS-Server).
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.04.2014, aktualisiert 15.04.2014
Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig
Für die reine Mac Authentisierung mit 802.1x ist das nicht relevant, denn die brauchen dafür keinen .1x Client !
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern?
Nein, absolut nicht, denn das ist gängige und übliche Praxis das genau so zu machen !
Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören?
Sehr gute und sinnvolle Frage...
Bessere Switches machen die Weiterleitung NUR ausschliesslich auf Basis der Mac. Also die Mac muss sich explizit authentisieren auch wenn sie an einem Billigswitch davorhängt.
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt man dann "Mac based VLANs".
Bei den billigen Vertretern reicht es das eine Mac das .1x "Tor aufmacht" und alle anderen können passieren. Glücklicherweise halten sich solche Billigheimer aber in Grenzen. Es macht immer Sinn dort mal genau ins Manual VOR dem Kauf zu sehen wenn man solche Überraschung ausschliessen will !
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber authentisieren kann.
das Netz ist seit 15 Jahren flach und dumm
Ist leider sehr häufig und traurige Realität bei einer Vielzahl von mittleren Unternehmen und Behörden !
Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden
Das erfordert allein schon aus rechtlichen Gründen (Fernmeldegeheimnis) ein separates VLAN !
sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen
...und das ebenso zwingend !
Geplant sind 5 VLANs
Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN abtrennen.

Grundlegende Infos dazu gibt es noch hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Ggf. ist ein L3 fähiger Switch im Core der den VLAN Router ersetzt aus Performance Sicht günstiger, aber das ist letztlich abhängig von der Anzahl der User usw.
Bitte warten ..
Mitglied: sigkill
15.04.2014 um 10:09 Uhr
Hallo,

Danke für die Antwort, damit bin ich wohl erst mal auf dem richtigen Weg.


Zitat von aqui:
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt
man dann "Mac based VLANs".
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber
authentisieren kann.

Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN"). Laut
www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x-und-freeradius-am-lan-switch-154402.html#toc-8
unterstützen die Cisco SG-200 aber keine Dynamische VLAN Zuweisung. Muss ich mich nach Alternativen umschauen, denn
die 300er sprengen vermutlich das Budget. Mal schauen, was es noch so auf dem Markt gibt ... PoE wäre auch ein nützliches
Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.

Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN
abtrennen.

Habe ich in Erwägung gezogen, aber damit liefe so ziemlich der gesamte Traffic über den Router, was ich vermeiden wollte.
Es handelt sich dabei um ca. 10 Clients, 4 Server(virtualisiert auf einer Hardware) und 5 Drucker. Wenn das Netz weiter wächst,
kann ich die immer noch separieren.
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.04.2014, aktualisiert um 10:36 Uhr
So wie ich das jetzt sehe, wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features
Ja, absolut richtig !
Mittlerweile sind diese Funktionen sehr weit verbreitet auch in den preiswerten Web Smart Switches. Wichtig für dich ist das du dediziert nachfragst ob dynamische VLANs mit der .1x Funktion supportet sind bevor du kaufst !
PoE wäre auch ein nützliches Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.
Ebenso sehr richtig und sinnvoll ! Abgesehen davon reduziert es erheblich die Fehleranfälligkeit des Netzes speziell Voice durch Entfall der dann überflüssigen Injektoren !
damit liefe so ziemlich der gesamte Traffic über den Router,
Da hast du recht. Der Tip bezog sich auch eher dann auf den Einsatz eines L3 Switches wo es dann Sinn macht.
Wenn du mit einem externen Router arbeitest ist deine o.a. Segmentierung bei dieser doch sehr geringen Anzahl von Server und Clients sicher vorteilhafter, keine Frage.
Bitte warten ..
Mitglied: sigkill
15.04.2014 um 10:39 Uhr
Herzlichen Dank für die zielführenden Tipps
Bitte warten ..
Mitglied: ae0n.io
28.05.2016 um 13:18 Uhr
Zitat von sigkill:
Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN").

Hallo, hast du das mittlerweile mal getestet? Wäre gut zu wissen da ich gerade vor dem selben Problem stehe.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Simples Programm zum erstellen von Dokumentationen gesucht
Frage von StefanKittelNetzwerkmanagement12 Kommentare

Hallo, ich suche schon länger ein Tool um Dokumentationen für kleine IT-System zu erstellen. Verschiedene Kunden, 4-15 PCs, mit ...

Microsoft
Simple CardDAV-CalDAV Lösung gesucht
gelöst Frage von pelzfruchtMicrosoft12 Kommentare

Hi, erstmal wünsche ich euch allen einen Guten Rutsch ins neue Jahr und einen schönen Silvesterabend. Kennt jemand von ...

Switche und Hubs
Netzwerk mit NAC absichern sinnvoll?
gelöst Frage von mikado90Switche und Hubs6 Kommentare

Hi! Wir haben bei einem Kunden ein Netzwerk mit Switches von HP / Aruba übernommen. Es gibt 2 Core ...

Netzwerke
NAP vs NAC (Cisco)
Frage von madridistaNetzwerke2 Kommentare

Kann mir jemand der Vorteil der NAC Methode von Cisco gegenüber der NAC Methode von Microsoft (Network Access Protection) ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 10 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 13 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...