Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Simples NAC gesucht

Frage Netzwerke Netzwerkmanagement

Mitglied: sigkill

sigkill (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 15.04.2014, 2362 Aufrufe, 7 Kommentare

Hallo,

Ich suche eine Lösung, welche die Ports von managbaren Switchen(TP-Link TL-SG3424, evtl. Cisco SG200-xx,
Netgear ProSafe ) überwacht und abhängig von den angeschlossenen MACs passenden VLANs zuordnet...
Prima wäre auch ein zugehöriger DHCP-Server so dass man neue Geräte(MACs) an einer stelle inventarisieren und
IPs/VLANs zuordnen kann. Das ganze für 50-100 Geräte.

Weitergehende NAC-Funktionalität wird nicht gebraucht, dafür sollte das ganze relativ einfach administrierbar und
kostengünstig sein. Open Source wäre erste Wahl. Alles was ich bis jetzt gefunden habe erscheint mir doch
recht überdimensioniert für den Zweck.
Mitglied: aqui
LÖSUNG 11.04.2014, aktualisiert 15.04.2014
Hier findest du deine Lösung mit einem Raspberry Pi der für deine User Anzahl reicht oder wenn du etwas mehr brauchst nimmst du ein Intel NUC:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
bzw.
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
Einfacher und preiswerter gehts nicht !
Bitte warten ..
Mitglied: sigkill
14.04.2014 um 16:39 Uhr
Danke für die Tipps

Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig. (IP-Kameras, RS232-Server und ähnliches emdedded Zeug)....
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern? Also mal abgesehen von der Sicherheit. Dass man MACs fälschen kann, davon habe ich schon gehört ;)

Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören? Wird das passend erkannt oder muss man den Port am Switch manuell konfigurieren? (Ideal wäre in dem Fall: Alle Geräte am Port im selben VLAN->passendes VLAN zuordnen. Ist ein "falsches" oder unbekanntes Gerät dabei -> Gast- bzw. Quarantäne-VLAN)

noch mal paar allgemeine Infos:
Es handelt sich um eine kleine Firma, das Netz ist seit 15 Jahren flach und dumm. Damals bestand es allerdings aus Server+3 PCs. Nun hat es mittlerweile eine Größe erreicht, wo es so nicht weiter geht. Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden, im recht großen und unübersichtlichen Firmengelände sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen, mehr Clients, mehr Server, mobile Devices etc....
Das Netz muss also völlig neu strukturiert werden. Budget ist (wie so oft) extrem knapp bemessen.

Geplant sind 5 VLANs ... eins für die "klassische" Rechentechnik, eins für das Security-Zeugs, eins für VoIP, ein Managment- und ein Gast-VLAN für private Geräte. Als Router und DHCP-Server soll vorerst ein Mikrotik RB750GL arbeiten, später eine Linux-Firewall. Auf einem Linux-Server könnte FreeRADIUS und PowerDNS laufen(bisher macht der Accesspoint DNS-Server).
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.04.2014, aktualisiert 15.04.2014
Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig
Für die reine Mac Authentisierung mit 802.1x ist das nicht relevant, denn die brauchen dafür keinen .1x Client !
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern?
Nein, absolut nicht, denn das ist gängige und übliche Praxis das genau so zu machen !
Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören?
Sehr gute und sinnvolle Frage...
Bessere Switches machen die Weiterleitung NUR ausschliesslich auf Basis der Mac. Also die Mac muss sich explizit authentisieren auch wenn sie an einem Billigswitch davorhängt.
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt man dann "Mac based VLANs".
Bei den billigen Vertretern reicht es das eine Mac das .1x "Tor aufmacht" und alle anderen können passieren. Glücklicherweise halten sich solche Billigheimer aber in Grenzen. Es macht immer Sinn dort mal genau ins Manual VOR dem Kauf zu sehen wenn man solche Überraschung ausschliessen will !
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber authentisieren kann.
das Netz ist seit 15 Jahren flach und dumm
Ist leider sehr häufig und traurige Realität bei einer Vielzahl von mittleren Unternehmen und Behörden !
Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden
Das erfordert allein schon aus rechtlichen Gründen (Fernmeldegeheimnis) ein separates VLAN !
sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen
...und das ebenso zwingend !
Geplant sind 5 VLANs
Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN abtrennen.

Grundlegende Infos dazu gibt es noch hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Ggf. ist ein L3 fähiger Switch im Core der den VLAN Router ersetzt aus Performance Sicht günstiger, aber das ist letztlich abhängig von der Anzahl der User usw.
Bitte warten ..
Mitglied: sigkill
15.04.2014 um 10:09 Uhr
Hallo,

Danke für die Antwort, damit bin ich wohl erst mal auf dem richtigen Weg.


Zitat von aqui:
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt
man dann "Mac based VLANs".
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber
authentisieren kann.

Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN"). Laut
www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x-und-freeradius-am-lan-switch-154402.html#toc-8
unterstützen die Cisco SG-200 aber keine Dynamische VLAN Zuweisung. Muss ich mich nach Alternativen umschauen, denn
die 300er sprengen vermutlich das Budget. Mal schauen, was es noch so auf dem Markt gibt ... PoE wäre auch ein nützliches
Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.

Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN
abtrennen.

Habe ich in Erwägung gezogen, aber damit liefe so ziemlich der gesamte Traffic über den Router, was ich vermeiden wollte.
Es handelt sich dabei um ca. 10 Clients, 4 Server(virtualisiert auf einer Hardware) und 5 Drucker. Wenn das Netz weiter wächst,
kann ich die immer noch separieren.
Bitte warten ..
Mitglied: aqui
LÖSUNG 15.04.2014, aktualisiert um 10:36 Uhr
So wie ich das jetzt sehe, wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features
Ja, absolut richtig !
Mittlerweile sind diese Funktionen sehr weit verbreitet auch in den preiswerten Web Smart Switches. Wichtig für dich ist das du dediziert nachfragst ob dynamische VLANs mit der .1x Funktion supportet sind bevor du kaufst !
PoE wäre auch ein nützliches Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.
Ebenso sehr richtig und sinnvoll ! Abgesehen davon reduziert es erheblich die Fehleranfälligkeit des Netzes speziell Voice durch Entfall der dann überflüssigen Injektoren !
damit liefe so ziemlich der gesamte Traffic über den Router,
Da hast du recht. Der Tip bezog sich auch eher dann auf den Einsatz eines L3 Switches wo es dann Sinn macht.
Wenn du mit einem externen Router arbeitest ist deine o.a. Segmentierung bei dieser doch sehr geringen Anzahl von Server und Clients sicher vorteilhafter, keine Frage.
Bitte warten ..
Mitglied: sigkill
15.04.2014 um 10:39 Uhr
Herzlichen Dank für die zielführenden Tipps
Bitte warten ..
Mitglied: ae0n.io
28.05.2016 um 13:18 Uhr
Zitat von sigkill:
Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN").

Hallo, hast du das mittlerweile mal getestet? Wäre gut zu wissen da ich gerade vor dem selben Problem stehe.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Sonstige Systeme
gelöst Kostenfreies Ticketsystem gesucht (1)

Frage von Stefan007 zum Thema Sonstige Systeme ...

LAN, WAN, Wireless
Software für Backup oder Datensynchronisation über WAN gesucht (4)

Frage von Rubiks zum Thema LAN, WAN, Wireless ...

Batch & Shell
Script zum Auflösen einer Ordnerstruktur und zurück gesucht (12)

Frage von websolutions zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...