drakeosx
Goto Top

NAC - Network Access Control

Hallo!

Und zwar gibt es ja NAC - Network Access Control

nun meine Frage welches Programm dazu würde ihr vorschlagen....?
Wie funktioniert das genau mit denn einstellungen....

Könnt ihr mir bitte weiterhelfen da ich leider sonnst nichts anfinden über das thema?!

Content-ID: 114639

Url: https://administrator.de/contentid/114639

Ausgedruckt am: 20.11.2024 um 05:11 Uhr

nuubal
nuubal 24.04.2009 um 22:00:02 Uhr
Goto Top
Hi,

dazu fällt mir jetzt spontan ein Radius-Server für Mac-based-Authentication ein.

Gruß
filippg
filippg 24.04.2009 um 22:41:31 Uhr
Goto Top
Hallo,

NAC ist keine reine Softwarelösung, sondern benötigt immer auch entsprechende Netzwerkhardware. In sofern ist die Frage falsch gestellt... (und solltest du bereits entsprechende Hardware haben, dann solltest du das ganze unbedingt auch von der Seite aufrollen).

Gruß

Filipp
DrakeosX
DrakeosX 24.04.2009 um 22:44:13 Uhr
Goto Top
Naja nur das probelm ist ja das ich keinen radius server will der auf mac adressen spezialisiert ist sonnder genau nen nac oder nap!
DrakeosX
DrakeosX 24.04.2009 um 22:44:40 Uhr
Goto Top
Cisco Router sind im einsatz.... bzw hp pro curve switches
filippg
filippg 24.04.2009 um 22:52:02 Uhr
Goto Top
Cisco Router sind im einsatz.... bzw hp pro curve switches
Ja, und? Schon mal im Manual geschaut, ob die NAC-Funktionen können, und zu welcher Software sie kompatibel sind?
DrakeosX
DrakeosX 24.04.2009 um 22:53:31 Uhr
Goto Top
nein werd ich mir dann mal anschaun... danke für die info... ich war mir nicht sicher ob das rein ne software sache ist oder beidseitig also hard und software
filippg
filippg 24.04.2009 um 23:43:36 Uhr
Goto Top
Zitat von @DrakeosX:
nein werd ich mir dann mal anschaun... danke für die info... ich
war mir nicht sicher ob das rein ne software sache ist oder beidseitig
also hard und software

jaaa... und welchen Sinn soll bitte eine reine Softwarelösung haben? Es geht darum, das Netz vor Rechnern mit bösartiger Software zu schützen. Soll die dann im Zweifelsfall selber sagen "ich bin böse, ich gehe mal lieber nicht in's Netz"?

Und wenn man gar keinen Überblick hat hilft die Wikipedia ja meistens weiter
http://en.wikipedia.org/wiki/Network_Access_Control
http://en.wikipedia.org/wiki/Network_Admission_Control
brammer
brammer 24.04.2009 um 23:48:00 Uhr
Goto Top
Hallo,

NAC ist, wenn diese funktionieren soll und Sicherheit bieten soll, keine Software Lösung sondern ein Konzept.
Eine Eierlegende Wollmilchsau dafür gibt es nicht.
Neben einer User Authentifizierung gehört eine Software verwaltung oder eine Gerätehärtung (z.B. welche User dürfen welche USB Geräte verwenden), eine Katastrophen Planung und diverse andere Punkte dazu.

Wenn du Cisco und HP einsetzt soltest du dir die Sicherheitskonzepte und Mechanismen von Cisco mal ansehen,
Neben QoS, Radius und gesicherten Zugängen, Verschlüsselungen für Datenträgern die von verschiedenen Anbietern kommen können solltest du dir Gedanken machen was du von einem NAC erwartest.

Brammer
spacyfreak
spacyfreak 25.04.2009 um 07:21:27 Uhr
Goto Top
Das ist zufällig ein Thema mit dem ich mich recht intensiv beschäftigt habe.

Bei NAC ist der Grundgedanke dass ein Clientrechner BEVOR er Zugriff auf das Netzwerk bekommt erstmal überprüft wird auf Sicherheitsmerkmale wie Antivirussoftware und AV-Signaturen, Updatestand, laufende Prozesse usw und nur wenn er bestimmte Merkmale aufweist dann bekommt er Netzzugang.

Dies soll die Sicherheit in Netzen erhöhen.
Hersteller die NAC Lösungen anbieten gibt es viele - Firmen die es wirklich produktiv einsetzen jedoch sehr wenige.
Und das aus gutem Grund. Die Sicherheit steigt - doch die Verfügbarkeit sinkt weil die Technik viel zu unausgereift ist und zu viele herstellerübergreifende Abhängigkeiten bestehen die sich ständig verändern. Wieviel Manpower ist eine Firma jedoch in solch einen "Luxux" bereit zu investieren? Steigt die Sicherheit dadurch tatsächlich massiv?
Ich denke das Verhältnis zwischen Aufwand und Sicherheitsgewinn fällt sehr ernüchternd aus.

Cisco NAC, Juniper UAC, Enterasys, Microsoft - mittlerweile gibt es viele Anbieter.


Daraus resultiert der Gedanke, NAC nicht einzusetzen.
WENN man schon Netzkontrolle machen will, dann doch ganz einfach mit 802.1X Authentisierung am Switch, ähnlich wie beim WLAN.

Wenn ich nur Domänen-Rechnern erlaube sich am Netz anzumelden (recht einfach via 802.1X fähigem Switch und einem IAS Radius realisierbar), dann hat man schon viel gewonnen da keine Fremd- oder Privatpcs Zugang zum Netz bekommen.
Und da ein Domainrechner sowieso in aller Regel in einer Antivirendomäne ist und zentral überwacht wird mti ohnehin bestehender AV-Infrastruktur, und auch in aller Regel bereits zentrales Updatemanagement bereitsteht ist NAC überflüssig.
Klar besteht da zwar das "Risiko" dass auch ein Rechner der mal ungepatcht ist ins Netz kommt - doch wie gross ist die REALE Bedrohung wirklich wenn ein Rechner nicht IMMER auf dem AKTUELLSTEN stand ist?

NAC ist was für Theoretiker und Perfektionisten die einem Ideal hinterherjagen das schlicht nicht mit annehmbarem Aufwand realisierbar ist.
Und natürlich ein schönes Spielzeug für Admins die zuviel Zeit haben..