Netzwerk-Grundlagen – Network Access Control, Teil 2

Integration von Enterasys NAC in die Sicherheitsstrategie

11.01.2011 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Mit Secure Networks hat Enterasys eine Architektur entwickelt, die den NAC-Prozess von In- und Out-of-Band-Systemen vollständig abbildet. Aber auch in Dritthersteller-Netzen ohne Secure-Networks-Unterstützung integriert sich Enterasys NAC dank Standards wie 802.1x-Authentisierung und VLAN-Zuweisung (RFC 3580). Dieser Beitrag beleuchtet die Integrationsmöglichkeiten in Detail.

Die Enterasys NAC-Lösung ermöglicht die Umsetzung der im vorigen Beitrag genannten NAC-Modelle Switch-basierend Out-of-Band sowie Inband mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten Enterasys NAC Manager sowie für den Out-of-Band Betrieb das NAC Gateway, für den Inband Betrieb der NAC Controller zum Einsatz.

Die Inline-NAC-Lösung von Enterasys erlaubt neben der schon bestehenden Out-of-Band-Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC-Prozess für jedes Endsystem, welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt. Durch diese Architektur kann Enterasys alle möglichen hardwareorientierten NAC-Lösungen abbilden.

NAC für Fortgeschrittene

Die NAC-Lösung von Enterasys erlaubt nicht nur den klassischen NAC-Ansatz, sondern stellt viele weitere Möglichkeiten zur Umsetzung der Zugangskontrolle zur Verfügung. Damit ist gewährleistet, dass man auch problematischen Szenarien begegnen kann.

So werden im Distribution Layer am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt. Im Zusammenhang mit einer Inband- oder allgemein einer NAC-Lösung stellt sich die Frage, ob diese Geräte überhaupt 802.1x-fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x-Authentisierung genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt.

Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.B. bei einer Microsoft Active-Directory-Umgebung der Fall ist, sobald der jeweilige Rechner ein Mitglied der Domäne ist.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048890 / Zugangs- und Zutrittskontrolle)