Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 102
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

[Gelöst]Zugriff auf das Netzwerk mit "geändertem" Standardgateway

Sa 11.02.2017, 13:34

Hallo und Guten Tag,

zunächst möchte ich mich als Neuling in Sachen NAC outen. Gestern waren wir auf einer Veranstaltung in Sindelfingen und dachten, als die NAC-Lösung vorgestellt wurde, dass diese für uns interessant werden könnte. Da habe eich gleich ein paar Fragen, wobei die zweite mich etwas mehr beschäftigt:

  1. Ich kann diese Lösung allgemein nutzen, um u. a. den Zugriff auf das LAN und Internet von Mitarbeitern mitgebrachte Geräte zu kontrollieren. Dabei spielt es keine gewichtige Rolle, ob es sich um WLAN- oder kabelgebundene Geräte handelt. Ich muss auf jeden Fall dafür Sorge tragen, dass das NAC-Gerät der Standardgaeway ist und der DHCP-Server dafür sorgt, dass die Geräte im Netzwerk die NAC-IP-Adresse als Standardgateway erhalten. Ist das richtig?
  2. Nun die wichtigere Frage: Ich würde gerne einigen Geräten nur und ausschließlich Zugriff ins Internet gewähren, nicht jedoch ins interne LAN. Was passiert aber, wenn ein findiger User seinem Gerät einem anderen oder keinen Standardgateway und sich auch manuell eine interne LAN-Adresse verpasst? Dann wäre er im internen LAN und könnte u. U. mit einem nicht erlaubten Gerät auf die internen LAN-Ressourcen zugreifen. Wie geht man damit um und wie könnte mir das NAC-Gerät dabei helfen?

Ich hoffe, ich konnte mich einigermaßen verständlich ausdrücken.

Im Voraus herzlichen Dank!

René
 
Kenneth
Securepoint
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Re: Zugriff auf das Netzwerk mit "geändertem" Standardgateway

Mo 13.02.2017, 10:38

Hallo René,

1. Das ist richtig. Der NAC muss Standardgateway und DNS Server für die Clients sein. Ansonsten klappt das Umleiten auf das Captive Portal nicht sauber.

2. Das System selber kann da nicht Helfen. Wenn jemand sich eine IP im internen Netz gibt, kommunizieren die geräte direkt miteinander (der NAC sieht den Trafic nicht).
Die Lösung hier lautet: VLAN. 
Sie müssten das interne Netzwerk von dem Gast/BYOD-Netz) trennen. Wenn sich dann jemand eine IP aus dem internen Netz manuell vergibt, hat er immer noch kein Zugriff da er im falschen VLAN ist.

Gruß

Kenneth
 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 102
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Re: Zugriff auf das Netzwerk mit "geändertem" Standardgateway

Mo 13.02.2017, 18:03

Vielen Dank für die Erklärung.
René

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast