[Gelöst]Zugriff auf das Netzwerk mit "geändertem" Standardgateway

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

[Gelöst]Zugriff auf das Netzwerk mit "geändertem" Standardgateway

Beitrag von isential gmbh »

Hallo und Guten Tag,

zunächst möchte ich mich als Neuling in Sachen NAC outen. Gestern waren wir auf einer Veranstaltung in Sindelfingen und dachten, als die NAC-Lösung vorgestellt wurde, dass diese für uns interessant werden könnte. Da habe eich gleich ein paar Fragen, wobei die zweite mich etwas mehr beschäftigt:
  1. Ich kann diese Lösung allgemein nutzen, um u. a. den Zugriff auf das LAN und Internet von Mitarbeitern mitgebrachte Geräte zu kontrollieren. Dabei spielt es keine gewichtige Rolle, ob es sich um WLAN- oder kabelgebundene Geräte handelt. Ich muss auf jeden Fall dafür Sorge tragen, dass das NAC-Gerät der Standardgaeway ist und der DHCP-Server dafür sorgt, dass die Geräte im Netzwerk die NAC-IP-Adresse als Standardgateway erhalten. Ist das richtig?
  2. Nun die wichtigere Frage: Ich würde gerne einigen Geräten nur und ausschließlich Zugriff ins Internet gewähren, nicht jedoch ins interne LAN. Was passiert aber, wenn ein findiger User seinem Gerät einem anderen oder keinen Standardgateway und sich auch manuell eine interne LAN-Adresse verpasst? Dann wäre er im internen LAN und könnte u. U. mit einem nicht erlaubten Gerät auf die internen LAN-Ressourcen zugreifen. Wie geht man damit um und wie könnte mir das NAC-Gerät dabei helfen?
Ich hoffe, ich konnte mich einigermaßen verständlich ausdrücken.

Im Voraus herzlichen Dank!

René

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo René,

1. Das ist richtig. Der NAC muss Standardgateway und DNS Server für die Clients sein. Ansonsten klappt das Umleiten auf das Captive Portal nicht sauber.

2. Das System selber kann da nicht Helfen. Wenn jemand sich eine IP im internen Netz gibt, kommunizieren die geräte direkt miteinander (der NAC sieht den Trafic nicht).
Die Lösung hier lautet: VLAN. 
Sie müssten das interne Netzwerk von dem Gast/BYOD-Netz) trennen. Wenn sich dann jemand eine IP aus dem internen Netz manuell vergibt, hat er immer noch kein Zugriff da er im falschen VLAN ist.

Gruß

Kenneth

Benutzeravatar
isential gmbh
Beiträge: 160
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Vielen Dank für die Erklärung.
René

Antworten