Die FreeNAC Lösung

FreeNAC ist eine transparente Lösung für das dynamischem VLAN-Management durch Beschränkung der LAN-Verbindungen. Vom Sicherheitsstandpunkt  entdeckt es 'unbekannte' Geräte, die versuchen sich durch offene Ethernetzugänge, Zutritt zu verschaffen, blockiert diese Leitungen und protokolliert das Ereignis. Bekannte, registrierte Geräte hingegen wird dem ihm zugewiesenen LAN Zutritt gestattet.

Besuchern (unbekannte Geräte) kann ein  Zugang zu einem Default / Gast-VLAN gestattet werden. Dies kann zum Beispiel für Organisationen nützlich sein, welchen den Besuchern WEB / VPN Zugriff ins Internet erlauben will aber dabei aber den Zugriff auf die internen Netzwerke nicht gestatten darf.

Mit FreeNAC, sobald ein neues Gerät mit dem Switchport verbunden wird, wird dem Server die MAC-Adresse mitgeteilt, wo es gespeichert und überprüft wird, ob es diesem Gerät gestattet ist auf das Netzwerk zuzugreifen. Falls das Gerät erlaubt ist, teilt der Server dem Switch das VLAN mit zu welchem dieses Gerät der Zutritt erlaubt wird. Falls dieses Gerät noch nicht registriert ist, wird der Zugang blockiert oder einem limitierten VLAN zugewiesen, abhängig von den eingesetzten Policies.

FreeNAC hat zwei Operationsmodi:

  • VMPS
  • 802.1X

VMPS (VLAN Management Policy Server) ist eine Methode, den Switchports VLANs zuzuweisen abhängig von der MAC Adresse des sich verbindenden Gerätes.  In VMPS-Modus bemerkt ein VMPS-fähiger Switch  einen neuen PC und erstellt eine VMPS-Anfrage zur Autorisation an FreeNAC wodurch die Datenbank abgefragt und Netzwerkzugriff abgelehnt oder gewährt wird. Der Switch setzt die von FreeNAC getroffene Entscheidung durch und bestreitet Zugang oder wenn erfolgreich ermöglicht dynamisch die Zuweisung des Geräter in seinen vorherbestimmtes VLAN.

802.1X ist ein IEEE-Standard für Switch-basierte Netzwerkszugangskontrolle. Es stellt Authentisierung für netzwerkgebundene Geräte bereit, erstellt eine Punkt-zu-Punkt-Verbindung oder verhindert den Zugang von diesem Switch, falls die Authentisierung scheitert. 802.1X ist auf bestimmten neueren Switches verfügbar, sodass diese mittels entsprechender Konfiguration die Software der einen Zugriff wünschenden Maschinen abfragen können und unerlaubten Zugriff auf dem Netzwerk und Datenlink-Layer verweigern.

Im 802.1X Modus, FreeNAC verifiziert die Benutzerdaten (durch die Verwendung eines Drittservers) und benutzt die MAC-Adresse für die Zuweisung eines VLANs. Dies schafft für jedes Gerät eine einzigartige Kennung bestehend aus Benutzername / Gerät.

Ein betrügerischer Benutzer muss nicht nur die MACadresse fälschen sondern es müssen auch noch die gültigen Benutzerdaten vorhanden sein. Das erschwert den unerlaubten Zugang zum Netzwerk.

Für nicht-802.1x-fähige Geräte, welche Cisco 802.1x fähige Switches benutzen, wird ein MAC-Autenticationbypass verwendet, sodass diese Geräte einem VLAN zugewiesen werden. Die Bestätigung von Benutzername wie auch Gerät ist sicherer als nur das Bestätigen des Gerätes - es ist ein Kompromiss bezüglich Nutzen/Risiko.