Controller Einstellungen NAC5

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche

In der Controller Grundkonfiguration werden Globale Einstellungen für den NAC Konfiguriert. Unter anderem kann hier der Name des Gerätes und die Betriebsmodi (Art des Eingangsnetztes) geändert werden.

Die Controller Grundkonfiguration ist unter Konfiguration => Netzwerk => Controller zu finden

Controller und Domainname

Der NAC unterscheidet zwischen Eingangs- und Ausgangsnetzen. Sowohl auf dem Ein- als auch Ausgangsnetz benötigt das System einen Namen und eine Domain. Sollten diese Felder leer sein (NAC zieht DHCP, der DHCP Server übergibt aber keine Domain) kommt es zu fehlerhaftem Verhalten.

Ausgangsnetz

Der Name und die Domain auf dem Ausgangsnetz sind frei definierbar. Die einzige Bedingung ist dass es sich um einen FQDN handeln muss.

Eingangsnetz

Auf dem Eingangsnetz liegen die Captive Portale. Damit es zu keiner Zertifikatswarnung an den Clients kommt, besitzt der NAC ein öffentliches x509 Zertifikat. Dieses Zertifikat ist an den Namen "controller.access.network" geknüpft. Wird der Name auf dem Eingangsnetz verändert, wird das Zertifikat ungültig und Sie müssen ein neues öffentliches Zertifikat importieren.

UMA20 AHB hinweispic.png Achtung:

Es wird empfohlen den Namen auf dem Eingangsnetz nicht anzupassen.

Sicherheit

Unter dem Punkt Sicherheit kann der Schutz vor ARP-Poisoning-Angriffen (ARP Spoofing) auf den Eingangsnetzen aktiviert werden. Durch ARP Spoofing ist es möglich Daten umzuleiten, um diese abzuhören und/oder zu manipulieren.

Standardmäßig ist diese Funktion deaktiviert.

Art des Eingangsnetzes

Der NAC wertet den Datenfluss der Endgeräte aus, um zu erkennen ob diese bereits Authentifiziert sind oder diese sich noch am NAC am Captive Portal authentifizieren müssen. Grundsätzlich wird unter drei Betriebsmodi für die Erkennung unterschieden:

  • Geswitchtes Netzwerk
  • Geroutetes Netzwerk
  • Geswitchtes und geroutetes Netzwerk
Geswitchtes Netzwerk

Im Geswitchtes Netzwerk kommunizieren die Clients auf Layer 2 Ebene. Die Daten werden nicht geroutet sondern mithilfe von ARP direkt zwischen den Kommunikations Partnern ausgetauscht.

  • Der NAC wertet ausschließlich die MAC Adressen aus.
  • In diesem Modi ist der NAC am schnellsten.
Geroutetes Netzwerk

Im gerouteten Netzwerk werden die Daten über Layer 3 ausgetauscht. Datenpakete müssen gegebenenfalls geroutet werden um die gegenstelle zu erreichen.

  • Der NAC wertet nur die IP - Adressen aus.
Geswitchtes und geroutetes Netzwerk

Der dritte und letzte Modi ist ein Mischbetrieb aus den beiden anderen Modi.

  • Der NAC wertet sowohl MAC- als auch IP Adresse aus.

Schnittstellenkonfiguration und Übersicht

Schnittstellenkonfiguration

In der Schnittstellenkonfiguration können die MTU Einstellungen der Ein- und Ausgangs Interface geändert werde. Die Autonegotiation kann hier ebenfalls aktiviert oder deaktiviert werden, um die Schnittstellengeschwindigkeit manuell anzugeben.

Schnittstellenübersicht

In der Schnittstellenübersicht werden alle Netzwerkinterface mit Ihren Informationen angezeigt. Zu Beachten ist hier, dass der NAC die Interface bündelt (Link Aggregation). Hier lässt sich ebenfalls erkennen welche Physikalischen Schnittstellen zum Ein- oder Ausgangsnetz gehören.