Seit sich Network Acces Control (NAC) von einem "nice to have"-Feature zu einem echten Gewinn für große und kleine Netzwerke entwickelt hat, wird immer öfter die Frage gestellt: "Wie schwer ist es, NAC einzuführen?” Die Antwort ist einfach – es kommt ganz darauf an was man mit NAC erreichen möchte. [...]
GERÄTE IN DIE FALLE LOCKEN
Will man keinen SPAN-Port verwenden, können stattdessen SNMP-Traps genutzt werden. Mit einer NAC-Appliance (oder einer VM), die als SNMP-Trap-Empfänger fungiert, werden Informationen in Echtzeit gesendet, so dass Entscheidungen schnell getroffen werden können. SNMP-Traps brauchen eine relativ niedrige Bandbreite – es können aus diesem Grund viele versendet werden, ohne das Netzwerk zu beeinträchtigen. Diese Methode ist für einen zentralisierten Einsatz sehr gut geeignet und trägt auch dazu bei, die Kosten niedrig zu halten.
Genau wie bei der Nutzung eines SPAN-Ports, ist auch die SNMP-Trap-Lösung nicht perfekt. Bei einer NAC-Lösung wird üblicherweise ein „LinkUp/LinkDown“-Trap verwendet. Wenn sich ein Gerät mit dem Netzwerk verbindet, wird ein LinkUp-Trap gesendet, das der NAC-Plattform signalisiert, dass ein neues Gerät im Netzwerk ist und potentiell Maßnahmen ergriffen werden müssen. Schön und gut – aber was passiert, wenn sich das fragliche Gerät hinter einem nicht verwaltetem Switch oder einem IP-Telefon befindet? Viele Netzwerk-Gerätehersteller gehen in diesem Fall dazu über, MAC-Notification-Traps zu verwenden. Der Ansatz ist gut, weil jedes Mal, wenn der Switch eine neue MAC-Adresse erkennt, ein Trap vom Switch zu NAC gesendet wird. Sobald das Trap empfangen wurde, ist NAC in der Lage, die entsprechende Entscheidung darüber zu treffen, was mit dem Gerät geschehen soll. Ohne MAC-Notification-Traps kann es erforderlich werden, einen Agenten am Endpunkt zu nutzen oder die Switches öfter abzufragen, um aktuelle MAC- oder IP-Daten zu erhalten.
ENTSCHEIDUNGEN ÜBER ENTSCHEIDUNGEN
Sobald ein grundlegendes Verständnis dieser beiden Optionen vorhanden ist, stellt sich die Frage, welche die richtige für den jeweiligen Fall ist. Wie gesagt, kommt dies ganz auf die Situation an – es ist auch wichtig zu wissen, dass es sich bei der Wahl nicht um eine Entweder-Oder-Entscheidung handelt. Es gibt NAC-Plattformen, die beide Varianten gleichzeitig unterstützen. Jede NAC-Lösung fordert Informationen von den Switches an – werden die Switch-Informationen regelmäßig gelesen, können diese Daten zur Kontrolle der Endpunkte genutzt werden. Allerdings kann es hierbei zu erheblichen Verzögerungen kommen. Der Einsatz eines gespiegelten Ports am Core des Netzwerks ermöglicht es, eine große Menge an Informationen sichtbar zu machen und Entscheidungen mit mehr Datenpunkten zu treffen. SNMP-Traps sind Standard – werden allerdings nicht alle von allen Anbietern unterstützt – und sind sehr leicht einsetzbar. Die meisten Unternehmen versenden bereits Traps an eine Art „Collector“, so dass es sehr leicht ist, noch einen weiteren Kollektor – in diesem Fall eine NAC-Plattform – hinzuzufügen.
Beide Methoden, sowohl der Einsatz von SPAN-Ports als auch SNMP-Traps, sind ohne Eingriffe ins Netzwerk möglich. Es gibt also keinen falschen und keinen richtigen Weg, da beide eine komplette Netzwerk-Transparenz und -übersicht ermöglichen.
* Ken Daniels ist Channel Systems Engineer bei ForeScout Technologies.
Be the first to comment