Sicherheit, Aufwand und Kosten

NAC-Lösungen - was sie bringen und kosten

25.05.2009
Von Friedhelm Zawatzky-Stromberg

MAC-Authentifizierung

Sie stellt eine Alternative zu 802.1x dar - vor allem für ältere oder heterogene Netze. Hierbei wird nur die bei der Anmeldung ans Netz erkannte MAC-Adresse vom Radius-Server überprüft, bevor ein Netz-Port freigeschaltet wird. Das ist zwar kein hoher Sicherheitsstandard, bei älteren Endgeräten aber häufig die einzige Möglichkeit zur Authentifizierung. Die Implementierung erfordert die gleichen Voraussetzungen für die Switches und den Radius-Server wie 802.1x.

Bewertung: mittlere Kosten, mittlerer Aufwand, geringe Sicherheit.

Web-basierende Authentifizierung

Hierzu ist die Eingabe von Benutzername und Passwort an einem eigens zur Verfügung stehenden Web-Server erforderlich. Es handelt sich dabei um eine Alternative für Benutzer, bei denen die Implementierung eines Supplicants für 802.1x nicht möglich ist.

Bewertung: mittlere Kosten, wenig Aufwand, mittlere Sicherheit.

Statische Port-/MAC-Zuordnung

Diese Methode sieht eine feste Zuordnung von MAC-Adressen und Switch-Ports vor. Dabei müssen alle kommunizierenden Systeme in die Konfiguration jedes Switchs eingetragen werden. Jedes neue Gerät und jede Löschung zieht somit eine Konfigurationsänderung auf dem Switch nach sich.

Bewertung: günstig, hoher Aufwand, geringe Sicherheit.