Dynamische Port-/MAC-/IP-Zuordnung mittels SNMP

Hier wird die vorhandene Infrastruktur genutzt. Es ist kein Agent auf den Endgeräten notwendig - die gesamte Kommunikation erfolgt mit der Netzinfrastruktur (Switches und Router). SNMP ist ein weit verbreiteter Standard, der nahezu flächendeckend in Unternehmen eingesetzt wird und mit Version 3 auch hinreichend sicher ist. Nahezu alle Netz-Management-Systeme basieren darauf. Durch Verwendung zusätzlicher Tools wie Port-Scanner, VoIP- und WLAN-Module, sFlow/netFlow oder Router-Module können solche Systeme sehr leistungsstark sein und ein Netz-Management-System nahezu ersetzen.

Bewertung: günstig, mittlerer Aufwand, mittlere Sicherheit.

Kerberos Snooping

Damit lassen sich keine Endgeräte lokalisieren, sondern ausschließlich Benutzer authentifizieren. Hierzu muss eine "Inline"-Komponente im Datenstrom zum Anmelde-Server (Active Directory) eingerichtet werden.

Bewertung: günstig, geringer Aufwand, mittlere Sicherheit.

Diese Liste praktikabler Verfahren ist längst nicht umfassend, konzentriert sich aber auf die wichtigsten Methoden zur Identifizierung und Lokalisierung in Netzen. Welcher Ansatz der beste ist, hängt vor allem vom Schutzbedarf und den Investitionsmöglichkeiten eines Unternehmens sowie den jeweils bereits vorhandenen Komponenten ab. Von den vorgestellten Methoden weisen allerdings zweifellos die Systeme mit dynamischer Port-/MAC-/IP-Zuordnung mittels SNMP die größten Vorteile auf, da sie zahlreiche weitere Sicherheits- und Netz-Management-Funktionen bieten. Zudem sind sie mit anderen Methoden gut kombinierbar.