PacketFence



Netzwerkzugriffskontrolle (NAC) mit zahlreichen Funktionen, z.B.: Registrierung aller Netzwerkgeräte, Erkennen und Isolieren problematischer Geräte, Gastzugang in LAN und WLAN

Je größer das lokale Netzwerk wird, umso schneller verlieren die Administratoren möglicherweise die Übersicht, welche Geräte von wem wo im Netzwerk angeschlossen werden. Wie schnell stöpselt z.B. ein Wartungstechniker sein Notebook in einen freien Netzwerk-Port, um eine Recherche im Internet durchzuführen. Oder ein Gast fragt einen der Mitarbeiter nach einem Netzwerkzugang, was ihm dieser oft ermöglicht. Oder noch schlimmer: ein Mitarbeiter steckt an den Netzwerkanschluß in seinem Büro einen eigenen Accesspoint, um mit dem eigenen Smartphone ins Internet zu gelangen.

Solche fremden Geräte stellen eine große Gefahr für das Netzwerk dar, weil sie sich außerhalb der Kontrolle der IT-Abteilung befinden und somit ein Einfallstor für Viren, Ransomware u.ä. darstellen oder auch sensible Daten abgreifen. Um die Kontrolle zurückzugewinnen, kann ein System zur Netzwerkzugangskontrolle (Network Admission Control, NAC) eingesetzt werden. Damit ist der Zugriff auf das Netzwerk nur noch für vorher freigegebene Systeme möglich. Zusätzlich kann geprüft werden, ob das System den Anforderungen genügt (z.B. aktueller Patchstand, aktueller Virenschutz, keine Fremdprogramme).

PacketFence ist ein solches NAC-System mit vielen herausragenden Merkmalen. Die wichtigsten:

  • zentrale, browserbasierte Verwaltung
  • Out-Of-Band Deployment:
    Je nach Funktionalitäten der vorhandenen Switche kann eine zentrale PacketFence-Instanz hunderte Switche mit tausenden Endgeräten in vielen verschiedenen Standorten verwalten.
  • Inline Deployment:
    Obwohl das Out-Of-Band Deployment die bevorzugte Variante ist, ist alternativ oder zusätzlich auch ein Inline Deployment möglich. Dabei werden alle Daten durch den Packetfence-Server geleitet. Somit können auch nicht managebare Switche bzw. Accesspoints genutzt werden
  • Gastzugang mit drahtgebundenen und WLAN-Geräten
  • rollenbasierte Zugriffskontrolle
  • Unterstützung von Switches, Accesspoints und WLAN-Controllern vieler verschiedener Hersteller
  • Anbindung an verschiedenste Benutzerverzeichnisse (Active Directory, LDAP, RADIUS...)
  • unterstützt die Authentifizierung mittels IEEE802.1x (Benutzername/Paßwort oder Zertifikate)oder per Mac-Adresse
  • Mapping verschiedener VLANs für unterschiedliche Benutzer auf eine SSID im WLAN (bei entsprechender Unterstützung durch WLAN-Controller/Accesspoint)
  • auf Wunsch umfangreicher Herstellersupport möglich

Für PacketFence installieren wir keine eigene Appliance, sondern verwenden die Appliance des Herstellers (PacketFence Zero Effort NAC, ZEN).