Guest Service

Beim Einsatz einer Network Access Control Lösung ist es grundsätzlich ein Leichtes, neue Geräte zum Netzwerk zuzulassen, indem diese der Liste vertrauenswürdiger Geräte hinzugefügt werden. Ohne NAC erübrigt sich dieser Schritt natürlich, da ja keine Kontrolle der Netzwerkzugänge erfolgt. Die Herausforderung ist daher viel mehr, die Zulassung der Geräte so komfortabel wie möglich zu gestalten und die Abläufe optimal in die bestehenden Unternehmensprozesse zu integrieren. Genau hier setzt das neue „Gäste-Portal“ von macmon an – auch wenn der Begriff Gäste-Portal den vielen Möglichkeiten und Einsatzszenarien absolut nicht mehr gerecht wird.

Die grundlegende Anforderung ist flexibel und nach Bedarf fremden Geräten Zugang zum Netzwerk zu gewähren. Und das optimaler Weise zu definierbaren Ressourcen, widerrufbar, zeitlich befristet und nachverfolgbar. Um dies zu erreichen ist eine flächendeckende Network-Access-Control Lösung die Voraussetzung, da nur so alle Zugänge überwacht werden können und fremde Systeme daran gehindert werden unbefugten Zugang zu erlangen.

Das macmon Network Bundle enthält alle Voraussetzungen, um fremde Systeme zu erkennen und aus dem Netzwerk fernzuhalten. In Verbindung mit dem macmon Gäste-Portal erhalten Sie die Möglichkeit, die fremden Geräte nicht einfach vom Netzwerk zu trennen, sondern sie gezielt in ein Empfangsnetz zu verschieben – selbstverständlich sowohl für LAN als auch WLAN. In dem Empfangsnetz wird man via Captive Portal auf das macmon Gäste Portal geführt, an dem dann eine Registrierung erfolgen muss, um Zugang zum Netzwerk zu erhalten. Die erforderlichen Anmeldeinformationen können im Vorfeld erstellt und übermittelt werden, in Form von Listen vorbereitet z.B. am Empfang liegen oder, falls gewünscht, nach erfolgter Selbstregistrierung per eMail oder SMS übermittelt werden. Die freigegebenen Ressourcen sowie die Dauer des Zugangs können beim Erstellen der Zugangsdaten hinterlegt werden, so dass jeder „Besucher“ genau die Ressourcen erreichen kann, die für ihn zugelassen sind. Technisch können für die Umsetzung sowohl die SNMP, als auch die 802.1X Technologie zum Einsatz kommen. Gerade im kabellosen Netzwerk ist 802.1X jedoch dringend zu empfehlen, was aber von nahezu allen professionellen Access Points unterstützt wird, so dass die technischen Voraussetzungen bereits erfüllt sind.

In der wachsenden Industrie und dem Zeitalter der Fusionen und Übernahmen ist es immer häufiger erforderlich, mehrere Portale anbieten zu können. Dabei spielen sowohl verschiedene Standorte, wie auch unterschiedliche Gesellschaften an einem gemeinsamen Standort eine Rolle. Das macmon Gäste-Portal ist daher in der Lage beliebige Instanzen zentral zu administrieren, ihnen jeweils ein eigenes Layout zuzuweisen und beliebige Sprachen zu gewährleisten.

Die Verwaltung von immer mehr Tools macht die tägliche Arbeit nicht immer einfacher. Beim neuen macmon Gäste-Portal haben wir daher besonderen Wert auf die einfache Administration gelegt. So ist die komplette Verwaltung aller Instanzen und Einstellungen von zentraler Stelle über eine intuitive GUI integriert in macmon NAC möglich. Einstellungen und Layout Templates sowie Sprachen können kopiert werden, um sie nur noch bei den entscheidenden Details anpassen zu müssen. Die Gestaltung des Layouts erfolgt über einen einfach zu nutzenden Web-Editor und eventuell notwendige Ausnahmeregelungen können intuitiv und schnell erstellt werden.

Oft wird die Entscheidung, ob ein Besucher Zugang erhalten soll oder nicht, gar nicht in der IT-Abteilung getroffen. Mit dem macmon Gäste-Portal können daher die Rechte, Genehmigungen zu erteilen, auf die befugten Mitarbeiter (z.B. Abteilungsleiter) delegiert werden. Ohne dass diese sich mit der Administration von macmon NAC auseinander setzen müssen, können sie direkt in dem Portal Zugangsdaten erzeugen oder selbstregistrierte Besucher bestätigen.

Gerade mit verteilten Instanzen und delegierten Genehmigungsrechten, ist eine zentrale und vollständige Übersicht enorm wichtig. Das konfigurierbare und grafische Reporting von macmon bietet daher jederzeit einen aktuellen Überblick über erstellte und über genutzte Zugangsdaten, die zugehörigen Geräte und die genehmigende Person.

Eine weitere Anforderung bei der Kontrolle der Netzwerkzugänge ist der intelligente Umgang mit Mitarbeiter-Geräten. Dabei gilt es grundsätzlich zu unterscheiden, ob es sich um durch eine Mobile-Device-Management Lösung verwaltete Endgeräte handelt oder um Endgeräte von Mitarbeitern, die keinen Verwaltungsagenten auf ihrem persönlichen Gerät akzeptieren. Im ersten Fall können die Geräte einfach durch die Anbindung des MDM-Systems als Identitätsquelle an macmon erkannt und für den definierten Netzwerkbereich autorisiert werden. Die zweite Situation ist aber bereits etwas kniffliger – mit macmon jedoch ebenfalls bestmöglich abzubilden.

Dazu befugte Mitarbeiter können ihre persönlichen Geräte einfach am Netzwerk anschließen, woraufhin sie mit dem Gäste-Portal verbunden werden. Durch die Eingabe ihres gewohnten Windows-Benutzernamens und Passwortes erhalten sie anhand einer Richtlinie die Möglichkeit das Gerät zu registrieren und im Unternehmensnetzwerk zu betreiben. Sie müssen dafür die von macmon mitgelieferten, anpassbaren Nutzungsbedingungen akzeptieren und sind mit einem Klick verbunden. Durch die Registrierung kann macmon nun den Zugang so lange gewähren, wie die Zugangsdaten gültig sind – verlässt also ein Mitarbeiter das Unternehmen, so erhalten auch seine persönlichen Endgeräte automatisch keinen Zugang zum Unternehmensnetzwerk mehr. Der Überblick der mitgebrachten Geräte ist ständig gewährleistet! Der macmon guest service wird in Verbindung mit der macmon-Appliance angeboten und ist eine macmon-Erweiterung, die das macmon network bundle voraussetzt.

CYOD - Choose your own device - ist dem BYOD ähnlich. Im Unterschied zu BYOD müssen die Endgeräte, meistens Mobilgeräte, vom Unternehmen genehmigt werden. Üblicherweise stellt das Unternehmen das Endgeräte zur Verfügung bzw. der Mitarbeiter wählt aus einer Liste von genehmigten Geräten sein Wunschgerät aus. Das Unternehmen kauft das Gerät und verwaltet es. Der Endbenutzer kann das Mobilgerät flexibel an jedem Ort nutzen, aber es verbleibt im Eigentum des Unternehmens.

CYOD-Netzwerke sind stabiler und sicherer und vereinfachen die Firmen-IT. Die IT-Abteilung hat die Geräte im Netzwerk besser unter Kontrolle. Es ist möglich, den Zugriff auf Programme, Daten und Funktionen einzuschränken und durch die vorherige Genehmigung, sind weniger unterschiedliche Gerätetypen im Netzwerk vorhanden. CYOD eignet sich insbesondere für Unternehmen, die mit vertraulichen Informationen umgehen. 

Im Gegensatz zu BYOD gibt es bei CYOD die Möglichkeit, alle Compliance-Vorgaben des Unternehmens durchzusetzen, so wie bei allen anderen Firmengeräten im Netzwerk. Damit haben Unternehmen natürlich nochmal einen deutlichen Zugewinn an Sicherheit.

Die Unternehmensdaten sind sicher, da das Unternehmen das Gerät besitzt und über das macmon Gästeportal verwaltet wird. Damit sind z.b. auch Endpoint-Sicherheitslösungen auf dem Gerät installiert. Der Compliance-Status wird ebenso über das Gästeportal verwaltet. Die Gefahren durch Malware und durch Hackerangriffe sind damit deutlich reduziert.