macmon - intelligent einfach

Warum einfach?

macmon ist die am schnellsten und einfachsten einzuführende Network Access Control Lösung auf dem Markt. Sie verbindet verschiedene Technologien, um alle Netzwerkzugänge kontrollieren zu können und bietet mit der sofortigen Netzwerktransparenz für LAN und WLAN jederzeit den vollen Überblick. Gast- und Mitarbeitergeräte können über das Gästeportal einfach und sicher zugelassen werden. macmon unterstützt zudem bei der Einhaltung aktuell gültiger IT-Sicherheitsstandards wie PCI oder diversen ISO-Normen. Durch Automatismen wie das dynamische VLAN-Management sparen Kunden erheblichen administrativen Aufwand ein, während die Netzwerksegmentierung die Sicherheit enorm erhöht.

macmon Network Access Control - 5x Einfach

Gruppenbasierte Konfiguration

Unternehmensendgeräte werden in logische Gruppen sortiert, an denen wiederum die Konfiguration für die Behandlung der Endgeräte im Netzwerk erfolgt. So können gruppenbasierte Vorgaben zu den Endgeräteeigenschaften (Betriebssystem, Domäne, IP-Ports) und die Autorisation definiert werden. Für die Autorisation können über einfache vordefinierte Felder das VLAN und weitere Berechtigungen  vorgegeben werden. Dabei können die Vorgaben für drei Level gemacht werden, in Abhängigkeit von der Qualität der Identifizierung (nur MAC-Adresse = Niedrig, Benutzername & Passwort = Mittel, Zertifikate = hoch). Durch diese Vorgaben ist macmon in der Lage, das Regelwerk selbstständig zu erstellen und zu pflegen. Manuelle Regeln müssen nur noch für Sonderfälle definiert werden.

802.1X

802.1X (mit und ohne Zertifikate) bzw. eine RADIUS-basierte Authentifizierung kann grundlegend über 3 Stufen erfolgen: MAC-Adresse (niedrigster Level), Benutzername & Passwort (mittlerer Level) oder Zertifikat (hoher Level). In macmon können in der gruppenbasierten Konfiguration für die verschiedenen Level unterschiedliche Berechtigungen definiert werden, um in Abhängigkeit der Ausweisqualität unterschiedliche Netzwerkzugänge zu gewähren.
Da die wenigsten Unternehmen bereits über eine fertig ausgerollte Zertifikatsinfrastruktur verfügen, ist die Wahl des mittleren Identifizierungslevels in Kombination mit AD-Konten häufig die einfachste Antwort für einen schnellen Weg zur Netzwerksicherheit.
Die größte Komplexität in 802.1X liegt jedoch in der Administration und der Pflege des RADIUS Servers, da oft eine Fülle an Regeln erstellt und gepflegt werden müssen. Egal ob 802.1X mit Zertifikaten umgesetzt werden soll oder ohne, die Produktstrategie von macmon und die damit verbundenen Vorteile wie das dynamische Regelwerk reduzieren den Aufwand und die Komplexität erheblich!

Gäste Portal

Das macmon Gäste Portal ist für hohe Flexibilität und verschiedenste Einsatzzwecke ausgelegt. So können beliebige Instanzen an unterschiedlichen Stellen im Unternehmen platziert und individuell gestaltet werden. Neben den mitgelieferten Sprachen Deutsch und Englisch können beliebige Sprachen (mit allen Schriftzeichen) ergänzt werden.
Es wird zwischen Gästen und Gast-Geräten unterschieden, um auch für die Besucher jede Variante abbilden zu können. So kann man bspw. bei Bedarf mehrere Geräte registrieren oder einen Dauergutschein erhalten, während man sein Gerät zwischendurch wechselt.
Das integrierte Sponsor-Portal erlaubt die Delegierung der Gutscheinerstellung und -verwaltung an beliebige Mitarbeiter im Unternehmen über einfache AD-Gruppenmitgliedschaften. Das Sekretariat kann somit z.B. Gäste zulassen, ohne die IT-Abteilung in Anspruch nehmen zu müssen. Das ebenfalls enthaltene BYOD-Portal bietet zudem die Chance, einen Überblick über die Mitarbeitergeräte zu erhalten.
Nicht verwaltete Endgeräte, wie z.B. Mitarbeitersmartphones (kein Unternehmenseigentum) können durch den Mitarbeiter selbst registriert werden, wenn er das Recht dafür erhält.

Effektive VLAN-Berechnung

Zur weiteren erheblichen Vereinfachung des Regelwerkes und zur Unterstützung bei der Abbildung mehrerer Standorte oder gewachsener Infrastrukturen bietet macmon die einzigartige Funktion der Berechnung des effektiven VLANs.
Wird ein Endgerät im Netzwerk gesehen (sowohl per SNMP als auch per 802.1X), so errechnet macmon – falls notwendig – das Ziel-VLAN anhand verschiedener  Informationen, um immer das in der Situation passende VLAN zu konfigurieren. Dabei wird einbezogen, ob an dem Endgerät in macmon ein VLAN vorgegeben wurde, das Endgerät gerade compliant ist oder nicht, bzw. ob an der Endgerätegruppe ein oder mehrere VLANs vorgegeben wurden und welche VLANs der betroffene Switch beherrscht. Es können VLAN-IDs und VLAN-Namen verwendet werden, um jede Situation abbilden zu können.
In größeren Umgebungen führt dies oft sogar zu einem erheblichen Performancevorteil, da die Anzahl der Regeln, die für jede Authentifizierung durchlaufen werden müssen, viel geringer ist, als bei jedem anderen NAC-Produkt.

AD-Integration mit Mapping

macmon bietet die Möglichkeit der Authentifizierung von Endgeräten mittels ihrer Active Directory Konten (Identitäten) oder auch allgemein LDAP Konten. Dabei können sowohl Benutzerkonten als auch Gerätekonten verwendet werden. Da keine Zertifikate ausgerollt werden müssen, wird so die Einführung von 802.1X erheblich vereinfacht.
Mittels eines einfachen Mappings können dann die AD-Gruppen mit den macmon Endgerätegruppen verknüpft werden. Das bestehende Regelwerk gilt automatisch auch für AD-Gruppen. Für den Fall, dass Endgeräte mal mit der MAC-Adresse und mal mit einem AD-Konto im Netzwerk auftauchen, müssen keine zusätzlichen Regeln konzipiert und angelegt werden.
Durch die Integration und das Mapping können die MAC-Adressen der Endgeräte während der Authentifizierung gelernt und entsprechend dem Mapping in die richtige Gruppe sortiert werden. So ist es möglich, Endgeräte auf einfachem Wege mit einer höherwertigen Qualität als der MAC-Adresse zu identifizieren. Über die Wahl der Integration kann unterschieden werden, ob die Netzwerkabteilung  entscheidet, welches Gerät welchen Zugang erhält oder ob diese Entscheidung durch die AD-Administratoren getroffen wird.


Testen Sie macmon NAC 30 Tage kostenlos!