Automatisierte Netzwerkzugänge mit macmon & baramundi

Fragen & Antworten aus dem Webinar

Wir freuen uns über Ihr reges Interesse und die vielen Fragen, die während des Webinars gestellt wurden.
Leider konnten wir aufgrund der Kürze nicht alle Fragen beantworten, daher möchten wir dies gerne nachholen.

Wenn Sie weitere Informationen wünschen, würden wir uns sehr über den persönlichen Kontakt freuen.
Unser Team nimmt sich sehr gerne Zeit, Sie ausführlich zu beraten.

 

KONTAKT MACMON   KONTAKT BARAMUNDI

Fragen und Antworten

Welche Lizenz benötigt man auf macmon Seite?

Um alle beschriebenen Use-Cases, inklusive der Compliance-Meldungen umzusetzen, wird das macmon Premium Bundle benötigt.

Wird die Netzwerkverbindungsdauer protokolliert ?

Ja. In den Endgerätedetails ist eine direkte Ansicht verfügbar, seit wann ein Endgerät online ist. Darüber hinaus besteht die Möglichkeit, mit dem macmon Past Viewer die Verbindungen in Form von „Endgeräte-Sessions“ zu protokollieren. Dabei werden pro Verbindung die Details vom Start über Änderungen bis hin zum Verlassen des Netzwerks gebündelt und auswertbar gemacht.

Wie sieht es mit Linux Geräten aus? Diese fehlen in einer vollständigen Systemlandschaft.

Für macmon NAC ist es unerheblich welches Betriebssystem das Endgerät verwendet, da agentenlos lückenlos das ganze Netzwerk überwacht wird.

Gibt es in baramundi eine Übersicht, um zu sehen welche Netzwerkteilnehmer bereits über macmon gemanaged werden und welche nicht?

Aktuell gibt es die beschriebene Übersicht zurück von macmon an baramundi noch nicht. Doch wie im Webinar erwähnt arbeiten wir an einer Verbindung zu baramundi. So können Werte zurückgeschrieben und somit ausgewertet werden, welche Endpunkte noch nicht in macmon sind.

Gerne nehmen wir hier auch weitere Details zu Use-Cases auf, um diese zukünftig mit zu berücksichtigen. Spechen Sie uns gerne an.

Kontakt

Welche MAC-Adresse wird denn nach macmon übernommen? Viele Geräte haben ja viele MAC Adressen z.B Wifi, LAN, Dockingstation etc.

Aktuell wird die primäre MAC-Adresse beim ausführen der Skripte verwendet. Ergänzend können weitere Eigenschaften übertragen werden, indem die Skripte entsprechend erweitert werden. Dies ist jedoch sehr individuell, da teilweise bei Endgeräten für den LAN-Zugang andere Vorgaben gemacht werden als für den WLAN-Zugang. Bei konkretem Interesse unterstützen wir hier aber gerne bei der Weiterentwicklung und Abbildung der Use-Cases.

Kontakt

Wie wird macmon lizensiert?

macmon NAC wird auf Basis von Endgeräten bzw. MAC-Adressen lizenziert, welche im Netzwerk zugelassen werden (Whitelist). Dabei wird von einem Endgerät mit bis zu 3 MAC-Adressen nur eine Lizenz verbraucht, wenn über den Hostnamen die Zusammengehörigkeit erkennbar ist.

Gibt es eine Integration mit Aruba WLAN-Systemen (macmon als Alternative zu Aruba ClearPass NAC z. B. für RADIUS-Authentifizierung für bestimmte WLAN-Netze)?

macmon NAC arbeitet herstellerunabhängig und bildet daher nahezu alle Netzwerkgeräte direkt out of the box ab. Aruba ClearPass kann vollständig ersetzt werden.

Gibt es Unterschiede bei der Kompatibilität der Switch-Hersteller? Wir verwenden im Bereich der Access-Switche hauptsächlich D-Link.

D-Link Switches werden soweit technisch möglich unterstützt und es sind bereits diverse herstellerspezifische Methoden enthalten. Generell ist zu unterscheiden, ob RADIUS-basiertes NAC genutzt werden soll oder auf Basis von SNMP, SSH, Telnet, REST. macmon stellt eine Liste der bereits bekannten Switches (unterstützt werden weitaus mehr) bereit, um auch schon im Vorfeld einen Abgleich machen zu können. Alternativ ist ein Test jeder Zeit möglich, ohne dafür Änderungen im Netzwerk vornehmen zu müssen. Die verwendeten Switches werden während des Tests direkt identifiziert und die Kompatibilität geprüft / sichergestellt.

In welchen Sprachen sind die Admins GUIs?

macmon NAC wird aktuell mit deutscher und englischer GUI angeboten.

Gibt es von macmon eine Schnittstelle zur CMDB von i-doit?

Es gibt noch keine fertige Schnittstelle zu i-doit. Jedoch wurde das Thema bereits einmal aufgegriffen und einige Möglichkeiten evaluiert. Mangels eines konkreten Einsatzes wurde bisher die Umsetzung nicht priorisiert. Gerne können wir hier aber im gemeinsamen Projekt tiefer einsteigen.

Kontakt

Wir finden die baramundi-Kachel nicht bei der Drittanbieter-Integrationen. Wie bekommen wir Skripte übertragen?

Die Kachel ist recht jung in der NAC-GUI implementiert. Diese ist aber der Version 5.26 sichtbar.

Aktuelle Version downloaden

Wenn die virtuelle Umgebung auf der macmon (VM) läuft, nicht verfügbar ist (Ransomware etc.) ...

...  wie kann ich beim Disaster Recovery trotzdem eine Netzwerkkommunikation sicherstellen, ohne die Switches ev. manuell umkonfigurieren zu müssen?

Dafür gibt es diverse Szenarien. Zum einen hängt die Verfügbarkeitsanforderung von der genutzten Technologie ab — bei RADIUS ist die Anforderung sehr hoch, während bei SNMP-, SSH-, REST-Kommunikation die Anforderung sehr gering ist, da die Netzwerkzugänge „offen bleiben“ und damit der Betrieb weiter möglich ist, mit einem Ausfall von macmon NAC würde also „nur“ die Sicherheit ausfallen. Bei der RADIUS-basierten Netzwerkzugangskontrolle besteht bei vielen Switches die Möglichkeit eine „Fallback“ oder „Default“ oder auch „802.1X-Open“-Konfiguration zu hinterlegen, so dass bei einem Ausfall des RADIUS-Servers von macmon die entsprechende Konfiguration greift. Ergänzend ist für macmon NAC aber auch eine Hochverfügbarkeitslösung in Form der macmon Skalierbarkeit erhältlich. Dabei besteht dann die Möglichkeit eine ganze Reihe von Servern zu betreiben und zentral zu managen, so dass bei einem Ausfall einfach das nächste System eingreift bzw. als RADIUS-Server zur Verfügung steht.

Wie kann ich steuern, wenn sich eine MAC Adresse ändert durch z. B. einer Dockingstation?

Die Frage ist leider nicht ganz eindeutig zu beantworten — in Verbindung mit Dockingstations gibt es verschiedene Szenarien. Weiter oben haben wir bereits erläutert was die Übertragung der Informationen von baramundi an macmon betrifft. Für den reinen NAC-Betrieb ist zu ergänzen, dass macmon alle MAC-Adressen erkennt und speichert, ergänzend aber auch diverse weitere Endgeräteeigenschaften. Damit besteht die Möglichkeit Regeln getrennt für Dockingstations einzurichten, aber auch z. B. in Verbindung mit 802.1X (RADIUS-basiert) statt über die MAC-Adresse das Gerätekonto, ein Zertifikat oder auch das Benutzerkonto des Endgerätes die Entscheidung über den Zugang zu treffen.

Gibt es von macmon eine NFR zum Testen gerade in Verbindung mit dem baramundi Test Server?

Ja. Für macmon NAC ist sowohl eine Testversion verfügbar als auch für macmon Vertriebspartner eine NFR-Version.

Testversion bestellen

Wie sieht es aus mit VMWARE VMs bei einem Einsatz von baramundi und macmon? Was ist möglich?

Eine VM ist seitens baramundi auch ein normaler Endpoint mit bspw. Windows. Dort können die Skripte genauso ausgeführt werden um auf macmons Seite Aktionen zu starten.

Kann das Kennwort, welches zur Authentifizierung in der API benötigt wird auch im BDS verschlüsselt gespeichert werden?

Skripte liegen gesichert auf dem baramundi management server und werden nicht auf Endgeräte etc. ausgerollt. Die Sicherung des Zugriffs kann daher über entsprechende Berechtigungen sichergestellt werden.

Können über macmon dann auch noch Geräte in das Netz gelassen werden, die nicht mit baramundi verwaltet werden?

Ja. macmon NAC pflegt eine eigene „Whitelist“ der Endgeräte und Zugangskonfigurationen, die neben den Geräten aus baramundi auch jegliche weiteren Geräte beinhalten kann. Es gibt hier keinerlei Einschränkungen.

Wenn ein Client in baramundi gelöscht wird, wird er dann auch in macmon entfernt?

Nein, es muss dazu ein Job laufen. Zum Beispiel ein End-Of-Life-Job. Ein Datenabgleich findet (noch) nicht statt.

Wie werden die Switches von macmon aus „gesteuert“?

macmon NAC kommuniziert mit den Switches über die Protokolle SNMP, SSH, Telnet und HTTPS. Darüber werden sowohl Informationen gelesen als auch Konfigurationsänderungen durchgesetzt. Dabei schreibt macmon NAC Änderungen immer nur in die „Running-Config“, so dass die ursprünliche Konfiguration des Switches unverändert erhalten bleibt. Über diese Methoden können sowohl die VLANs pro Port geschaltet werden als auch eine Aktivierung / Deaktivierung einzelner Ports vorgenommen werden.

Welche baramundi Module werden für die Arbeit mit macmon benötigt? Bzw. welche sind optional?

Erforderlich ist das Modul Deploy, um die Skripte auszuführen. Empfehlenswert sind alle weiteren Sicherheits- und Inventarisierungsmodule, welche Daten ermitteln die zu Ihren Compliance-Ansprüchen passen.

Braucht man für Compliance die Lizenz auf beiden Systemen?

  • baramundi-seitig reicht es das Skript anzustarten (Deploy).
  • Für macmon NAC wird das Premium Bundle benötigt, welches das Compliance-Modul beinhaltet.

In baramundi haben manche Geräte mehrere MAC-Adressen, wie wird hiermit umgegangen?

Aktuell wird die primäre MAC-Adresse beim ausführen der Skripte verwendet. 

Sind denn alle Netzwerkdosen gepatcht und macmon konfiguriert den Switch entsprechend?

Ja, ganz genau. macmon prüft, welches Endgerät an welchem Port angeschlossen ist und konfiguriert dann automatisch das zugehörige VLAN pro Port.

Werden Ruckus-Switche unterstützt?

Grundsätzlich ja. Es empfiehlt sich aber immer nochmal ein Abgleich mit den genauen Typen oder direkt ein Test, um die Geräte zu identifizieren und Kommunikationsmethoden zuzuorden. macmon NAC macht das nahezu vollautomatisch, so dass ein Test mit sehr geringem Aufwand verbunden ist.

Jetzt testen starten

Welche Technik wird genutzt, um die „UFOs“ im Netz zu entdecken und was kann darüber ausgelesen werden?

macmon kommuniziert mit allen Netzwerkgeräten im Netzwerk und erhält darüber die Information über alle angeschlossenen Endgeräte. Ergänzend zu der noch recht dürftigen Information können dann diverse weitere Scans direkt auf die Endgeräte gemacht werden, um mittels WMI, SNMP, Footprinting (Portscan) oder Fingerprinting weitere Details zu ermitteln und die Endgeräte genauer zu identifzieren. Sämtliche Informationen werden aufbereitet im Berichtswesen zur Verfügung gestellt für entsprechende Analysen. In Kombination mit baramundi ist diese Analyse nochmals erheblich einfacher, da bekannte Unternehmensgeräte bereits als solche hinterlegt werden können und damit nur noch „unbekannte“ Geräte genauer betrachtet werden müssen — der Fokus wird also quasi direkt auf die UFOs gerichtet.

Was muss vorab an den Switchkonfigs und APs beachtet oder gemacht werden, damit man macmon reinbungslos implementieren kann?

macmon benötigt lesende und schreibende Zugangsdaten für die Netzwerkgeräte. Die gewünschten VLANs sollten auf den Geräten bereits verfügbar sein und wenn RADIUS-basiertes NAC (802.1X) genutzt werden soll, muss die IP-Adresse (oder mehrere) von macmon auf den Netzwerkgeräten als RADIUS-Server hinterlegt werden sowie entsprechende RADIUS-Credentials angelegt werden.

Das betrifft so aber bereits die vollständige Inbetriebnahme. Für einen ersten Schritt, einen Test oder einen monitorenden Betrieb müssen in der Regeln keine Konfigurationen vorgenommen werden. Mit den Zugangsdaten ist macmon bereits in der Lage alle erforderlichen Informationen einzusammeln und damit auch aufzuzeigen, welche Änderungen eventuell noch nötig sind.

Ab welcher macmon-Version besteht diese Integration / was tun wenn baramundi nicht unter der Drittanbieter-Integration auftaucht?

Die Kachel ist recht jung in der NAC-GUI implementiert. Diese ist aber der Version 5.26 sichtbar.

Aktuelle Version downloaden

 

Welche genauen Berechtigungen benötigt das „Admin-Konto“ der Drittanbieter-Integration?

Der verwendete macmon-User braucht Schreibrechte für die Endgerätegruppen zu denen Endgeräte hinzugefügt werden sollen, bzw. Schreibrechte auf die Endgerätegruppen in denen sich Endgeräte befinden, welche einen Compliance-Status von baramundi erhalten sollen.

Wird zwischen WLAN MAC und LAN MAC unterschieden?

Oder werden beide MAC-Adressen immer in die gleiche macmon-Gruppe eingetragen?

Beim Download der Skripte oder im Skript selbst können die Zielgruppen definiert werden. Diese können auch unterschiedlich verwendet/zugewiesen werden. Oder auch im Skript angepasst werden, dass eine WLAN IP eine andere Gruppe verwenden soll als eine LAN IP. (Sofern anhand von den MAC Adressen alleine nicht unterschieden werden kann).

Ergänzend können weitere Eigenschaften übertragen werden, indem die Skripte entsprechend erweitert werden. Dies ist jedoch sehr individuell, da teilweise bei Endgeräten für den LAN-Zugang andere Vorgaben gemacht werden als für den WLAN-Zugang. Bei konkretem Interesse unterstützen wir hier aber gerne bei der Weiterentwicklung und Abbildung der Use-Cases.

Wie wird die Integration von baramundi und macmon lizenziert? Sind Lizenzen für beide Produkte notwendig?

  • Bei baramundi ist das Modul Deploy erforderlich, um die Skripte auszuführen. Empfehlenswert sind alle weiteren Sicherheits- und Inventarisierungsmodule, welche Daten ermitteln die zu Ihren Compliance-Ansprüchen passen. 
  • Bei macmon NAC ist das Premium Bundle notwendig.

Werden wir die BDS Skripte auch bekommen?

Die Skripte sind von der macmon-Appliance herunterladbar.

Auf welcher Basis (Protokolle) wird das Netzwerk gescannt?

macmon kommuniziert mit allen Netzwerkgeräten im Netzwerk und erhält darüber die Information über alle angeschlossenen Endgeräte. Ergänzend zu der noch recht dürftigen Information können dann diverse weitere Scans direkt auf die Endgeräte gemacht werden um mittels WMI, SNMP, Footprinting (Portscan) oder Fingerprinting weitere Details zu ermitteln und die Endgeräte genauer zu identifzieren. Sämtliche Informationen werden aufbereitet im Berichtswesen zur Verfügung gestellt für entsprechende Analysen. In Kombination mit baramundi ist diese Analyse nochmals erheblich einfacher, da bekannte Unternehmensgeräte bereits als solche hinterlegt werden können und damit nur noch „unbekannte“ Geräte genauer betrachtet werden müssen — der Fokus wird also quasi direkt auf die UFOs gerichtet.

In welchen Versionen der beiden Lösungen wird die Schnittstelle unterstützt, bzw. ab wann?

Ab der macmon-Version 5.26. Die aktuellste Version ist die 5.27. baramundi unterstützt die Aufrufe der serverseitigen Aktionen und der Skripte schon seit mindestens 2014. Die Tests wurden jedoch erst mit der baramundi Version 2021 R1 gefahren.

© macmon secure GmbH