Vielen Dank für Ihre Anmeldung für das Webinar:

QUADRATISCH ■ PRAKTISCH ■ GUT ■

Wie Ritter Sport sein Netzwerk mit macmon NAC sichert

Wir freuen uns über Ihr reges Interesse und die vielen Fragen, die während des Webinars gestellt wurden.
Leider konnten wir aufgrund der Kürze nicht alle Fragen beantworten, daher möchten wir dies gerne nachholen.

Wenn Sie weitere Informationen wünschen, würden wir uns sehr über den persönlichen Kontakt freuen.
Unser Team nimmt sich sehr gerne Zeit, Sie ausführlich zu beraten.

 

KONTAKT

Fragen und Antworten

Wie entscheidet macmon ob ein Gerät ein Gast ist oder nicht?

Initial wird anhand von der MAC unterschieden (bekannte MACs können zusätzlich über Advanced Security überprüft werden, SSH-Fingerprint, TLS-Fingerprint, WMI oder SNMP Check oder Footprinting/NMAP). Geräte können aufgrund von speziellen Prozessen gelernt werden z. B. 802.1X mit ComputerAccount aus dem AD.

Kann ich mehrere unabhängige Domänen mit macmon/Radius bedienen?

Nein, aber dieses Feature ist für eine Umsetzung in Kürze geplant. Multi-Domain für verschiedene Logins bzgl. macmon GUI und Gästeportal gibt es bereits.

Wie hoch ist der Betreuungs-/Betriebsaufwand innerhalb der IT? Ist 24/7-Support notwendig bei weltweit agierenden Unternehmen?

Aufwand entsteht nach der Einrichtung nur (bzw. hauptsächlich) beim Hinzufügen / Austausch von Netzwerkkomponenten. Oder wenn bspw. vergessen wurde, Firmengeräte freizuschalten. Somit eher ein geringer Aufwand.  Wir (Ritter Sport) haben (noch) keinen 24/7-Support von macmon, weil er bisher nicht benötigt wurde.

Wer sind Sponsoren bei Ritter?

IT-Service (Helpdesk) und Produktionstechnik (jeweils für entsprechende Bereiche).

Wurde das NAC nur in der Zentrale umgesetzt oder auch in anderen Standorten?

Zuerst Hauptstandort, dann nach und nach alle. Aktuell an allen Standorten aktiv.

Kann man den Switch Viewer genauer beleuchten, welche Möglichkeiten das Add-on anbietet?

Von den vorhandenen Netzwerkkomponenten werden Details wie die Seriennummern, Portkonfigurationen bezüglich Geschwindigkeit, Betriebsmodus, VLANs, Interfacedetails und Standort ausgelesen und mittels der macmon REST-API zur Synchronisation mit bestehenden CMDBs oder Asset-Management-Systemen angeboten.

Lassen sich die V-LAN zentral einrichten und über die Switche hinweg in macmon ausrollen?

Nein, die VLANs müssen grundsätzlich auf den Switches vorhanden sein. macmon ändert die Portzuordnung / -Mitgliedschaft.

Scannt macmon über nicht-managebare Switche ebenfalls hinweg, auch wenn dahinter weitere Netzwerk-Komponenten sich befinden?

macmon scannt jeden managebaren Switch und managed auch diese Ports. Wenn mehrere Endgeräte an einem Port angeschlossen sind, betrachten wir die gesamte Situation anhand der konfigurierten Vorgaben für jedes Endgerät und setzen die Policy durch. Dafür gibt es auch Konfliktfallbehandlungen und Fallback-Behandlungen.

Kann macmon die MACs aus den DHCP-Reservierungen auslesen oder einer zentralen Datenbank, um bekannte Endgeräte zu erkennen?

Wir können Daten von DHCP-Servern einholen. Wurde im Webinar bereits anhand von Infoblox und Bluecat tiefergehend erläutert.

Wie lässt sich die Installation via PXE über macmon gestalten? Mit der Netzwerkkontrolle hat man ja ein Hänne-Ei Problem, da dass Gerät "unbekannt" ist aber ins interne Netz sollte, um von baramundi erreicht zu werden?

Ja, das sollte gehen. Initial nur MAC-basierte Authentifizierung und nach der PXE-Installation per 802.1X ins richtige Netz. Es gibt noch weitere Prozesse, die dies möglich machen sollten. baramundi kann uns in dem jeweiligen Fall Bescheid geben.

Gibt es eine Liste der unterstützten Geräte?

Ja, die Klassenliste.

Wie gestaltet sich der Preis/die Lizenzierung der macmon-Lösung?

Die Lizenzen ergeben sich aus den sogenannten macmon Nodes. Dies sind die MAC-Adressen der überwachten Geräte. Hat ein Gerät mehrere MAC-Adressen, so können diese zu einer Lizenz zusammen gefasst werden.

Wie funktioniert das mit den individuellen Zugriffen auf den Switch genau technisch?

Wir sind herstellerunabhänigig und unterstützen alle gängigen Hersteller. Die Authentifizierung wird per RADIUS an macmon geleitet und macmon kann dann gegen die eigene Datenbank oder z.B. das AD prüfen.

Dient der macmon-Server als DHCP? wie erkennt der Server neue Geräte im Netzwerk, IP, Mac?

macmon ist DHCP-Server im Bereich unserer Gästeportals. macmon erkennt Endgeräte via SNMP-Traps, periodischem (meist minütlichem) Scannings oder via RADIUS-Anfragen, welche an macmon gesendet werden. Sonstige Daten werden über das Monitoring von Switches, Routern, Firewalls, DHCP und DNS Server erfragt. Wir haben APIs um Daten zusätzlich von anderen Systemen zu erhalten oder Daten bereitzustellen.

In welchem Zeitraum haben Sie die macmon-Lösung implementiert?

Für die Erstimplementierung mit Basic-Konfig haben wir ca. 1 Personentag benötigt. Die Feineinstellung, inklusive Aktivierung an anderen Standorten (und Konfig) haben dann nochmal ca. 2 Wochen in Anspruch genommen. 

Wir setzen macmon bei 14 Geno-Banken ein. Für Kunden ist das Produkt und die Wartung ein nicht unerheblicher Kostenfaktor. Neues Features, wie der Switch Viewer, sollte durch Wartungseinnahmen finanziert werden. Seperate Lizenz-Gebühren sind zu teuer.

Neuere Features wie Past Viewer, Switch Viewer und insbesonder die Skalierbarkeit sind Module, die einen eindeutigen Mehrwert bieten und deshalb separat angeboten werden. Auch diese Module unterliegen einer stetigen Weiterentwicklung im Rahmen der dazugehörigen Wartungsverträge. Die Weiterentwicklung des Hauptsystems macmon 5 hat allein in den letzten 12 Monaten 5 Hauptreleases mit Bergen an neuer Funktionalität geliefert.

© macmon secure GmbH