Test: Open-Source und kostenlose NAC-Lösungen

Management mit GUI und Browser

SNMP ist deshalb so wichtig, weil FreeNAC über das Auslesen der MAC-Tables im Switch erkennt, ob und welche neuen Geräte sich mit dem Netzwerk verbunden haben. Die Wahl der Passwörter ist frei, muss aber bei allen Switches für Public und Private Community gleich sein. Falls der Switch das unterstützt, sollten auch dessen Access-Control-Listen für SNMP mit der IP-Adresse des FreeNAC-Servers gefüllt sein.

Über die Windows-GUI lassen sich die Ports der Switches umfassend steuern. So ist die VLAN-Zuordnung ebenso möglich wie das Abschalten eines Ports oder das Löschen seiner MAC-Tables.

Um das Enforcement mit 802.1x umzusetzen, wird ein FreeRADIUS-Server genutzt, der bereits Bestandteil der VM ist. Der Server verwendet die MAC-Adresse des Endgeräts, um es, je nach Ergebnis der Prüfung auf Berechtigung, in ein entsprechendes VLAN zu verschieben. Voraussetzung ist ein 802.1x-fähiger Switch, im Test kam ein D-Link DGS 3200-10 zum Einsatz. Der Switch musste in die Config-Datei des Radius-Servers unter /etc/freeradius eingetragen werden. Dazu kann man den Beispieleintrag am Ende der Datei als Muster heranziehen und bei mehreren Switches kopieren. Soll Active Directory als Authentisierungslieferant zum Einsatz kommen, gibt es eine ausführliche Anleitung an dieser Stelle: www.freenac.net/en/installguide/802.1x/active_directory.

Fazit FreeNAC

FreeNAC ist eine umfangreiche NAC-Lösung, mit der zahlreiche Projekte umgesetzt werden können. Der Anwender benötigt aber sehr gute Linux-Kenntnisse, um die Plattform in seinem Netzwerk zu implementieren. Die stellenweise unstrukturierte und unvollständige Dokumentation macht das nicht einfacher, hier sollten die Projektverantwortlichen in Zukunft einen Schwerpunkt setzen. (ala)