Log in
+41 41 610 6363

Network Access Control

Überwachung und Sicherheit für Ihr Netzwerk

<

Übersicht

PacketFence ist eine vollständig unterstützte, vertrauenswürdige, freie und Open Source Network Access Control (NAC) Lösung. Mit einem Captive-Portal für die Registrierung und Bereitstellung, zentralisiertem drahtgebundenem und drahtlosem Management, 802.1X-Unterstützung, Layer-2-Isolation von nicht vertrauenswürdigen Geräten, Integration mit dem Snort IDS und dem Nessus Vulnerability Scanner. PacketFence kann genutzt werden, um Netzwerke effektiv zu sichern - von kleinen bis sehr grossen heterogenen Netzwerken.

Architektur von Komponenten

Netzwerk Architektur

Umsetzung

Out-of-Band-Bereitstellung

Der Betrieb von PacketFence ist völlig out-of-band, was es ermöglicht, die Lösung geografisch zu skalieren und nachgiebiger zu sein. Bei der Verwendung der richtigen Technologie (wie Port-Sicherheit) kann ein einzelner PacketFence Server verwendet werden, um Hunderte von Switches und viele tausend Knoten zu sichern.

Inline-Bereitstellung

Während Out-of-Band die bevorzugte Art der Bereitstellung von PacketFence ist, wird ein Inline-Modus auch für unmanageable drahtgebundene oder drahtlose Geräte unterstützt. Die Bereitstellung von PacketFence mit dem Inline-Modus kann auch in wenigen Minuten durchgeführt werden! Beachten Sie auch, dass der Inline-Modus sehr gut zusammen mit einer Out-of-Band-Bereitstellung koexistieren kann.

Authentifizierung & Registrierung

802.1X Support

Wireless und verdrahtet 802.1X wird durch ein FreeRADIUS-Modul unterstützt, das in PacketFence enthalten ist. PEAP-TLS, EAP-PEAP und viele weitere EAP-Mechanismen können verwendet werden.

Registrierung von Geräten

PacketFence unterstützt einen optionalen Registrierungsmechanismus ähnlich wie "Captive Portal" Lösungen. Im Gegensatz zu den meisten Captive-Portal-Lösungen erinnert sich PacketFence an Benutzer, die zuvor registriert wurden und geben ihnen automatisch Zugriff ohne weitere Authentifizierung. Natürlich ist das auch konfigurierbar. Eine akzeptable Nutzungsrichtlinie kann so festgelegt werden, dass Benutzer den Netzwerkzugriff nicht aktivieren können, ohne sie zuerst zu akzeptieren.

Wireless Integration

PacketFence integriert sich perfekt mit drahtlosen Netzwerken über ein FreeRADIUS-Modul. Dies ermöglicht Ihnen, Ihre drahtgebundenen und drahtlosen Netzwerke auf die gleiche Weise mit der gleichen Benutzerdatenbank zu sichern und das gleiche Captive-Portal zu verwenden und eine konsistente Benutzererfahrung zu gewährleisten. Das Mischen von Access Points (AP) -Vendoren und Wireless-Controllern wird unterstützt.

Voice over IP (VoIP) Support

Auch IP-Telefonie (IPT) genannt, ist VoIP für mehrere Switch-Anbieter (Cisco, Edge-Core, HP, LinkSys, Nortel Networks und vieles mehr) voll unterstützt (auch in heterogenen Umgebungen).

Compliance

Erkennung abnormaler Netzwerkaktivitäten

Abnorme Netzwerkaktivitäten (Computerviren, Würmer, Spyware, Verkehr, die durch Etablierungsrichtlinien verweigert werden, etc.) können mit lokalem und entferntem Snort, Suricata oder kommerziellen Sensoren erkannt werden. Content Inspektion ist auch mit Suricata möglich und kann mit Malware-Hash-Datenbanken wie OPSWAT Metadefender kombiniert werden. Über die einfache Erkennung hinaus schreibt PacketFence einen eigenen Alarm- und Unterdrückungsmechanismus für jeden Alert-Typ. Für Administratoren steht eine Reihe von konfigurierbaren Aktionen für jeden Verstoß zur Verfügung.

Windows Management Instrumentation (WMI)

WMI-Unterstützung in PacketFence ermöglicht es einem Administrator, Audits durchzuführen, Befehle auszuführen und noch mehr auf beliebigen Domänen-verbundenen Windows-Computern auszuführen. Beispielsweise kann PacketFence überprüfen, ob einige nicht autorisierte Software installiert und / oder ausgeführt wird, bevor der Netzwerkzugriff gewährt wird.

Statement of Health

Während einer 802.1X Benutzerauthentifizierung kann PacketFence eine vollständige Haltungsbewertung des Verbindungsgeräts mit dem TNC Statement of Health Protokoll durchführen. Beispielsweise kann PacketFence überprüfen, ob ein Antivirus installiert und aktuell ist, wenn Betriebssystem-Patches alle angewendet werden und vieles mehr - alles ohne installierten Agenten auf dem Endgerät!

Proaktive Schwachstellen-Scans

Nessus- oder OpenVAS-Schwachstellen-Scans können bei der Registrierung, geplanten oder auf Ad-hoc-Basis durchgeführt werden. PacketFence korreliert die Nessus / OpenVAS-Schwachstellen-IDs von jedem Scan auf die Verletzungskonfiguration und gibt Content-spezifische Webseiten zurück, über die die Wähler des Hosts verfügen kann.

Sicherheits Agents

PacketFence integriert sich mit Sicherheitsagentenlösungen wie OPSWAT Metadefender Endpoint Management, Symantec SEPM und anderen. PacketFence kann sicherstellen, dass der Agent immer installiert ist, bevor der Netzwerkzugriff gewährt wird. Es kann auch die Position des Endpunkts überprüfen und es von anderen Endpunkten isolieren, wenn es nicht konform ist.

Remediation durch ein Captive Portal

Einmal gefangen, wird der gesamte Netzwerkverkehr durch das PacketFence-System beendet. Basierend auf den aktuellen Status der Knoten (unregistriert, offener Verstoß usw.) wird der Benutzer auf die entsprechende URL umgeleitet. Im Falle eines Verstoßes wird der Benutzer mit Anweisungen für die jeweilige Situation, in der er / sie ist, verkürzt, wodurch kostspielige Helpdesk-Interventionen reduziert werden.

Isolation von problematischen Geräten

PacketFence unterstützt mehrere Isolationstechniken, einschließlich VLAN-Isolation mit VoIP-Unterstützung (auch in heterogenen Umgebungen) für mehrere Switch-Anbieter.

Administration

Command-line and Web-based Management

Web-basierte und Befehlszeilenschnittstellen für alle Managementaufgaben. Web-basierte Verwaltung unterstützt unterschiedliche Berechtigungsstufen für Benutzer und die Authentifizierung von Benutzern gegen LDAP oder Microsoft Active Directory.

Erweiterte Funktionen

Flexibles VLAN Management and Role-Based Access Control

Die Lösung wird um das Konzept der Netzwerkisolation durch VLAN-Zuordnung aufgebaut. Näheres darüber, wie diese Arbeit auf der Seite "Technische Einleitung" steht. Aufgrund der langjährigen Erfahrung und der zahlreichen Einsätze wuchs das VLAN-Management von PacketFence im Laufe der Jahre sehr flexibel. Ihre VLAN-Topologie kann so gehalten werden, wie es ist und nur zwei neue VLAN müssen in Ihrem Netzwerk hinzugefügt werden: Registrierung VLAN und Isolation VLAN. Darüber hinaus kann PacketFence auch Rollen von vielen Geräteanbietern nutzen.

VLAN und Rollen können mit den verschiedenen Mitteln vergeben werden:

  • Pro Switch (Voreinstellung für VLAN)
  • Pro Client-Kategorie (Standard für Rollen)
  • Pro Kunde
  • Mit jeder beliebigen Entscheidung (wenn Sie unsere Perl-Erweiterungen verwenden)

Auch kann die Per-Switch-Methode mit den anderen kombiniert werden. Zum Beispiel kann mit einem Standard-Paket-Setup-Setup ein VLAN oder eine Rolle Ihren Druckern und Ihren PCs (falls richtig kategorisiert) zugeordnet werden, je nachdem, welches Gerät sie angeschlossen sind. Dies bedeutet, dass Sie leicht per-Gebäude per-Gerät Typ VLANs haben können.

Guest Access - Bring Your Own Device (BYOD)

Heutzutage beschäftigen sich die meisten Organisationen mit vielen Beratern aus verschiedenen Firmen vor Ort, die einen Internet-Zugang für ihre Arbeit erfordern. In den meisten Fällen wird ein Zugang zum Firmennetzwerk mit wenig bis gar keinem Audit des Einzelnen oder Gerätes gegeben. Auch ist es selten erforderlich, dass sie Zugang zu der internen Unternehmensinfrastruktur haben, es wird so getan, um den Verwaltungsaufwand zu vermeiden (per-port-VLAN-Management).

PacketFence unterstützt einen speziellen Gast-VLAN oder eine Rolle aus der Box. Wenn du ein Gast-VLAN benutzt, konfigurierst du dein Netzwerk so, dass das Gast-VLAN nur ins Internet geht und das Registrierungs-VLAN und das Captive-Portal die Komponenten sind, die dem Gast erklärt werden, wie man sich für den Zugang registriert und wie sein Zugriff funktioniert. Dies ist in der Regel von der Organisation, die den Netzzugang. Mehrere Anmeldungen sind möglich:

  • Manuelle Anmeldung der Gäste
  • Kennwort des Tages
  • Selbstregistrierung (mit oder ohne Anmeldeinformationen)
  • Gastzugang Sponsoring (Angestellter für einen Gast)
  • Gastzugang durch E-Mail-Bestätigung aktiviert
  • Gastzugang durch Mobilfunkbestätigung aktiviert (mit SMS)
  • Gastzugang durch eine Facebook / Google / GitHub-Authentifizierung aktiviert

PacketFence unterstützt auch Gastzugang Bulk Kreationen und Importe. PacketFence integriert sich auch mit Online-Abrechnungslösungen wie Authorize.net, PayPal, Stripe und mehr. Mit dieser Integration können Sie Online-Zahlungen behandeln, die für einen ordnungsgemäßen Netzzugang erforderlich sind.

Portal Profiles

PacketFence unterstützt das Konzept der Portalprofile. Ein Portalprofil definiert den Registrierungs-Workflow, der verwendet wird, zusammen mit Registrierungs- und Remediationsseite.

Mit PacketFence können Sie verschiedene Portalprofile auf Basis eines VLAN- oder SSID-Attributs definieren. Das bedeutet zum Beispiel, dass Sie verschiedene Portalprofile für Ihre drahtgebundenen und drahtlosen Netzwerke definieren können. Oder du kannst per-SSID Portalprofile definieren.

More Built-in Violation Types

Wenn man automatisch bestimmte Geräte in deinem Netzwerk blockiert? PacketFence ist für Sie. Neben der Verwendung von Windows Management Instrumentation (WMI), Snort, Suricata, OpenVAS oder Nessus als Informationsquelle kann PacketFence die folgenden Erkennungsmechanismen kombinieren, um den Netzwerkzugriff von diesen unerwünschten Geräten effektiv zu blockieren:

DHCP Fingerprint
      PacketFence kann Geräte basierend auf ihrem DHCP-Fingerabdruck blockieren. Fast alle Betriebssysteme gibt einen einzigartigen DHCP Fingerabdruck. PacketFence kann diese Informationen nutzen und den Netzwerkzugriff von diesen Geräten blockieren. Basierend auf DHCP-Fingerabdrücken können Sie zB automatisch blockieren:

 

    • Sony PlayStation Konsole or jede andere Konsole
    • Wireless access points (WAPs)
    • VoIP Telefone
  • User-Agent
    PacketFence kann Geräte basierend auf dem bereitgestellten User-Agent blockieren, wenn diese bestimmten Geräte Netzwerkaktivitäten mit ihrem eingebetteten Webbrowser ausführen. Mit diesem können Sie automatisch blockieren, zum Beispiel:
    • Apple iPod oder iPhone Geräte
    • Jeder, der eine alte Microsoft Internet Explorer (IE) Version verwendet
  • MAC Adressen
    PacketFence kann den Netzwerkzugriff auf Geräte mit einem bestimmten MAC-Adressmuster blockieren. Mit diesem können Sie automatisch blockieren, zum Beispiel alle Geräte von einem bestimmten Netzwerk-Anbieter.

Automatische Registrierung

PKI und EAP-TLS Support

Expiration

Geräteverwaltung

Floating Network Devices

Flexible Authentifizierung

Microsoft Active Directory Integration

Routed Networks

Gradual Deployment

Pass-Through

Hohe Verfügbarkeit

Supported Hardware

Standards-Based

Extensible / Easily Customizable

 

VLAN Zuordnungstechniken

Die VLAN-Zuordnung erfolgt derzeit mit verschiedenen Techniken. Diese Techniken sind kompatibel zueinander, aber nicht auf demselben Switch-Port. Dies bedeutet, dass Sie die sichereren und modernen Techniken für Ihre neuesten Switches und eine andere Technik auf den alten Switches verwenden können, die keine neuesten Techniken unterstützt. Wie der Name schon sagt, bedeutet VLAN-Zuweisung, dass PacketFence der Server ist, der das VLAN einem Gerät zuweist. Dieses VLAN kann eines Ihrer VLANs sein oder es kann ein spezielles VLAN sein, in dem PacketFence als DHCP / DNS / HTTP Server fungiert, wo es das Captive Portal betreibt.

Im Vergleich zu den Legacy-Betriebsarten von PacketFence (ARP und DHCP) können VLAN-Zuweisungen Ihre Hosts effektiv auf dem OSI Layer2 isolieren, was bedeutet, dass es die schwierigste Methode ist, zu umgehen und ist diejenige, die sich am besten an Ihre Umgebung anpasst, da sie in Ihre aktuelle VLAN-Zuweisungsmethode einklebt.

Wired: 802.1X + MAC Authentication Bypass (MAB)

802.1X bietet eine port-basierte Authentifizierung, die Kommunikation zwischen einem Supplicant, Authenticator (bekannt als NAS) und Authentifizierungsserver (bekannt als AAA) beinhaltet. Der Supplicant ist oft Software auf einem Client-Gerät, wie ein Laptop, der Authenticator ist ein drahtgebundener Ethernet-Switch oder Wireless Access Point, und der Authentifizierungsserver ist in der Regel eine RADIUS-Datenbank.

Der Supplicant (d.h. Client-Gerät) ist nicht erlaubt, über den Authentifizierer in das Netzwerk zuzugreifen, bis die Supplicant-Identität autorisiert ist. Bei der Port-basierten Authentifizierung mit 802.1X bietet der Supplicant dem Authenticator Anmeldeinformationen wie Benutzername / Passwort oder digitales Zertifikat an, und der Authentifizierer leitet die Anmeldeinformationen an den Authentifizierungsserver zur Überprüfung weiter. Wenn die Anmeldeinformationen gültig sind (in der Authentifizierungsserver-Datenbank), darf der Supplicant (Client-Gerät) auf das Netzwerk zugreifen. Das Protokoll für die Authentifizierung heißt Extensible Authentication Protocol (EAP), das viele Varianten hat. Beide Supplicant- und Authentifizierungsserver müssen das gleiche EAP-Protokoll sprechen. Unter den populären sind EAP-MD5, PEAP-MsCHAPv2 (verwendet von Windows für die Authentifizierung gegen Active Directory) oder EAP-TLS.

In diesem Zusammenhang führt PacketFence den Authentifizierungsserver (eine FreeRADIUS-Instanz) aus und gibt das entsprechende VLAN an den Switch zurück. Ein Modul, das sich in FreeRADIUS integriert, führt einen Remote-Aufruf zum PacketFence Server durch, um diese Informationen zu erhalten. Immer mehr Geräte haben 802.1X Supplicant, was diesen Ansatz immer beliebter macht.

MAC-Authentifizierungs-Bypass (MAB) ist ein neuer Mechanismus, der von einem Switch-Anbieter eingeführt wird, um die Fälle zu behandeln, in denen ein 802.1X-Supplicant nicht existiert. Nach einer Timeout-Periode hört der Switch auf, 802.1X auszuführen und wird auf MAB herunterfallen. Es hat den Vorteil, den gleichen Ansatz wie 802.1X zu verwenden, außer dass die MAC-Adresse anstelle des Benutzernamens gesendet wird und dass es keine End-to-End-EAP-Konversation gibt (keine starke Authentifizierung). Mit MAB können Geräte wie Netzwerkdrucker oder Nicht-802.1X-fähige IP-Telefone (IPT) weiterhin Zugriff auf das Netzwerk und das richtige VLAN erhalten.

Im Moment ist diese Integration nicht angenehm, da es sich um eine manuelle Änderung unseres FreeRADIUS-Moduls handeln könnte, aber unser aktueller unveröffentlichter Code verarbeitet bereits 802.1X + MAB in die PacketFence-Hauptkonfiguration. Wenn Sie abenteuerlich sind, fühlen Sie sich frei, es auszuprobieren.

Mit SNMP Traps

Alle Switch-Ports (auf denen die VLAN-Isolation durchgeführt werden soll) müssen so konfiguriert sein, dass sie SNMP-Traps an den PacketFence-Host senden. Auf PacketFence verwenden wir snmptrapd als SNMP-Trap-Empfänger. Da es Fallen empfängt, formatiert und schreibt sie sie in eine flache Datei: /usr/local/pf/logs/snmptrapd.log. Der Multithread-Pfsetvlan-Daemon liest diese Fallen aus der Flat-Datei und reagiert darauf, indem sie den Switch-Port auf das richtige VLAN setzt. Je nach Switch-Funktion wird pfsetvlan auf verschiedene Arten von SNMP-Traps reagieren. Sie müssen ein Registrierungs-VLAN (mit einem DHCP-Server, aber kein Routing zu anderen VLANs) erstellen, in dem PacketFence unregistrierte Geräte platziert. Wenn Sie Computer, die offene Verletzungen in einem separaten VLAN haben, isolieren möchten, muss auch ein Isolations-VLAN erstellt werden.

Link Change Traps

Dies ist die grundlegendste Einrichtung und es braucht ein drittes VLAN: die MAC-Erkennung VLAN. Es sollte nichts in diesem VLAN (kein DHCP-Server) geben und es sollte nicht überall verlegt werden; Es ist nur ein leeres VLAN.Wenn ein Host eine Verbindung zu einem Switch-Port herstellt, sendet der Switch eine linkUp-Trap an PacketFence. Da es einige Zeit dauert, bis der Switch die MAC-Adresse des neu angeschlossenen Gerätes lernt, setzt PacketFence sofort den Port in das MAC-Erkennungs-VLAN, in dem das Gerät DHCP-Anfragen sendet (ohne Antwort), damit der Switch seinen MAC lernt Adresse. Dann sendet pfsetvlan periodische SNMP-Abfragen an den Switch, bis der Switch den MAC des Gerätes lernt. Wenn die MAC-Adresse bekannt ist, prüft pfsetvlan seinen Status (vorhanden? Registriert? Irgendwelche Verstöße?) In der Datenbank und setzt den Port in das entsprechende VLAN.

Wenn ein Gerät ausgesteckt wird, sendet der Switch eine "linkDown" -Falle an PacketFence, die den Port in die MAC-Erkennung VLAN setzt. Wenn ein Computer startet, erzeugt die Initialisierung des NIC mehrere Linkstatusänderungen. Und jedes Mal, wenn der Switch eine linkUp und eine linkDown-Trap zu PacketFence sendet. Da PacketFence auf jeden dieser Fallen zu handeln hat, erzeugt dies leider eine unnötige Belastung von pfsetvlan. Um die Trap-Behandlung zu optimieren, stoppt PacketFence jeden Thread für einen 'linkUp trap', wenn er eine 'linkDown' Trap auf demselben Port empfängt. Aber nur linkUp / linkDown Traps ist nicht die skalierbarste Option. Zum Beispiel im Falle eines Stromausfalls, wenn Hunderte von Computern gleichzeitig booten, würde PacketFence eine Menge von Fallen fast sofort erhalten und dies könnte zu Netzwerkverbindungslatenz führen.

MAC Notifikationen traps

Wenn Ihre Switches MAC-Benachrichtigungs-Traps unterstützen (MAC gelernt, MAC entfernt), empfehlen wir Ihnen, sie zusätzlich zu den LinkUp / linkDown-Traps zu aktivieren. Auf diese Weise braucht pfsetvlan nach einer LinkUp-Falle den Switch nicht kontinuierlich abzufragen, bis der MAC endlich gelernt hat. Wenn es einen LinkUp-Trap für einen Port empfängt, auf dem auch MAC-Benachrichtigungs-Traps aktiviert sind, muss er nur den Port im MAC-Erkennungs-VLAN tippen und den Thread freigeben. Wenn der Switch die MAC-Adresse des Gerätes lernt, sendet er eine MAC-gelernte Trap (mit der MAC-Adresse) an PacketFence.

Port Security Traps

In seiner grundlegendsten Form erinnert sich die Port Security-Funktion an die MAC-Adresse, die mit dem Switch-Port verbunden ist, und erlaubt nur, dass die MAC-Adresse auf diesem Port kommuniziert. Wenn eine andere MAC-Adresse versucht, über den Port zu kommunizieren, wird die Port-Sicherheit es nicht zulassen und eine Port-Sicherheitsfalle senden.

Wenn Ihre Switches diese Funktion unterstützen, empfehlen wir Ihnen, es zu verwenden, anstatt linkUp / linkDown und / oder MAC-Benachrichtigungen. Warum ? Denn solange eine MAC-Adresse auf einem Port autorisiert ist und der einzige angeschlossen ist, sendet der Switch keine Fallen, ob das Gerät neu startet, Stecker oder Stecker zieht. Dadurch werden die SNMP-Interaktionen zwischen den Switches und PacketFence drastisch reduziert.

Wenn Sie Port-Sicherheits-Traps aktivieren, sollten Sie keine LinkUp / linkDown- oder MAC-Benachrichtigungs-Traps aktivieren.

Wireless Integration

Wireless 802.1X funktioniert so ziemlich wie verdrahtet 802.1X und MAC Authentifizierung ist wie MAB. Wo sich die Dinge ändern, ist der 802.1X zum Einrichten der Sicherheitsschlüssel für die verschlüsselte Kommunikation (WPA2-Enterprise) verwendet, während die MAC-Authentifizierung nur dazu verwendet wird, eine MAC-Adresse im drahtlosen Netzwerk zuzulassen oder zuzulassen.

PacketFence integriert sich sehr gut mit drahtlosen Netzwerken. Wie bei seinem kabelgebundenen Gegenstück muss der Switch, ein Wireless Access Points (AP) oder ein drahtloser Controller einige spezifische Funktionen implementieren, damit die Integration perfekt funktioniert. Insbesondere muss der Access Point oder Controller den Support unterstützen:

  • Mehrere SSIDs mit mehreren VLANs (mindestens 2) innerhalb jeder SSID
  • Authentifizierung gegen einen RADIUS-Server
  • Dynamische VLAN-Zuordnung (über RADIUS-Attribute)
  • Die Deauthentifizierung einer zugeordneten Station
  • Ein Mittel zur De-Associate oder De-Authentifizierung eines Clients über CLI (telnet oder SSH), SNMP, RADIUS Dyn-Auth * oder WebServices

Die meisten dieser Funktionen funktionieren aus der Box auf Enterprise Grade Access Points oder Wireless Controller. Wo die Situation beginnt zu variieren ist für De-Authentifizierung Unterstützung.

Ein CLI-basiertes (SSH oder telnet) ist eine fehleranfällige Schnittstelle und erfordert Vorbereitung für den SSH-Zugriff oder ist für telnet unsicher. Es wird in der Regel nicht empfohlen. SNMP-De-Authentifizierung funktioniert gut, wenn verfügbar. Die Lieferantenunterstützung ist jedoch nicht konsistent und die zu verwendenden OIDs sind nicht standardmäßig. RADIUS Dynamic Authorization (RFC3576), auch bekannt als RADIUS Change of Authorization (CoA) oder RADIUS Disconnect Messages wird von PacketFence ab Version 3.1 unterstützt. Wenn es unterstützt wird, ist es die bevorzugte Technik, eine De-Authentifizierung durchzuführen. Es ist Standard und erfordert weniger Konfiguration.

Schließlich können wir dann zwei SSIDs auf dem AP konfigurieren, die erste reserviert für Besucher und unregistrierte Clients. In dieser SSID werden die Kommunikation nicht verschlüsselt und die Benutzer verbinden sich entweder mit dem Registrierungs-VLAN oder dem Gast-VLAN (je nach Registrierungsstatus). Benutzer können sich registrieren und Hilfe erhalten, um ihren Zugriff auf die sichere SSID mit dem Captive-Portal zu konfigurieren, das eine Authentifizierung erfordert und über HTTPS läuft. Die zweite SSID ermöglicht verschlüsselte Kommunikation für registrierte Benutzer.

Unterstützte Netzwerkgeräte

Die folgenden Tabellen zeigen die drahtgebundenen und drahtlosen Geräte, die von PacketFence unterstützt werden. Diese Liste ist die aktuellste. Beachten Sie, dass im Allgemeinen alle verdrahteten Switches, die MAC-Authentifizierung und / oder 802.1X mit RADIUS unterstützen, von PacketFence unterstützt werden können.

Wired support

Switch SNMP MAC Authentication 802.1X Web Auth
3COM NJ220 SNMP      
3COM SS4200 SNMP      
3COM SS4500 SNMP      
3COM 4200G SNMP MAC Auth 802.1X  
3COM E4800G SNMP MAC Auth 802.1X  
3COM E5500G SNMP MAC Auth 802.1X  
Accton ES3526XA SNMP      
Accton ES3528M SNMP      
Alcatel-Lucent 6250/5450/6860   MAC Auth 802.1X  
Allied Telisis AT8000GS   MAC Auth 802.1X  
Amer SS2R24i SNMP      
Avaya (see Nortels) SNMP      
Brocade ICX64XX   MAC Auth 802.1X  
Brocade ICX66XX   MAC Auth 802.1X  
Brocade FastIron 4802 SNMP      
Brocade FCXXXXX   MAC Auth 802.1X  
Brocade FI-SXXXX   MAC Auth 802.1X  
Cisco Catalyst iOS XE   MAC Auth 802.1X  
Cisco 2900XL SNMP      
Cisco 2900XL SNMP      
Cisco 2950 SNMP   802.1X  
Cisco 2960 / 2970 SNMP MAC Auth 802.1X Web Auth
Cisco 3500XL Series SNMP      
Cisco 3550 SNMP MAC Auth 802.1X  
Cisco 3560 SNMP MAC Auth 802.1X Web Auth
Cisco 3750 SNMP MAC Auth 802.1X Web Auth
Cisco 4500 SNMP MAC Auth 802.1X Web Auth
Cisco 6500 SNMP MAC Auth 802.1X Web Auth
Cisco ISR 1800 Series SNMP      
Cisco IOS XE (all switches)   MAC Auth 802.1X Web Auth
Dell PowerConnect 3424 SNMP      
Dell/Force 10   MAC Auth 802.1X  
D-Link DES3526 SNMP      
D-Link DES3550 SNMP      
D-Link DGS3100   MAC Auth 802.1X  
D-Link DGS3200   MAC Auth 802.1X  
Edge-corE 4510   MAC Auth    
Enterasys D2 SNMP MAC Auth    
Enterasys Matrix N3 SNMP      
Enterasys SecureStack C2 SNMP      
Enterasys SecureStack C3 SNMP      
Extreme Networks Summit (XOS) SNMP MAC Auth 802.1X  
Extreme Networks EAS   MAC Auth 802.1X  
HP E4800G SNMP MAC Auth 802.1X  
HP E5500G SNMP MAC Auth 802.1X  
HP Procurve 2500 Series SNMP MAC Auth 802.1X  
HP Procurve 2600 Series SNMP MAC Auth 802.1X  
HP Procurve 2920 Series   MAC Auth 802.1X  
HP Procurve 3400cl Series SNMP      
HP Procurve 4100 Series SNMP      
HP Procurve 5300 Series SNMP MAC Auth 802.1X  
HP Procurve 5400 Series SNMP MAC Auth 802.1X  
HP/H3C S5120   MAC Auth 802.1X  
Huawei S2700   MAC Auth 802.1X  
Huawei S3700   MAC Auth 802.1X  
Huawei S5700   MAC Auth 802.1X  
Huawei S6700   MAC Auth 802.1X  
Huawei S7700   MAC Auth 802.1X  
Huawei S9700   MAC Auth 802.1X  
IBM/Lenovo StackSwitch G8052     802.1X  
Intel Express 460 SNMP      
Intel Express 530 SNMP      
Juniper Networks EX Series   MAC Auth 802.1X  
LG iPecs Series SNMP MAC Auth 802.1X  
Linksys SRW224G4 SNMP      
Netgear FGS Series SNMP      
Nortel BayStack 470 SNMP      
Nortel BayStack 4550 SNMP      
Nortel BayStack 5500 Series SNMP      
Nortel ERS 2500 Series SNMP      
Nortel ERS 4000 Series   MAC Auth    
Nortel ERS 4500 Series SNMP      
Nortel ERS 5500 Series SNMP      
Nortel ES325 SNMP      
Nortel BPS2000 SNMP      
SMC TS6128L2 SNMP      
SMC TS6224M SNMP      
SMC SMC8824M - SMC8848M SNMP      
Ubiquiti EdgeSwitch   MAC Auth 802.1X  

Wireless Support

Es gibt zwei Ansätze für drahtlose Netzwerke. Einer, wo ein Controller die Access Points (AP) verwaltet, oder ohne. PacketFence unterstützt beide Ansätze.

Wireless Controllers

Bei der Verwendung eines Controllers spielt es keine Rolle für PacketFence, welches einzelne AP unterstützt wird oder nicht. Solange der AP selbst von deinem Controller unterstützt wird und dein Controller von PacketFence unterstützt wird, wird es gut funktionieren.

PacketFence unterstützt die folgenden Wireless Controller:

Controller MAC Authentication 802.1X Web Auth
Aerohive AP Series MAC Auth 802.1X Web Auth
Aruba Networks (200, 600, 800, 2400, 3000, 6000, 7000, 7200) MAC Auth 802.1X Web Auth
AnyFi Controller MAC Auth 802.1X  
Avaya Wireless controllers   802.1X  
BelAir Networks (Ericsson) MAC Auth 802.1X  
Brocade Mobility Wireless LAN controllers MAC Auth 802.1X  
Cisco Wireless Services Module (WiSM, WiSM2) MAC Auth 802.1X Web Auth
Cisco WLC (all models) MAC Auth 802.1X Web Auth
D-Link DWS 3026 MAC Auth 802.1X  
Enterasys V2110 wireless controller MAC Auth 802.1X  
Extreme Networks Summit Wireless controllers MAC Auth 802.1X  
Extricom EXSW Wireless Switches (controllers) MAC Auth 802.1X  
HP ProCurve MSM710 Mobility controller MAC Auth 802.1X  
Huawei AC6605 wireless controller MAC Auth 802.1X  
Juniper (Trapeze) Wireless controllers MAC Auth 802.1X  
Meraki MAC Auth 802.1X Web Auth
Meru Networks Wireless controllers MAC Auth 802.1X  
MikroTik MAC Auth   Web Auth
Mojo Networks   802.1X  
Motorola/Zebra RF Switches (controllers) MAC Auth 802.1X  
Ruckus Wireless controllers MAC Auth 802.1X Web Auth
Xirrus WiFi Arrays MAC Auth 802.1X Web Auth

Access Points

PacketFence unterstützt folgende Access Points:

Access Point
Aerohive AP Series
Aruba Instant Access Points
Cisco 1130AG
Cisco 1240AG
Cisco 1250
D-Link DWL Access Points
HP ProCurve
OpenWRT with hostapd or CoovaChilli
Xirrus WiFi Arrays
 

Kontakt

Beratung und Verkauf

+41 41 610 63 63

Administration

+41 41 610 63 64

Email: info@skyit.ch

Log in or Sign up