Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

Cisco heeft een platform geļntroduceerd waarmee de toegangscontrole op een netwerk centraal kan worden beheerd. Daarbij kan onder meer onderscheid worden gemaakt op basis van het type apparaat, de gebruiker of de locatie.

CiscoDe dinsdag geïntroduceerde Cisco Identity Services Engine, die later deze maand op de markt komt, kan als virtuele machine of als fysiek apparaat in het netwerk worden opgesteld.

Systeembeheerders kunnen aangeven welke rechten gebruikers hebben. Ook kan onderscheid worden gemaakt op basis van locatie of het type apparaat, en kunnen actieve verbindingen worden beheerd. Het systeem moet het makkelijker maken om de toegang tot een netwerk te beheren, stelt Cisco.

Daarnaast introduceert Cisco de Prime for Enterprise-console, waarmee netwerkdiensten kunnen worden beheerd en problemen kunnen worden opgelost. Zowel Prime als ISE werkt met Cisco's aanbod van zakelijke switches en routers. Verder introduceert Cisco een netwerkextensie om video- en audioverbindingen te beheren.

Moderatie-faq Wijzig weergave

Reacties (14)

Klinkt mij meer als een doorontwikkeling van Cisco's eigen ACS (hun RADIUS-software). Ze waren al bezig met NAC, en dus kennelijk hebben ze dit samen met RADIUS in een nieuwe tool gegoten?

Wel goed om alles in één tool te kunnen doen. Je hoeft dan niet meer diverse apparaten langs om gebruikers uit je netwerk te gooien...
ISE combineert inderdaad Cisco NAC en ACS en is onderdeel van het TrustSec framework.
Dit valt samen met de trend dat users steeds vaker hun eigen hardware meenemen naar het werk. ( Denk daarbij aan Macbooks, Smartphones, tablets, etc. )

Een flashy filmpje van ISE is hier te vinden.

[Reactie gewijzigd door Bl@ckbird op 19 april 2011 17:47]

Eindelijk! Dit was ik naar op zoek om het internet te beheren in mijn kotgebouw. Zou er mogelijkheid zijn tot capaciteit verdeling?
Volgens mij is dit wel een heel erg dure oplossing voor wat monitoring van een internetverbinding in een kotgebouw. Is een Linksys router met DD-WRT of iets dergelijks niet voldoende? Anders misschien eens een Linux/OpenBSD firewall overwegen.
beetje flauw misschien, maar lijkt me handig voor hackers, als je dit systeem binnen bent (al dan niet via social engineering) hoef je verder geen moeite meer te doen....
of juist weer niet, omdat er rekening wordt gehouden met lokatie en soort apparaat.. dan kan je de toegang segmenteren.
Klinkt goed. Ik wil graag toegangscontrole bij de outlet (zoals VMPS, maar dan geavanceerder).

[Reactie gewijzigd door My-life op 19 april 2011 16:27]

VMPS is primair niet bedoeld als security-mechanisme, maar om bepaalde (klassen van) clients automatisch in een bepaald vlan te stoppen. Dit kan voor security gebruikt worden, maar dat is niet de primaire taak.

Wat jij wil, klinkt meer als port security via 802.1x. Dat is echt bedoeld als security-mechanisme.
Ik heb me niet verdiept in 'port security', maar werkt dit ook via MAC?
Kun je de bekende clients eenvoudig toegang geven tot je productie netwerk en onbekende tot het gasten netwerk bijvoorbeeld?
Ik heb me niet verdiept in 'port security', maar werkt dit ook via MAC?
Kun je de bekende clients eenvoudig toegang geven tot je productie netwerk en onbekende tot het gasten netwerk bijvoorbeeld?
Je wilt niet via MAC werken, maar via username/password. Dat kun je oplossen met 802.1X / 802.1W, en radius. (radius naar je active directory, opendirectory, edirectory, ldap oplossing bijvoorbeeld)
Dit kun je doen middels MAB (MAC Authentication Bypass), vaak wordt eerst 802.1x gebruikt (Dot1x) en als dit niet lukt teruggeschakeld naar MAB.

MAC Authenticatie heeft natuurlijk als nadeel dat MAC adressen relatief eenvoudig te spoofen zijn.
Uitereraard zijn MAC addressen makkelijk te spoofen, maar het is beter als geen authenticatie op de poorten.

Bedankt voor jullie tips (al zijn ze wat offtopic ;) ).
Met elke Cisco switch (althans, met de normale switches, met de Small Business weet ik niet zeker) kan je inderdaad port-security aanzetten waarbij wordt gekeken naar het MAC adres van de client. Je kan sticky mac aanzetten, daarbij wordt het eerste MAC adres dat op de poort komt ingesteld als het enige adres dat erop mag zitten. Je kan ook met de hand voor elke poort een geauthoriseerd MAC adres aangeven.

Zoals BlackBurn echter al zegt, is dit valse veiligheid: Met zowat elke netwerkkaart kan je je MAC adres spoofen. Je kan dus gewoon een ander MAC adres (dat van de PC die normaal op de poort zit) instellen en voila je hebt volledige toegang.
radius + ldap = Cisco Identity Service Engine?
edit: en zoals al veel vaker hier boven aangegeven +Network Access Control(NAC).

offtopic: zou graag vaker nieuwsposts zien uit deze sector van de IT

[Reactie gewijzigd door goestin op 20 april 2011 10:14]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True