# Network Access Control (NAC): Die Einlasskontrolle für das LAN
TL;DR / Management Summary Ein offener Netzwerk-Port in einem Bürogebäude ist ein Sicherheitsrisiko. Network Access Control (NAC) stellt sicher, dass nur autorisierte Geräte Zugriff auf das Firmennetzwerk erhalten. Wir nutzen den Standard IEEE 802.1X in Kombination mit einem RADIUS-Server (z.B. OPNsense oder Windows NPS). Ein Senior Admin implementiert NAC, um unbekannte Geräte automatisch in ein isoliertes Gast-VLAN zu schieben und Firmengeräte basierend auf Zertifikaten sicher in die produktiven Zonen zu lassen.
# 1. Konzepte von NAC
Die drei Säulen der Kontrolle.
NAC arbeitet nach dem Prinzip der Identitätsprüfung, bevor der Port freigeschaltet wird:
- Supplicant: Das Endgerät (PC, Telefon), das ins Netz will.
- Authenticator: Der Switch (oder Access Point), der den Port blockiert.
- Authentication Server: Der RADIUS-Server (Artikel 498), der die Entscheidung trifft.
# 2. Authentifizierungsmethoden
Vom Zertifikat zum MAC-Bypass.
- EAP-TLS (Zertifikatsbasiert): Sicherste Methode. Das Gerät identifiziert sich mit einem Firmencertifikat. (Keine User-Interaktion nötig).
- PEAP-MSCHAPv2 (User/Passwort): User gibt seine AD-Daten ein.
- MAB (MAC Authentication Bypass): Für Geräte ohne 802.1X Support (Drucker, Kameras). Der Switch prüft die MAC-Adresse gegen eine Whitelist.
- Gefahr: MAC-Adressen können leicht gefälscht werden. Nutzen Sie MAB nur in Kombination mit Profiling.
# 3. Deep Dive: Dynamische VLAN-Zuweisung
Automatisierte Segmentierung.
Anstatt VLANs fest an Switch-Ports zu binden (Artikel 729), weist der RADIUS-Server dem Port das VLAN dynamisch zu.
- Aktion: Der RADIUS-Server schickt im
Access-AcceptPaket Attribute mit:Tunnel-Type=VLANTunnel-Pvt-Group-ID=30(VLAN ID)
- Nutzen: Egal wo der Mitarbeiter seinen Laptop einsteckt, er landet immer in “seinem” VLAN 30.
# 4. Day-2 Operations: Guest Portal & Quarantine
Umgang mit Unbekannten.
Was passiert mit Geräten, die die Prüfung nicht bestehen?
- Quarantine VLAN: Geräte mit veralteten Antivirus-Signaturen werden in ein Netz geschoben, das nur Zugriff auf Update-Server hat.
- Guest Portal: Unbekannte Besucher werden auf eine Webseite umgeleitet, um sich für das Internet-WLAN zu registrieren.
# 5. Troubleshooting & “War Stories”
Wenn die Dose tot bleibt.
# Top 3 Fehlerbilder
-
Symptom: PC bekommt keine Verbindung (“Identifying…”).
- Ursache: Der 802.1X Dienst unter Windows (“Wired AutoConfig”) ist deaktiviert.
- Lösung: Dienst auf “Automatisch” stellen und starten.
-
Symptom: Drucker funktioniert nach Switch-Tausch nicht mehr.
- Ursache: MAB-Konfiguration am neuen Switch vergessen oder Shared-Secret zum RADIUS-Server falsch.
-
Symptom: IP-Konflikte nach VLAN-Wechsel.
- Fix: Erzwingen Sie einen Port-Reset (
shutdown/no shutdown), damit der Client via DHCP eine neue IP aus dem korrekten VLAN anfragt.
- Fix: Erzwingen Sie einen Port-Reset (
# “War Story”: Der “Smart-Kühlschrank” Ausbruch
In einer Kantine wurde ein neuer smarter Kühlschrank mit dem LAN verbunden. Da der Admin MAB (MAC-Bypass) für alle “Haustechnik-Geräte” ohne Passwortabfrage aktiviert hatte, konnte ein Hacker den Kühlschrank über das Internet kapern. Das Ergebnis: Da der Kühlschrank durch MAB im gleichen VLAN wie die Gebäudeleittechnik (GLT) landete, konnte der Angreifer die Klimaanlage im Serverraum ausschalten. Lehre: Nutzen Sie Profiling. Ein NAC-System sollte erkennen, ob eine MAC-Adresse wirklich zu einem Kühlschrank gehört (via TCP-Fingerprint) oder ob es ein Linux-Laptop ist, der nur die MAC fälscht.
# 6. Monitoring & Reporting
Transparenz am Access-Layer.
# RADIUS Audit Logs
Überwachen Sie Fehlversuche:
- KPI:
Top Rejected MAC Addresses. - KPI:
Total Authenticated Sessions.
# 7. Fazit & Empfehlung
NAC ist der Türsteher für Ihr Unternehmen.
- Empfehlung: Starten Sie mit EAP-TLS für alle verwalteten Laptops. Es bietet die beste User-Experience ohne Passworteingabe.
- Wichtig: Implementieren Sie einen “Fail-VLAN” Modus. Wenn der RADIUS-Server nicht erreichbar ist, sollten kritische Ports in ein eingeschränktes VLAN fallen, statt komplett zu sperren.
# Anhang: Cheatsheet (Switch LACP/802.1X CLI)
| Aufgabe | Befehl (Cisco) |
|---|---|
| 802.1X aktivieren | dot1x system-auth-control |
| Port Konfig | authentication port-control auto |
| MAC-Bypass | mab |
| Status prüfen | show dot1x all summary |