Netzwerk

Nur bekannte Geräte ins Netz, automatisch ins richtige Segment.

Netzwerkzugangskontrolle mit PacketFence: 802.1X für gemanagte Geräte, MAC Authentication Bypass für Drucker, Kameras und IoT, dynamische VLAN-Zuweisung via RADIUS und optionale MACsec-Leitungsverschlüsselung. Herstellerunabhängig, on-premises, etappenweise einführbar.

NAC-Einstieg besprechen Vorgehen ansehen
GERÄT SWITCH-PORT NAC / RADIUS VLAN MACsec Endgerät PC · Drucker · Kamera Switch-Port 802.1X oder MAB PacketFence RADIUS · Profile CoA · Quarantäne Office-VLAN Drucker-VLAN Quarantäne MACsec-Verschlüsselung auf der Leitung Autorisierter Zugang Quarantäne-VLAN

Nur bekannte Geräte kommen ins Netz

  • 802.1X mit EAP-TLS für gemanagte Geräte
  • MAB für Drucker, Kameras und IoT ohne 802.1X-Stack
  • Unbekannte Geräte landen automatisch im Quarantäne-VLAN

Richtiges Segment von Anfang an

  • Dynamische VLAN- und ACL-Zuweisung via RADIUS
  • Geräteprofile steuern die Segmentzuordnung automatisch
  • Least-privilege: jedes Gerät bekommt nur die nötige Reichweite

Betrieb ohne Spezialwissen vor Ort

  • Drucker und Geräte tauschen, ohne IP-Konfiguration am Gerät
  • Gleiche IP am gleichen Port: per DHCP Option 82 hängt die Adresse am Port, nicht an der MAC
  • Kürzere Ausfallzeiten: anstecken statt einrichten, auch ohne Techniker vor Ort

Selbst-Check

Wann Netzwerkzugangskontrolle fällig wird.

Weiß jemand, welches Gerät an welcher Dose hängt? Diese Punkte zeigen, wann NAC nötig wird.

  • Im Netz hängen Geräte, deren Typ und Besitzer niemand mehr kennt.
  • Drucker, Kameras oder IoT-Geräte landen unkontrolliert im gleichen Segment wie Office-PCs.
  • Gerätetausch in der Produktion oder im Lager ist immer mit einem Ticket an die IT verbunden.
  • Ein Audit (NIS2, ISO 27001) verlangt Nachweise, welches Gerät wann wo am Netz hing.
  • Die nächste Netzmodernisierung soll von Anfang an Zero-Trust-fähig aufgebaut werden.
  • Ein unbefugtes Gerät am Switch-Port soll nicht einfach ins interne Netz kommen.
  • Schatten-IT eindämmen: private Laptops, eigene WLAN-Router oder mitgebrachte Geräte sollen sich nicht unbemerkt ins Netz hängen.

Zugangsmethoden

Drei Bausteine, die ineinandergreifen.

Identität prüfen, Segment zuweisen, Leitung absichern. NAC ist kein Einzelprodukt, sondern ein Zusammenspiel aus Protokollen, Plattform und Netzwerkinfrastruktur.

Zugang

802.1X / EAP-TLS

Gemanagte Clients und Server authentifizieren sich mit Zertifikaten. Der RADIUS-Server (PacketFence) prüft die Identität und weist das passende VLAN zu, bevor der Port offengeht.

Zugang

MAC Authentication Bypass

Geräte ohne 802.1X-Stack, etwa Drucker, IP-Kameras oder Sensoren, werden per MAB an der MAC-Adresse erkannt und über ein Geräteprofil automatisch ins richtige Segment gesteuert.

Sicherheit

MACsec (802.1AE)

Layer-2-Verschlüsselung hop-by-hop in Wire-Speed: Endgerät zu Switch, Switch zu Switch. Schützt die physische Leitung gegen Abhören und Man-in-the-Middle, wo TLS und VPN nicht ansetzen.

PacketFence

Die NAC-Plattform, die das alles steuert.

PacketFence ist eine quelloffene, on-premises betriebene NAC-Lösung. Sie setzt 802.1X, MAB, Profiling, Gastzugang und Quarantäne zentral um und setzt Zugriffsrichtlinien geräteübergreifend durch: vom verwalteten Laptop bis zum IoT-Sensor. Damit bildet sie den steuernden Kern einer Zero-Trust-Strategie im Campus-Netz.

Authentifizierung & Verzeichnis

802.1X für LAN und WLAN, MAB für Geräte ohne Supplicant, Anbindung an LDAP, Active Directory und RADIUS. Auch zertifikatsbasierte Einbindung privater Geräte (BYOD).

Dynamische Zugangskontrolle

Jedes Gerät erhält nur die Rechte, die ihm zustehen. Dynamische VLAN-Zuweisung trennt Mitarbeitende, Gäste, IoT und Server sauber voneinander.

Geräteerkennung (Profiling)

Erkennt Gerätetypen wie PCs, Smartphones, Drucker, IP-Telefone und IoT automatisch und macht unbekannte oder unerlaubte Geräte sichtbar.

Gastzugang

Self-Registration für Besucher, Sponsor-Freigaben und zeitlich befristete Zugänge, nachvollziehbar protokolliert.

Quarantäne & Compliance

Kompromittierte oder nicht regelkonforme Geräte landen automatisch in einem Quarantäne-VLAN. Optionale Posture-Prüfungen, z.B. Betriebssystemstand oder Virenschutz, vor der Freigabe.

Sichtbarkeit & Integration

Inventar aller verbundenen Geräte mit Verbindungs-Historie und Benutzerzuordnung. Koppelbar mit Firewall, SIEM, IDS/IPS, MDM und Active Directory.

Weil PacketFence Identität, Segment und Sichtbarkeit in einer Plattform zusammenführt, lässt sich das Prinzip „kein Zugang ohne Prüfung" konsequent über alle Anschlüsse durchsetzen.

Praxis-Szenario

Defekten Drucker tauschen, auch außerhalb der IT-Zeiten.

Fällt in der Produktion ein Drucker aus, oft außerhalb der IT-Servicezeiten, steckt jemand vor Ort den defekten Drucker ab und den Ersatz an denselben Port. Kein Anruf bei der Rufbereitschaft, keine Servicekosten außerhalb der Geschäftszeiten, kein Warten bis zum nächsten Morgen. Der Arbeitsplatz ist in Minuten wieder einsatzbereit.

Möglich macht das die Kombination aus Zugangskontrolle und Adressierung über den Port: MAB ordnet den Ersatzdrucker automatisch ins richtige VLAN, und über DHCP Option 82 bekommt er am selben Port dieselbe feste IP wie der Vorgänger. Druckserver und Anwendungen finden ihn unter der gewohnten Adresse, ohne Geräte- oder Switch-Konfiguration.

So läuft es ab

  1. 1

    Defekten Drucker abstecken, Ersatz an denselben Port stecken.

  2. 2

    Switch erkennt kein 802.1X-Signal und startet MAB.

  3. 3

    PacketFence prüft die MAC gegen Geräteprofile.

  4. 4

    RADIUS weist das Gerät dem Drucker-VLAN zu.

  5. 5

    Über DHCP Option 82 erhält der Port wieder dieselbe IP, erreichbar in Sekunden.

MACsec

Die Leitung absichern, wo VPN und TLS nicht hinreichen.

MACsec (IEEE 802.1AE) verschlüsselt Ethernet-Frames hop-by-hop auf Layer 2, bevor sie den Switch verlassen. Kein Konfigurationsaufwand in der Anwendung, kein CA-Zertifikat pro Verbindung. Der Schutz greift unabhängig davon, ob das Protokoll darüber verschlüsselt ist oder nicht.

Hop-by-Hop-Schutz

MACsec verschlüsselt jede Teilstrecke einzeln: Endgerät zum Access-Switch, dann Switch zu Switch. Jeder Hop wird separat gesichert, abhängig von den beteiligten Geräten.

Wire-Speed ohne Latenznachteil

Die Verschlüsselung läuft im ASIC der beteiligten Geräte. Der Overhead beträgt etwa 32 Byte pro Frame, die Zusatzlatenz ist im Sub-Mikrosekunden-Bereich.

Schutz auf der physischen Leitung

Ein Abhörversuch am Patch-Kabel oder an der Dose liefert nur Cipher-Text. Man-in-the-Middle-Angriffe und Replay-Attacken werden auf Layer 2 unterbunden.

Kopplung an 802.1X

Die Schlüssel für MACsec lassen sich aus dem EAP-TLS-Handshake ableiten (MACsec Key Agreement). Identität, Segmentzuweisung und Leitungsverschlüsselung greifen so direkt ineinander.

Zero-Trust-Schichten im Campus

Identität

802.1X / EAP-TLS

Segment

VLAN / VRF

Leitung

MACsec

NAC ohne MACsec schützt den Zugang, nicht die Leitung. MACsec ohne NAC verschlüsselt, ohne zu prüfen, wer am anderen Ende sitzt. Beide zusammen decken zwei unterschiedliche Angriffsvektoren ab.

Vorgehen

Vom offenen Port zur kontrollierten Zulassung.

01

Bestand & Scope

Gerätetypen, Switch-Infrastruktur, bestehende VLANs und Ausnahmen erfassen. Wo kann 802.1X sofort, wo ist MAB der realistische Einstieg?

02

Konzept & Geräteprofile

RADIUS-Richtlinien, VLAN-Zuweisung, Quarantänezone und Geräteprofile entwerfen. MACsec-Abdeckung festlegen.

03

PacketFence aufbauen

PacketFence on-premises installieren und konfigurieren: RADIUS, Captive Portal, Profiling, CoA-Integration mit den vorhandenen Switches.

04

Rollout in Etappen

Port für Port oder Switch für Switch aktivieren, in Monitoring-Modus starten, Geräteprofile nachschärfen. Rollback ist jederzeit möglich.

05

Abnahme & Betrieb

Soll-Zustand dokumentieren, Alerting einrichten und den laufenden Betrieb übergeben.

Technische Bausteine

Womit wir Netzzugang und Sicherheit aufbauen.

Eine Auswahl der Bausteine, die wir zum Beispiel einsetzen. Die genaue Zusammensetzung hängt von vorhandener Infrastruktur, Gerätetypen und Anforderungen ab.

NAC-Plattform

PacketFence (On-Premises) FreeRADIUS RADIUS CoA

Authentifizierung

802.1X EAP-TLS MAB (MAC Auth Bypass) Captive Portal

Segmentzuweisung

Dynamische VLAN-Zuweisung Dynamische ACLs Quarantäne-VLAN

Geräteerkennung

Device Profiling MAC Fingerprinting Geräteprofile

Leitungsverschlüsselung

MACsec (802.1AE) MACsec Key Agreement (MKA)

Identität & Zertifikate

Zertifikate / PKI YubiKey Passkeys

Einordnung

NAC ist ein Baustein, kein Abschluss.

Zugangskontrolle greift mit Segmentierung, WLAN, Zero Trust und IAM zusammen. Je nach Ausgangslagen ist der passende Einstieg ein anderer.

Campus & LAN

Das strukturierte Switching-Fundament, auf dem NAC und 802.1X aufsetzen.

Campus & LAN ansehen

Segmentierung & Mikrosegmentierung

Von der VLAN-Trennung bis zu feingranularen Firewall-Regeln auf Anwendungsebene.

Segmentierung ansehen

WLAN

802.1X und RADIUS gelten genauso für das kabellose Netz; dieselbe NAC-Logik greift am WLAN-Port.

WLAN ansehen

Zero Trust & Segmentierung

NAC liefert Identität und Segment; Zero Trust schreibt vor, was danach noch erlaubt ist.

Zero Trust ansehen

Identity & Access (IAM)

Benutzerzertifikate, YubiKey und Passkeys für 802.1X kommen aus dem IAM-Fundament.

IAM ansehen

Bevor der erste Port gesperrt wird

Fragen zu NAC & Netzzugang.

Antworten zu MAB, Switches, PacketFence on-premises, MACsec und Audit-Nachweisen.

NAC-Einstieg besprechen

Dann greift MAC Authentication Bypass. Das Gerät meldet sich nicht aktiv an; PacketFence erkennt die MAC-Adresse und ordnet sie einem Geräteprofil zu. MAB ist schwächer als 802.1X, weil eine MAC-Adresse prinzipiell gefälscht werden kann. Das wird durch Device Profiling abgefedert: PacketFence analysiert zusätzliche Merkmale wie DHCP-Fingerprint und prüft, ob das Gerät tatsächlich das ist, was die MAC verspricht. Passt das Profil nicht, landet das Gerät im Quarantäne-VLAN. Für Geräte ohne jeden 802.1X-Stack ist MAB der pragmatische Einstieg, kein Dauerzustand.

Ja, wenn die Adresse über den Port vergeben wird. Viele Systeme sprechen Drucker über eine feste IP an; ein neuer Drucker hat aber eine andere MAC und bekäme normalerweise eine andere Adresse. Statt die IP an die MAC zu binden, bindet der Switch sie per DHCP Option 82 an den Port: Er ergänzt die DHCP-Anfrage um Circuit-ID (Port) und Remote-ID (Switch), und der DHCP-Server vergibt darüber für diesen Port immer dieselbe IP. Der Ersatzdrucker am selben Port erhält so trotz anderer MAC die identische Adresse, in den angebundenen Systemen muss nichts angepasst werden. Das setzt einen Switch mit Option-82-Unterstützung und einen passend konfigurierten DHCP-Server voraus.

Nein. PacketFence ist herstellerunabhängig und arbeitet mit Cisco, Juniper, Aruba, Extreme und vielen anderen zusammen, sofern der Switch RADIUS und VLAN-Zuweisung unterstützt, was heute nahezu jedes managed Device tut. Der Rollout läuft etappenweise: zuerst im Monitor-Modus (kein Block, nur Logging), dann schrittweise Port für Port oder Switch für Switch scharf schalten. Jede Etappe ist einzeln rollbackfähig. MAB kann als Übergang für Bereiche dienen, die noch kein 802.1X haben.

Nein. PacketFence läuft vollständig on-premises. Es gibt keine Pflicht-Cloud-Anbindung und keine Abhängigkeit von einem externen Dienst für die Authentifizierung. Das ist bewusst so gewählt: Netzwerkzugangskontrolle sollte auch dann funktionieren, wenn die Internetverbindung ausfällt.

VPN und TLS schützen Anwendungsdaten auf Layer 3 und 4. MACsec schützt auf Layer 2, direkt auf der physischen Leitung, hop-by-hop. Ein Angreifer, der ein Kabel anzapft oder eine Dose präpariert, erhält nur verschlüsselten Traffic, keinen lesbaren Ethernet-Frame. Dieser Schutz greift unabhängig davon, ob die Anwendung selbst verschlüsselt oder nicht. Besonders relevant ist das in Bereichen, wo Kabel durch Räume laufen, die nicht vollständig kontrolliert werden, oder wo Switches und Patch-Panels für Externe zugänglich sind.

PacketFence protokolliert, welche MAC-Adresse wann an welchem Port war, welches VLAN zugewiesen wurde und ob ein Gerät in Quarantäne gelegt wurde. Das liefert einen nachvollziehbaren Zugriffslog auf Netzwerkebene. Für NIS2 und ISO 27001 ist das ein Baustein, kein Ersatz für ein vollständiges SIEM. Die Logs lassen sich in bestehende Log-Management-Systeme exportieren.

Der nächste Schritt

Klären wir, welche Geräte bei Ihnen wirklich ins Netz dürfen.

Wir nehmen Gerätetypen, Switching-Infrastruktur und Anforderungen auf und zeigen einen realistischen Einstieg: etappenweise, herstellerunabhängig und ohne Big-Bang-Umstellung.

Anfrage per E-Mail senden oder Formular ausfüllen