Edge-Switch mit NAC-Funktion:
Test: Smart-Switch Consentry LANShield CS4024
Consentry hat ihren Edge-Switch LANShield CS4024 aktualisiert. Hervorstechendes Merkmal: eine robuste Health-Check-Fähigkeit.
Wäre das Angebot von Consentry [1] lediglich ein weiterer Ethernet-Switch, hätte sich Network Computing kaum die Mühe gemacht, das Gerät einem Test zu unterziehen. Was der Switch jedoch unter der Haube hat, ist es wert, genauer unter die Lupe genommen zu werden.
Das Testobjekt: der Consentry LANshield CS4024 mit 24 Ports.
Oberflächlich betrachtet gleicht der CS4024 den meisten Edge-Switches auf dem Markt. Das Gerät kommt mit oder ohne Power-over-Ethernet. Beide Modelle enthalten 24 10/100/1000-MBit/s-Ports für Kupfer, von denen zwei jedoch Shared-Kupfer/Fiber-Ports für Uplinks zu Core- oder Distribution-Switches sind.
Der CS4024 ist ein Edge-Switching- und -Security-Produkt, das sich relativ leicht in Betrieb nehmen lässt. Das Gerät ist zwar nicht ganz so »Plug-and-Play« wie Naperas N24-NAC-Switch, aber Consentrys Feature-Sammlung ist robuster und komplexer.
Tief greifenden Datenpaket-Analyse
Vor einem produktiven Einsatz des Switches ist notwendigerweise »Consentry Insight«, eine Komponente für zentralisiertes Richtlinien-Management und Distribution, auf einer Maschine der Server-Klasse zu installieren.
Unter Verwendung einer Kombination aus speziellen ASICs und intelligentem Switching-Code bietet der Switch Network-Access-Control (NAC) Funktionen wie die tief greifende Untersuchung von Datenpaketen (Deep Packet Inspection) sowie Threat- und User-Access-Control in einem Paket.
Consentry und andere Smart-Switch-Hersteller versuchen, das zu tun, was Firewalls, Virus-Engines, Anti-Malware und URL-Filter nicht können: Richtlinien am Switch-Port durchsetzen. Das ist eine Strategie, die mehr und mehr IT-Manager nutzen. Wer würde es auch nicht bevorzugen, potenzielle Einbrecher zu stoppen, bevor sie im Haus sind?
Log-off-Mechanismus nicht hundertprozentig wasserdicht
Die aktuelle Version des CS4024 unterstützt Session-Time-outs und ist in der Lage, eine Sitzung vollständig zu terminieren, wenn ein Netzwerkkabel von einem Port getrennt wird. Das ist ein guter Start, um das Eindringen unbefugter Benutzer zu verhindern.
Aber leider gelang es trotzdem, den Log-off-Mechanismus des Switches zu knacken, und zwar durch Abmelden eines Benutzers mit vollständigem Netzwerkzugriff in der Domäne und nachfolgendem Log-in mit einem lokalen Benutzerkonto.
Natürlich benötigt ein Eindringling dann zwar immer noch Anmeldeinformationen, um sich gegen Domänenressourcen zu authentifizieren. Ohne diese Informationen ist der Hacker auf lokale Systemdateien oder schwach geschützte Netzwerk-Shares beschränkt, aber immerhin.
Das Sahnehäubchen: Health Check
Zu den besten Features des Switches zählen robuste Health-Check-Fähigkeiten. Viele Produkte beschränken sich auf eine simple Überprüfung der Windows-Update-Richtlinien, der Viren-Signaturen und des Firewall-Status. Der Lanshield-Switch und Insight-Manager NAC (Network Access Control) gehen jedoch mehrere Schritte weiter.
Einsatzszenario des LANShield-Switches
Die Kategorien für die »Systemgesundheit« umfassen mehrere Betriebssysteme sowie eine Reihe von Antivirus-, Anti-Spyware und Firewall-Applikationen. Außerdem lässt sich prüfen, ob bestimmte Dateien, ausgeführte Prozesse und Registrierungsschlüssel vorhanden sind. NAC-Richtlinien lassen sich unmittelbar nach ihrer Definition an alle Lanshield-Switches verteilen. Die Durchsetzung auf den Clients erfolgt mit Hilfe eines lokal installierten oder eines Java-Agenten.
Zugriffsrichtlinien setzt der CS4024 dynamisch auf Port-Ebene durch. Das befreit von der Notwendigkeit, Quarantäne-Zugriffslisten oder VLANs für »ungesunde« Systeme pflegen zu müssen. Im Test arbeiteten alle NAC-Funktionen gut.
Detaillierte Nutzungsrichtlinien möglich
Consentrys System ist in der Lage, Daten bis auf Layer 7 (Anwendungsebene) zu analysieren. Zudem kann der Switch gewissermaßen in den Kerberos-Authentifizierungsprozess hineinschauen.
Das erlaubt es Administratoren, benutzerdefinierte Richtlinien für die Applikationsnutzung und Rollen-basierend auf Active-Directory-Benutzer-IDs, Gruppenzugehörigkeiten und anderen Active-Directory-Parametern zu definieren.
Die Layer-7-Applikations-Filterung lässt sich nicht besonders detailliert anpassen, ist aber mehr als ausreichend. Der P2P-Applikations-Schutz funktioniert gut.
Fazit
Insgesamt ist der CS4024 ein ernst zu nehmender Konkurrent von Systemen, die Anbieter wie Cisco Systems und Extreme Networks anbieten.
Und als Edge-Switch ist das System von Consentry sicherlich billiger und funktioneller als die meisten Cisco-»Catalyst«- und Extreme-»Summit«-Switches.
[1] http://www.consentry.com/
- 1. Seite: Test: Smart-Switch Consentry LANShield CS4024
- 2. Seite: Fazit
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
