Smart Access

Network Access Control

Die Vielfalt an netzwerkfähigen Endgeräten nimmt in den Unternehmen stetig zu. Diese Tatsache verursacht einen grossen Verwaltungsaufwand und wirft Sicherheitsfragen auf.

Hatte die IT-Abteilung früher dafür Sorge zu tragen, dass nur firmeneigene Geräte einen performanten und sicheren Netzzugang erhielten, so kommen heute die mobilen Geräte der Mitarbeitenden, Gäste und Lieferanten hinzu. Dies erhöht den Verwaltungsaufwand und wirft Sicherheitsfragen auf, zum Beispiel bei kostenpflichtigen Spielfilmen, höheren Geschwindigkeiten oder mehr Volumen bei der Nutzung der mobilen Internetanschlüsse usw. Die Liste der möglichen Angebote lässt sich beliebig weiterführen.

  • Wer erhält von wo aus Zugriff auf das Unternehmensnetzwerk?
  • Wie werden die Zugriffs-Berechtigungen für private Geräte eingeschränkt?
  • Wer stellt sicher, dass Zugriffs-Berechtigungen ausscheidender Mitarbeitender zeitnah gelöscht werden?
  • Wie kann der Verwaltungsaufwand für zeitlich beschränkte Zugänge reduziert werden?

Um den hohen Anforderungen an Sicherheit und die Einhaltung von Richtlinien trotz des stetig steigenden Kostendrucks gerecht zu werden, gehen immer mehr Unternehmen dazu über, eine automatisierte Netzwerk-Zugangskontrolle einzuführen.

Gäste, Partner, Kunden, Lieferanten…

…benötigen einen temporären und kontrollierten Internet-Zugriff. Dieser sollte ohne Verwaltungsaufwand gewährt werden können, aber trotzdem missbrauchssicher und gesetzeskonform sein.

Private Geräte der Mitarbeitenden…

…benötigen Zugriff auf Internet, E-Mail/Kalender oder Datenverzeichnisse, ERP-Systeme sowie Unternehmens-Datenbanken. Die Umsetzung einer sicheren BYOD-Strategie, die von den Mitarbeitenden selbständig verwaltbar ist, stellt eine grosse Herausforderung an die IT dar.

Firmeneigene Endgeräte…

…sollen über mehrstufige, meist zertifikatsbasierte Methoden Zugriff erhalten, welche sowohl Personen als auch Geräte authentifiziert (802.1x). Erfolgreich authentisierte Geräte werden den entsprechenden VLANs zugewiesen.

Nicht alle Geräte…

…wie z.B. Drucker und medizinische Geräte unterstützen 802.1x. Für diese eignet sich eine MAC-basierte Zugangskontrolle mit einer automatischen Zuweisung in dedizierte VLANs. Diese ist mandantenfähig und verfügt über Schnittstellen zu CMDB/Inventarsystemen.

Mitarbeitende, Lieferanten, Berater…

…benötigen einen nachvollziehbaren Remote-Zugriff auf Teilbereiche des Firmennetzwerkes. Dafür möchte man keine internen Accounts vergeben, sondern eine losgelöste Administration einsetzen.

Computer mit virtuellen Maschinen…

…sowie an «Unmanaged Hub/Switches» oder an IP-Telefone angeschlossene Rechner benötigen besondere Authentisierungsverfahren, damit jedes (virtuelle) Gerät dem entsprechenden VLAN zugewiesen wird.

Wir empfehlen unseren Kunden die Verwendung unserer vollumfänglichen NAC-Lösung, die aus den innovativen Produkten mpp und macman besteht. Sie ist herstellerunabhängig und vereint eine Vielzahl von Zugriffsverfahren. Damit ist sie derzeit eine der flexibelsten Lösungen auf dem Markt und erfüllt die Anforderungen von mittleren und grossen Unternehmen.

Einfache Vergabe von Zugriffsrechten

Mit dem onway director (Sponsoring Portal) können unterschiedliche Szenarien (Use Cases) bei der Vergabe von Netzwerk-Zugriffsrechten für Gäste und firmen-eigene sowie private Geräte (BYOD) sicher und komfortabel umgesetzt werden.

Guest Access

Ein interner Mitarbeiter erhält Besuch von einer externen Person, die Zugriff auf das Internet benötigt. Dazu meldet sich der Mitarbeiter auf dem onway director (Sponsoring Portal) an und erstellt einen entsprechenden Gäste-Zugang. Die generierten Zugangsdaten können bequem ausgedruckt und dem Gast ausgehändigt werden. Der Gast verbindet sein mobiles Gerät mit dem Gäste-WLAN und meldet sich mit den Zugangsdaten auf der Landingpage an. Der Zugriff erfolgt über eine unverschlüsselte SSID.

My Devices (BYOD)

Mit steigender Tendenz bringen Mitarbeiter ihre privaten Geräte mit zur Arbeit und wollen diese mit dem WLAN verbinden. Da diese Geräte nicht vom Unternehmen verwaltet werden, dürfen sie sich nicht mit dem Corporate WLAN verbinden.
Dank des onway directors (Sponsoring Portals) kann jeder berechtigte Mitarbeitende seine persönlichen Geräte selbst verwalten. Für den Netzwerkzugriff wird ein zweistufiges Verfahren eingesetzt. Beim erstmaligen Zugriff auf den onway director (Sponsoring Portal) werden für jeden Mitarbeitenden persönliche WLAN-Credentials (Nutzer-name/Passwort) generiert. Anschliessend verbindet sich der Mitarbeitende mit der verschlüsselten SSID und meldet sich mit den zuvor generierten Credentials an. In der zweiten Stufe des Zugriffsprozesses spielt die MAC-Adresse des Gerätes eine wichtige Rolle. Jedes einzelne Gerät, dass sich auf die vorher beschriebene Weise mit dem WLAN verbindet, wird auf dem onway director (Sponsoring Portal) freigeschaltet und von da an beim nächsten Zugriff anhand der MAC-Adresse automatisch wiedererkannt. Darüber hinaus können verlorene Geräte mit gültigen Credentials im Portal schnell gesperrt und die Anzahl der privaten Geräte pro Mitarbeitenden eingeschränkt werden.
Hat sich der Mitarbeitende über ein externes Verzeichnis am onway director (Sponsoring Portal) angemeldet, werden seine persönlichen Geräte beim Austritt aus dem Unternehmen sofort blockiert oder nach einer frei definierbaren ungenutzten Zeit gelöscht.

Safe Guest Access (Secure WiFi/PEAP)

Ein berechtigter Mitarbeitender kann sowohl für seine Gäste als auch für WPA2-fähige Geräte einen ver-schlüsselten Internet-Zugang einrichten. Bei diesem Verfahren ist die Registrierung der MAC-Adresse des Gerätes im onway director (Sponsoring Portal) nicht erforderlich. Wie beim «einfachen» Gast-Zugang handelt es sich hier um eine personenbezogene Authentifizierung. Dank des PEAP (Protected Extensible Authentication Protocol) erfolgt nun ein sicherer Verbindungsaufbau. Um die Geräte mit der verschlüsselten SSID verbinden zu können, müssen zusätzlich nur die zuvor im Portal erstellten Credentials eingegeben werden. Diese Art des Zugriffs bietet einen besonderen Schutz für die Identifikationsdaten und ermöglicht die automatische Zuordnung in unterschiedliche VLAN je nach Gruppenzugehörigkeit.

Device Management (non WPA2)

Heutzutage sollen immer mehr Geräte der Unterhaltungselektronik wie Fernseher, Bildschirme oder Beamer mit dem Unternehmens-WLAN verbunden werden. Die neueren Gerätetypen sind zwar in der Regel WLAN-fähig, verfügen aber oftmals nicht über den 802.1x-Standard und somit bleibt ihnen der Zugang zum WLAN verwehrt. Dies betrifft im Zeitalter des «Internet of Things» (IoT) auch zunehmend die unterschiedlichsten Geräte wie medizinische Apparaturen, Fitnessgeräte, Sensoren usw.
Diese Geräte werden von einem berechtigten Mitarbeitenden mit ihrer MAC-Adresse im onway director (Sponsoring Portal) registriert. Verbindet sich das Gerät mit der offenen SSID wird es anhand seiner MAC-Adresse authentifiziert (MAB).

Infobroschüre Smart Network Access

Hier finden Sie einige Informationen zu «Smart Network Access». Klicken Sie auf «Download anfordern». Der entsprechende Download wird Ihnen direkt per E-Mail zugeschickt.

Wir laden Sie ein, Ihre spezifischen Anforderungen in einem persönlichen Termin mit uns zu diskutieren. onway findet für Sie die optimale Lösung und unterstützt Sie bei der Umsetzung Ihrer Vorhaben in den Bereichen BYOD, Guest Access und Geräteverwaltung über WLAN.