21T4 Clearpass 6.9 DUR Aruba Role

Aruba – Downloadable User Role (DUR) ArubaOS-Switch 10.11

Clearpass Appliance
Clearpass Appliance

Clearpass DUR Aruba Role to rozwinięcie koncepcji roli w rozwiązaniach Aruba, jest bardzo pomocna koncpecja w rozbudowanych wdrożeniach. Chcesz wiedzieć dlaczego?

Aruba – Downloadable User Role

Więcej miejsc do posłuchania:

Spotify

Uproszenie przypisywania profilu urządzenia/użytkownika:

Jeżeli wdrażamy 802.1x lub listy dostępu to potrzebujemy przygotowane reguły powiązać z danym objektem sieciowym. Typowo jest to VLAN.

W rozbudowanych drożeniach gdzie mamy wiele różnych VLAN’ów świadczących ten sam poziom dostępu, ale w różnych lokalizacjach przypisanie do VLAN’u jest problematyczne we wdrożeniu i zarządzaniu.

Wyobraź sobie, że potrzebujesz podłączyć nową lokaliazję do obecnej sieci, gdzie w polityce Radiusa przekazujesz identyfiakatory VLAN. W nowej lokalizacji masz nowy VLAN, nie uwzględniony w polityce Radiusa.

W takim przypadku w przy dodawaniu nowego VLAN’u dostepowego będziesz zmuszony do modyfikacji polityki centralnej na Radiusie. To jest problematyczne i rodzi ryzyko popełnienia błędu w polityce centralnej dotyczącej całej sieci i wszystkich użytkowników.

Żeby ten problem rozwiązać Aruba wymyśliła pojęcie Roli na urządzeniu kocowym, przełączniku, punkcie dostępowym.

Dzięki temu przypisujesz z systemu Radius, nie nr VLAN’u, a nazwę roli.

2 możliwości przypisywania Aruba Role:

1. LUR: Local User Role

Jest to rola konfigurowana na urządzeniu końcowym. Zazwyczaj z centralnego systemu, typowo Airwave lub Central.

Taki scenariusz umożliwia przypisanie różnych identyfikatorów VLAN’ów dla różnych budynków. W przypadku zmiany nr VLAN’ów nie musimy modyfikować polityki Radius.

2. DUR: DOwnloadable Aruba Role

Rozszerzeniem funkcjonalności powyżej opisanej, jest możliwość dynamicznego ściągania sobie konfiguracji roli z systemu Clearpassa.

Użycie tej funkcjonalności jest zasadane jeżeli nie zarządzamy centralnym systemem konfiguracji, a jedynie Clearpass’em. W takim przypadku przełącznik lub AP ściąga sobie konfigurację roli dynamicznie z Clearpassa.

Konfiguracja Clearpass 6.9 – DUR Aruba Role

Clearpass Appliance
Clearpass Appliance

Konfigurację rozpoczynam do Clearpassa, mam już skonfigurowany klaster Clearpassów oraz zainstalowany certyfikat HTTPS.

Krok 1 – dodanie konta administracyjnego dedykowanego dla DUR

Clearpass DUR Admin Aruba Role Download
Clearpass DUR Admin Aruba Role Download

KROK 2 – Dodanie przełącznika do urządzeń NAD

Clearpass Network Device
Clearpass Network Device

Wpisałem adres IP przełącznika, interfejsu z jakiego będę się łączył do Clerpassa. W moim przypadku to vlan10, ten interfejs ustawię w dalszej części konfiguracji dotyczącej przełącznika.

Następnie wpisuję hasło Radius, w tym przykładzie przyjąłem za hasło “netadminpro.pl”

Dodatkowo zaznaczam wsparacie dla CoA (Enable RADIUS Dynamic Authorization) na porcie 3799, wspieranym na przełącznikach Aruba.

KROK 3 – Profil Enforcement Aruba Downloadable Role

Configuration » Enforcement » Profiles » Edit Enforcement Profile - DUR-Netadminpro.pl-NAP
Clearpass Aruba Downloadable User Role Enforcement
Clearpass Aruba Downloadable User Role Enforcement

Tworzę nowy profil atrybutów Radius, wybieram typ “Aruba Downloadable Role Enforcement”, następnie wybieram typ urządzenia jako ArubaOS-Switch.

Klikam Next I przechodzi do konfiguracji parametrów roli, w tym przykładzie posługuję się trybem Standard, czyli wyklinuję graficznie parametry.

Clearpass Enforcement Profile Role Configuration
Clearpass Enforcement Profile Role Configuration

W moim przykładzie wybieram jedynie przypisanie profilu nazwę VLAN, VLAN31. Zapisuję i mam gotowy profil autoryzacji na Clerpassie.

KROK 4 – Utworzenie serwisu

Configuration » Services » Add

Tworzę serwis typu Mac Authentication, w moim przykładzie upraszczam konfigurację serwisu do minimum, żeby skupić się na pokazaniu konfiguracji DUR.

Clearpass Service MAC-Authentication

Jako źródło uwierzytelniania wybieram bazę [Endpoints Repository]:

Clearpass Authentication Source
Clearpass Authentication Source

Mapowania ról nie konfiguruję w tym scenariuszu, przechodzę do zakładki Enforcement i dodaję nowy profil.

Clearpass Enforcemnt Policy
Clearpass Enforcemnt Policy

Profil jest banalnie prosty, mówiący że jeżeli rola wewnętrzna w Clearpass’e istnieje dla endpoint’u, może zawierać dowolną nazwę to wyślij profil uprzednio przygotowany DUR-Netadminpro.pl-NAP.

Po zapisaniu konfiguracji jesteśmy gotowi na konfigurację przełącznika

Konfiguracja Przełącznika ArubaOS-Switch 10.10

ArubaOS-Switch
ArubaOS-Switch

Krok 1 – Przypisanie wstępnych parametrów

ip client-tracker trusted
ip source-interface radius vlan 10

Pierwsza komenda ufa śledzeniu adresów IP na przełączniku, dzięki temu w zapytaniach AAA będziemy posiadać informację o adresach IP dostępnych na przełączniku.

Druga komenda wskazuje z jakiego interfejsu VLAN będą wysyłane zapytania do Radius’a. Jest to o tyle istotne, że na Radius’e definiujemy konkretne adresy lub sieci z jakich akceptujemy zapytania.

KROK 2 – Konfiguracja Serwera Radius

radius-server host 10.253.253.130
radius-server key netadminpro.pl
radius-server host 10.253.253.130 dyn-authorization
radius-server host 10.253.253.130 time-window plus-or-minus-time-window 30

W tej części wpisujemy dane serwera Radius, ja wybrałem definicję klucza dla Clearpass’a jako globalną zmienną dla wszystkich zdefiniowanych serwerów Radius.

Konieczne jest też wsparcie CoA, czyli dynamicznej zmiany parametrów autoryzacji.

Na końcu dodaję akceptację różnicy czasu 30 sekund między przełącznikiem, a Clearpass’em. Na wypadek gdyby czas był ustawiany ręcznie i były różnice zegarów na urządzeniach.

KROK 3 – Zaufanie urzędu powiązanego z Clearpass’em

crypto pki ta-profile radius
copy sftp ta-certificate radius darek@sftp.netadminpro.pl ClearpassCA.pem

Kolejnym krokiem jest dodanie urzędu certyfikacji, pierwszego w łańcuchu zaufanych certyfikatów, związanych z wystawionym certyfikatem dla interfejsu HTTPS Clearpass’a.

W moim przykładzie jest to plik ClearpassCA.pem i nazwa urzędu clearpass.netadminpro.pl przedstawiony poniżej.

Clearpass Certyfikcat CA
Clearpass Certyfikcat CA

Żebyś to lepiej zrozumiał, warto zaznaczyć, że rola z Clearpassa jest ściągana przez przełącznik z wykorzystaniem HTTPS. W związku z tym trzeba dodać urząd jaki jest zaufany dla przełącznika, żeby bezpiecznie połączył się on z Clearpass’em.

Z drugiej strony nie ma na przełączniku zbyt dużo miejsca ani mocy obliczeniowej, więc nie jest sprawdzany pełny łańcuch zaufania dla certyfikatu, a jedynie pierwszy urząd wystawiający dany certyfikat interfejsu HTTPS Clearpass’a.

W moim przykładzie mam tylko jeden urząd wystawiający wiec tutaj i tak nie mam więcej możliwości, ale w przypadku produkcji tańsze certyfikaty HTTPS posiadają kilka pośrednich urzędów zaangażowanych w poświadczenie wiarygodności . W takim przypadku wybierz pierwszy urząd wystawiający certyfikat.

Więcej szczegółów na temat generowania certyfikatu testowego oraz urzędu znajdziesz w poniższym artykule, korzystam teraz z opisanych certyfikatów:

https://netadminpro.pl/20t47-clearpass-certyfikaty-testowe-w-5-min/

KROK 4 – Dane logowania do Clearpass’a

radius-server cppm identity dur-admin key netadminpro.pl

Następnie dodaję na przełączniku nazwę użytkownika oraz hasło dostępu do Clearpass’a w celu pobierania roli. Login oraz hasło muszą się zgadzać z tymi skonfigurowanymi po stronie Clearpass’a:

Clearpass DUR Admin Aruba Role Download
Clearpass DUR Admin Aruba Role Download

Uprawnienia dla konta dotyczącego ściągania roli na przełącznik, powinny być ograniczone jedynie do wymaganego minimum, czyli poziom uprawnień:

Aruba User Role Download

Krok 5- Konfiguracja AAA na przełączniku ArubaOS-Switch 10.10

aaa authentication mac-based chap-radius
aaa accounting network start-stop radius
aaa accounting update periodic 5
aaa authorization user-role enable
aaa authorization user-role enable download

Na koniec ustawiam uwierzytelnianie mac-based i przesłanie przez CHAP do Radius’a.

Włączam accounting, z aktualizacją co 5 min.

Na koniec włączam używanie ról na przełączniku, oraz ściąganie roli z Clearpass’a.

W moim przykładzie nie używam 802.1x, a jedynie uwierzytelnianie bazujące na MAC.

KROK 6 – KONFIGURACJA AAA na porcie przełącznika

aaa port-access mac-based 3

Końcowym krokiem jest włączenie uwierzytelniania mac-based na porcie 2

Podsumowanie

Na dzisiaj koncepcja DUR dla mnie jest ciekawa, ale nie niesie za sobą aż tyle korzyści jak by się mogło wydawać.

Dodanie DUR do Clearpass’a odczytuję jako dostosowywanie tego narzędzia do przyszłych zastosowań IoT, gdzie dynamika zmian profili urządzeń końcowych może być duża.

W takim przypadku ma sens dynamizowanie procesu dystrybucji profili roli na urządzenia końcowe.

W dostępie typowym pracowniczym, nie widzę na dzisiaj dużego sensu używania Aruba Downloadable User Role.

Zalety

  1. Łatwe dostosowanie konfiguracji opierając się jedynie na zmianach w Clearpass’e
  2. Możliwość konfiguracji ról na urządzeniach NAD posiadając dostęp jedynie do Clearpass’a.
  3. Dobre narzędzie od scenariuszy szybko zmieniających się profili roli urządzeń w dostępie do sieci, np IoT.

Wady

  1. DUR działa jednie z Clearpass’em, jeżeli masz środowisko np z ISE, DUR nie zadziała
  2. Dynamiczne role, nie są tak intuicyjne w nazywnictwie roli, a to utrudnia rozwiązywanie problemów
  3. Nawet dynamiczne role trzeba korelować z konfiguracją przełączników, czyli nawet gdy nie mamy dostępu do Airwave’a/Centrala to nadal potrzebujemy rozumieć konfigurację przełączników
  4. Wymagane jest zaufanie ze strony urządzeń do interfejsu HTTPS Clearpassa, co wymaga dodatkowej konfiguracji.
  5. Wsparcie DUR jets oferowane tylko na nowszych urządzeniach, w zależności od modelu trzeba sprawdzić wsparcie w oprogramowaniu urządzeń.

Jeżeli chcesz zobaczyć konfigurację Aruba ClearPass DUR na Instancje 8.4, to poniżej zamieszczam link do filmu instruktażowego po angielsku:

Aruba ClearPass DUR – Instant 8.4


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.