21T4 Clearpass 6.9 DUR Aruba Role

Aruba – Downloadable User Role (DUR) ArubaOS-Switch 10.11

Clearpass Appliance
Clearpass Appliance

Clearpass DUR Aruba Role to rozwini臋cie koncepcji roli w rozwi膮zaniach Aruba, jest bardzo pomocna koncpecja w rozbudowanych wdro偶eniach. Chcesz wiedzie膰 dlaczego?

Aruba – Downloadable User Role

Wi臋cej miejsc do pos艂uchania:

Spotify

Uproszenie przypisywania profilu urz膮dzenia/u偶ytkownika:

Je偶eli wdra偶amy 802.1x lub listy dost臋pu to potrzebujemy przygotowane regu艂y powi膮za膰 z danym objektem sieciowym. Typowo jest to VLAN.

W rozbudowanych dro偶eniach gdzie mamy wiele r贸偶nych VLAN’贸w 艣wiadcz膮cych ten sam poziom dost臋pu, ale w r贸偶nych lokalizacjach przypisanie do VLAN’u jest problematyczne we wdro偶eniu i zarz膮dzaniu.

Wyobra藕 sobie, 偶e potrzebujesz pod艂膮czy膰 now膮 lokaliazj臋 do obecnej sieci, gdzie w polityce Radiusa przekazujesz identyfiakatory VLAN. W nowej lokalizacji masz nowy VLAN, nie uwzgl臋dniony w polityce Radiusa.

W takim przypadku w przy dodawaniu nowego VLAN’u dostepowego b臋dziesz zmuszony do modyfikacji polityki centralnej na Radiusie. To jest problematyczne i rodzi ryzyko pope艂nienia b艂臋du w polityce centralnej dotycz膮cej ca艂ej sieci i wszystkich u偶ytkownik贸w.

呕eby ten problem rozwi膮za膰 Aruba wymy艣li艂a poj臋cie Roli na urz膮dzeniu kocowym, prze艂膮czniku, punkcie dost臋powym.

Dzi臋ki temu przypisujesz z systemu Radius, nie nr VLAN’u, a nazw臋 roli.

2 mo偶liwo艣ci przypisywania Aruba Role:

1. LUR: Local User Role

Jest to rola konfigurowana na urz膮dzeniu ko艅cowym. Zazwyczaj z centralnego systemu, typowo Airwave lub Central.

Taki scenariusz umo偶liwia przypisanie r贸偶nych identyfikator贸w VLAN’贸w dla r贸偶nych budynk贸w. W przypadku zmiany nr VLAN’贸w nie musimy modyfikowa膰 polityki Radius.

2. DUR: DOwnloadable Aruba Role

Rozszerzeniem funkcjonalno艣ci powy偶ej opisanej, jest mo偶liwo艣膰 dynamicznego 艣ci膮gania sobie konfiguracji roli z systemu Clearpassa.

U偶ycie tej funkcjonalno艣ci jest zasadane je偶eli nie zarz膮dzamy centralnym systemem konfiguracji, a jedynie Clearpass’em. W takim przypadku prze艂膮cznik lub AP 艣ci膮ga sobie konfiguracj臋 roli dynamicznie z Clearpassa.

Konfiguracja Clearpass 6.9 – DUR Aruba Role

Clearpass Appliance
Clearpass Appliance

Konfiguracj臋 rozpoczynam do Clearpassa, mam ju偶 skonfigurowany klaster Clearpass贸w oraz zainstalowany certyfikat HTTPS.

Krok 1 – dodanie konta administracyjnego dedykowanego dla DUR

Clearpass DUR Admin Aruba Role Download
Clearpass DUR Admin Aruba Role Download

KROK 2 – Dodanie prze艂膮cznika do urz膮dze艅 NAD

Clearpass Network Device
Clearpass Network Device

Wpisa艂em adres IP prze艂膮cznika, interfejsu z jakiego b臋d臋 si臋 艂膮czy艂 do Clerpassa. W moim przypadku to vlan10, ten interfejs ustawi臋 w dalszej cz臋艣ci konfiguracji dotycz膮cej prze艂膮cznika.

Nast臋pnie wpisuj臋 has艂o Radius, w tym przyk艂adzie przyj膮艂em za has艂o „netadminpro.pl”

Dodatkowo zaznaczam wsparacie dla CoA (Enable RADIUS Dynamic Authorization) na porcie 3799, wspieranym na prze艂膮cznikach Aruba.

KROK 3 – Profil Enforcement Aruba Downloadable Role

Configuration 禄 Enforcement 禄 Profiles 禄 Edit Enforcement Profile - DUR-Netadminpro.pl-NAP
Clearpass Aruba Downloadable User Role Enforcement
Clearpass Aruba Downloadable User Role Enforcement

Tworz臋 nowy profil atrybut贸w Radius, wybieram typ „Aruba Downloadable Role Enforcement”, nast臋pnie wybieram typ urz膮dzenia jako ArubaOS-Switch.

Klikam Next I przechodzi do konfiguracji parametr贸w roli, w tym przyk艂adzie pos艂uguj臋 si臋 trybem Standard, czyli wyklinuj臋 graficznie parametry.

Clearpass Enforcement Profile Role Configuration
Clearpass Enforcement Profile Role Configuration

W moim przyk艂adzie wybieram jedynie przypisanie profilu nazw臋 VLAN, VLAN31. Zapisuj臋 i mam gotowy profil autoryzacji na Clerpassie.

KROK 4 – Utworzenie serwisu

Configuration 禄 Services 禄 Add

Tworz臋 serwis typu Mac Authentication, w moim przyk艂adzie upraszczam konfiguracj臋 serwisu do minimum, 偶eby skupi膰 si臋 na pokazaniu konfiguracji DUR.

Clearpass Service MAC-Authentication

Jako 藕r贸d艂o uwierzytelniania wybieram baz臋 [Endpoints Repository]:

Clearpass Authentication Source
Clearpass Authentication Source

Mapowania r贸l nie konfiguruj臋 w tym scenariuszu, przechodz臋 do zak艂adki Enforcement i dodaj臋 nowy profil.

Clearpass Enforcemnt Policy
Clearpass Enforcemnt Policy

Profil jest banalnie prosty, m贸wi膮cy 偶e je偶eli rola wewn臋trzna w Clearpass’e istnieje dla endpoint’u, mo偶e zawiera膰 dowoln膮 nazw臋 to wy艣lij profil uprzednio przygotowany DUR-Netadminpro.pl-NAP.

Po zapisaniu konfiguracji jeste艣my gotowi na konfiguracj臋 prze艂膮cznika

Konfiguracja Prze艂膮cznika ArubaOS-Switch 10.10

ArubaOS-Switch
ArubaOS-Switch

Krok 1 – Przypisanie wst臋pnych parametr贸w

ip client-tracker trusted
ip source-interface radius vlan 10

Pierwsza komenda ufa 艣ledzeniu adres贸w IP na prze艂膮czniku, dzi臋ki temu w zapytaniach AAA b臋dziemy posiada膰 informacj臋 o adresach IP dost臋pnych na prze艂膮czniku.

Druga komenda wskazuje z jakiego interfejsu VLAN b臋d膮 wysy艂ane zapytania do Radius’a. Jest to o tyle istotne, 偶e na Radius’e definiujemy konkretne adresy lub sieci z jakich akceptujemy zapytania.

KROK 2 – Konfiguracja Serwera Radius

radius-server host 10.253.253.130
radius-server key netadminpro.pl
radius-server host 10.253.253.130 dyn-authorization
radius-server host 10.253.253.130 time-window plus-or-minus-time-window 30

W tej cz臋艣ci wpisujemy dane serwera Radius, ja wybra艂em definicj臋 klucza dla Clearpass’a jako globaln膮 zmienn膮 dla wszystkich zdefiniowanych serwer贸w Radius.

Konieczne jest te偶 wsparcie CoA, czyli dynamicznej zmiany parametr贸w autoryzacji.

Na ko艅cu dodaj臋 akceptacj臋 r贸偶nicy czasu 30 sekund mi臋dzy prze艂膮cznikiem, a Clearpass’em. Na wypadek gdyby czas by艂 ustawiany r臋cznie i by艂y r贸偶nice zegar贸w na urz膮dzeniach.

KROK 3 – Zaufanie urz臋du powi膮zanego z Clearpass’em

crypto pki ta-profile radius
copy sftp ta-certificate radius darek@sftp.netadminpro.pl ClearpassCA.pem

Kolejnym krokiem jest dodanie urz臋du certyfikacji, pierwszego w 艂a艅cuchu zaufanych certyfikat贸w, zwi膮zanych z wystawionym certyfikatem dla interfejsu HTTPS Clearpass’a.

W moim przyk艂adzie jest to plik ClearpassCA.pem i nazwa urz臋du clearpass.netadminpro.pl przedstawiony poni偶ej.

Clearpass Certyfikcat CA
Clearpass Certyfikcat CA

呕eby艣 to lepiej zrozumia艂, warto zaznaczy膰, 偶e rola z Clearpassa jest 艣ci膮gana przez prze艂膮cznik z wykorzystaniem HTTPS. W zwi膮zku z tym trzeba doda膰 urz膮d jaki jest zaufany dla prze艂膮cznika, 偶eby bezpiecznie po艂膮czy艂 si臋 on z Clearpass’em.

Z drugiej strony nie ma na prze艂膮czniku zbyt du偶o miejsca ani mocy obliczeniowej, wi臋c nie jest sprawdzany pe艂ny 艂a艅cuch zaufania dla certyfikatu, a jedynie pierwszy urz膮d wystawiaj膮cy dany certyfikat interfejsu HTTPS Clearpass’a.

W moim przyk艂adzie mam tylko jeden urz膮d wystawiaj膮cy wiec tutaj i tak nie mam wi臋cej mo偶liwo艣ci, ale w przypadku produkcji ta艅sze certyfikaty HTTPS posiadaj膮 kilka po艣rednich urz臋d贸w zaanga偶owanych w po艣wiadczenie wiarygodno艣ci . W takim przypadku wybierz pierwszy urz膮d wystawiaj膮cy certyfikat.

Wi臋cej szczeg贸艂贸w na temat generowania certyfikatu testowego oraz urz臋du znajdziesz w poni偶szym artykule, korzystam teraz z opisanych certyfikat贸w:

https://netadminpro.pl/20t47-clearpass-certyfikaty-testowe-w-5-min/

KROK 4 – Dane logowania do Clearpass’a

radius-server cppm identity dur-admin key netadminpro.pl

Nast臋pnie dodaj臋 na prze艂膮czniku nazw臋 u偶ytkownika oraz has艂o dost臋pu do Clearpass’a w celu pobierania roli. Login oraz has艂o musz膮 si臋 zgadza膰 z tymi skonfigurowanymi po stronie Clearpass’a:

Clearpass DUR Admin Aruba Role Download
Clearpass DUR Admin Aruba Role Download

Uprawnienia dla konta dotycz膮cego 艣ci膮gania roli na prze艂膮cznik, powinny by膰 ograniczone jedynie do wymaganego minimum, czyli poziom uprawnie艅:

Aruba User Role Download

Krok 5- Konfiguracja AAA na prze艂膮czniku ArubaOS-Switch 10.10

aaa authentication mac-based chap-radius
aaa accounting network start-stop radius
aaa accounting update periodic 5
aaa authorization user-role enable
aaa authorization user-role enable download

Na koniec ustawiam uwierzytelnianie mac-based i przes艂anie przez CHAP do Radius’a.

W艂膮czam accounting, z aktualizacj膮 co 5 min.

Na koniec w艂膮czam u偶ywanie r贸l na prze艂膮czniku, oraz 艣ci膮ganie roli z Clearpass’a.

W moim przyk艂adzie nie u偶ywam 802.1x, a jedynie uwierzytelnianie bazuj膮ce na MAC.

KROK 6 – KONFIGURACJA AAA na porcie prze艂膮cznika

aaa port-access mac-based 3

Ko艅cowym krokiem jest w艂膮czenie uwierzytelniania mac-based na porcie 2

Podsumowanie

Na dzisiaj koncepcja DUR dla mnie jest ciekawa, ale nie niesie za sob膮 a偶 tyle korzy艣ci jak by si臋 mog艂o wydawa膰.

Dodanie DUR do Clearpass’a odczytuj臋 jako dostosowywanie tego narz臋dzia do przysz艂ych zastosowa艅 IoT, gdzie dynamika zmian profili urz膮dze艅 ko艅cowych mo偶e by膰 du偶a.

W takim przypadku ma sens dynamizowanie procesu dystrybucji profili roli na urz膮dzenia ko艅cowe.

W dost臋pie typowym pracowniczym, nie widz臋 na dzisiaj du偶ego sensu u偶ywania Aruba Downloadable User Role.

Zalety

  1. 艁atwe dostosowanie konfiguracji opieraj膮c si臋 jedynie na zmianach w Clearpass’e
  2. Mo偶liwo艣膰 konfiguracji r贸l na urz膮dzeniach NAD posiadaj膮c dost臋p jedynie do Clearpass’a.
  3. Dobre narz臋dzie od scenariuszy szybko zmieniaj膮cych si臋 profili roli urz膮dze艅 w dost臋pie do sieci, np IoT.

Wady

  1. DUR dzia艂a jednie z Clearpass’em, je偶eli masz 艣rodowisko np z ISE, DUR nie zadzia艂a
  2. Dynamiczne role, nie s膮 tak intuicyjne w nazywnictwie roli, a to utrudnia rozwi膮zywanie problem贸w
  3. Nawet dynamiczne role trzeba korelowa膰 z konfiguracj膮 prze艂膮cznik贸w, czyli nawet gdy nie mamy dost臋pu do Airwave’a/Centrala to nadal potrzebujemy rozumie膰 konfiguracj臋 prze艂膮cznik贸w
  4. Wymagane jest zaufanie ze strony urz膮dze艅 do interfejsu HTTPS Clearpassa, co wymaga dodatkowej konfiguracji.
  5. Wsparcie DUR jets oferowane tylko na nowszych urz膮dzeniach, w zale偶no艣ci od modelu trzeba sprawdzi膰 wsparcie w oprogramowaniu urz膮dze艅.

Je偶eli chcesz zobaczy膰 konfiguracj臋 Aruba ClearPass DUR na Instancje 8.4, to poni偶ej zamieszczam link do filmu instrukta偶owego po angielsku:

Aruba ClearPass DUR – Instant 8.4

Autor: Darek Koralewski

Od pocz膮tku swojej kariery, czyli od 2004 roku, zajmuj臋 si臋 sieciami komputerowymi ze szczeg贸lnym uwzgl臋dnieniem ich bezpiecze艅stwa oraz sieciami programowalnymi. Mam na swoim koncie ca艂膮 list臋 certyfikat贸w r贸偶nych producent贸w, dwa najwa偶niejsze to te po艣wiadczaj膮ce najwy偶szy poziom wiedzy eksperckiej z zakresu rozwi膮za艅 Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwi膮zania Aruba ACDX#1255. Wi臋cej informacji mo偶esz znale藕膰 na moich portalach spo艂eczno艣ciowych.