Siec WiFi dla Gości – cz.2 Polityki Clearpass

Siec WiFi dla Gości - cz.2 polityki Clearpass

Spis tresci z czasami poszczegolnych działań:

  • 0:43 Konfiguracji polityk dostępu
  • 6:32 Opis gotowych polityk
  • 10:06 Życzenia świąteczne

Więcej miejsc do posłuchania:

Spotify

 

Transkrypcja filmu:

Cześć,

Witam Cię w dzisiejszym odcinku, dzisiaj część druga dostępu gościnnego. Będzie na temat polityk, które trzeba skonfigurować w Clearpass, po to żeby zrealizować scenariusz gościnny dostępu do sieci bezprzewodowej, tak aby gość rejestrując się na portalu dla gościa, po rejestracji jeden raz, mógł korzystać z tego dostępu gościnnego w firmie. Zapraszam zaczynamy.

SERWISY

Przejdźmy do konfiguracji serwisu w Clearpass, żeby to zrobić przechodzimy do części Configuration->Service Templates and Wizards. To jest miejsce do ułatwienia konfiguracji typowych scenariuszy dostępu w Clearpass. To co będzie nas stąd interesowało to Guest Authentication with MAC Caching.

To jest scenariusz w którym, my oczekujemy że ten gość będzie się logował przez portal gościny raz, a następnie jego MAC adres zostanie zapamiętany jako znany i będzie mógł się do tej sieci połączać ponownie. Wyłączać WiFi w urządzeniu i ponownie je włączyć, tyle razy ile chce, podczas ważności tego konta. Dopóki konto jest ważne, to gość będzie się mógł do tego konta podłączać i tylko za pierwszym razem będzie wymagane jego zarejestrowanie.

Żeby skonfigurować w Clearpass polityki, klikamy Guest Authentication with MAC Caching, a następnie wpisujemy prefix. Ja wpiszę prefix netadminpro.pl daję next. W kolejnym kroku pisujemy nazwę sieci bezprzewodowej, ta nazwa jest potrzebna dla Clearpass’a do uzależnienia danego serwisu od zapytania związanego z daną siecią bezprzewodową. Dalej podajemy nazwę kontrolera bezprzewodowego, następnie Kontroller IP address, w tym polu może być wskazana cała sieć z maską. Następnie wybieramy nazwę producenta i podajemy Shared Secret.

Dynamic Authorization to jest umożliwianie dynamicznej zmiany ról na urządzeniu dostępowym i w takim właśnie schemacie się odbywa przełączenie roli na punkcie dostępowym, czyli ta opcja powinna być włączona.

RADSEC

Enable RadSec to jest nowa funkcjonalność, związana z szyfrowaniem ruchu pomiędzy radiusem, a urządzeniem dostępowym, tego nie musimy zaznaczać w tym naszym scenariuszu.

KONTA GOŚCI

Następnie to co potrzebujemy wskazać, to jaką ważność konta dla gościa chcemy ustawić, ja w tym przykładzie ustawiam jeden dzień, pozostałe pozycje, kontraktor i pracownik, nie dotyczą naszego scenariusz tego nie musimy ustawiać. Posture settings to jest ustawienie czy stacja końcowa spełnia moje oczekiwania, w moim scenariuszu nie będę sprawdzał parametrów stacji końcowej, daję next.

W zakładce Access Restrictions potrzebuję wpisać typ wymuszenia polityki na urządzeniu dostępowym, w tym przypadku punkcie dostępowym, ponieważ używam punktu dostępowego Aruba to będę się opierał o role. Jeżeli mam inne urządzenie to mogę się opierać o inne mechanizmy, typowo dla urządzeń Cisco będzie to podanie nr vlan’u. W polu Captive Portal Access wpisujemy nazwę roli przewidzianą na punkcie dostępowym do przekierowywania gości na portal www. Nazwa roli jaka występuje na punkcie dostępowym to External CP i taką nazwę potrzebuję skopiować do pola Captive Portal Access.

ROLA

Nazwę roli jaka będzie przypisana dla dostępu gościnnego po uwierzytelnieniu, wpisuję w pole Guest Access. Domyślnie na wirtualnym kontrolerze Aruba, nazwą dostępu pełnego dla danej sieci bezprzewodowej jest nazwa tej sieci. W moim przypadku więc wpisuję w Guest Access, nazwę roli identyczną z nazwą sieci bezprzewodowej.

Dodatkowo dodałem ograniczenie na ilość urządzeń dla jednego gościa do jednego urządzenia i ograniczenie przepustowości łącza dla gościa do 10Mb po stronie ClearPass.


PODSUMOWANIE KONFIGURACJI

Po zakończeniu kreatora, widzimy że zostały dodane 2 serwisy, jak również zostały dodane inne elementy, które tutaj są potrzebne. Krótko je opiszę, żeby całość zadziałała potrzebne jest dodanie urządzenie, w naszym przykladzie to punkt dostępowy do Clearpass jako zaufany. Zostało dodanych 9 profili enforcement, są to profile w których zapisane są parametry radius wysyłane z Clearpass do punktu dostępowego. Są dodane dwie polityki enforcement’u zawierające wyżej opisane profile. Następnie zostały zaktualizowane 2 schematy mapowania ról wewnątrz Clearpass. No i na końcu zostały dodane dwa serwisy, które możemy zobaczyć na końcu listy serwisów. Kolejność tych serwisów jest istotna i ma bezpośredni wpływ na funkcjonalość. Zwóć uwagę, że najpierw jest serwis do uwierzytelniania użytkowników w oparciu o adress MAC, w oparciu o MAC Authentication, a pod nim jest serwis uwierzytelniający gości w oparciu o captive portal, czyli formularz który nam będzie z tego portalu przesyłany do Clearpass.

Jeżeli popatrzymy sobie na szczegóły serwisu to widzimy, że klasyfikacja serwisu opiera się o dwa parametry, nazwę sieci bezprzewodowej w naszym przypadku netadminpro.pl, oraz o nazwę użytkownika w postaci MAC adresu.
W przypadku gdy urządzenie nie jest znane, będziemy widzieć w Clearpass nieudaną próbę uwierzytelnienia opartą o MAC adres, a dopiero poźniej w kolejnej linijce zobaczymy próbę uwierzytelnia w oparciu o zapytanie radius przetworzone przez punkt dostępowy. Jak sobie popatrzymy na kryteria klasyfikacji drugiego serwisu, to zadziała nam ten serwis, o ile w zapytaniu wartość pola Client-Mac-Address nie jest równe wartości pola User-Name otrzymanego w zapytaniu. Dodatkowo to zapytanie musi przychodzić z sieci netadminpro.pl i posiada wartośc pola Calling-Station-ID, wartość dostarczana przez punkt dostępowy.

KOLEJNOŚĆ SERWISÓW

Tutaj warto zwrócić jeszcze uwagę na jedną rzecz, kolejność serwisów ma znaczenie. Jeżeli nam zapytanie nie trafi w pierwszy serwis, to będzie sprawdzane czy spełnia kryteria kwalifikacji dla serwisu umieszczonego poniżej. Jeżeli jest prawidłowo uwierzytelniona stacja w wierszu 7 to wiersz 8 nie będzie już sprawdzany. Na prawidłowym uwierzytelnieniu w wierszu 7 cały proces się zakończy i o to właśnie nam chodzi.

PODSUMOWANIE

Ponieważ jest to ostatni odcinek przed świętami, to wraz z moim mikołajem chciałem Ci życzyć wszystkiego dobrego na święta, spokojnych rodzinnych świąt, wypoczynku i tego żebyśmy zobaczyli się w nowym roku, w jeszcze lepszych humorach. Wypoczęci i gotowi do kolejnych wyzwań, do zobaczenia.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.