Siec WiFi dla Gości – cz.3 Monitoring

W tym odcinku pokazuję jak monitorować dostęp dla gości w sieci WiFi. Pokazane zostanie jak monitorować taki dostęp po stronie systemu Radius, w tym przypadku Clearpass 6.8, jak również po stronie punktu dostępowego. W tym przykładzie punkt dostępowy to produkt Aruba w trybie Instant.

Spis tresci z czasami poszczegolnych działań:

1:02 Monitoring Clearpass Manager – Access Tracker
4:20 Monitoring ClearPass Guest
5:04 Streszczenie monitoringu na punkcie dostępowym Instant AP
5:27 Monitoring Instant AP
6:25 Podsumowanie

Więcej miejsc do posłuchania:

Spotify

 

Transkrypcja filmu:

Cześć!

Witam Cię w dzisiejszym odcinku. Dzisiaj pokażę, w części trzeciej, jak można monitorować dostęp gościnny, w oparciu o ClearPass 6.8, jak również wirtualny kontroler Aruby czyli Instant IP, który w tym scenariuszu mam skonfigurowany.

Streszczenie

Najpierw pokażę, jak wyglądają sesje uwierzytelnienia dla użytkowników prawidłowo zatwierdzonych przez sponsora, jak również pokażę sesje, które jeszcze takiego zatwierdzenia nie dostały i są odrzucane przy próbie podłączenia do sieci gościnnej w oparciu o MAC Authentication. Następnie pokażę, jak można zauważyć zmianę roli na punkcie dostępowym IP czyli Instant IP Aruby, ta rola będzie inna w zależności od tego, czy dany gość jest już na etapie zatwierdzonym przez sponsora, do dostępu gościnnego czy jest to pierwsze podłączenie i jeszcze nie jest nam to urządzenie w sieci gościnnej znane. Zaczynajmy!

Opis scenariusza

Teraz Wam pokażę jak wygląda ten dostęp gościnny. Jesteśmy w ClearPass Policy Manager, w części Live Monitoring -> Access Tracker. Tutaj, jak widzimy, jeżeli chodzi o pierwsze połączenie stacji końcowej, urządzenia końcowego do sieci gościnnej, to najpierw jest próba uwierzytelnienia w ramach MAC Authentication. U mnie ten serwis się nazywa netadminpro.pl. A dopiero później jest wykonywana próba uwierzytelnienia w oparciu o user & password, czyli użytkownika i hasło. Chodzi o to, że w tym scenariuszu, który tutaj realizuję, chciałbym, żeby gość podłączył się do sieci gościnnej, został przekierowany, zarejestrował się, ale gdy to zrobi, to podczas aktywności tego konta nie chcę, żeby ponownie był przekierowywany na portal gościnny przy każdym podłączeniu się do tej sieci gościnnej. Czyli załóżmy, że gość jest w tej sieci dostępny, załóżmy, że ma dostęp do sieci naszej, gościnnej, firmowej na 24 godziny, to, o ile już raz wykonał to logowanie, to nie chcę, żeby ponownie musiał się na tym portalu logować. Chciałbym, żeby jego MAC adres był zapamiętany tutaj w ClearPassie i każde ponowne połączenie z siecią gościnną, w ramach ważności tego konta, odbywało się bez przekierowania na portal gościnny. Teraz zobaczcie, jeżeli rozłączę się teraz z sieci jako gość i podłączę się ponownie, to pojawi nam się tutaj uwierzytelnienie tego gościa, ale już w ramach MAC Authentication. Czyli gość nie dostał żadnego przekierowania, było to dla niego przeźroczyste, bo widzimy, że trafił w serwis netadminpro.pl MAC Authentication. Tak działa ten scenariusz, który tutaj skonfigurowałem.

Usunięcie stacji końcowej z listy znanych urządzeń

Jeżeli usuniemy tę stację końcową ze znanych stacji, czyli przejdziemy do części Configuration -> Identity -> Endpoints, to widzimy, że tutaj jest zarejestrowane to urządzenie jako znane – ma status known. Jak sobie klikniemy w szczegóły, możemy zobaczyć szczegóły profilowania tego urządzenia. Tutaj podłączyłem się tabletem Apple, czyli iPadem. Możemy sobie zobaczyć jaki użytkownik był podłączony przez to urządzenie do naszej sieci gościnnej. Jeżeli usuniemy to urządzenie albo zaznaczymy jego status, że jest unknown, wtedy ponownie zostanie ten użytkownik przekierowany na Captive Portal, czyli ten portal gościnny, z prośbą o logowanie. Tak to wygląda ze strony ClearPass’a i monitoringu. Możemy jeszcze przejść do części gościnnej i zobaczyć, jakie konta gościa są skonfigurowane. Mam tutaj tego gościa, Andrzeja Nowaka. Widzimy, że jego konto zniknie 12/18 o 12:35, a w zasadzie się unieważni bardziej niż zniknie. Możemy je oczywiście edytować, jak również możemy sobie zobaczyć szczegóły tego konta. W szczegółach tego konta, możemy również zobaczyć, kto był sponsorem w ramach tworzenia tego konta. Tutaj widzimy e-mail sponsora. 

Monitoring na punkcie dostępowym

Teraz możemy przejść do oglądnięcia, jak wyglądają role na punkcie dostępowym. W moim przypadku to jest Instant IP Aruby. Tam będą dwa typy ról. Jedna rola, która będzie miała w sobie profil przekierowania na portal gościnny i druga rola, która już będzie miała pełny dostęp do sieci gościnnej. Możemy jeszcze zobaczyć, w części Dashboard -> Clients, jak wygląda przypisywanie ról dla użytkowników prawidłowo uwierzytelnionych w ClearPassie jak i dla nowego urządzenia. Zobaczcie, tutaj widzimy andrzej.nowak@gmail.com. Jak popatrzymy na role, rola jest z tej strony, to ma netadminpro.pl, czyli jego rola na tym Instancie, to jest nazwa sieci bezprzewodowej. Możemy to, oczywiście, dodatkowo konfigurować, zmieniać i ograniczać, ale domyślnie jest to nazwa sieci. Natomiast dla urządzenia, które jest nieuwierzytelnione, czyli nie powiązane z żadnym użytkownikiem i nie jest prawidłowo podłączone do sieci w sposób pełny, ma rolę External Captive Portal, czyli ma taką nazwę roli, do której jest przypisany profil przekierowania na portal gościnny, który konfigurowaliśmy.

Podsumowanie

Na dzisiaj to już wszystko. Jeżeli macie jakieś pytania do tego materiału, to zapraszam. Jeżeli macie jakieś propozycje na nowe tematy, to również zachęcam do pisania w komentarzach. Zastanawiam się nad nową serią, w którym kierunku iść. Na razie, na podstawie obecnych doświadczeń, wychodzi mi że, tego typu video, które teraz kończę robić, czyli dzisiejszy trzeci odcinek, jest trochę zbyt specyficzny na szerszą grupę odbiorców. Myślę, że te tematy, przynajmniej na razie, które Was interesują, są bardziej bieżące i związane z aktualnymi trendami, a takie specjalistyczne informacje, czy taki trening czy mini trening, jest bardziej w zakresie zainteresowań węższej grupy osób, która już bezpośrednio jest związana z konfiguracją ClearPass’a. Takie mam na dzisiaj odczucie po informacjach, które od Was dostaję. Jeżeli jest inaczej, napiszcie do mnie – chętnie dostosuję to, co tutaj pokazuję do tego, co Wy potrzebujecie. Ponieważ jest to pierwszy odcinek w tym roku, chciałem Wam życzyć wszystkiego dobrego z okazji nowego Nowego Roku i żeby Wam się wszystko układało po Waszej myśli. Do usłyszenia w kolejnym odcinku!


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.