Aruba ClearPass [Lab 10] Kiểm tra tính tuân thủ của các Endpoint và Assign vào các group Compliant và non-Compliant

Kiểm tra tính tuân thủ của các Endpoint và Assign vào các group Compliant và non-Compliant (cho vào 1 VLAN khác cấm truy cập vào các resource của hệ thống chỉ cho đi Internet như Guest)​

I. Mở đầu​

II. Lý thuyết​

Dictionary Attributes​

Trong ClearPass, Dictionary Attributes là cơ chế cho phép người quản trị định nghĩa các thuộc tính tùy chỉnh dùng để lưu trữ thông tin về người dùng (local user), người dùng khách (guest users), endpoints, và devices.

Các thuộc tính này có thể được sử dụng trong quá trình Role Mapping, Enforcement Policy hoặc lưu trữ thông tin phục vụ cho các chính sách NAC.

Khác với các thuộc tính hệ thống được ClearPass cung cấp sẵn, Dictionary Attributes cho phép doanh nghiệp tự xây dựng các trường dữ liệu phù hợp với nhu cầu quản lý của mình. Ngoài ra người quản trị còn có thể xác định kiểu dữ liệu, giá trị mặc định và quy tắc bắt buộc của thuộc tính.

Trong bài lab này, một Dictionary Attribute tên Compliance_Status được tạo cho đối tượng Endpoint nhằm lưu trữ kết quả kiểm tra tính tuân thủ của thiết bị sau khi OnGuard thực hiện Posture Assessment.

Giá trị của thuộc tính này bao gồm:

• Compliant: Thiết bị đáp ứng đầy đủ các yêu cầu bảo mật.
• Non-Compliant: Thiết bị không đáp ứng một hoặc nhiều yêu cầu bảo mật.

III. Mô hình​

Mình sẽ tận dụng mô hình và các cấu hình cũ đã làm ở bài lab trước trên ClearPass
Thêm 2 thành phần mới là tài nguyên nội bộ (Linux Web Server) và đường ra Internet (thông qua Firewall Palo Alto)
Mô hình mới sẽ như sau



Yêu cầu của bài Lab này:
- Người dùng nối dây tới Switch mặc định sẽ ở VLAN 99 - VLAN cách ly (QUARANTINE)
- Ở VLAN cách ly người dùng vẫn có thể truy cập được Internet và vẫn kết nối được tới ClearPass để HealCheck cũng như xác thực. Tuy nhiên không truy cập được vào mạng và tài nguyên nội bộ.
- Khi Health Check Endpoint nào được xác thực là an toàn Health Check = HEALTHY(0) sẽ được gán thêm thuộc tính Compliant_Group = Compliant không an toàn thì sẽ được gán Compliant_Group = non-Compliant
- Khi người dùng được xác thực đúng tài khoản và Health Check = HEALTHY(0) thì sẽ dược vào VLAN 20 và có thể truy cập các tài nguyên nội bộ (Web Server,...) và cũng được ra Internet.

IV. Cấu hình​

1. Switch​

Thêm cấu hình mới
Cấu hình Switch Core
Nối tới Palo Alto Firewall

Nối tới Server

SW ACCESS

2. Palo Alto​

Các bạn xem kĩ hơn ở phần cấu hình NAT Palo Alto ở bài viết trước của mình
Interface

Static Route

PAT

3. Linux​

Tải và chạy Server Apache2
Set Ip tĩnh

4. ClearPass​

Thêm Attribute cho Endpoint


Ở đây chọn không bắt buộc vì ban đầu có thể Endpoint chưa health check
Không cho phép nhiều giá trị bởi vì chỉ xét tuân thủ hoặc không tuân thủ
Save

Sau đó tạo 2 Enforcement Profile để gán thuộc tính cho Endpoint

Cho compliant




Cho non-compliant



Gán thêm 3 Profile này vào Policy Reauthen Client trong Service Web-Based Health Check Only để mỗi khi có Request từ Agent gửi đến thì sẽ check và gán Attribute luôn
Sau khi xong

V. Kiểm tra​

Từ Win Employee khi nối dây mặc định sẽ ở VLAN cô lập (VLAN 99) \

Từ đây vẫn ra Internet bình thường


Tuy nhiên truy cập vào Web không được

Và không đi được đến mạng nội bộ


Bây giờ tiến hành xác thực người dùng và Health Check khi tắt Firewall



Xem trong Access Tracker


Sau khi người dùng Reauthen lại

Bị đưa vào VLAN cách ly
Và Endpoint có thêm thuộc tính không tuân thủ


Khi bật lại Firewall và Retry



Xem trong Access tracker


Sau khi User A Reauthen lại đã được vào vlan 20 và thuộc tính Compliant_Group trong Endpoint đã đổi




Ip mới được cấp



Ra được Internet

Truy cập được tài nguyên nội bộ của công ty
Khi vào http://10.0.30.200 (IP Web Server)