hiep03
Intern
Cấu hình thêm các thiết bị Network Device vào NAC
I. Mở đầu
Trong xu hướng bảo mật Zero Trust, giải pháp Aruba ClearPass Policy Manager (CPPM) đóng vai trò là bộ não trung tâm quản lý toàn bộ chính sách truy cập mạng. Tuy nhiên, để các chính sách này được áp dụng thực tế, CPPM cần sự phối hợp chặt chẽ từ các thiết bị mạng hạ tầng như Switch, WLC, AP và Firewall – hay còn gọi là Network Access Devices (NADs).Nguyên lý phối hợp: CPPM chịu trách nhiệm xác thực và ra quyết định (qua RADIUS/TACACS+), trong khi thiết bị mạng đóng vai trò là "người gác cổng" trực tiếp thực thi lệnh (gán VLAN, chặn hoặc mở cổng).
Tài liệu này hướng dẫn chi tiết các bước khai báo và tích hợp thiết bị mạng vào hệ thống CPPM. Đồng thời giới thiệu về các thành phần Service, Enforcement đây là các thành phần dùng để lắng nghe và thực thi chính sách xuống NADs
II. Lý thuyết
1. Network Access Device (NAD)
Trong hệ thống NAC, các thiết bị mạng như switch, wireless controller, access point controller, firewall, VPN gateway đóng vai trò là điểm truy cập mạng cho người dùng và thiết bị đầu cuối.Các thiết bị này thường được gọi là:
NAD - Network Access Device
Trong Aruba ClearPass, NAD được khai báo tại mục:
Configuration > Network > Devices
Việc thêm Network Device vào ClearPass giúp hệ thống xác định thiết bị nào được phép gửi request xác thực đến NAC thông qua các giao thức như:
- RADIUS
- TACACS+
- CoA - Change of Authorization
Nếu thiết bị mạng chưa được khai báo hoặc khai báo sai, ClearPass có thể không xử lý request hoặc báo lỗi
2. Service
ClearPass Policy Manager, Service là nơi định nghĩa cách ClearPass xử lý một yêu cầu truy cập mạng.
Khi một thiết bị mạng như switch, access point, wireless controller hoặc firewall gửi request xác thực về ClearPass, hệ thống sẽ kiểm tra request đó khớp với Service nào trong danh sách Services.
Nếu request khớp với một Service, ClearPass sẽ sử dụng cấu hình bên trong Service đó để thực hiện các bước như xác thực, kiểm tra thông tin người dùng hoặc thiết bị, ánh xạ role và trả kết quả enforcement về thiết bị mạng.
3. Enformence
Trong ClearPass Policy Manager, Enforcement là bước ClearPass quyết định và trả kết quả truy cập về cho thiết bị mạng như switch, access point, wireless controller hoặc firewall.
a. Enforcement Policy
Enforcement Policy là một trong những thành phần được gán trong Service để ClearPass quyết định kết quả truy cập cuối cùng cho user hoặc thiết bị sau khi quá trình xác thực và phân quyền hoàn tất (dựa trên các điều kiện như user role, AD group, loại thiết bị, trạng thái endpoint hoặc kết quả xác thực)
Ví dụ:
- User thuộc group IT: Cấp VLAN 10
- User là Guest: Cấp VLAN Guest
- .....
Trong Enforcement Policy, ClearPass sẽ kiểm tra điều kiện theo thứ tự. Nếu request khớp rule nào, ClearPass sẽ áp dụng Enforcement Profile tương ứng.
b. Enforcement Profile
Enforcement Profile là tập hợp các thuộc tính cụ thể mà ClearPass gửi về thiết bị mạng.
Nếu Enforcement Policy là nơi quyết định “chọn kết quả nào”, thì Enforcement Profile là nội dung chi tiết của kết quả đó.
Ví dụ Enforcement Profile có thể chứa:
III. Mô hình
Ở mô hình này hai Switch Cisco và ArubaCX sẽ được khai báo là NAD trong CPPM và cấu hình RADIUS để gửi yêu cầu xác thực khi 2 máy Win A và Win B ssh
IV. Cấu hình
A. Cấu hình trên ClearPass
1. Cấu hình thêm NAD vào CPPM
Configuration > Network > Devices > Add
Tại mục Device điền các thông tin
Cisco
Aruba
Với bài Lab cơ bản hiện tại mình chỉ cấu hình mục device
Như vậy ClearPass đã biết 2 switch này là thiết bị mạng được phép gửi request về nó.
2. Tạo tài khoản User Local
Đây là tải khoản dùng để đăng nhập thông qua ssh vào SwitchConfiguration > Identity > Local Users > Add
Tạo tài khoản
Mình sẽ tạo 3 tài khoản
- netadmin | role: Employee | Enable User
- disableuser | role: Contractor | Disable User
- co_LeVanA | role: Contractor | Enable User
3. Tạo Enforcement Profile trả quyền Cisco privilege 15
Configuration > Enforcement > Profiles > Add
Qua mục Attributes
Dòng 1 sử dụng thuộc tính Service-Type trong RADIUS chuẩn IETF với value = Administrative (6) người dùng có quyền quản trị
Dòng 2 sử dụng Vendor-Specific Attributes (VSA) là Cisco-AVPair = "shell: priv-lvl=X"
Cisco-AVPair: Đây là thuộc tính mở rộng cho phép Cisco NAS (router, switch, ASA, v.v.) nhận các thông tin bổ sung từ RADIUS server.
shell: priv-lvl: Chỉ định mức độ đặc quyền (privilege level) khi người dùng đăng nhập vào thiết bị Cisco.
X: Là giá trị từ 0 đến 15.
- 0: Quyền thấp nhất, hầu như không làm gì được.
- 1: Quyền user cơ bản (chỉ chạy một số lệnh show).
- 15: Quyền cao nhất (tương đương enable mode, toàn quyền cấu hình).
Mình set là 15 để ssh quản trị với quyền cao nhất
Save
4. Tạo Enforcement Policy
Enforce Type = RADIUS để CPPM gửi thông tin Enforcement thông qua giao thức RADIUS
Ở mục này gán Default Profile bằng = Deny Access Profile để set hành động mặc định là từ chối nếu không có rule nào khớp
Tiếp theo vào mục Rule
Add Rule
TIPS là nhóm thuộc tính nội bộ của ClearPass dùng trong rule/policy (các thông tin mà ClearPass tự tạo ra hoặc tự ghi nhận trong quá trình xử lý request)
Cái này là điều kiện ếu role nội bộ mà ClearPass đã gán cho user/device là Network-Admin
-> Thì áp dụng Enforcement Profile tương ứng
5. Tiếp theo cấu hình Service
Configuration > Service
Add Service mới
Qua mục authentication ở đây sẽ cấu hình xác thực người dùng
Chọn Authen Methods = PAP hoặc có thể chọn nhiều Authen Methods khác
Chọn Athen Source = Local User Repository
Ở mục Enforcement chọn cái Policy mình đã tạo
Nó sẽ hiện ra các điều kiện (condition) mà mình đang set trong Plocy
Save
7 Cấu hình thêm Enforcement cho Aruba-CX
Tương tự Configuration > Enforcement > Profiles > Add
Ở Attribute cấu hình
Để cấp phát quyền quản trị
Save
Tiếp tục vào Configuration > Enforcement > Policies
Mình sẽ tận dụng Policies đã tạo cho Cisco
Đổi lại tên thành RADIUS Admin Access Policy
Tại mục Rule Add thêm rule mới
Save
Check lại cái Service đã cập nhật và đổi tên thành RADIUS_SSH_Admin để dùng chung xác thực 2 con Switch hoặc các bạn có thể tách ra làm 2 service cho mỗi con
B. Cấu hình VLAN
CISCO_SW_1
Mã:
vlan 200
name NAC-MGMT
exit
interface vlan 200
ip address 10.0.200.10 255.255.255.0
no shutdown
exit
interface gi0/0
switchport mode access
switchport access vlan 200
no shutdown
exit
interface gi0/1
switchport mode access
switchport access vlan 200
no shutdown
exit
interface gi0/2
switchport mode access
switchport access vlan 200
no shutdown
exit
write memoryArubaCX_01
Mã:
conf t
vlan 200
name NAC-MGMT
exit
interface vlan 200
ip address 10.0.200.30/24
no shutdown
exit
interface 1/1/1
no shutdown
no routing
vlan access 200
exit
interface 1/1/2
no shutdown
no routing
vlan access 200
exit
write memoryC. Cấu hình RADIUS
Cisco_SW_1
Mã:
conf t
aaa new-model
username admin privilege 15 secret Admin@123
radius server CLEARPASS
address ipv4 10.0.200.20 auth-port 1812 acct-port 1813
key Lhh123457.
aaa group server radius CPPM_RADIUS
server name CLEARPASS
aaa authentication login default local group CPPM_RADIUS
aaa authorization exec default local group CPPM_RADIUS
aaa accounting exec default start-stop group CPPM_RADIUS
line vty 0 4
login authentication default
transport input ssh
end
write memoryAruba_CX_1
Mã:
conf t
user admin group administrators password plaintext Admin@123
radius-server host 10.0.200.20 auth-port 1812 acct-port 1813
radius-server host 10.0.200.20 key plaintext <Share Secret>
aaa group server radius CPPM_RADIUS
server 10.0.200.20
aaa authentication login default local group CPPM_RADIUS
ssh server vrf default
write memoryV. Kiểm tra
1. Từ Win A ssh tới CISCO Switch- Đăng nhập tài khoản có Role = employee (Khớp với Policy)
Thành công
Xem log trong Mornitoring > Live Monitoring > Access Tracker
- Đăng nhập bằng tài khoản khác Role
- Đăng nhập bằng tài khoản đã bị disable
2. Từ Win B ssh tới Aruba Switch
Xem Monitor
Nguồn:
Đang tải…
arubanetworking.hpe.com
Đang tải…
arubanetworking.hpe.com
Sửa lần cuối:
Bài viết liên quan
Được quan tâm
Bài viết mới