Aruba ClearPass [Lab - 6 - 7] Cấu hình phân loại các thiết bị kết nối vào mạng có dây và Cấu hình tính năng Device Fingerprinting

Cấu hình phân loại các thiết bị kết nối vào mạng có dây và Cấu hình tính năng Device Fingerprinting​

I. Mở đầu​

Trong hệ thống mạng doanh nghiệp, việc xác định đúng loại thiết bị kết nối vào mạng có dây là rất quan trọng để áp dụng chính sách truy cập phù hợp. Nếu chỉ dựa vào VLAN cố định hoặc địa chỉ MAC, quản trị viên sẽ khó phân biệt đâu là máy tính người dùng, camera IP, máy in hay thiết bị chưa xác định.

Aruba ClearPass Policy Manager hỗ trợ tính năng Device Profiling để tự động thu thập thông tin và phân loại thiết bị dựa trên các đặc điểm như DHCP, MAC Vendor, hostname và fingerprint. Dựa vào kết quả nhận diện, ClearPass có thể trả về chính sách truy cập phù hợp cho switch, ví dụ đưa máy tính vào VLAN người dùng, camera vào VLAN Camera hoặc thiết bị lạ vào VLAN cách ly.

Trong bài lab này, chúng ta sẽ cấu hình ClearPass để phân loại các thiết bị kết nối vào mạng có dây, kiểm tra kết quả nhận diện trong Endpoint Profiler và tạo Custom Fingerprint cho thiết bị chưa được nhận diện chính xác.

II. Lý thuyết​

1. Device Profiler là gì ?​

Device Profiler trong ClearPass Policy Manager là chức năng dùng để tự động phân loại thiết bị đầu cuối khi thiết bị kết nối vào mạng. ClearPass thu thập các thuộc tính của thiết bị thông qua các thành phần gọi là collector, sau đó dựa vào các thông tin này để nhận diện thiết bị thuộc loại nào, ví dụ: máy tính, laptop, máy in, camera IP, điện thoại IP hoặc thiết bị thông minh.

Nói đơn giản, khi một thiết bị cắm vào mạng, ClearPass không chỉ xác thực thiết bị đó bằng 802.1X hoặc MAC Authentication, mà còn có thể phân tích thông tin thiết bị để biết đó là máy tính Windows, macOS, Linux, camera IP hay thiết bị chưa xác định.

ClearPass có thể nhận diện thiết bị bằng cách kiểm tra các gói tin mà thiết bị gửi trong mạng, từ đó lấy được thông tin như loại thiết bị và hệ điều hành. Ví dụ, ClearPass có thể phân biệt thiết bị là smart device, laptop, printer hoặc IP phone

Thông tin nhận diện này được dùng trong quá trình enforcement, tức là ClearPass sẽ trả về quyền truy cập phù hợp cho switch. Ví dụ:

• Máy tính Windows/macOS/Linux → đưa vào VLAN nhân viên.
• Camera IP → đưa vào VLAN Camera.
• Thiết bị chưa rõ loại → đưa vào VLAN cách ly hoặc VLAN 99.

Nhờ đó, hệ thống mạng có thể cấp quyền truy cập dựa trên loại thiết bị và danh tính người dùng, giúp tăng bảo mật và dễ quản lý hơn.

2. Fingerprint trong Device Profiling​

ClearPass sử dụng các fingerprint dictionary và rule để nhận diện thiết bị. Fingerprint có thể hiểu là “dấu vân tay” của thiết bị, gồm các đặc điểm mà thiết bị để lại khi giao tiếp trong mạng.
Ví dụ, khi thiết bị xin địa chỉ IP bằng DHCP, nó có thể gửi kèm một số thông tin đặc trưng. ClearPass dựa vào các thông tin này để đoán thiết bị là Windows, camera, điện thoại IP hoặc thiết bị khác.

Truy cập bằng Administration > Dictionaries > Fingerprints

3. CoA trong Device Profiling​

Sau khi ClearPass nhận diện lại thiết bị, hệ thống có thể dùng CoA – Change of Authorization để yêu cầu switch cập nhật lại quyền truy cập cho thiết bị đó.
Giao thức RADIUS CoA được sử dụng trong khung kiến trúc dịch vụ AAA để cho phép thay đổi động các phiên truy cập của người dùng/thiết bị đang hoạt động mà không cần họ phải rút dây hay ngắt kết nối Wi-Fi thủ công
Ví dụ: ban đầu thiết bị chưa rõ loại nên bị đưa vào VLAN 99. Sau khi ClearPass profile được thiết bị là Camera IP, ClearPass gửi CoA về switch để switch xác thực lại hoặc đổi quyền, sau đó đưa thiết bị sang VLAN Camera.

III. Mô hình​

IV. Cấu hình và kiểm tra​

1. Switch​

Khai báo VLAN


Cấu hình cho VLAN kết nối tới MGMT

Khai báo ClearPass làm RADIUS server

Bật AAA cho port-access

Cấu hình các port endpoint
Port Camera 1/1/2

Port Windows 10 1/1/3

Port Kali Linux 1/1/4

Ở đây vlan access 99 là VLAN mặc định khi chưa được ClearPass cho phép. Khi ClearPass trả VLAN 10, 11 hoặc 100, switch sẽ đưa thiết bị vào VLAN động tương ứng.

Cấu hình gửi DHCP về ClearPass vì gói tin DHCP sẽ chứa các thông số để ClearPass nhận diện thiết bị

2. Cấu hình ClearPass​

Thêm Device vào ClearPass
Configutration > Network > Devices



Tạo Enforcement Profile trả VLAN
Mình sẽ xài chung cho 3 máy bằng Profile này

Bật Profiling
Vào Configuration > Services


Mình sẽ bật trên 2 Service đã làm ở các bài lab trước này

Vào IoT_MAC_Authen và Enable Profile Endpoint
inter
Sau đó Tab Profiler sẽ hiện lên

Vào tab Profiler
Phần Endpoint Classification sẽ chứa danh mục thiết bị (Device Categories) được nhận diện để thực thi Radius CoA Action để cập nhật quyền truy cập mạng
Ở đây mình sẽ chọn Any Category / OS Family / Name đây là bộ chọn sẽ bắt tất cả sự thay đổi nào về thông tin phân loại (từ Unknown thành bất cứ cái gì, hoặc đổi hệ điều hành, đổi tên...), ClearPass sẽ ngay lập tức kích hoạt RADIUS CoA.

Phần RADIUS CoA Action sẽ chọn các mẫu Profiler RADIUS CoA. Ở dây sẽ chọn Bounce Switch Port

Dùng để shutdown và bật lại cổng mạng mỗi khi có sự thay đổi

Tương tự cho 802.1X wired Authen


Bây giờ xem thông tin cụ thể của các thiết bị
Vào Monitoring > Profile and Network Scan > Endpoint Profiler

Các thiết bị đã được nhận dạng
Nhấn vô từng thiết bị trong phân loại để xem
VPC

Đây là các Fingerprints được dựa vào để phân loại, ở đây đang dựa trên DHCP Request và Host MAC Vendor


Windows

Nhận dạng được cả Hostname, Device OS Family và Device Name

Nhận dạng dựa vào Request DHCP

Kali

Kiểm tra trong Access Tracker
Trong các Radius Request tới của ba thiết bị

Phần End host Profile cũng đã có thông tin




Lưu ý:
- VPS_Camera đang được phân vào Unclassified Device do các bộ Fingerprints chưa có bộ nào có thể nhận dạng được thiết bị này
- Đối với các trường hợp như vậy chúng ta có thể sử dụng Custom Fingerprint dựa trên các thông số hiện tại của VPS_Camera mà ClearPass thu thập được để nhận dạng

3. Cấu hình Fingerprint trên ClearPass​

Lưu ý:
- Đối với các Custom Fingerprint được cấu hình sẽ được dùng để đánh giá trước khi các quy tắc mặc định được đánh giá
- Fingerprint mặc định sẽ được cập nhật thông qua Aruba Policy Manager Updates Portal đường dẫn để cập nhật tại Administration > Agents and Software Updates > Software Updates

Truy cập vào thông qua Administration > Dictionaries > Device Fingerprints.

Ở đây sẽ có các Fingerpritn mặc định
Có thể xuất tất cả các Fingerprint để Backup bằng Export và Restore bằng Import
Có thể nhấn vào để xem chi tiết

Trong này sẽ có các Rule để nhận diện thiết bị thông qua Field và Value

Authenticated endpoints
Là danh sách các thiết bị Endpoint đã đã từng phát sinh yêu cầu xác thực tới ClearPass
Truy cập thông qua Configuration > Identity > Endpoints

Chúng ta sẽ chú ý các thông tin sau
- MAC Address địa chỉ MAC của Endpoint kết nối mà Switch đã gửi yêu cầu xác thực
- Hostname: Chỉ định tên máy chủ của Endpoint.
- Device Category (Danh mục thiết bị - Loại thiết bị): Biểu thị danh mục của thiết bị đã được định danh. Ví dụ: Access Points (Bộ phát Wi-Fi), Computer (Máy tính), Smart Device (Thiết bị thông minh), VoIP phone (Điện thoại IP), v.v.
- Device OS Family (Nhóm hệ điều hành thiết bị): Chỉ định hệ điều hành mà thiết bị đang chạy. Ví dụ: khi danh mục là Computer (Máy tính), Policy Manager sẽ hiển thị Device OS Family là Windows, Linux, hoặc macOS.
- Status (Trạng thái): Hiển thị trạng thái của Endpoint gồm Unknown (Không xác định), Known client (Client đã biết), Unknown client (Client chưa biết), Disabled client (Client bị vô hiệu hóa)
-Profiled (Đã định danh): Biểu thị liệu thiết bị đã được thêm vào Policy Manager profile (Hồ sơ danh tính của thiết bị) hay chưa. Có nghĩa là thiết bị đã được nhận diện khớp với Fingerprint và đã được thêm vào Endpoint Profiler

Các bạn có thể thấy nhận diện được máy Windows và Kali một cách đầy đủ.
Tuy nhiên với vpc_camera nó chỉ nhận diện được ở mức cơ bản với:
- Device Category: Generic -> Chỉ biết đây là một thiết bị có kiết nối IP chạy trong mạng một cách chung chung
- Device OS Family: Private -> Không nhận biết được OS dựa trên OS đã biết nên xếp vào nhóm Private

Cấu hình Custom Fingerprint cho ClearPass nhận dạng VPC_Camera là Camera
Vào Configuration > Identity > Endpoints
Chọn vào dòng có Hostname vpc > Vào mục Device Fingerprint


Tạo một Fingerprint mới trong Administration > Dictionaries > Device Fingerprints

Add để thêm mới

Bây giờ quay lại Endpoint chọn con VPC và chọn Update Fingerprint


Chọn Add Fingerprint Rule để thêm rule mới (còn 2 option Overide nếu muốn ghi đè Fingerprint cũ hoặc Reset để đặt lại toàn bộ Fingerprint đã được Override bằng Rule của thiết bị)
Save
Sau khi xong Check lại trong Device Fingerprint


Thấy đã được thêm mới
Chờ tâm 1 phut

Thành công phân loại thiết bị dựa trên Fingerprint mới tạo

Bây giờ thêm 1 con VPC mới vào và chạy dhcp
Ta có thể thấy nhận dạng thành công dựa trên fingerprint dhcp

Nguồn:
Device Profiler: Authenticated endpoints: https://arubanetworking.hpe.com/tec.../Admin/EndpointsHelp.html?Highlight=Endpoints
Fingerprint Dictionary: https://arubanetworking.hpe.com/tec...gerprintDictionary.html?Highlight=Fingerprint
Device Profile: https://arubanetworking.hpe.com/tec...PPM_UserGuide/PolicyProfile/DeviceProfile.htm
Monitoring Endpoint Profiler: https://arubanetworking.hpe.com/tec...PM_UserGuide/Monitoring/EndpointProfiles.html