Aruba ClearPass [Lab 9] Cấu hình và cài đặt Clearpass Onguard Agent trên Windows thủ công

Cấu hình và cài đặt Clearpass Onguard Agent trên Windows thủ công​

I. Lý thuyết​

1. ClearPass OnGuard​

Các bạn xem lại phần lý thuyết của mình ở đây: [Lý thuyết - 3]

2. OnGuard Agent là gì?​

OnGuard Agent là phần mềm được cài đặt trên máy người dùng nhằm thu thập thông tin trạng thái bảo mật của hệ điều hành và gửi về ClearPass Policy Manager để đánh giá.
So với phương pháp kiểm tra thông qua trình duyệt (Web-based Health Check), OnGuard Agent có khả năng kiểm tra sâu hơn vào hệ điều hành, bao gồm:

• Trạng thái Firewall.
• Trạng thái Antivirus.
• Các Windows Services.
• Các Process đang chạy.
• Registry Keys.
• Windows Hotfixes.
• Disk Encryption.
• Installed Applications.
• Network Connections.
• USB Devices.

Nhờ đó, OnGuard Agent cung cấp kết quả đánh giá chính xác và đầy đủ hơn, phù hợp với các môi trường doanh nghiệp yêu cầu kiểm soát bảo mật nghiêm ngặt.

3. Chế độ triển khai OnGuard​

ClearPass hỗ trợ nhiều phương thức triển khai OnGuard khác nhau:

• Persistent Agent: Agent được cài đặt thường trực trên thiết bị và tự động kiểm tra tình trạng bảo mật khi người dùng kết nối mạng.
• Dissolvable Agent: Agent tạm thời được tải xuống khi người dùng truy cập mạng và tự động gỡ bỏ sau khi sử dụng.
• Agentless OnGuard: Thực hiện một số kiểm tra cơ bản mà không cần cài đặt Agent.

4. Lợi ích của OnGuard​

Việc triển khai ClearPass OnGuard mang lại nhiều lợi ích cho hệ thống mạng:

• Ngăn chặn thiết bị không đáp ứng tiêu chuẩn bảo mật truy cập vào mạng nội bộ.
• Giảm nguy cơ lây lan mã độc hoặc khai thác lỗ hổng từ thiết bị đầu cuối.
• Tự động hóa quá trình kiểm tra tuân thủ bảo mật.
• Kết hợp với Dynamic VLAN Assignment để cách ly các thiết bị không đạt yêu cầu.
• Nâng cao khả năng kiểm soát truy cập mạng theo mô hình Zero Trust.

II. Mô hình​

Trong bài lab này sử dụng Persistent Agent trên hệ điều hành Windows

Quá trình kiểm tra tuân thủ của OnGuard diễn ra theo các bước sau:

1. Người dùng kết nối mạng và thực hiện xác thực thông qua 802.1X.
2. Thiết bị được đưa vào VLAN cách ly.
3. OnGuard Agent kết nối tới ClearPass Policy Manager.
4. Agent thu thập thông tin bảo mật của thiết bị.
5. ClearPass so sánh kết quả với Posture Policy đã cấu hình.
6. Hệ thống gán Posture Token tương ứng như HEALTHY hoặc QUARANTINE.
7. Enforcement Policy được kích hoạt để áp dụng chính sách truy cập phù hợp.
8. Nếu thiết bị đạt yêu cầu sẽ được chuyển sang VLAN nội bộ; nếu không đạt yêu cầu sẽ bị chuyển sang VLAN cách ly

III. Cấu hình​

A. Switch​

1. Bật AAA và khai báo ClearPass RADIUS

2. Cấu hình 802.1X dùng ClearPass
Khi có client 802.1X:
- Authentication: gửi user/password/EAP về ClearPass
- Authorization: nhận VLAN/Policy từ ClearPass
- Accounting: gửi log phiên truy cập về ClearPass

3. Cấu hình CoA

Cho phép ClearPass gửi lệnh ngược về switch.
Port 3799 = RADIUS CoA

4. Bật 802.1X toàn cục

dot1x system-auth-control = bật 802.1X global trên switch
aaa session-id common = dùng chung session-id cho AAA/accounting

5. Tạo VLAN

6. Cấu hình SVI (Gateway Layer 3 cho từng VLAN)

7. Cấu hình DHCP Server
Switch đóng vai trò DHCP Server cho VLAN 20 và VLAN 99.

8. Cấu hình ACL cho VLAN Employee
Cho phép:

9. ACL cho VLAN Quarantine

Cho phép:
- DHCP
- Truy cập ClearPass qua HTTPS (443)
- Giao tiếp OnGuard Health Check (6658)

Sau đó:
- Chặn toàn bộ các mạng nội bộ thuộc dải 10.0.0.0/8

Cuối cùng:
- Cho phép truy cập các địa chỉ còn lại (Internet)

10. Interface kết nối ClearPass

11. Interface kết nối Windows 10
Đặt VLAN mặc định của port là VLAN 99.

Fallback Policy:
Những lệnh này sẽ cho phép trên G0/1
- Xác thực thất bại: Cho client trên Gi0/1 vào VLAN99
- Client không phản hồi 802.1X: Cho client trên Gi0/1 vào VLAN99
- ClearPass không phản hồi: Cho client trên Gi0/1 vào VLAN99

Bật 802.1X trên Gi0/1

B. Cấu hình ClearPass​

1. Cấu hình Policy
Policy Re Auth Client mỗi khi có thay đổi về Posture


Policy này đảm bảo nếu có Posture gửi lên thì lập thức bắt người dùng xác thực lại để cấp lại chính sách mới
Tạo Posture Policy
Vào Configuration > Posture > Posture Policies
Add


Tiếp theo qua phần Posture Plugin
Windows sẽ hỗ trợ các cơ chế xác thực sau

Lưu ý​

Từ ngày 14/01/2020, Microsoft đã ngừng hỗ trợ:

• Windows 7
• Windows Server 2008
• Windows Server 2008 R2

Do đó, các hệ điều hành này đã bị deprecated (không còn được khuyến nghị sử dụng) kể từ phiên bản ClearPass 6.9.0.

Mình sẽ cấu hình Windows Security Health Validator kiểm tra Firewall và Virus Protection trên Win 10


Tạm thời mình sẽ kiểm tra như vậy. Các bạn có thể cấu hình thêm trên các Plugin khác tùy theo nhu cầu
Tiếp theo là qua tab Rules
Cần tạo các Rule để xác định kết quả đánh giá Posture cho thiết bị.

Chọn Add Rule để cấu hình
Bảng: Các tham số trong Rules Editor


Các Posture Token




Mình sẽ cấu hình:
Rule thứ nhất
Qua các bài kiểm tra của Plugin đã chọn -> Token = HEALTHY(0)

Rule thứ 2
Thất bại ở ít nhất một bài kiểm tra trong Plugin đã chọn -> Token = QUARANTINE(20)


Save

Tạo Policy cho xác thực người dùng

2. Tạo Service
Tạo Health Check Service

Đây là service dùng để check health mà không xác thực người dùng
Service này sẽ tìm các yêu cầu với Protocol là WebAuth
và CheckType = Health
Đây là các yêu cầu mà Agent sẽ đẩy lên

Tiếp theo chọn Posture Compliance để kiểm tra tuân thủ

Chọn Policy mình đã tạo

nếu không khớp với policy nào thì default token sẽ là UNKNOWN

Qua phần Enforcement
Chọn Policy Re Authen

Save
Tạo Service xác thực người dùng

Xác thực bằng User Local

Do đã có check trạng thái tuân thủ rồi mình sẽ chỉnh lại Policy xác thực người dùng
Vào Policy của Server xác thực người dùng > Add các rule sau


Tiếp theo qua phần Enforcement của Service
Chọn Use cached and Posture .....

Save
Cấu hình OnGuard
Administration > Agent and Software Update > OnGuard Setting

Chọn Check heath - no authentication có nghĩa là Agent được tải xuống sẽ không cần xác thực tải khoản hoặc Certificate trong agent đó mà sẽ đẩy dữ liệu lên luôn

Qua mục Installers

Ở đây sẽ có đường dẫn tải
Đang dùng IP Management Interface tuy nhiên mình đang cho mạng nội bộ kết nối qua Data Interface nên chỉ cần đổi IP trong URL này thành IP của Data Interface

IV. Kiểm tra​

1. Client xác thực trước thông qua EAP

Xem trong Access Tracker tuy đã xác thực thành công tuy nhiên trạng thái Health Check đang là UNKNOW và bị đưa vào vlan cách ly



Tiếp theo cho máy nhân viên tải Agent OnGuard
Trên máy Win 10 Employee
Truy cập vào URL

Agent sẽ được down về

Cài


Sau khi bật đợi một lúc cho Agent này check trạng thái và gửi lên ClearPass lại

Gửi thành công trạng thái


Lúc này người dùng sẽ bị Reauthen lại

Đã nhận diện được Posture Status và người dùng được trả VLAN 20

IP nhận được

Bây giờ tắt tường lửa đi

Sau khi Agent check lại và gửi lên thì Posture đã trở thành QUARANTINE

Request gửi lên CPPM cho thấy Firewall đã bị tắt

Khi người dùng Re Authen lại thì đã bị đưa vào VLAN 99 lại

Trạng thái của Agent báo

Ip đã về của vlan 99

V. Tổng kết​

Trong bài lab này, chúng ta đã triển khai thành công Aruba ClearPass OnGuard kết hợp với xác thực 802.1X trên switch Cisco.

Thiết bị sau khi xác thực sẽ được đưa vào VLAN Quarantine để thực hiện Health Check thông qua OnGuard Agent. Dựa trên kết quả đánh giá Posture Policy, ClearPass sẽ tự động gửi CoA để xác thực lại và áp dụng chính sách truy cập phù hợp.

• Thiết bị đạt yêu cầu bảo mật (HEALTHY) được chuyển sang VLAN Employee.
• Thiết bị không đạt yêu cầu (QUARANTINE) tiếp tục bị cách ly trong VLAN Quarantine.

Giải pháp này giúp doanh nghiệp kiểm soát truy cập mạng hiệu quả, đảm bảo chỉ những thiết bị đáp ứng tiêu chuẩn bảo mật mới được phép truy cập vào tài nguyên nội bộ.

Cảm ơn các bạn đã xem bài viết của mình !