Aruba [LAB 05] Config Onguard with Authen Wired 802.1x on Aruba Clearpass (Phần 1)

huyhuynh

Internship/Fresher
Feb 22, 2022
48
2
8
23
Ba Ria - Vung Tau
Xin chào mọi người, ở bài viết này mình sẽ cấu hình xác thực Onguard.

Mô tả bài viết:
Mình sẽ thực hiện cấu hình tính năng Onguard của Aruba Clearpass - dùng để xác thực người dùng bằng phần mềm Clearpass Onguard để gán VLAN một cách hợp lí.

Mục tiêu:
Sẽ dùng phần mềm CLearpass Onguard để kiểm tra thiết bị người dùng.
Nếu thiết bị HEALTHY thì sẽ được gán vào đúng VLAN
Nếu thiết bị Unhealthy thì sẽ gán vào 1 VLAN cách ly

Chuẩn bị:
Chuẩn bị 2 VLAN:
- 1 VLAN sẽ truy cập được tất cả tài nguyên trong hệ thống.
- 1 VLAN cách ly phải được cấp DHCP và có thể truy cập đến CLEARPASS để update tình trạng thiết bị, ngoài ra VLAN cách ly bị chặn truy cập đến các tài nguyên khác.

Lưu ý: Onguard chỉ hỗ trợ hệ điều hành: Microsoft, MacOS và Linux

Cấu hình:


Tạo Posture Policies:

Giao diện GUI > Configuration > Posture > Posture Policies > Add

1714708000287.png


Ở mục: Policy
Policy Name: Nhập tên cho Policy
Posture Agent: Chọn Onguard Agent
Host Operating System: Windows

1714708111650.png


Ở mục Posture Plugins:
Chọn Plugin name "ClearPass Windows Universal System Health Validator" > chọn Configure

1714708293854.png


Ở plugin này hỗ trợ các hđh windows lẫn windows Server. Ở đây mình đang kiểm tra trên windows 11 nên sẽ Enable check trên Wins 11

1714708354170.png


Ở phần Antivirus, enable antivirus application.

1714708665521.png


Ở phần Firewall cũng tương tự. Nhấn Save để lưu cấu hình

1714708639664.png


Sau khi save config, ở phần Status hiện "Configured" và có thể view config của plugin này.

1714708468592.png


Ở mục Rules, chọn Add Rule

1714708741975.png


Tạo 2 rule như sau:

1714708787664.png

1714708810944.png


Review 2 Rule vừa tạo

1714708840091.png


Ở mục Summary, các bạn kiểm tra lại thông tin cấu hình phần policy

1714708904115.png


Tạo Profile để update trạng thái cho Onguard

Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới

1714709332444.png


Ở mục Profile:
Template: Agent Enforcement
Name: đặt tên cho profiles

1714709642230.png


Ở mục Attributes:
Bounce Client: True
Message: nhập thông báo mà bạn muốn Onguard gửi xuống cho người dùng

1714709691109.png


Ở mục Summary
Kiểm tra lại thông tin cấu hình.. Nhấn Save để lưu
1714709763675.png


Thực hiện tương tự để tạo thêm profiles cho các thiết bị UNHEALTHY

1714709895589.png


Tạo Enforcement Policy cho Onguard

Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới

1714710015854.png


Ở mục Enforcement
Name: Đặt tên cho policy
Enforcement Type: Chọn WEBAUTH
Default Profile: chọn Profile UNHEALTHY vừa tạo ở bước trên

1714710122890.png


Ở mục Rules:
Tạo 2 policy rule như hình

1714710164168.png


Ở mục Summary,
Review lại thông tin cấu hình

1714710721767.png


Tạo Service cho Onguard
Giao diện GUI > Configuration > Services > Add để tạo mới

1714710896134.png


Ở mục Service
Name: Nhập tên cho service
Type: chọn Web-based Health Check Only
Service Rule: tạo Rule như hình

1714710933569.png


Ở mục Roles:
Để mặc định như hình

1714711107590.png


Ở mục Posture
Posture Policies: chọn Policies vừa tạo ở bước trên

1714711138622.png


Ở mục Enforcement
Enforcement Policy: Health Check Enforcement Policy
Tạo 2 conditions như hình

1714711185965.png


Ở mục Summary
Review lại thông tin cấu hình

1714711315679.png


Sau khi tạo xong Service, sắp xếp service theo thứ tự phù hợp

1714718673940.png
 

Attachments

  • 1714708404622.png
    1714708404622.png
    90.8 KB · Views: 0
  • 1714709184462.png
    1714709184462.png
    217.9 KB · Views: 0
  • 1714709524456.png
    1714709524456.png
    79.3 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu