Aruba [LAB 05] Config Onguard with Authen Wired 802.1x on Aruba Clearpass (Phần 2)

huyhuynh

Internship/Fresher
Feb 22, 2022
42
2
8
23
Ba Ria - Vung Tau
Ở bài viết trước, mình đã cấu hình được Profile, Policy cũng như Service xác thực Onguard trên Aruba Clearpass
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:

Cấu hình:

Cấu hình Service cho Authen với Switch:


Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/

Tạo Dynamic VLAN mapping trên Aruba Clearpass

Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles

1714980627046.png


Ở mục Profile:
  • Template: Radius Based Enforcement
  • Name: Đặt tên cho profiles
  • Type: Radius
  • Action: Accept
1714980775393.png


Ở mục Attributes
Tạo mới 1 Atributes​
  • Type: Radius: IETF
  • Name: Tunnel-Private-Group-Id
  • Value: VLAN ID (VD: VLAN ID = 170)
Ở đây, mình đang xác thực onguard bằng việc dùng Wired 802.1x nên phải thêm 2 attributes:
  • Type: Radius: IETF Name: Tunnel-Type Value: VLAN (13)
  • Type: Radius IETF Name: Tunnel-Medium-Type Value: IEEE-802 (6)
1714980883465.png


Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên

1714981216983.png


Cấu hình Enforcement Policy

Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.

Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy

1714981450174.png


Ở mục Enforcement
  • Name: Đặt tên cho Policy
  • Enforcement: Chọn Radius
  • Default Profile: chọn Profile vừa tạo bên trên
1714982145745.png


Ở mục Rules:
Chọn Add Rules để tạo rule mới.

1714982180487.png


Ở mục add Rule:
  • Type: Tips
  • Name: Posture
  • Operator: EQUALS
  • Value: HEALTHY (0)
Ở phần Profile Names: chọn Profile [RADIUS] Assign_to_VLAN_180

Nhấn Save để lưu cấu hình.​
1714984013435.png


Policy được tạo thành công

1714984271008.png


Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings

Ở mục Settings
Agent Customization:

  • Managed interfaces: hỗ trợ Wired, Wireless và VPN
Mode: Có 3 mode:
  • Authenticate - no health checks
  • Check health - no authentication
  • Authenticate with health checks
Agent action when an update is available: ignore
IP Version for Server Communication: IPv4 Only

Nhấn Save để lưu

1714984603171.png


Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...

1714984989450.png


Kiểm tra Onguard

Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:
  • Trường hợp 1: Thiết bị HEALTHY (enable firewall và antivirus trên thiết bị) sẽ được assign VLAN 180 và được cấp IP (172.16.20.x/24)
  • Trường hợp 2: Thiết bị UNHEALTHY (disable firewall or antivirus trên thiết bị) sẽ được assign VLAN 170 và được cấp IP (172.16.30.x/24)
Tiến hành kiểm tra trường hợp 1:
Thực hiện cắm port đang cấu hình dot1x tới thiết bị đang test​
Enable 2 tính năng firewall và antivirus trên thiết bị​

Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11

1714985242468.png

Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)

1714985485539.png


Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test

1714985728081.png


Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"

1714985828547.png

Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động
Code:
Switch(config-if)# auth dynamic-vlan-creation

Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)

1714986198020.png


Cảm ơn các bạn đã xem bài viết của mình!!!
 

Attachments

  • 1714981943529.png
    1714981943529.png
    58.3 KB · Views: 0
  • 1714981972997.png
    1714981972997.png
    61.7 KB · Views: 0
  • 1714984507172.png
    1714984507172.png
    278.4 KB · Views: 0

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu