Aruba [LAB 05] Config Onguard with Authen Wired 802.1x on Aruba Clearpass (Phần 2)

Ở bài viết trước, mình đã cấu hình được Profile, Policy cũng như Service xác thực Onguard trên Aruba Clearpass
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:

Cấu hình:

Cấu hình Service cho Authen với Switch:

Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/

Tạo Dynamic VLAN mapping trên Aruba Clearpass

Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles



Ở mục Profile:

• Template: Radius Based Enforcement
• Name: Đặt tên cho profiles
• Type: Radius
• Action: Accept

Ở mục Attributes

• Type: Radius: IETF
• Name: Tunnel-Private-Group-Id
• Value: VLAN ID (VD: VLAN ID = 170)

Ở đây, mình đang xác thực onguard bằng việc dùng Wired 802.1x nên phải thêm 2 attributes:

• Type: Radius: IETF Name: Tunnel-Type Value: VLAN (13)
• Type: Radius IETF Name: Tunnel-Medium-Type Value: IEEE-802 (6)

Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên



Cấu hình Enforcement Policy

Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.

Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy



Ở mục Enforcement

• Name: Đặt tên cho Policy
• Enforcement: Chọn Radius
• Default Profile: chọn Profile vừa tạo bên trên

Ở mục Rules:
Chọn Add Rules để tạo rule mới.



Ở mục add Rule:

• Type: Tips
• Name: Posture
• Operator: EQUALS
• Value: HEALTHY (0)

Ở phần Profile Names: chọn Profile [RADIUS] Assign_to_VLAN_180



Policy được tạo thành công



Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings

Ở mục Settings
Agent Customization:

• Managed interfaces: hỗ trợ Wired, Wireless và VPN

Mode: Có 3 mode:

• Authenticate - no health checks
• Check health - no authentication
• Authenticate with health checks

Agent action when an update is available: ignore
IP Version for Server Communication: IPv4 Only

Nhấn Save để lưu



Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...



Kiểm tra Onguard

Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:

• Trường hợp 1: Thiết bị HEALTHY (enable firewall và antivirus trên thiết bị) sẽ được assign VLAN 180 và được cấp IP (172.16.20.x/24)
• Trường hợp 2: Thiết bị UNHEALTHY (disable firewall or antivirus trên thiết bị) sẽ được assign VLAN 170 và được cấp IP (172.16.30.x/24)

Tiến hành kiểm tra trường hợp 1:

Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11


Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)



Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test



Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"


Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động

Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)



Cảm ơn các bạn đã xem bài viết của mình!!!