Ở bài viết trước, mình đã cấu hình được Profile, Policy cũng như Service xác thực Onguard trên Aruba Clearpass
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:
Cấu hình:
Cấu hình Service cho Authen với Switch:
Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/
Tạo Dynamic VLAN mapping trên Aruba Clearpass
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles
Ở mục Profile:
Ở mục Attributes
Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên
Cấu hình Enforcement Policy
Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy
Ở mục Enforcement
Ở mục Rules:
Chọn Add Rules để tạo rule mới.
Ở mục add Rule:
Policy được tạo thành công
Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings
Ở mục Settings
Agent Customization:
IP Version for Server Communication: IPv4 Only
Nhấn Save để lưu
Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...
Kiểm tra Onguard
Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:
Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11
Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)
Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test
Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"
Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động
Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)
Cảm ơn các bạn đã xem bài viết của mình!!!
Tiếp theo, mình sẽ cấu hình Service cho Switch, tạo Dynamic VLAN mapping và cấu hình onguard trên Aruba Clearpass:
Cấu hình:
Cấu hình Service cho Authen với Switch:
Phần này các bạn có thể tham khảo bài viết với đường link bên dưới giúp mình nhé. Do mình có hướng dẫn phần này ở bài viết trước rồi
https://securityzone.vn/t/lab-04-co...-802-1x-with-switch-on-aruba-clearpass.12353/
Tạo Dynamic VLAN mapping trên Aruba Clearpass
Giao diện GUI > Configuration > Enforcement > Profiles > Add để tạo mới Profiles
![1714980627046.png 1714980627046.png](https://cdn.securityzone.vn/2024/05/10046_44d98a7072bc2e86e3833dffb9d0998e.png)
Ở mục Profile:
- Template: Radius Based Enforcement
- Name: Đặt tên cho profiles
- Type: Radius
- Action: Accept
![1714980775393.png 1714980775393.png](https://cdn.securityzone.vn/2024/05/10047_dff7b67b3536cdc0d5bf204ff7cdf427.png)
Ở mục Attributes
Tạo mới 1 Atributes
- Type: Radius: IETF
- Name: Tunnel-Private-Group-Id
- Value: VLAN ID (VD: VLAN ID = 170)
- Type: Radius: IETF Name: Tunnel-Type Value: VLAN (13)
- Type: Radius IETF Name: Tunnel-Medium-Type Value: IEEE-802 (6)
![1714980883465.png 1714980883465.png](https://cdn.securityzone.vn/2024/05/10048_1ae6c91acdb69338c35e0cb7f8cec4c4.png)
Các bạn thực hiện tạo Profiles Enforcement cho VLAN 180 tương tự như trên
![1714981216983.png 1714981216983.png](https://cdn.securityzone.vn/2024/05/10049_4bc45e77af729053b66f696125fa03e2.png)
Cấu hình Enforcement Policy
Ở Policy, cấu hình cho thiết bị nếu ở trạng thái unhealthy thì sẽ được assign vlan 170, ngược lại nếu trạng thái healthy thì thiết bị sẽ được assign vlan 180.
Giao diện GUI > Configuration > Enforcement > Policies > Add để tạo mới policy
![1714981450174.png 1714981450174.png](https://cdn.securityzone.vn/2024/05/10050_e18f296bd1f024792fd9c663529eba4f.png)
Ở mục Enforcement
- Name: Đặt tên cho Policy
- Enforcement: Chọn Radius
- Default Profile: chọn Profile vừa tạo bên trên
![1714982145745.png 1714982145745.png](https://cdn.securityzone.vn/2024/05/10054_47d22714c836cfa087ad43f755264e2d.png)
Ở mục Rules:
Chọn Add Rules để tạo rule mới.
![1714982180487.png 1714982180487.png](https://cdn.securityzone.vn/2024/05/10055_d3cf6cffddabf0319c910ef676bae7b3.png)
Ở mục add Rule:
- Type: Tips
- Name: Posture
- Operator: EQUALS
- Value: HEALTHY (0)
Nhấn Save để lưu cấu hình.
![1714984013435.png 1714984013435.png](https://cdn.securityzone.vn/2024/05/10057_fef362b9e72fa9f2710f6b6a569b1a15.png)
Policy được tạo thành công
![1714984271008.png 1714984271008.png](https://cdn.securityzone.vn/2024/05/10058_e9542b1834bd1bc6faaca426139ad713.png)
Triển khai Onguard
Giao diện GUI > Administration > Agents and Software Updates > Onguard Settings
Ở mục Settings
Agent Customization:
- Managed interfaces: hỗ trợ Wired, Wireless và VPN
- Authenticate - no health checks
- Check health - no authentication
- Authenticate with health checks
IP Version for Server Communication: IPv4 Only
Nhấn Save để lưu
![1714984603171.png 1714984603171.png](https://cdn.securityzone.vn/2024/05/10060_18daf81bcf7c0e6927161c6af1693b1a.png)
Ở mục Installers, download agent hỗ trợ hệ điều hành phù hợp...
![1714984989450.png 1714984989450.png](https://cdn.securityzone.vn/2024/05/10062_de0d43d5311bf5879380f7d9741e516f.png)
Kiểm tra Onguard
Đang thực hiện kiểm tra trên máy có hệ điều hành win11:
Có 2 trường hợp để thực hiện kiểm tra Onguard:
- Trường hợp 1: Thiết bị HEALTHY (enable firewall và antivirus trên thiết bị) sẽ được assign VLAN 180 và được cấp IP (172.16.20.x/24)
- Trường hợp 2: Thiết bị UNHEALTHY (disable firewall or antivirus trên thiết bị) sẽ được assign VLAN 170 và được cấp IP (172.16.30.x/24)
Thực hiện cắm port đang cấu hình dot1x tới thiết bị đang test
Enable 2 tính năng firewall và antivirus trên thiết bị
Sau đó:
Agent hiển thị status HEALTHY trên thiết bị Win11
![1714985242468.png 1714985242468.png](https://cdn.securityzone.vn/2024/05/10063_c937a382417af7ed2b5f109fe5d47d45.png)
Tiến hành kiểm tra card mạng thì thấy được cấp DHCP đúng với lớp VLAN 180 (172.16.20.x/24)
![1714985485539.png 1714985485539.png](https://cdn.securityzone.vn/2024/05/10064_68559511f5376965a0503e9e3ede1f09.png)
Tiếp tục ở trường hợp 2:
Disable tính năng firewall trên thiết bị test
![1714985728081.png 1714985728081.png](https://cdn.securityzone.vn/2024/05/10065_471b42d90ada225dcd0f946afcb71ea0.png)
Agent hiển thị status UNHEALTHY và báo "Enable Firewall Check"
![1714985828547.png 1714985828547.png](https://cdn.securityzone.vn/2024/05/10066_295dca401068a1227b50c8e2af6e0862.png)
Ở trên Switch, cấu hình trên port đang kết nối tới thiết bị test để tự động
Code:
Switch(config-if)# auth dynamic-vlan-creation
Sau khi cấu hình xong, thực hiện kiểm tra DHCP đã cấp đúng với lớp VLAN 170 (172.16.30.x/24)
![1714986198020.png 1714986198020.png](https://cdn.securityzone.vn/2024/05/10067_eb749a4d4fa89cc9d50746e64e928f12.png)
Cảm ơn các bạn đã xem bài viết của mình!!!