Sie sind hier

Automatische VLAN Konfiguration mit Aruba ClearPass

Aus vielen Unternehmen ist eine Netzwerksegmentierung nicht mehr weg zu denken. Zum einen bietet Sie in Verbindung mit ACLs oder einer Firewall einen enormen Gewinn an Sicherheit, zum anderen kann so die Broadcast-Last in einem Netz gering gehalten werden. Mit zunehmender Segmentierung steigt daher auch die Anzahl der VLANs. Eine mögliche Folge davon ist, dass die Administratoren viel Zeit für die VLAN Konfiguration aufwenden, gerade dann wenn Mitarbeiter umziehen, oder neue Endgeräte in das Netzwerk integriert werden sollen. Außerdem ist es für die Benutzer schwer zu wissen, welches Gerät sie an welchen Port anschließen müssen.

Um sich die Arbeit ein wenig zu erleichtern, haben manche Kunden bestimmte Portgruppen statisch ein VLAN zugewiesen, so dass beispieslweise auf einem Verteiler-Switch Port 1-20 fest für Telefone vorgesehen sind und Ports 21-40 für PC-Systeme. Diese Ports werden dann noch farblich gekennzeichnet, damit man im Verteilerraum schnell erkennen kann, welcher Port zu welchem VLAN gehört. Daher resultiert die Bezeichnung des sog. "Colored"-Ports. Natürlich führt dieses Vorgehen dazu, dass viele Ports ungenutzt bleiben, da die Größe der Portgruppen nicht an den Bedarf angepasst wird.

An dieser Stelle kann Aruba ClearPass den Netzwerkadministrator entlasten, denn es erhöht nicht nur die Sicherheit eines Netzwerkes, sondern kann auch Switch Ports dynamisch konfigurieren. So können sich die Admins auf wichtige Aufgaben konzentrieren, anstatt unnötige Zeit auf Konfiguration zu verwenden. Außerdem können so alle Ports auf einem Switch dynamisch und nach Bedarf verwendet werden. Im Gegensatz zu den speziell konfigurierten Colored Ports haben wir jetzt dynamisch nutzbare Colorless Ports.

Bei diesen Ports ist es egal, welches Gerät an den Port angeschlossen wird, da die Konfiguration anhand des Regelwerks des ClearPass Servers vorgenommen wird. ClearPass erkennt, um welchen Gerätetyp es sich handelt konfiguriert den Switchport in das entsprechende VLAN. Außerdem kann ClearPass noch gerätespezifische ACLs auf den Port legen. Das Ganze funktioniert mit einer Kombination aus Device Profiling und MAC Authentication. Zusäzliche Authentifizierungen auf Basis von 802.1X wären ebenso denkbar. 

Das Herzstück ist in diesem Fall der ClearPass Universal Profiler. Mit ihm ist es möglich verschiedene Geräte eindeutig zu identifizieren und in Klassen einzuteilen. Dazu bedient sich ClearPass verschiedener Quellen. Die an häufigsten genutzte Quelle ist der DHCP-Fingerprint. Jedes Gerät, das eine IP Adresse benötigt schickt einen DHCP Request mit verschiedenen Optionen und Attributen. Die Kombination aus den Optionen und Attributen ist so eindeutig, dass ClearPass sagen kann, ob es sich beispielsweise um ein Windows PC mit Windows 7, oder um einen Windows PC mit Windows 10 handelt.

DHCP-Fingerprint

Um den Profiler mit Daten zu versorgen, muss sichergestellt sein, dass er alle DHCP Anfragen mitbekommt. Eine gängige Lösung ist dabei, den ClearPass als zusätzlichen DHCP Server für alle VLANs bekannt zu geben. In der Regel muss also die DHCP Relay Konfiguration auf dem Router oder der Firewall erweitert werden. Das ist gefahrlos möglich, da ClearPass die Anfragen niemals beantwortet, sondern nur mitliest. Für jeden Client, der versucht per DHCP eine IP Adresse zu beziehen, legt ClearPass einen Eintrag in seiner Endpunktdatenbank an. Dort können alle Informationen zu dem Endpunkt, wie z-B. Gerätetyp oder Betriebssystem abgerufen werden.

Enforcement Policy

Dabei ist das VLAN 18, das gewählt wird wenn nichts anderes zutrifft eine Art Quarantäne-VLAN, in dem nur DHCP erlaubt ist um dem ClearPass die Möglichkeit zu geben unbekannte Geräte zu profilen.

Ein fertiger Service für MAC Authentifizierung könnte dann so aussehen:

Service

Dieser Service lässt erst mal alle Geräte zu, die sich per MAC Authentifizierung anmelden. Das ganze kann natürlich auch auf bekannte Geräte eingeschränkt werden. Dann wird anhand der oben abgebildeten Policy das entsprechende VLAN ausgewählt. Falls es sich um ein unbekanntes Gerät handelt, kommt es ins VLAN 18 und ClearPass kann es in seine Profiler-Datenbank zuordnen. Wenn das geschehen ist wir der Port an dem das Gerät angeschlossen ist, kurz aus und wieder eingeschaltet, damit sich das Gerät nue authentifizieren muss und dann in das richtige VLAN verschoben werden kann.

Gerade in großen Netzwerken bringt Clearpass einen enormen Gewinn an Produktivität, da nun die VLAN Konfiguration automatisiert abläuft.

 

Nutzungsbedinungen

Die Nutzung, Vervielfältigung und Verbreitung dieser Publikation und von verbundenen Grafiken wird hiermit unter der Bedingung gestattet, dass der Urheberrechtshinweis auf allen Kopien erscheint und dass sowohl der Urheberrechtshinweis als auch dieser Zustimmungshinweis erscheinen. Alle sonstigen Rechte bleiben vorbehalten. Der Name der Ingentive Networks GmbH darf im Zusammenhang mit der Verbreitung dieser Publikation durch Werbung oder sonstige Veröffentlichung, nur mit ausdrücklicher vorheriger schriftlicher Zustimmung verwendet werden. Ingentive Networks GmbH übernimmt keine Gewähr für die Verwendbarkeit dieser Information zu irgendwelchen Zwecken. Diese Publikation wird so wie hier bestehend zugänglich gemacht, ohne jegliche Gewähr oder sonstige Verpflichtung. Jegliche Gewährleistung im Zusammenhang mit dieser Information und deren Verwendung, ausdrücklich oder stillschweigend, gesetzlich oder aus sonstigem Rechtsgrund (einschließlich der Gewährleistung für bestimmte Eigenschaften oder der Verwendbarkeit für einen bestimmten Zweck) ist ausgeschlossen. Ingentive Networks GmbH haftet nicht für Bearbeitungsfehler oder Nutzungsausfall, entgangenen Gewinn oder erwartete ersparte Aufwendungen, Verlust des Firmenwerts (goodwill) oder Verlust von Daten oder Verträgen sowie für jegliche Art von indirekten Vermögens- oder Folgeschäden (einschließlich Schäden aufgrund von Ansprüchen Dritter), welche im Zusammenhang mit der Verwendung dieser Publikation entstehen. Die Nutzung dieser Publikation ist unter den Bedingungen erlaubt, dass (1) der unten angeführte CopyrightVermerk auf allen Kopien erscheint, und dass der Copyright-Vermerk und dieser Genehmigungsvermerk erscheinen, (2) die Dokumente dieser Web-Site nur zu informatorischen, nichtkommerziellen oder privaten Zwecken genutzt und nicht über Computernetze oder sonstigen Medien veröffentlicht werden, und (3) die Dokumente nicht verändert werden. Die Nutzung zu anderen Zwecken erfordert eine explizite Genehmigung seitens Ingentive Networks GmbH Diese Publikation kann technische Ungenauigkeiten oder typographische Fehler enthalten. Die darin enthaltenen Informationen werden regelmäßig verändert oder ergänzt. Die Ingentive Networks GmbH behält sich vor, jederzeit Änderungen und/oder Verbesserungen an einem oder mehreren der darin beschriebenen Produkte und/oder einem oder mehreren der Programme vorzunehmen. "Aruba",„HPE“, „Fortigate“, "Cisco Systems" und „Ingentive Networks“ sind eingetragene Warenzeichen.