Automatische VLAN Konfiguration mit Aruba ClearPass

Aus vielen Unternehmen ist eine Netzwerksegmentierung nicht mehr weg zu denken. Zum einen bietet Sie in Verbindung mit ACLs oder einer Firewall einen enormen Gewinn an Sicherheit, zum anderen kann so die Broadcast-Last in einem Netz gering gehalten werden. Mit zunehmender Segmentierung steigt daher auch die Anzahl der VLANs. Eine mögliche Folge davon ist, dass die Administratoren viel Zeit für die VLAN Konfiguration aufwenden, gerade dann wenn Mitarbeiter umziehen, oder neue Endgeräte in das Netzwerk integriert werden sollen. Außerdem ist es für die Benutzer schwer zu wissen, welches Gerät sie an welchen Port anschließen müssen.

Um sich die Arbeit ein wenig zu erleichtern, haben manche Kunden bestimmte Portgruppen statisch ein VLAN zugewiesen, so dass beispielsweise auf einem Verteiler-Switch Port 1-20 fest für Telefone vorgesehen sind und Ports 21-40 für PC-Systeme. Diese Ports werden dann noch farblich gekennzeichnet, damit man im Verteilerraum schnell erkennen kann, welcher Port zu welchem VLAN gehört. Daher resultiert die Bezeichnung des sog. “Colored”-Ports. Natürlich führt dieses Vorgehen dazu, dass viele Ports ungenutzt bleiben, da die Größe der Portgruppen nicht an den Bedarf angepasst wird.

Aruba ClearPass

An dieser Stelle kann Aruba ClearPass den Netzwerkadministrator entlasten, denn es erhöht nicht nur die Sicherheit eines Netzwerkes, sondern kann auch Switch Ports dynamisch konfigurieren. So können sich die Admins auf wichtige Aufgaben konzentrieren, anstatt unnötige Zeit auf Konfiguration zu verwenden. Außerdem können so alle Ports auf einem Switch dynamisch und nach Bedarf verwendet werden. Im Gegensatz zu den speziell konfigurierten Colored Ports haben wir jetzt dynamisch nutzbare Colorless Ports.

Bei diesen Ports ist es egal, welches Gerät an den Port angeschlossen wird, da die Konfiguration anhand des Regelwerks des ClearPass Servers vorgenommen wird. ClearPass erkennt, um welchen Gerätetyp es sich handelt konfiguriert den Switchport in das entsprechende VLAN. Außerdem kann ClearPass noch gerätespezifische ACLs auf den Port legen. Das Ganze funktioniert mit einer Kombination aus Device Profiling und MAC Authentication. Zusäzliche Authentifizierungen auf Basis von 802.1X wären ebenso denkbar.

ClearPass Profiler

Das Herzstück ist in diesem Fall der ClearPass Universal Profiler. Mit ihm ist es möglich verschiedene Geräte eindeutig zu identifizieren und in Klassen einzuteilen. Dazu bedient sich ClearPass verschiedener Quellen. Die an häufigsten genutzte Quelle ist der DHCP-Fingerprint. Jedes Gerät, das eine IP Adresse benötigt schickt einen DHCP Request mit verschiedenen Optionen und Attributen. Die Kombination aus den Optionen und Attributen ist so eindeutig, dass ClearPass sagen kann, ob es sich beispielsweise um ein Windows PC mit Windows 7, oder um einen Windows PC mit Windows 10 handelt.

DHCP Fingerprint Windows

Um den Profiler mit Daten zu versorgen, muss sichergestellt sein, dass er alle DHCP Anfragen mitbekommt. Eine gängige Lösung ist dabei, den ClearPass als zusätzlichen DHCP Server für alle VLANs bekannt zu geben. In der Regel muss also die DHCP Relay Konfiguration auf dem Router oder der Firewall erweitert werden. Das ist gefahrlos möglich, da ClearPass die Anfragen niemals beantwortet, sondern nur mitliest. Für jeden Client, der versucht per DHCP eine IP Adresse zu beziehen, legt ClearPass einen Eintrag in seiner Endpunktdatenbank an. Dort können alle Informationen zu dem Endpunkt, wie z-B. Gerätetyp oder Betriebssystem abgerufen werden.

ClearPass Enforcement Profile

Dabei ist das VLAN 18, das gewählt wird wenn nichts anderes zutrifft eine Art Quarantäne-VLAN, in dem nur DHCP erlaubt ist um dem ClearPass die Möglichkeit zu geben unbekannte Geräte zu profilen.

ClearPass Service

Ein fertiger Service für MAC Authentifizierung könnte dann so aussehen:

ClearPass Service

Dieser Service lässt erst mal alle Geräte zu, die sich per MAC Authentifizierung anmelden. Das ganze kann natürlich auch auf bekannte Geräte eingeschränkt werden. Dann wird anhand der oben abgebildeten Policy das entsprechende VLAN ausgewählt. Falls es sich um ein unbekanntes Gerät handelt, kommt es ins VLAN 18 und ClearPass kann es in seine Profiler-Datenbank zuordnen. Wenn das geschehen ist wir der Port an dem das Gerät angeschlossen ist, kurz aus und wieder eingeschaltet, damit sich das Gerät nun authentifizieren muss und dann in das richtige VLAN verschoben werden kann.

Gerade in großen Netzwerken bringt ClearPass einen enormen Gewinn an Produktivität, da nun die VLAN Konfiguration automatisiert abläuft.