ClearPass, Active Directory und DNS

Es gibt heutzutage praktisch kein Unternehmen, das ohne ein Active Directory auskommt. Dort sind Anmeldeinformationen von Benutzern genauso gespeichert wie Sicherheitsrichtlinien für Computer. Wenn es darum geht, Netzwerkzugänge mit ClearPass abzusichern, erspart es den Administratoren viel Arbeit die Informationen aus dem Active Directory für ClearPass zu nutzen. Dieser Artikel zeigt die verschiedenen Einsatzzwecke und eventuelle Stolperfallen.

ClearPass und Active Directory

Ein Active Directory enthält neben Anmeldeinformationen auch Informationen über Gruppenzugehörigkeit oder Organisationseinheit des Benutzers. Diese Informationen können vom ClearPass genutzt werden um eine Anmeldung zu akzeptieren oder abzulehnen. Der Zugriff auf diese Informationen erfolgt per Lightweight Directory Access Protocol (LDAP, RFC4511).

Um diese Informationen mit ClearPass nutzen zu können, wird das Active Directory als Authentifizierungsquelle zum ClearPass hinzugefügt:

ClearPass benötigt einen Benutzer und ein Passwort, damit er sich am LDAP Anmelden kann. Wichtig ist darauf zu achten, dass das Passwort nicht abläuft. Danach kann ClearPass alle Informationen zu einem Benutzer aus dem AD lesen. Wenn AD over SSL verwendet wird und das Serverzertifikat überprüft werden soll, muss das Zertifikat der CA im ClearPass bekannt sein.

ClearPass Domain Join

ClearPass kann zwar jetzt Informationen wie zum Beispiel die Gruppenmitgliedschaft aus dem LDAP lesen, aber noch keine MSCHAPv2 (Microsoft Challenge-Handshake Authentication Protocol Version 2, RFC2759) Hash überprüfen. Diese wird aber für eine Netzwerkanmeldung mit EAP-PEAP und MSCHAPv2 benötigt. Die Kommunikation zwischen ClearPass und Active Directory für eine Überprüfung von MSCHAPv2 Hashes erfolgt mit NTLM (NT LAN Manager). Dazu braucht ClearPass ein Computer Konto im AD, muss also zur Domäne hinzugefügt werden.

Dazu benötigt man den FQDN eines Domain Controllers. Den NetBIOS Name erkennt ClearPass automatisch. Außerdem braucht man einen Domänen Account mit Domänenadministrator Rechten. Er wird nur genutzt um ClearPass hinzuzufügen und wird nicht gespeichert.

ClearPass und MSCHAPv2

Die Überprüfung des MSCHAPv2 Hashes erfolgt nicht gegen die Server die als Authentifizierungsquelle angegeben wurden. ClearPass fragt bei jeder Anmeldung per DNS, welche Domain Controller erreichbar sind. Das bedeutet, das Informationen für ClearPass lesbar im DNS vorhanden sein müssen.

Das kann schwierig sein, wenn ClearPass zu mehreren Domains hinzugefügt werden soll, da die DNS Server, die ClearPass anfragt die Informationen für beide Domains bereitstellen muss.

Können die Informationen nicht per DNS bereitgestellt werden, dann kann man für jede Domain die AD Server fest angeben:

Dann muss ClearPass nicht per DNS erfragen, welche Server er nutzen kann.

ClearPass und DNS

Wie im vorherigen Absatz beschrieben, verlässt sich ClearPass auf Informationen aus dem DNS. Um die DNS Server zu entlasten, ist es Best Practice DNS Caching zu aktivieren. Dann merkt sich ClearPass die Informationen und muss nicht immer die DNS Server fragen.

Damit wird die Last auf den DNS Servern deutlich gesenkt und ClearPass arbeitet ein wenig schneller.

Mattermost Nachrichten mit ClearPass versenden

Der Access Tracker im ClearPass ist eine wunderbare Möglichkeit, Troubleshooting zu betreiben. Allerdings hat man den Access Tracker nicht ständig im Blick und kann daher nur auf Beschwerden der Nutzer reagieren. Es wäre praktisch, wenn ClearPass aktiv alarmieren könnte, wenn etwas schief geht. Leider sind die Alarmierungsmöglichkeiten im ClearPass beschränkt. Mit einem kleinen Trick kann man jedoch über Systeme wie Microsoft-Teams, Slack oder Mattermost Nachrichten mit ClearPass versenden.

Endpoint Context Server im ClearPass hinzufügen

ClearPass kann Informationen mit anderen Systemen austauschen. Dazu richtet man diese Systeme als Endpoint Context Server im ClearPass ein.

ClearPass Endpoint hinzufügen.

Es gibt viele vorgefertigte Server. Wir werden hier einen Mattermost Server einrichten. Dazu wählen wir einen Generic HTTP Context Server.

ClearPass Endpoint modifizieren.

Dabei tragen wir die URL des Mattermost Servers ein. Soll das Zertifikat des Servers überprüft werden, muss man dir Root-CA des Servers im ClearPass importieren. Das behandeln wir hier nicht, daher ist die Option Validate Server nicht ausgewählt.

Mattermost API im ClearPass hinzufügen

Den Server, mit dem wir kommunizieren wollen, haben wir jetzt angelegt. Als nächstes müssen wir ClearPass beibringen, wie er eine Nachricht schickt. Dazu konfigurieren wir eine Context Server Action. 

Darin definieren wir den Server, den ClearPass anspricht und die Methode, mit der ClearPass die Daten sendet. Die URL muss in Mattermost generiert werden, das soll jedoch kein Bestandteil dieses Blog-Eintrages sein. Eine Anmeldung benötigen wir nicht.

Als Nächstes definieren wir die HTTP-Header.

ClearPass verwendet als Format der gesendeten Daten JSON. Die eigentlichen Daten definieren wir im Reiter Content.

Mattermost JSON FormatIn der Nachricht können Variablen aus ClearPass genutzt werden, wie zum Beispiel der Benutzername der Anmeldung.

Enforcement Profile

Damit ClearPass eine Nachricht verschicken kann, definieren wir ein Enforcement Profile.

Als Typ wählen Sie dabei HTTP Based Enforcement aus, als Target Server wählen Sie unseren Mattermost Server aus und als Action unsere Context Server Action. Immer wenn dieses Enforcement Profile ausgeführt wird, sendet ClearPass eine Nachricht über Mattermost. Damit kann man sich Informieren lassen, wenn sich zum Beispiel jemand an einem Switch anmeldet oder wenn eine Anmeldung fehlschlägt.

Fehlerseite bei zufälligen MAC-Adressen mit ClearPass anzeigen

In einem vorherigen Beitrag haben wir die Auswirkung zufälliger MAC-Adressen im Netz (MAC-Address Randomization) beschrieben. In diesem Artikel zeigen wir, wie Nutzern bei zufälligen MAC-Adressen mit ClearPass eine Fehlerseite angezeigt werden kann. Dabei werden ein Aruba-WLAN mit Controller und Aruba ClearPass eingesetzt. Bitte beachten Sie, dass zufällige MAC-Adressen durchaus sinnvoll sind und in vielen Fällen nicht verboten werden müssen. Ein Beispiel, bei dem es nötig ist, zufällige MAC-Adressen zu verbieten, sind Abfragen von ClearPass bei MDM-Systemen.

Erkennen von zufälligen MAC-Adressen

Auch wenn das zunächst verwunderlich klingt, folgen zufällige MAC-Adressen einem gewissen Schema. Sie haben an der zweiten Stelle die Ziffer 2 oder 6, oder den Buchstaben A oder E. Damit ist es möglich, eine zufällige MAC-Adresse eindeutig zu erkennen. Auf dieser Grundlage können wir das ClearPass Role Mapping nutzen, um einen Benutzer mit zufälliger MAC Adresse zu kennzeichnen. Die folgende Abbildung zeigt den ClearPass Regeleditor und eine Regel, die hierzu einen regulären Ausdruck einsetzt.

Alle Geräte, die sich jetzt mit einer zufälligen MAC-Adresse anmelden, bekommen die Rolle ING_Random_MAC zugewiesen. Das ist die erste Voraussetzung dafür, dass wir eine Fehlerseite anzeigen können.

Fehlerseite im ClearPass konfigurieren

Als Nächstes müssen Sie eine Fehlerseite im ClearPass anlegen. Dazu kann im Gast-Modul von ClearPass eine bereits existierende Seite kopiert und angepasst werden.

Hier ist ein Beispiel wie die Fehlerseite aussehen kann:

Passende Rolle im Controller anlegen

Damit Benutzer auf die Fehlerseite umgeleitet werden, müssen Sie im Controller eine neue Rolle anlegen. Als Policies müssen hier logon-control und captiveportal hinzugefügt werden.

Unter Captive Portal müssen die URL des ClearPass Servers und die entsprechende Fehlerseite angegeben werden. Auch ein Authentifizierung-Server muss angegeben werden. Da hier keine Anmeldung stattfindet, kann der interne Server angegeben werden.

Ein Benutzer, der die Rolle ing-random-mac zugewiesen bekommt, darf per DHCP eine IP-Adresse bekommen, DNS Anfragen stellen und wird beim Aufruf einer http Seite auf die entsprechende Fehlerseite umgeleitet.

ClearPass Enforcement Profile und Enforcement Policies anlegen

Damit Clearpass einem User die Rolle ing-random-mac zuweist, müssen Sie zunächst ein Enforcement Profile dafür anlegen:

Diese Rolle kann dann in einer Policy zugewiesen werden:

Damit können Sie einem User mit ClearPass eine Fehlerseite anzeigen, falls diese versuchen, sich mit zufälligen MAC-Adressen im WLAN anzumelden.

Automatische VLAN Konfiguration mit Aruba ClearPass

In diesem Blogpost zeigen wir Ihnen die notwenigen Schritte für eine Automatische VLAN Konfiguration mit Hilfe von ClearPass. Aus vielen Unternehmen ist eine Netzwerksegmentierung nicht mehr weg zu denken. Zum einen bietet Sie in Verbindung mit ACLs oder einer Firewall einen enormen Gewinn an Sicherheit, zum anderen kann so die Broadcast-Last in einem Netz gering gehalten werden. Mit zunehmender Segmentierung steigt daher auch die Anzahl der VLANs. Eine mögliche Folge davon ist, dass die Administratoren viel Zeit für die VLAN Konfiguration aufwenden, gerade dann wenn Mitarbeiter umziehen, oder neue Endgeräte in das Netzwerk integriert werden sollen. Außerdem ist es für die Benutzer schwer zu wissen, welches Gerät sie an welchen Port anschließen müssen.

Um sich die Arbeit ein wenig zu erleichtern, haben manche Kunden bestimmte Portgruppen statisch ein VLAN zugewiesen, so dass beispielsweise auf einem Verteiler-Switch Port 1-20 fest für Telefone vorgesehen sind und Ports 21-40 für PC-Systeme. Diese Ports werden dann noch farblich gekennzeichnet, damit man im Verteilerraum schnell erkennen kann, welcher Port zu welchem VLAN gehört. Daher resultiert die Bezeichnung des sog. “Colored”-Ports. Natürlich führt dieses Vorgehen dazu, dass viele Ports ungenutzt bleiben, da die Größe der Portgruppen nicht an den Bedarf angepasst wird.

Aruba ClearPass

An dieser Stelle kann Aruba ClearPass den Netzwerkadministrator entlasten, denn es erhöht nicht nur die Sicherheit eines Netzwerkes, sondern kann auch Switch Ports dynamisch konfigurieren. So können sich die Admins auf wichtige Aufgaben konzentrieren, anstatt unnötige Zeit auf Konfiguration zu verwenden. Außerdem können Sie so alle Ports auf einem Switch dynamisch und nach Bedarf verwenden. Im Gegensatz zu den speziell konfigurierten Colored Ports haben wir jetzt dynamisch nutzbare Colorless Ports.

Bei diesen Ports ist es egal, welches Gerät an den Port angeschlossen wird, da die Konfiguration anhand des Regelwerks des ClearPass Servers vorgenommen wird. ClearPass erkennt, um welchen Gerätetyp es sich handelt konfiguriert den Switchport in das entsprechende VLAN. Außerdem kann ClearPass noch gerätespezifische ACLs auf den Port legen. Das Ganze funktioniert mit einer Kombination aus Device Profiling und MAC Authentication. Zusäzliche Authentifizierungen auf Basis von 802.1X wären ebenso denkbar.

ClearPass Profiler

Das Herzstück ist in diesem Fall der ClearPass Universal Profiler. Mit ihm ist es möglich verschiedene Geräte eindeutig zu identifizieren und in Klassen einzuteilen. Dazu bedient sich ClearPass verschiedener Quellen. Die an häufigsten genutzte Quelle ist der DHCP-Fingerprint. Jedes Gerät, das eine IP Adresse benötigt schickt einen DHCP Request mit verschiedenen Optionen und Attributen. Die Kombination aus den Optionen und Attributen ist so eindeutig, dass ClearPass sagen kann, ob es sich beispielsweise um ein Windows PC mit Windows 7, oder um einen Windows PC mit Windows 10 handelt.

DHCP Fingerprint Windows

Um den Profiler mit Daten zu versorgen, muss sichergestellt sein, dass er alle DHCP Anfragen mitbekommt. Eine gängige Lösung ist dabei, den ClearPass als zusätzlichen DHCP Server für alle VLANs bekannt zu geben. In der Regel müssen Sie also die DHCP Relay Konfiguration auf dem Router oder der Firewall erweitern. Das ist gefahrlos möglich, da ClearPass die Anfragen niemals beantwortet, sondern nur mitliest. Für jeden Client, der versucht per DHCP eine IP Adresse zu beziehen, legt ClearPass einen Eintrag in seiner Endpunktdatenbank an. Dort können alle Informationen zu dem Endpunkt, wie z-B. Gerätetyp oder Betriebssystem abgerufen werden.

ClearPass Enforcement Profile

Dabei ist das VLAN 18, das gewählt wird wenn nichts anderes zutrifft eine Art Quarantäne-VLAN, in dem nur DHCP erlaubt ist um dem ClearPass die Möglichkeit zu geben unbekannte Geräte zu profilen.

ClearPass Service

Ein fertiger Service für MAC Authentifizierung könnte dann so aussehen:

ClearPass Service Automatische VLAN Konfiguration

Dieser Service lässt erst mal alle Geräte zu, die sich per MAC Authentifizierung anmelden. Das ganze kann natürlich auch auf bekannte Geräte eingeschränkt werden. Dann wählt Clearpass anhand der oben abgebildeten Policy das entsprechende VLAN aus. Falls es sich um ein unbekanntes Gerät handelt, kommt es ins VLAN 18 und ClearPass kann es in seine Profiler-Datenbank zuordnen. Wenn das geschehen ist wir der Port an dem das Gerät angeschlossen ist, kurz aus und wieder eingeschaltet, damit sich das Gerät nun authentifizieren muss und dann in das richtige VLAN verschoben werden kann.

Gerade in großen Netzwerken bringt ClearPass einen enormen Gewinn an Produktivität, da nun die VLAN Konfiguration automatisiert abläuft.

Die offizielle Aruba Clearpass Produktseite finden Sie hier.