Fehlerseite bei zufälligen MAC-Adressen mit ClearPass anzeigen

In einem vorherigen Beitrag haben wir die Auswirkung zufälliger MAC-Adressen im Netz (MAC-Address Randomization) beschrieben. In diesem Artikel zeigen wir, wie Nutzern bei zufälligen MAC-Adressen mit ClearPass eine Fehlerseite angezeigt werden kann. Dabei werden ein Aruba-WLAN mit Controller und Aruba ClearPass eingesetzt. Bitte beachten Sie, dass zufällige MAC-Adressen durchaus sinnvoll sind und in vielen Fällen nicht verboten werden müssen. Ein Beispiel, bei dem es nötig ist, zufällige MAC-Adressen zu verbieten, sind Abfragen von ClearPass bei MDM-Systemen.

Erkennen von zufälligen MAC-Adressen

Auch wenn das zunächst verwunderlich klingt, folgen zufällige MAC-Adressen einem gewissen Schema. Sie haben an der zweiten Stelle die Ziffer 2 oder 6, oder den Buchstaben A oder E. Damit ist es möglich, eine zufällige MAC-Adresse eindeutig zu erkennen. Auf dieser Grundlage können wir das ClearPass Role Mapping nutzen, um einen Benutzer mit zufälliger MAC Adresse zu kennzeichnen. Die folgende Abbildung zeigt den ClearPass Regeleditor und eine Regel, die hierzu einen regulären Ausdruck einsetzt.

Alle Geräte, die sich jetzt mit einer zufälligen MAC-Adresse anmelden, bekommen die Rolle ING_Random_MAC zugewiesen. Das ist die erste Voraussetzung dafür, dass wir eine Fehlerseite anzeigen können.

Fehlerseite im ClearPass konfigurieren

Als Nächstes müssen Sie eine Fehlerseite im ClearPass anlegen. Dazu kann im Gast-Modul von ClearPass eine bereits existierende Seite kopiert und angepasst werden.

Hier ist ein Beispiel wie die Fehlerseite aussehen kann:

Passende Rolle im Controller anlegen

Damit Benutzer auf die Fehlerseite umgeleitet werden, müssen Sie im Controller eine neue Rolle anlegen. Als Policies müssen hier logon-control und captiveportal hinzugefügt werden.

Unter Captive Portal müssen die URL des ClearPass Servers und die entsprechende Fehlerseite angegeben werden. Auch ein Authentifizierung-Server muss angegeben werden. Da hier keine Anmeldung stattfindet, kann der interne Server angegeben werden.

Ein Benutzer, der die Rolle ing-random-mac zugewiesen bekommt, darf per DHCP eine IP-Adresse bekommen, DNS Anfragen stellen und wird beim Aufruf einer http Seite auf die entsprechende Fehlerseite umgeleitet.

ClearPass Enforcement Profile und Enforcement Policies anlegen

Damit Clearpass einem User die Rolle ing-random-mac zuweist, müssen Sie zunächst ein Enforcement Profile dafür anlegen:

Diese Rolle kann dann in einer Policy zugewiesen werden:

Damit können Sie einem User mit ClearPass eine Fehlerseite anzeigen, falls diese versuchen, sich mit zufälligen MAC-Adressen im WLAN anzumelden.