Technischer Überblick
Aruba ClearPass Profile ist ein ClearPass Policy Manager-Modul, das Geräteprofilerstellung durchführt. Sobald Sie das Modul aktiviert haben, sammelt es automatisch eine Vielzahl von Daten über Endpunkte, analysiert die Daten, um die Endpunkte zu klassifizieren, und speichert die Klassifizierungen als Geräteprofile in einem Endpunkt-Repository. Sie können dann die Geräteprofile in Durchsetzungsrichtlinien verwenden, um den Zugriff auf Ihr Netzwerk zu steuern. Sie können z. B. eine Durchsetzungsrichtlinie erstellen, die Endpunkten, die als VoIP-Telefone profiliert sind, Zugriff auf bestimmte Server in Ihrem Netzwerk gewährt. Oder Sie können eine Durchsetzungsrichtlinie erstellen, die alle als Access Points profilierten Endpunkte in einem bestimmten VLAN platziert.
Ein Geräteprofil klassifiziert einen Endpunkt anhand der folgenden drei hierarchischen Elemente:
Kategorie: Dies ist die umfassendste Klassifizierung eines Geräts. Er bezeichnet den Gerätetyp, z. B. Access Point, VoIP-Telefon, Drucker, Computer oder Smart-Gerät.
Familie: Geräte innerhalb einer Kategorie werden je nach Betriebssystem- oder Anbietertyp in Familien eingeteilt. Wenn die Gerätekategorie z. B. Computer ist, kann die Familie Windows, Linux oder Mac OS X sein. Wenn es sich bei der Gerätekategorie um ein intelligentes Gerät handelt, kann die Familie Apple oder Android sein.
Name: Geräte innerhalb einer Familie werden weiter nach detaillierteren Details organisiert, z. B. nach Version. Wenn die Gerätefamilie z. B. Windows ist, kann der Gerätename Windows 7 oder Windows 2008 Server lauten.
Zusätzlich zu der oben genannten hierarchischen Klassifizierung kann ein Geräteprofil Informationen wie IP-Adresse, Hostname, Anbieter und Uhrzeit enthalten, zu der das Gerät zum ersten Mal erkannt oder zuletzt gesehen wurde.
Um Geräteprofile zu erstellen, verwendet Aruba ClearPass Profile eine Reihe verschiedener Arten von Collectors, um Daten auf Endgeräten zu sammeln. Eine vollständige Liste der verwendeten Collector-Typen finden Sie in der Aruba ClearPass-Dokumentation. Dieses Beispiel für eine Netzwerkkonfiguration basiert auf Daten, die von den DHCP- und MAC-OUI-Collectors (Organizationally Unique Identitier) bereitgestellt werden:
DHCP-Collector - Sammelt DHCP-Attribute wie option55 (Parameteranforderungsliste), option60 (Herstellerklasse) und Optionsliste aus DHCPDiscover- und DHCPRequest-Paketen. Mit diesen Informationen kann ein eindeutiger Fingerabdruck der meisten Endpunkte erstellt werden, die DHCP verwenden, um eine IP-Adresse im Netzwerk zu erhalten. DHCP-Pakete liefern auch den Hostnamen und die IP-Adresse eines Geräts.
Damit der DHCP-Collector diese Informationen erfassen kann, muss Aruba ClearPass DHCP-Pakete von den Endpunkten empfangen. DHCP-Relay auf Switches der EX-Serie ermöglicht es einem Switch, die anfänglichen DHCPDiscover- und DHCPRequest-Pakete von Endpunkten an mehr als einen Empfänger zu senden. Die Konfiguration von ClearPass als einer dieser Empfänger ermöglicht es ClearPass, den DHCP-Nachrichtenaustausch zwischen den DHCP-Servern und Client-Endpunkten zu überwachen und die erforderlichen Informationen aus den DHCP-Paketen zu sammeln.
MAC-OUI-Collector: Erfasst den OUI-Teil der MAC-Adresse eines Geräts. Die MAC-OUI kann verwendet werden, um einige Endpunkte besser zu klassifizieren. Beispielsweise kann DHCP-Fingerprinting einen Endpunkt als generisches Android-Gerät klassifizieren, aber keine Informationen über den Hersteller liefern. Durch die Verwendung der MAC-OUI zusätzlich zum DHCP-Fingerprinting kann ClearPass Profile ein Android-Gerät als HTC-Android-Gerät, Samsung Android-Gerät, Motorola Android-Gerät usw. klassifizieren. ClearPass Profile kann die MAC-OUI auch verwenden, um Profile von Geräten wie Druckern zu erstellen, die möglicherweise statische IP-Adressen haben.
Der MAC-OUI-Collector ruft die MAC-OUI aus den MAC-Adressinformationen ab, die in den RADIUS-Anforderungspaketen enthalten sind, die vom Switch der EX-Serie im Namen des Endpunkts gesendet werden.