Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ClearPass-Konfiguration für Drittanbieter-Plug-Ins

In ClearPass konfigurieren Sie Folgendes:

  • API-Client

  • Benutzerdefiniertes Attribut

  • Durchsetzungsprofile

  • Durchsetzungsrichtlinie

Der ClearPass-Konnektor von Policy Enforcer kommuniziert über die Clearpass-API mit dem Clearpass-Radius-Server. Im Rahmen der Bedrohungsabwehr verwendet der Clearpass-Konnektor von Policy Enforcer Durchsetzungsprofile. Dieser Abschnitt enthält Informationen zum Konfigurieren von Clearpass, damit Policy Enforcer die entsprechenden Erzwingungsprofile aufrufen kann.

Im Rahmen der Konfiguration erstellen Sie in ClearPass zwei Erzwingungsprofile, eines für die Quarantäne und eines für die Beendigung. Anschließend verwenden Sie sie in der ClearPass-Erzwingungsrichtlinie. Nachdem ClearPass konfiguriert ist, konfigurieren Sie einen ClearPass-Connector in Policy Enforcer.

Anmerkung:

  • Verwenden Sie immer einen Switch eines Drittanbieters, der 802.1x-, Radius-CoA-, Radius-Accounting- und DHCP-Snooping-Funktionen unterstützt. Die Aktivierung von DHCP-Snooping ist wichtig, um das Radius-Attribut "Framed-IP-Address" zu konfigurieren. Erst nach der Konfiguration von Framed-IP-Address kann Policy Enforcer die Sitzung im Zusammenhang mit den infizierten Host-IP-Adressen erkennen und die Sitzung beenden.

  • Die veralteten Sitzungen in ClearPass können nicht beendet werden, sodass der eigentliche Ost-West-Datenverkehrsblock erst dann aktiv ist, wenn Sie die Sitzung erneut authentifizieren. Sie müssen sicherstellen, dass die veralteten Sitzungen in ClearPass häufig gelöscht werden.

So konfigurieren Sie den API-Client:

  1. Navigieren Sie in ClearPass zu Verwaltung > API-Dienste > API-Clients, und erstellen Sie einen Client mit den folgenden Attributen:
    Anmerkung:

    Sie müssen sich als ClearPass-Gast anmelden, um das Menü "API-Dienste" anzuzeigen.

    • Client-ID: sdsnclient

    • Aktiviert: Aktivieren Sie das Kontrollkästchen für API-Client aktivieren

    • Operatorprofil: Erstellen Sie ein Profil aus Administrator- > Betreiberanmeldungen > Profilen für den API-Client mit minimalen Zugriffsrechten, wie in Abbildung 1 dargestellt.

      Abbildung 1: Mindestberechtigungen Operator Profile configuration screen for user sdsnop; logins enabled; API access; full active session access; read-only session history; read/write Identity and Insight Endpoints. für das ClearPass-API-Client-Betreiberprofil

    • Berechtigungstyp: Wählen Sie Clientanmeldeinformationen aus (grant_type = client_credentials)

    • Geheimer Clientschlüssel: Kopieren und speichern Sie diesen. Es wird nicht mehr angezeigt.

    • Lebensdauer des Zugriffstokens: Geben Sie 5 Minuten als Zeitrahmen ein.

    Abbildung 2: ClearPass-API-Client Edit API Client page in ClearPass Guest for API client sdsnclient; settings include enabled checkbox, operator profile sdsnop, grant type client credentials, access token lifetime 5 minutes, and buttons to save or cancel changes. bearbeiten
  2. Klicken Sie auf Änderungen speichern.

So konfigurieren Sie ein benutzerdefiniertes Attribut:

  1. Wählen Sie ClearPass-Richtlinien-Manager aus, und navigieren Sie zu Verwaltung > Wörterbücher > Attribute, um ein benutzerdefiniertes Attribut zu erstellen. Fügen Sie es dann dem Wörterbuch hinzu: sdsnEpStatus. Geben Sie Folgendes ein:

    • Entitätstyp: Endpunkt

    • Name: sdsnEpStatus (Beachten Sie, dass Sie diesen Namen verwenden müssen - sdsnEpStatus)

    • Datentyp: Liste

    • Ist obligatorisch: Ja

    • Zulässige Werte: fehlerfrei, blockiert, Quarantäne

    • Standardwert: fehlerfrei

    Abbildung 3: ClearPass-Bearbeitungsattribut Configuration interface for editing attribute sdsnEpStatus in administration system. Entity: Endpoint. Data Type: List. Is Mandatory: Yes. Allowed Values: healthy, blocked, quarantine. Default Value: healthy.

  2. Klicken Sie auf Speichern.

So konfigurieren Sie Erzwingungsprofile:

  1. Navigieren Sie in ClearPass zu Configuration > Enforcement > Profiles , und erstellen Sie zwei Erzwingungsprofile.

  2. Profil 1: Erstellen Sie das folgende Profil, um infizierte Endpunkte unter Quarantäne zu stellen:

    • Name: Name des Erzwingungsprofils

    • Beschreibung: Quarantäneprofil für Juniper Connected Security

    • Typ: RADIUS

    • Aktion: Akzeptieren

    Abbildung 4: ClearPass-Erzwingungsprofil: Quarantäne ClearPass Policy Manager showing Enforcement Profile JNPR SDSN Quarantine with RADIUS type and VLAN v100 for quarantine state devices.
    Anmerkung:

    Die am unteren Bildschirmrand angezeigten Daten dienen beispielsweise und nicht zu Konfigurationszwecken. Beachten Sie, dass das 4. Attribut für die Buchhaltungspakete festgelegt werden kann, die vom NAS-Gerät an den Clearpass-Radius-Server gesendet werden sollen.

  3. Profil 2: Erstellen Sie das folgende Profil, um infizierte Endpunkte zu blockieren:

    Anmerkung:

    Um dieses Profil zu konfigurieren, kopieren Sie das Standardsystemprofil Juniper Sitzung beenden und bearbeiten Sie den Profilnamen und die Attribute.

    • Name: JNPR SDSN Sitzung beenden

    • Beschreibung: Blockprofil für SDSN

    • Typ: RADIUS_CoA

    • Aktion: Verbindung trennen

    Anmerkung:

    Wenn für das Beenden des COA anbieterspezifische zusätzliche Attribute erforderlich sind, müssen diese hier hinzugefügt werden. Im Fall von Juniper Networks Trapeze Wireless-Clients erfordert das JNPR SDSN-Profil "Sitzung beenden" beispielsweise zwei zusätzliche Attribute: NAS-IP-Adresse und Benutzername.
    Abbildung 5: ClearPass-Erzwingungsprofil: Beenden ClearPass interface showing Juniper SDSN Terminate Session profile: disconnect action, RADIUS CoA type, attributes Calling-Station-Id and Acct-Session-Id.

Konfigurieren einer Erzwingungsrichtlinie:

Navigieren Sie in ClearPass zu Konfiguration > Durchsetzung > Richtlinien. Beide Profile, die Sie erstellt haben, müssen allen Durchsetzungsrichtlinien für Endgeräte hinzugefügt werden, die von Policy Enforcer behandelt werden.

Abbildung 6: ClearPass-Durchsetzungsrichtlinie ClearPass Policy Manager interface showing HR Windows Policy configuration with RADIUS enforcement. Rule: block if endpoint status is blocked, quarantine if status is quarantine, apply HR Windows Profile if department is HR. Options to copy, save, or cancel.
Anmerkung:

Die Regelauswertung sollte auf "Zuerst anwendbar" festgelegt werden.
Anmerkung:

Stellen Sie sicher, dass das Standardprofil für die Erzwingung der Beendigung für jeden der unterstützten Anbieter nicht durch Kopien des Erzwingungsprofils ersetzt wird. Stellen Sie außerdem sicher, dass alle für die Beendigung erforderlichen Attribute im Profil festgelegt sind. (Wie im vorherigen Beispiel "Trapeze Wireless-Clients" von Juniper Networks.)

Enable Insight:

  1. Navigieren Sie in ClearPass zu Verwaltung > Server-Manager > Serverkonfiguration für den verwendeten Server.

  2. Aktivieren Sie Insight auf der Registerkarte System .

Legen Sie die Pakete für die Protokollabrechnung für die Zwischenaktualisierung auf TRUE fest:

  1. Navigieren Sie in ClearPass zu Verwaltung > Server-Manager > Serverkonfiguration für den verwendeten Server.

  2. Wählen Sie die Registerkarte Serviceparameter aus.

  3. Wählen Sie in der Dropdown-Liste Dienst auswählen die Option Radius-Server aus, und legen Sie die Pakete für die Protokollabrechnung mit Zwischenaktualisierungen auf TRUE fest.

  4. Fahren Sie mit Erstellen eines Policy Enforcer-Konnektors für Switches von Drittanbietern fort, um die Konfiguration mit Policy Enforcer abzuschließen.

Zugehörige Dokumentation