Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

サードパーティ製プラグインのClearPass構成

ClearPass では、以下を構成します。

  • API クライアント

  • カスタム属性

  • 適用プロファイル

  • 適用ポリシー

Policy EnforcerのClearPassコネクターは、Clearpass APIを使用してClearpass Radiusサーバーと通信します。脅威の修復の一環として、Policy EnforcerのClearpassコネクターは適用プロファイルを使用します。このセクションでは、Policy Enforcerが適切な適用プロファイルを呼び出せるようにClearpassを設定する方法について説明します。

設定の一環として、ClearPassで2つの適用プロファイル(1つは隔離用、もう1つは終了用)を作成します。次に、ClearPass適用ポリシーで使用します。ClearPassを設定したら、Policy EnforcerでClearPassコネクタを設定します。

手記:

  • 常に、802.1x、Radius CoA、Radiusアカウンティング、DHCPスヌーピング機能をサポートするサードパーティ製スイッチを使用してください。DHCPスヌーピングを有効にすることは重要です。これは、Radius属性であるFramed-IP-Addressを設定します。Framed-IP-Addressを設定した後にのみ、Policy Enforcerは感染ホストIPアドレスに関連するセッションを検出し、セッションを終了できます。

  • ClearPass の古いセッションは終了できないため、セッションを再認証するまで、実際の East-West トラフィック ブロックはアクティブになりません。ClearPassの古いセッションは頻繁にクリアする必要があります。

API クライアントを設定するには:

  1. ClearPass で、[Administration > API Services] > [API Clients] に移動し、次の属性を持つクライアントを作成します。
    手記:

    APIサービスメニューを表示するには、ClearPass Guestとしてログインする必要があります。

    • クライアント ID: sdsnclient

    • 有効: [Enable API client] のチェックボックスをオンにします

    • オペレーター・プロファイル: 図 1 に示すように、最小限のアクセス権限を持つ API クライアントの [Administrator > Operator Logins > Profiles] からプロファイルを作成します。

      図1:ClearPass APIクライアントオペレータープロファイルの最小権限 Operator Profile configuration screen for user sdsnop; logins enabled; API access; full active session access; read-only session history; read/write Identity and Insight Endpoints.

    • 付与タイプ: [クライアント資格情報] を選択します (grant_type = client_credentials)

    • クライアント シークレット: これをコピーして保存します。再度表示されることはありません。

    • アクセストークンの有効期間: 時間枠として5分を入力します。

    図2:ClearPass Edit APIクライアント Edit API Client page in ClearPass Guest for API client sdsnclient; settings include enabled checkbox, operator profile sdsnop, grant type client credentials, access token lifetime 5 minutes, and buttons to save or cancel changes.
  2. 変更の保存」をクリックします。

カスタム属性を設定するには:

  1. [ClearPass Policy Manager] を選択し、[ Administration > Dictionaries > Attributes ] に移動して、カスタム属性を作成します。次に、それをディクショナリに追加します:sdsnEpStatus。次のように入力します。

    • エンティティの種類: エンドポイント

    • 名前: sdsnEpStatus (この名前 - sdsnEpStatus を使用する必要があることに注意してください)

    • データ型: リスト

    • 必須: はい

    • 許可された値: healthy、blocked、quarantine

    • デフォルト値: healthy

    図 3: ClearPass の属性編集 Configuration interface for editing attribute sdsnEpStatus in administration system. Entity: Endpoint. Data Type: List. Is Mandatory: Yes. Allowed Values: healthy, blocked, quarantine. Default Value: healthy.

  2. 保存」をクリックします。

適用プロファイルを設定するには:

  1. ClearPass で、[ Configuration > Enforcement > Profiles ] に移動し、2 つの適用プロファイルを作成します。

  2. プロファイル 1: 感染したエンドポイントを隔離するために、次のプロファイルを作成します。

    • 名前: 適用プロファイルの名前

    • 説明: Juniper Connected Securityの隔離プロファイル

    • タイプ: RADIUS

    • アクション: 受け入れます

    図4:ClearPass実施プロファイル:検疫 ClearPass Policy Manager showing Enforcement Profile JNPR SDSN Quarantine with RADIUS type and VLAN v100 for quarantine state devices.
    手記:

    画面の下部に表示されるデータは一例であり、設定を目的としたものではありません。4番目の属性は、NASデバイスからClearpass Radiusサーバーに送信されるアカウンティングパケットに設定できることに注意してください。

  3. プロファイル 2: 次のプロファイルを作成して、感染したエンドポイントをブロックします。

    手記:

    このプロファイルを設定するには、デフォルトのシステム プロファイル [Juniper Terminate Session] をコピーし、プロファイル名と属性を編集します。

    • 名前: JNPR SDSN セッション終了

    • 説明: SDSN のブロックプロファイル

    • タイプ: RADIUS_CoA

    • アクション: 切断

    手記:

    COAの終了に必要なベンダー固有の追加属性がある場合は、ここで追加する必要があります。例えば、ジュニパーネットワークスの空中ブランコ無線クライアントの場合、JNPR SDSNセッション終了プロファイルには、NAS-IP-AddressとUser-Nameの2つの追加属性が必要です。
    図 5: ClearPass Enforcement Profile: Terminate ClearPass interface showing Juniper SDSN Terminate Session profile: disconnect action, RADIUS CoA type, attributes Calling-Station-Id and Acct-Session-Id.

適用ポリシーを設定します。

ClearPassで、[ Configuration > Enforcement > Policies]に移動します。作成した両方のプロファイルは、Policy Enforcerによってアドレス指定されたエンドポイントのすべての適用ポリシーに追加する必要があります。

図6:ClearPass適用ポリシー ClearPass Policy Manager interface showing HR Windows Policy configuration with RADIUS enforcement. Rule: block if endpoint status is blocked, quarantine if status is quarantine, apply HR Windows Profile if department is HR. Options to copy, save, or cancel.
手記:

ルールの評価は「最初に適用可能」に設定する必要があります。
手記:

サポートされている各ベンダーのデフォルトの終了適用プロファイルが、その適用プロファイルのコピーに取って代わられていないことを確認します。また、終了に必要なすべての属性がプロファイルで設定されていることを確認してください。(前述のジュニパーネットワークスの空中ブランコワイヤレスクライアントの例と同様)。

インサイトを有効にします。

  1. ClearPass で、使用中のサーバーの [管理 ] > [サーバー マネージャー ] > [サーバー構成 ] に移動します。

  2. [ システム ] タブで [Insight] を有効にします。

[Log accounting Interim-update Packets] を [TRUE] に設定します。

  1. ClearPass で、使用中のサーバーの [管理 ] > [サーバー マネージャー ] > [サーバー構成 ] に移動します。

  2. サービス・パラメータ 」タブを選択します。

  3. [サービス ロケーションを選択]ドロップダウンリストで、[Radius Server]を選択し、[Log accounting Interim-update Packets]を[TRUE]に設定します。

  4. サードパーティ製スイッチ用の Policy Enforcer コネクターの作成に進み、Policy Enforcer で設定を完了します。

関連資料