Aruba ClearPass 구성
Aruba ClearPass의 보안 정책을 포함하도록 SRX 시리즈 방화벽을 구성하는 방법에 대해 알아보십시오.
예: Aruba ClearPass로 보안 정책 적용
이 예시는 인증 소스로 Aruba ClearPass Policy Manager를 사용하는 SRX 시리즈 방화벽 통합 ClearPass 인증 및 시행 기능을 사용하여 리소스를 보호하고 인터넷 액세스를 제어하도록 보안을 구성하는 방법을 다룹니다. SRX 시리즈 통합 ClearPass 기능을 사용하면 사용자 이름, 그룹 이름 또는 사용자 그룹과 디바이스 유형을 함께 연결하는 역할 이름으로 사용자를 식별하여 회사 리소스 및 인터넷에 대한 액세스를 제어하는 보안 정책을 구성할 수 있습니다.
오늘날의 네트워크 환경은 언제 어디서나 모든 디바이스 액세스를 어느 정도 지원하고 사용자가 네트워크에 연결된 여러 디바이스를 동시에 사용할 수 있기 때문에 다양한 종류의 공격에 더 개방적입니다. 사용자 이름으로 사용자를 식별할 수 있기 때문에 통합된 ClearPass 인증 및 적용 기능은 이러한 기능에 도입되는 보안 격차를 좁힙니다.
사용자 인증 및 ID 정보가 CPPM에서 SRX 시리즈 방화벽으로 전달되는 방식에 대한 자세한 내용은 다음 주제를 참조하십시오.
이 예제에서는 다음 프로세스를 다룹니다.
-
디바이스 IP 주소가 아닌 사용자 이름 또는 그룹 이름을 기반으로 사용자 수준에서 액세스를 제어하는 방법.
보안 정책에서 source-identity 매개 변수를 사용하여 CPPM에서 인증을 제공하는 사용자 이름 또는 사용자 그룹의 이름을 지정할 수 있습니다. 이 정책은 사용하는 디바이스에 관계없이 사용자가 보호된 리소스 또는 인터넷에 액세스하려고 할 때 생성되는 트래픽에 적용됩니다. 액세스 제어는 사용자 디바이스의 IP 주소가 아니라 사용자 이름과 연결됩니다.
지정된 영역 및 대상 주소 또는 사용자가 속한 그룹별로 구분하여 서로 다른 작업을 지정하는 단일 사용자에 대해 서로 다른 보안 정책을 구성할 수 있습니다.
-
ClearPass 인증 테이블의 내용을 표시하고 해석하는 방법.
SRX 시리즈 방화벽은 CPPM에서 수신하는 사용자 인증 및 ID 정보를 포함하기 위해 ClearPass 인증 테이블을 생성합니다. 디바이스는 테이블을 참조하여 리소스에 대한 액세스를 요청하는 사용자를 인증합니다.
ClearPass 인증 테이블 내용은 동적입니다. 이러한 이벤트는 다양한 이벤트에 대한 사용자 활동을 반영하고 그룹을 참조하는 보안 정책과 관련하여 수정됩니다.
예를 들어, 사용자가 네트워크에서 로그아웃하거나 네트워크에 로그인하면 사용자가 그룹에서 제거되거나 사용자가 속한 그룹을 지정하는 참조된 보안 정책이 삭제되는 경우와 마찬가지로 ClearPass 인증 테이블이 수정됩니다. 후자의 경우 사용자 항목은 더 이상 사용자를 해당 그룹에 속하는 것으로 표시하지 않습니다.
이 예에서는 두 가지 이벤트로 인한 변경 사항을 나타내기 위해 ClearPass 인증 테이블 내용이 표시됩니다. 사용자에 대한 콘텐츠가 표시됩니다.
-
특정 사용자가 네트워크에서 로그아웃하기 전과 후
-
참조된 보안 정책이 삭제되기 전과 후
보안 정책에서 참조하는 그룹에 속한 사용자에 대한 항목은 정책이 삭제되기 전과 후에 표시됩니다.
-
요구 사항
이 섹션은 이 예제의 토폴로지에 대한 소프트웨어 및 하드웨어 요구 사항을 정의합니다. 토폴로지 설계에 대해서는 그림 1 을 참조하십시오.
하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
Aruba ClearPass를 발표했습니다. ClearPass 정책 관리자(CPPM)는 로컬 인증 소스를 사용하여 사용자를 인증하도록 구성됩니다.
CPPM은 사용자 이름, 사용자가 속한 그룹의 이름 목록, 사용된 디바이스의 IP 주소, 디바이스 상태 토큰을 포함한 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽에 제공하도록 구성되었다고 가정합니다.
-
통합 ClearPass 기능이 포함된 Junos OS를 실행하는 SRX 시리즈 방화벽.
-
모두 서버 영역에 있는 6개의 서버로 구성된 서버 팜:
-
마케팅 서버 보호 (203.0.113.23)
-
인적 자원 서버 (203.0.113.25)
-
계정 서버(203.0.113.72)
-
공용 서버(203.0.113.62)
-
회사 서버(203.0.113.71)
-
sales-server(203.0.113.81)
-
-
ArubaOS를 실행하는 AC 7010 Aruba Cloud Services Controller.
-
ArubaOS를 실행하는 Aruba AP 무선 액세스 컨트롤러.
Aruba AP는 AC7010에 연결됩니다.
무선 사용자는 Aruba AP를 통해 CPPM에 연결합니다.
-
유선 802.1 액세스 디바이스로 사용되는 주니퍼 네트웍스 EX4300 스위치.
유선 사용자는 EX4300 스위치를 사용하여 CPPM에 연결합니다.
-
6개의 최종 사용자 시스템:
-
Microsoft OS를 실행하는 유선 네트워크 연결 PC 3대
-
Aruba AP 액세스 디바이스를 통해 네트워크에 액세스하는 두 개의 BYOD 디바이스
-
Microsoft OS를 실행하는 무선 노트북 1대
-
개요
통합 ClearPass 기능의 인증 소스 기능으로 CPPM은 SRX 시리즈 방화벽 사용자 인증 및 ID 정보를 게시합니다. 이 정보를 수신하면 SRX 시리즈 UserID 데몬은 이 정보를 처리하고 라우팅 엔진 인증 테이블에서 인증된 사용자에 대한 항목을 생성한 다음 해당 정보를 패킷 포워딩 엔진 측의 ClearPass 인증 테이블과 동기화합니다.
SRX 시리즈 방화벽은 사용자가 액세스를 요청하고 사용자 디바이스에서 생성된 트래픽이 SRX 시리즈 방화벽에 도착할 때 사용자가 인증되었는지 확인하기 위해 사용자 인증 및 ID 정보가 필요합니다. 소스 ID 매개 변수에 사용자가 속한 그룹의 사용자 이름 또는 이름을 지정하는 보안 정책이 있는 경우 SRX 시리즈 방화벽은 ClearPass 인증 테이블의 콘텐츠에서 해당 사용자에 대한 항목을 검색합니다.
ClearPass 인증 테이블에서 사용자에 대한 입력 항목을 찾을 수 없는 경우, SRX 시리즈 방화벽은 다른 인증 테이블을 포함하는 검색 순서를 구성한 경우 다른 인증 테이블을 검색할 수 있습니다. 인증 테이블 검색 순서에 대한 정보는 표 1을 참조하십시오.
통합된 ClearPass 기능을 사용하면 사용자 이름 또는 사용자가 속한 그룹의 이름을 기반으로 사용자가 발행한 트래픽을 일치시키도록 구성된 ID 인식 보안 정책을 생성할 수 있습니다.
역할 매핑은 SRX 시리즈 방화벽이 아닌 CPPM에서 구성합니다.
예를 들어 장치 유형 역할 매핑은 사용자 ID를 회사 소유 컴퓨터에 연결할 수 있습니다. 규칙에 매핑된 모든 사용자에게 적용되도록 구성된 보안 정책에서 이 역할을 그룹으로 지정할 수 있습니다. 이 경우 CPPM에서 규칙에 대해 설정한 조건(회사 소유 컴퓨터 사용)이 규칙에 매핑된 모든 사용자에게 적용됩니다. SRX 시리즈 방화벽은 조건을 고려하지 않고 CPPM의 규칙을 수락합니다.
이 예에 포함된 다음 구성은 규칙 매핑을 통해 CPPM에서 정의한 대로 사용되는 디바이스 유형에 따라 적용 가능한 보안 정책을 다룹니다. CPPM이 보안 정책에서 그룹으로 사용되는 다음과 같은 매핑된 규칙을 SRX 시리즈 방화벽에 게시한 것으로 가정합니다.
-
pcs-limited-group을 위한 마케팅 액세스
jxchan을 장치 유형 PC에 매핑합니다.
source-identity 필드에 marketing-access-for-pcs-limited-group을 지정하는 정책을 사용하면 jxchan 및 이에 매핑된 다른 사용자가 회사 소유 여부에 관계없이 PC를 사용하여 marketing-server로 보호된 서버에 액세스할 수 있습니다.
-
accounting grp 및 회사 디바이스
회사 장치를 사용하여 계정 그룹에 속한 사용자를 매핑합니다. CPPM은 accounting-grp-and-company-device 역할을 SRX 시리즈 방화벽으로 보냅니다. 매핑은 역할 매핑 규칙에 따라 CPPM에서 수행됩니다.
소스 ID 필드에 accounting-grp-and-company-device를 지정하는 정책은 규칙에 매핑된 사용자가 accounting-server에서 보호된 리소스에 액세스할 수 있도록 허용합니다. 그룹 accounting-grp가 규칙에 매핑됩니다. 따라서 매핑된 규칙은 accounting-grp의 구성원에게 적용됩니다.
사용자 viki2는 accounting-grp에 속합니다. 모든 조건이 적용되는 경우, 즉 viki2가 회사 소유 장치를 사용하고 정책에서 액세스를 허용하는 경우 계정 서버의 리소스에 액세스할 수 있습니다. 그러나 SRX 시리즈 방화벽은 규칙을 분석하지 않습니다. 오히려 CPPM에 의해 매핑된 모든 사용자에게 적용됩니다.
-
게스트 디바이스 BYOD
게스트 그룹을 디바이스 유형 byod, 즉 네트워크로 가져온 모든 사용자 소유 디바이스에 매핑합니다.
소스 ID 필드에 guest-device-byod를 지정하는 정책은 스마트폰 또는 기타 사용자 소유 디바이스를 사용하는 경우 서버 영역의 모든 서버에 대한 규칙 액세스를 거부합니다. 사용자 이름 guest2는 CPPM에 의해 이 규칙에 매핑됩니다.
모든 경우에 보안 정책 조건에 따라 사용자의 액세스가 허용되거나 거부되는 경우 다음 조건이 존재한다고 가정할 수 있습니다.
-
CPPM은 사용자 및 그룹에 대한 올바른 인증 정보를 SRX 시리즈 방화벽에 게시했습니다.
-
SRX 시리즈 방화벽은 인증된 사용자 정보를 올바르게 처리하고 ClearPass 인증 테이블에 사용자 및 그룹에 대한 항목을 생성합니다.
Junos OS 릴리스 15.1X49-D130부터 SRX 시리즈 방화벽은 보안 정책에서 소스 ID와 연결된 IPv6 주소 사용을 지원합니다. IPv4 또는 IPv6 항목이 있는 경우 해당 항목과 일치하는 정책이 트래픽에 적용되고 액세스가 허용되거나 거부됩니다.
표 1에는 사용자, 해당 그룹 및 사용자가 속한 영역이 요약되어 있습니다. 모든 사용자는 기본 GLOBAL 도메인에 속합니다.
| 사용자 |
그룹 |
구역 |
|---|---|---|
| 아베 (abew1) |
|
마케팅 존 |
| 존 (jxchan) |
|
마케팅 존 |
| 린(lchen1) |
|
인적 자원 구역 |
| 비키(viki2) |
|
accounting zone (어카운팅 영역) |
| 게스트1 |
|
공용 영역 |
| 게스트2 |
|
공용 영역 |
구성
이 섹션에서는 CPPM에 의해 인증된 사용자가 발행한 트래픽과 일치하는 보안 정책을 포함하도록 SRX 시리즈 방화벽을 구성하는 방법에 대해 다룹니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 문을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 문을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set interfaces ge-0/0/3 vlan-tagging
set interfaces ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24
set interfaces ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24
set interfaces ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24
set interfaces ge-0/0/4 vlan-tagging
set interfaces ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24
set interfaces ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24
set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all
set security zones security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all
set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all
set security zones security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all
set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all
set security zones security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all
set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all
set security zones security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all
set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all
set security zones security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all
set security address-book servers-zone-addresses address marketing-server-protected 203.0.113.23
set security address-book servers-zone-addresses address human-resources-server 203.0.113.25
set security address-book servers-zone-addresses address accounting-server 203.0.113.72
set security address-book servers-zone-addresses address corporate-server 203.0.113.71
set security address-book servers-zone-addresses address public-server 203.0.113.91
set security address-book servers-zone-addresses attach zone servers-zone
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group”
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1”
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit
set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server
set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any
set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device”
set security policies from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit
set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server
set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any
set security policies from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited”
set security policies from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp”
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group”
set security policies from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit
set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server
set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match application any
set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest”
set security policies from-zone public-zone to-zone servers-zone policy guest-allow-access then permit
set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any
set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match application any
set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod”
set security policies from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
인터페이스, 영역 및 주소록 구성
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.
다음 인터페이스를 구성하고 영역에 할당합니다.
-
ge-0/0/3.0 > 마케팅 영역
-
ge-0/0/3.1 > 인적 자원 영역
-
ge-0/0/3.2> accounting-zone
-
ge-0/0/4.0 > 공용 영역
-
ge-0/0/4.1 > servers-zone
이 예에서는 논리적 인터페이스를 사용하기 때문에 VLAN 태그를 구성해야 합니다.
-
SRX 시리즈 방화벽용 인터페이스를 구성합니다.
[edit interfaces] set ge-0/0/3 vlan-tagging set ge-0/0/3.0 vlan-id 300 family inet address 203.0.113.45/24 set ge-0/0/3.1 vlan-id 310 family inet address 192.0.2.18/24 set ge-0/0/3.2 vlan-id 320 family inet address 192.0.2.14/24 set ge-0/0/4 vlan-tagging set ge-0/0/4.0 vlan-id 400 family inet address 192.0.2.16/24 set ge-0/0/4.1 vlan-id 410 family inet address 192.0.2.19/24 -
영역을 구성합니다.
[edit security zones] user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host#set security-zone marketing-zone interfaces ge-0/0/3.0 host-inbound-traffic protocols all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic system-services all user@host#set security-zone accounting-zone interfaces ge-0/0/3.1 host-inbound-traffic protocols all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic system-services all user@host#set security-zone human-resources-zone interfaces ge-0/0/3.2 host-inbound-traffic protocols all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host#set security-zone public-zone interfaces ge-0/0/4.0 host-inbound-traffic protocols all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic system-services all user@host#set security-zone servers-zone interfaces ge-0/0/4.1 host-inbound-traffic protocols all -
보안 정책에서 대상 주소로 사용할 서버의 IP 주소가 포함된 주소록을 구성합니다.
[edit security address-book servers-zone-addresses] user@host# set address marketing-server-protected 203.0.113.23 user@host# set address human-resources-server 203.0.113.25 user@host# set address accounting-server 203.0.113.72 user@host# set address corporate-server 203.0.113.71 user@host# set address public-server 203.0.113.91 -
servers-zone-addresses 주소록을 servers-zone에 첨부합니다.
[edit security address-book] user@host# set servers-zone-addresses attach zone servers-zone
결과
구성 모드에서 명령을 입력하여 show interfaces 인터페이스 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
ge-0/0/3 {
unit 0 {
vlan-id 300;
family inet {
address 203.0.113.45/24;
}
}
unit 1 {
vlan-id 310;
family inet {
address 192.0.2.18/24;
}
}
unit 2 {
vlan-id 320;
family inet {
address 192.0.2.14/24;
}
}
}
ge-0/0/4 {
vlan-tagging;
unit 0 {
vlan-id 400;
family inet {
address 192.0.2.16/24;
}
}
unit 1 {
vlan-id 410;
family inet {
address 192.0.2.19/24;
}
}
}
구성 모드에서 명령을 입력하여 show security zones 영역에 대한 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
security-zone human-resources-zone {
interfaces {
ge-0/0/3.2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone accounting-zone {
interfaces {
ge-0/0/3.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone marketing-zone {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone servers-zone {
interfaces {
ge-0/0/4.1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone public-zone {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
구성 모드에서 명령을 입력하여 show security address-book 주소록에 대한 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
servers-zone-addresses {
address marketing-zone-protected 203.0.113.23 /32;
address human-resources-server 203.0.113.25 /32;
address accounting-server 203.0.113.72/32;
address corporate-server 203.0.113.71/32;
address public-server 203.0.113.91/32;
attach {
zone servers-zone;
}
}
회사 리소스에 대한 사용자 액세스를 제어하기 위한 ID 인식 보안 정책 구성
단계별 절차
이 작업에는 사용된 디바이스의 IP 주소가 아닌 사용자 이름 또는 그룹 이름을 기반으로 리소스에 대한 사용자의 액세스에 적용되는 보안 정책 구성이 포함됩니다.
모든 사용자는 기본 GLOBAL 도메인에 속합니다.
-
market-access-for-pcs-limited-group을 source-identity로 지정하는 보안 정책을 구성합니다. 이를 통해 이 그룹에 속한 사용자 jxchan은 개인 장치이든 회사 소유 장치이든 PC를 사용할 때 서버 영역의 모든 서버에 액세스할 수 있습니다. 사용자 이름 jxchan은 CPPM에 의해 marketing-access-for-pcs-limited-group 규칙에 매핑됩니다.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-address any destination address any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p1 match source-identity “global\marketing-access-for-pcs-limited-group” user@hoset from-zone marketing-zone to-zone servers-zone policy marketing-p1 then permit -
사용자 abew1이 사용하는 디바이스에 관계없이 서버 영역의 마케팅 영역으로 보호된 서버(IP 주소 203.0.113.23)에 액세스할 수 있도록 하는 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-address any destination address marketing-zone-protected user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 match source-identity “global\abew1” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p2 then permit -
사용자 viki2가 회사 소유 디바이스를 사용할 때 서버 영역의 계정 서버(IP 주소 203.0.113.72)에 액세스할 수 있도록 보안 정책을 구성합니다. 사용자 viki2는 CPPM에 의해 회사 소유 디바이스 규칙(accounting-grp-and-company-device)에 매핑되는 accounting-grp에 속합니다.
[edit security policies] user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-address any destination-address accounting-server user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match application any user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device match source-identity “global\accounting-grp-and-company-device” user@host# set from-zone accounting-zone to-zone servers-zone policy acct-cp-device then permit -
회사 제한 그룹에 속한 사용자가 인사 영역에서 요청을 시작할 때 서버 영역의 회사 서버 서버(IP 주소 203.0.113.71)에 대한 제한된 액세스를 허용하는 보안 정책을 구성합니다.
source-address가 "any"로 지정된 경우 정책은 회사 제한 그룹에 속하는 다른 사용자에게 적용됩니다.
[edit security policies] user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-address any destination-address corporate-server user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match application any user@host# set from-zone human-resources-zone to-zone servers-zone policy human-resources-p1 match source-identity “global\corporate-limited” user@host# set from-zone human-resources-zone to servers-zone policy human-resources-p1 then permit -
사용자 abew1이 servers-zone의 corporate-server(IP 주소 203.0.113.71) 서버에 액세스할 수 있도록 보안 정책을 구성합니다. 사용자 abew1은 보안 정책이 적용되는 marketing-access-limited-grp에 속합니다.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-address any destination-address corporate-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 match source-identity “global\marketing-access-limited-grp” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p0 then permit -
sales-limited-group에 속하는 사용자가 marketing-zone에서 요청을 시작할 때 human-resources-server(IP 주소 203.0.113.81) 서버에 액세스할 수 있도록 보안 정책을 구성합니다. 사용자 jxchan은 sales-limited-group에 속합니다.
[edit security policies] user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-address any destination-address human-resources-server user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match application any user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 match source-identity “global\sales-limited-group” user@host# set from-zone marketing-zone to-zone servers-zone policy marketing-p3 then permit -
게스트 그룹에 속하는 사용자가 서버 영역의 공용 서버(IP 주소 203.0.113.91)에 액세스할 수 있도록 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-address any destination address public-server user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match application any user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access match source-identity “global\guest” user@host# set from-zone public-zone to-zone servers-zone policy guest-allow-access then permit -
guest-device-byod 그룹에 속한 사용자가 자신의 디바이스를 사용할 때 servers-zone의 모든 서버에 대한 액세스를 거부하는 보안 정책을 구성합니다.
[edit security policies] user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-address any destination-address any user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match application any user@host# user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access match source-identity “global\guest-device-byod” user@host# set from-zone public-zone to-zone servers-zone policy guest-deny-access then deny
결과
구성 모드에서 명령을 입력하여 show security policies 통합 ClearPass에 대한 보안 정책 구성을 확인합니다.
출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
from-zone marketing-zone to-zone servers-zone {
policy marketing-p1 {
match {
source-address any;
destination-address any;
application any;
source-identity "global\marketing-access-for-pcs-limited-group";
}
then {
permit;
}
}
policy marketing-p2 {
match {
source-address any;
destination-address marketing-zone-protected;
application any;
source-identity "global\abew1";
}
then {
permit;
}
}
policy marketing-p0 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\marketing-access-limited-grp";
}
then {
permit;
}
}
policy marketing-p3 {
match {
source-address any;
destination-address human-resources-server;
application any;
source-identity "global\sales-limited-group";
}
then {
permit;
}
}
}
from-zone accounting-zone to-zone servers-zone {
policy acct-cp-device {
match {
source-address any;
destination-address accounting-server;
application any;
source-identity "global\accounting-grp-and-company-device";
}
then {
permit;
}
}
}
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
from-zone public-zone to-zone servers-zone {
policy guest-allow-access {
match {
source-address any;
destination-address public-server;
application any;
source-identity “global\guest”;
}
then {
permit;
}
}
policy guest-deny-access {
match {
source-address any;
destination-address any;
application any;
source-identity “global\guest-device-byod”;
}
then {
deny;
}
}
}
확인
이 섹션에서는 일부 사용자 인증 항목을 수정하는 특정 이벤트가 발생한 후 ClearPass 인증 테이블 내용을 확인합니다. 또한 삭제 명령을 실행한 후 ClearPass 인증 테이블이 성공적으로 삭제되었는지 확인하는 방법도 보여줍니다. 여기에는 다음과 같은 부분이 포함됩니다.
인증된 사용자가 네트워크에서 로그아웃하기 전과 후에 ClearPass 인증 테이블 내용 표시
목적
인증된 특정 사용자가 네트워크에 로그인할 때와 사용자가 로그아웃한 후에 ClearPass 인증 테이블 내용을 표시합니다.
행동
show services user-identification authentication-table authentication-source authentication-source aruba-clearpass라고 하는 ClearPass 인증 테이블에 대한 명령을 입력합니다. ClearPass 인증 테이블에는 사용자 viki2에 대한 항목이 포함되어 있습니다.
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
viki2가 네트워크에서 로그아웃한 후 동일한 명령을 다시 입력합니다. ClearPass 인증 테이블에는 더 이상 viki2에 대한 항목이 포함되어 있지 않습니다.
Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 corporate-limited Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
참조된 보안 정책이 삭제되기 전과 후에 인증 테이블 내용 표시
목적
보안 정책에서 참조하는 그룹에 속하는 특정 사용자(lchen1)에 대한 ClearPass 인증 테이블 내용을 표시합니다. 해당 보안 정책을 삭제한 다음 해당 사용자에 대한 항목을 다시 표시합니다.
행동
show service user-identification authentication-table authentication-source user user-name 특정 사용자 lchen1에 대한 ClearPass 인증 테이블 항목을 표시하려면 명령을 입력합니다. 여기에는 corporate-limited 그룹이 포함됩니다.
show service user-identification authentication-table authentication-source user lchen1
Domain: GLOBAL
Source IP Username groups(Ref by policy) state
203.0.113.53 lchen1 corporate-limited Valid
human-resources-p1 보안 정책 source-identity 필드는 corporate-limited 그룹을 나타냅니다. 위의 ClearPassauthentication 항목에서 볼 수 있듯이 사용자 lchen1은 해당 그룹에 속합니다. 다음은 human-resources-p1 참조된 보안 정책에 대한 구성입니다.
from-zone human-resources-zone to-zone servers-zone {
policy human-resources-p1 {
match {
source-address any;
destination-address corporate-server;
application any;
source-identity "global\corporate-limited";
}
then {
permit;
}
}
}
source-identity 매개 변수가 corporate-limited라는 그룹을 참조하는 human-resources-p1 보안 정책을 삭제한 후 동일한 명령을 다시 입력합니다. lchen1에 대한 인증 항목에는 corporate-limited 그룹이 포함되어 있지 않습니다.
show service user-identification authentication-table authentication-source aruba-clearpass user lchen1
Domain: GLOBAL
Source IP Username groups(Ref by policy) state
203.0.113.53 lchen1 Valid
수정 후 ClearPass 인증 테이블 상태를 확인하는 데 다른 접근 방식을 취합니다. 전체 테이블을 표시하여 그룹(회사 제한)이 사용자 항목에 포함되어 있지 않은지 확인합니다. 둘 이상의 사용자가 회사 제한 그룹에 속한 경우 영향을 받는 모든 사용자에 대한 인증 항목에는 해당 그룹 이름이 표시되지 않습니다.
운영 모드에서 명령을 입력합니다 show services user-identification authentication-table authentication-source aruba-clearpass .
show services user-identification authentication-table authentication-source aruba-clearpass Domain: GLOBAL Total entries: 6 Source IP Username groups(Ref by policy) state 203.0.113.21 viki2 accounting-grp-and-company-dev Valid 203.0.113.89 abew1 marketing-access-limited-grp Valid 203.0.113.52 jxchan marketing-access-for-pcs-limit Valid 203.0.113.53 lchen1 Valid 203.0.113.54 guest1 Valid 203.0.113.55 guest2 Valid
예: Web API 함수 구성
SRX 시리즈 방화벽과 ClearPass Policy Manager(CPPM)는 협업을 통해 보호된 리소스와 인터넷에 대한 액세스를 제어합니다. 이를 위해 SRX 시리즈 방화벽은 사용자 요청과 일치하는 보안 정책 적용과 함께 사용자를 인증해야 합니다. 통합된 ClearPass 인증 및 실행 기능을 위해 SRX 시리즈 방화벽은 인증 소스로 ClearPass를 사용합니다.
이 예제에서 다루는 Web API 기능은 SRX 시리즈 방화벽과의 보안 연결을 시작할 수 있는 API를 CPPM에 노출합니다. CPPM은 이 연결을 사용하여 사용자 인증 정보를 SRX 시리즈 방화벽에 게시합니다. 이 관계에서 SRX 시리즈 방화벽은 CPPM 클라이언트를 위한 HTTPS 서버 역할을 합니다.
요구 사항
이 섹션은 이 예제의 토폴로지에 대한 소프트웨어 및 하드웨어 요구 사항을 정의합니다. 토폴로지 설계에 대해서는 그림 3 을 참조하십시오.
하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
Aruba ClearPass Policy Manager(CPPM). CPPM은 로컬 인증 소스를 사용하여 사용자를 인증하도록 구성됩니다.
메모:CPPM은 사용자 이름, 사용자가 속한 그룹의 이름 목록, 사용된 디바이스의 IP 주소, 디바이스 상태 토큰을 포함한 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽에 제공하도록 구성되었다고 가정합니다.
-
통합 ClearPass 기능이 포함된 Junos OS를 실행하는 SRX 시리즈 방화벽.
-
모두 서버 영역에 있는 6개의 서버로 구성된 서버 팜:
-
마케팅 서버 보호 (203.0.113.23)
-
인적 자원 서버 (203.0.113.25)
-
계정 서버(203.0.113.72)
-
공용 서버(192.0.2.96)
-
회사 서버(203.0.113.71)
-
sales-server(203.0.113.81)
-
-
ArubaOS를 실행하는 AC 7010 Aruba Cloud Services Controller.
-
ArubaOS를 실행하는 Aruba AP 무선 액세스 컨트롤러.
Aruba AP는 AC7010에 연결됩니다.
무선 사용자는 Aruba AP를 통해 CPPM에 연결합니다.
-
유선 802.1 액세스 디바이스로 사용되는 주니퍼 네트웍스 EX4300 스위치.
유선 사용자는 EX4300 스위치를 사용하여 CPPM에 연결합니다.
-
6개의 최종 사용자 시스템:
-
Microsoft OS를 실행하는 유선 네트워크 연결 PC 3대
-
Aruba AP 액세스 디바이스를 통해 네트워크에 액세스하는 두 개의 BYOD 디바이스
-
Microsoft OS를 실행하는 무선 노트북 1대
-
개요
SRX 시리즈 방화벽에서 ID 인식 보안 정책을 구성하여 디바이스의 IP 주소가 아닌 사용자 이름 또는 그룹 이름을 기반으로 리소스에 대한 사용자의 액세스를 제어할 수 있습니다. 이 기능을 위해 SRX 시리즈 방화벽은 사용자 인증을 위해 CPPM에 의존합니다. SRX 시리즈 방화벽은 CPPM이 통합될 수 있도록 ClearPass의 웹 API(webapi)를 ClearPass에 노출합니다. CCPM은 사용자 인증 정보를 연결 전반에 걸쳐 SRX 시리즈 방화벽에 효율적으로 게시합니다. CPPM이 보안 연결을 시작하고 설정할 수 있도록 Web API 기능을 구성해야 합니다. SRX 시리즈 방화벽과 CPPM을 연결하기 위해 SRX 시리즈 방화벽에서 별도의 라우팅 엔진 프로세스가 필요하지 않습니다.
그림 2 는 사용자 인증을 포함하여 SRX 시리즈 방화벽과 CPPM 간의 통신 주기를 보여줍니다.
그림과 같이 다음과 같은 활동이 발생합니다.
-
CPPM은 Web API를 사용하여 SRX 시리즈 방화벽과의 보안 연결을 시작합니다.
-
3명의 사용자가 네트워크에 참여하고 CPPM에 의해 인증됩니다.
-
태블릿 사용자가 회사 WAN을 통해 네트워크에 연결합니다.
-
스마트폰 사용자가 기업 WAN을 통해 네트워크에 연결합니다.
-
무선 랩톱 사용자가 회사 LAN에 연결된 레이어 2 스위치에 연결된 유선 랩톱에서 네트워크에 연결합니다.
-
-
CPPM은 웹 API를 사용하여 POST 요청 메시지로 네트워크에 로그인한 사용자에 대한 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽으로 보냅니다.
사용자의 트래픽이 SRX 시리즈 방화벽에 도착하면 SRX 시리즈 방화벽은 다음을 수행합니다.
-
트래픽이 일치하는 보안 정책을 식별합니다.
-
ClearPass 인증 테이블에서 사용자에 대한 인증 항목을 찾습니다.
-
사용자를 인증한 후 트래픽에 보안 정책을 적용합니다.
-
-
보호된 내부 리소스에 대한 액세스를 요청하는 스마트폰 사용자의 트래픽이 SRX 시리즈 방화벽에 도착합니다. 3단계에서 식별된 모든 조건이 충족되고 보안 정책에서 이를 허용하므로 SRX 시리즈 방화벽은 보호된 리소스에 대한 사용자 연결을 허용합니다.
-
보호된 리소스에 대한 액세스를 요청하는 유선 노트북 사용자의 트래픽이 SRX 시리즈 방화벽에 도착합니다. 3단계에서 식별된 모든 조건이 충족되고 보안 정책에서 이를 허용하므로 SRX 시리즈 방화벽은 리소스에 대한 사용자 연결을 허용합니다.
-
인터넷 액세스를 요청하는 태블릿 사용자의 트래픽이 SRX 시리즈 방화벽에 도착합니다. 3단계에서 식별된 모든 조건이 충족되고 보안 정책에서 이를 허용하므로 SRX 시리즈 방화벽은 사용자의 인터넷 연결을 허용합니다.
Web API 디먼은 보안상의 이유로 기본적으로 사용하도록 설정되어 있지 않습니다. Web API 디먼을 시작하면 기본적으로 HTTP(8080) 또는 HTTPS(8443) 서비스 포트가 열립니다. 사용하려는 HTTP 프로토콜의 버전에 따라 이러한 포트 중 하나가 구성되어 있는지 확인해야 합니다. 보안상의 이유로 HTTPS를 사용하는 것이 좋습니다. 이러한 포트를 열면 시스템이 서비스 공격에 더 취약해집니다. 이러한 포트를 사용할 수 있는 서비스 공격으로부터 보호하기 위해 Web API 디먼은 사용하도록 설정한 후에만 시작됩니다.
웹 API는 RESTful 웹 서비스 구현입니다. 그러나 RESTful 웹 서비스를 완전히 지원하지는 않습니다. 대신 ClearPass 클라이언트의 요청에 응답하는 HTTP 또는 HTTPS 서버 역할을 합니다.
웹 API 연결은 HTTP 서비스 포트(8080) 또는 HTTPS 서비스 포트(8443)를 사용하여 CPPM에 의해 초기화됩니다. ClearPass에서 메시지를 게시할 수 있으려면 Web API 데몬을 사용하도록 설정하고 구성해야 합니다.
남용을 완화하고 데이터 변조로부터 보호하기 위해 Web API 데몬은 다음을 수행합니다.
-
HTTP 또는 HTTPS 기본 사용자 계정 인증에 의한 ClearPass 클라이언트 인증이 필요합니다.
-
클라이언트 원본으로 구성된 IP 주소에서만 데이터를 게시할 수 있습니다. 즉, ClearPass 클라이언트 IP 주소(이 예에서는 192.0.2.199)에서만 HTTP 또는 HTTPS POST 요청을 허용합니다.
-
게시된 콘텐츠는 설정된 XML 데이터 형식을 따라야 합니다. 데이터를 처리할 때 Web API 데몬은 올바른 데이터 형식이 사용되었는지 확인합니다.
웹 관리와 SRX 시리즈 방화벽을 함께 구축하는 경우 서로 다른 HTTP 또는 HTTPS 서비스 포트에서 실행해야 합니다.
이 기능이 데이터 변조로부터 보호하는 방법에 대한 자세한 내용은 Web API 함수를 참조하세요.
SRX 시리즈 UserID 데몬은 사용자 인증 및 ID 정보를 처리하여 패킷 포워딩 엔진의 ClearPass 인증 테이블과 동기화합니다. SRX 시리즈 방화벽은 CPPM에서만 수신되는 정보에 사용할 ClearPass 인증 테이블을 생성합니다. ClearPass 인증 테이블에는 다른 인증 소스의 사용자 인증 정보가 포함되어 있지 않습니다. SRX 시리즈 방화벽은 ClearPass 인증 테이블을 검사하여 유선 또는 무선 디바이스와 로컬 네트워크 리소스를 사용하여 인터넷에서 보호된 네트워크 리소스에 액세스하려는 사용자를 인증합니다.
CPPM이 SRX 시리즈 방화벽에 연결하고 인증 정보를 게시하려면 HTTPS 인증을 사용하여 인증을 받아야 합니다. Web API 데몬은 HTTPS 인증서를 참조하는 데 사용할 수 있는 세 가지 방법, 즉 기본 인증서, PKI 로컬 인증서, 인증서 및 인증서 키 구성 문을 통해 구현된 사용자 지정 인증서를 지원합니다. 이러한 인증서 방법은 함께 사용할 수 없습니다.
이 예에서는 CPPM과 SRX 시리즈 방화벽 간의 연결에 HTTPS를 사용합니다. 보안을 보장하기 위해 통합 ClearPass 기능 기본 인증서 키 크기는 2084비트입니다.
보안상의 이유로 기본 인증서, PKI 생성 인증서 또는 사용자 지정 인증서 중 어떤 방법을 사용하든 인증서 크기가 2084비트 이상인지 확인해야 합니다.
다음 예제에서는 PKI를 사용하여 인증서 및 키를 생성하는 방법을 보여 줍니다.
user@host>request security pki generate-key-pair certificate-id aruba size 2048
user@host>request security pki local-certificate generate-self-signed certificate-id aruba domain-name mycompany.net email jxchan@mycompany.net ip-address 192.51.100.21 subject “CN=John Doe,OU=Sales ,O=mycompany.net ,L=MyCity ,ST=CA,C=US"
구성
이 섹션에서는 SRX 시리즈 웹 API를 활성화하고 구성하는 방법에 대해 설명합니다.
Web API를 사용하도록 설정해야 합니다. 기본적으로 사용하도록 설정되어 있지 않습니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 문을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 문을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system services webapi user sunny password i4%rgd
set system services webapi client 192.0.2.199
set system services webapi https port 8443
set system services webapi https pki-local-certificate aruba
set system services webapi debug-level alert
set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21
set security zones security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl
set security user-identification authentication-source aruba-clearpass priority 110
set security user-identification authentication-source local-authentication-table priority 120
set security user-identification authentication-source active-directory-authentication-table priority 125
set security user-identification authentication-source firewall-authentication priority 150
set security user-identification authentication-source unified-access-control priority 200
SRX 시리즈 웹 API 데몬 구성
단계별 절차
웹 API를 구성하면 CPPM이 SRX 시리즈 방화벽에 대한 연결을 초기화할 수 있습니다. 별도의 연결 구성이 필요하지 않습니다.
CPPM은 사용자 이름, 사용자가 속한 그룹의 이름, 사용된 디바이스의 IP 주소, 상태 토큰을 포함한 인증된 사용자 ID 정보를 SRX 시리즈 방화벽에 제공하도록 구성되었다고 가정합니다.
CPPM은 사용자 또는 사용자 그룹을 디바이스 유형에 매핑하는 역할 매핑을 구성했을 수 있습니다. CPPM이 역할 매핑 정보를 SRX 시리즈 방화벽으로 전달하는 경우 SRX 시리즈 방화벽은 역할 매핑을 그룹으로 처리합니다. SRX 시리즈 방화벽은 다른 그룹과 구별하지 않습니다.
Web API 디먼을 구성하려면 다음을 수행합니다.
-
계정에 대한 Web API 디먼(webapi) 사용자 이름 및 암호를 구성합니다.
이 정보는 HTTPS 인증 요청에 사용됩니다.
[edit system services] user@host# set webapi user sunny password i4%rgd -
웹 API 클라이언트 주소(즉, ClearPass 웹 서버 데이터 포트의 IP 주소)를 구성합니다.
SRX 시리즈 방화벽은 이 주소의 정보만 수신합니다.
메모:여기에 주소가 구성된 ClearPass 웹 서버 데이터 포트는 사용자 쿼리 기능에 사용되는 포트와 동일합니다(해당 기능을 구성하는 경우).
[edit system services] user@host# set webapi client 192.0.2.199메모:Junos OS 릴리스 15.1X49-D130부터 SRX 시리즈 방화벽은 Web API 클라이언트 주소를 구성하기 위한 IPv6 주소를 지원합니다. Junos OS 릴리스 15.1X49-D130 이전에는 IPv4 주소만 지원되었습니다.
-
Web API 디먼 HTTPS 서비스 포트를 구성합니다.
기본 TCP 포트 8080 또는 8443에서 Web API 서비스를 사용하도록 설정하는 경우 해당 포트에서 호스트 인바운드 트래픽을 사용하도록 설정해야 합니다.
이 예제에서는 Web API 서비스의 보안 버전(webapi-ssl)이 사용되므로 HTTPS 서비스 포트 8443을 구성해야 합니다.
[edit system services] user@host# set webapi https port 8443 -
HTTPS 기본 인증서를 사용하도록 Web API 디먼을 구성합니다.
[edit system services] user@host# set webapi https pki-local-certificate aruba -
Web API 디먼에 대한 추적 수준을 구성합니다.
지원되는 추적 수준은 notice, warn, error, crit, alert 및 emerg입니다. 기본값은 error입니다.
[edit system services] user@host# webapi debug-level alert -
CPPM에서 호스트 인바운드 트래픽에 사용할 인터페이스를 구성합니다.
user@host# set interfaces ge-0/0/3.4 vlan-id 340 family inet address 192.51.100.21 -
TCP 포트 8443에서 HTTPS 호스트 인바운드 트래픽을 통해 Web API 서비스를 사용하도록 설정합니다.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.4 host-inbound-traffic system-services webapi-ssl
결과
구성 모드에서 명령을 입력하여 show system services webapi Web API 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user {
sunny;
password "$ABC123"; ## SECRET-DATA
}
client {
192.0.2.199;
}
https {
port 8443;
pki-local-certificate aruba;
}
debug-level {
alert;
}
구성 모드에서 명령을 입력하여 CPPM의 호스트 인바운드 트래픽에 사용되는 인터페이스의 show interfaces ge-0/0/3.4 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 확인 프로세스를 반복하여 수정합니다.
vlan-id 340;
family inet {
address 192.51.100.21/32;
}
구성 모드에서 명령을 입력하여 show security zones security-zone trust 보안 웹 API 서비스(web-api-ssl)를 사용하여 CPPM에서 호스트 인바운드 트래픽을 허용하는 보안 영역 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 확인 프로세스를 반복하여 수정합니다.
interfaces {
ge-0/0/3.4 {
host-inbound-traffic {
system-services {
webapi-ssl;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .
ClearPass 인증 테이블 구성 입력 시간 초과 및 우선 순위
단계별 절차
이 절차는 다음 정보를 구성합니다.
-
ClearPass 인증 테이블에서 유휴 인증 항목을 만료할 시기를 결정하는 시간 제한 매개 변수입니다.
-
ClearPass 인증 테이블은 SRX 시리즈 방화벽이 사용자 인증 항목을 검색하기 위한 조회 순서의 첫 번째 인증 테이블입니다. ClearPass 인증 테이블에서 항목을 찾을 수 없고 구성된 다른 인증 테이블이 있는 경우, SRX 시리즈 방화벽은 설정한 순서에 따라 해당 항목을 검색합니다.
-
ClearPass 인증 테이블의 유휴 인증 항목을 만료하는 데 사용되는 시간 제한 값을 20분으로 설정합니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass authentication-entry-timeout 20인증 소스와 통합하기 위해 SRX 시리즈 방화벽을 처음 구성할 때 ClearPass 인증 테이블의 유휴 항목을 만료할 시기를 식별하기 위해 시간 제한 값을 지정해야 합니다. 시간 제한 값을 지정하지 않으면 기본값이 사용됩니다.
-
기본값 = 30분
-
range = 설정된 경우 시간 제한 값은 [10,1440분] 범위 내에 있어야 합니다. 값이 0이면 항목이 만료되지 않습니다.
-
-
인증 테이블 우선 순위를 설정하여 SRX 시리즈 방화벽이 ClearPass 인증 테이블에서 사용자 인증 항목을 먼저 검색하도록 지시합니다. ClearPass 인증 테이블에서 사용자에 대한 항목을 찾을 수 없는 경우 다른 인증 테이블이 검색되는 순서를 지정합니다.
메모:ClearPass 인증 테이블이 패킷 포워딩 엔진의 유일한 인증 테이블이 아닌 경우 이 값을 설정해야 합니다.
[edit security user-identification] user@host# set authentication-source aruba-clearpass priority 110 user@host# set authentication-source local-authentication-table priority 120 user@host# set authentication-source active-directory-authentication-table priority 125 user@host# set authentication-source firewall-authentication priority 150 user@host# set authentication-source unified-access-control priority 200ClearPass 인증 테이블의 기본 우선 순위 값은 110입니다. 로컬 인증 테이블 항목을 100에서 120으로 변경하여 패킷 포워딩 엔진에 다른 인증 테이블이 있는 경우 SRX 시리즈 방화벽이 ClearPass 인증 테이블을 먼저 확인하도록 지시해야 합니다. 표 2 에는 새로운 인증 테이블 검색 우선 순위가 나와 있습니다.
표 2: SRX 시리즈 방화벽 인증 테이블 검색 우선 순위 할당 SRX 시리즈 인증 테이블
설정 값
ClearPass 인증 테이블
110
로컬 인증 테이블
120
Active Directory 인증 테이블
125
방화벽 인증 테이블
150
UAC 인증 테이블
200
결과
구성 모드에서 ClearPass 인증 테이블 항목을 에이징 아웃하기 위해 설정된 시간 제한 값이 올바른지 확인합니다. show services user-identification 명령을 입력합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
authentication-source aruba-clearpass {
authentication-entry-timeout 20;
}
예: 사용자 쿼리 기능 구성
이 예에서는 개별 사용자의 사용자 인증 및 ID 정보를 사용할 수 없을 때 Aruba ClearPass를 자동으로 쿼리할 수 있도록 SRX 시리즈 방화벽을 구성하는 방법을 다룹니다.
사용자 쿼리 기능은 사용자 인증 및 ID 정보를 가져오는 Web API 방법을 보완하며 선택 사항입니다.
요구 사항
이 섹션에서는 사용자 쿼리 요구 사항을 포함하는 전체 토폴로지에 대한 소프트웨어 및 하드웨어 요구 사항을 정의합니다. 토폴로지에 대해서는 그림 5 를 참조하십시오. 사용자 쿼리 프로세스에 대한 자세한 내용은 그림 4를 참조하십시오.
하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
Aruba ClearPass(CPPM). CPPM은 로컬 인증 소스를 사용하여 사용자를 인증하도록 구성됩니다.
메모:CPPM은 사용자 이름, 사용자가 속한 그룹의 이름 목록, 사용된 디바이스의 IP 주소, 디바이스 상태 토큰을 포함한 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽에 제공하도록 구성되었다고 가정합니다.
-
통합 ClearPass 기능이 포함된 Junos OS를 실행하는 SRX 시리즈 방화벽.
-
모두 서버 영역에 있는 6개의 서버로 구성된 서버 팜:
-
마케팅 서버 보호 (203.0.113.23)
-
인적 자원 서버 (203.0.113.25)
-
계정 서버(203.0.113.72)
-
공용 서버(203.0.113.91)
-
회사 서버(203.0.113.71)
-
sales-server(203.0.113.81)
-
-
ArubaOS를 실행하는 AC 7010 Aruba Cloud Services Controller.
-
ArubaOS를 실행하는 Aruba AP 무선 액세스 컨트롤러.
Aruba AP는 AC7010에 연결됩니다.
무선 사용자는 Aruba AP를 통해 CPPM에 연결합니다.
-
유선 802.1 액세스 디바이스로 사용되는 주니퍼 네트웍스 EX4300 스위치.
유선 사용자는 EX4300 스위치를 사용하여 CPPM에 연결합니다.
-
6개의 최종 사용자 시스템:
-
Microsoft OS를 실행하는 유선 네트워크 연결 PC 3대
-
Aruba AP 액세스 디바이스를 통해 네트워크에 액세스하는 두 개의 BYOD 디바이스
-
Microsoft OS를 실행하는 무선 노트북 1대
-
개요
디바이스의 ClearPass 인증 테이블에 해당 사용자에 대한 항목이 포함되어 있지 않을 때 SRX 시리즈 방화벽이 CPPM에서 개별 사용자에 대한 인증된 사용자 ID 정보를 얻을 수 있도록 사용자 쿼리 기능을 구성할 수 있습니다. SRX 시리즈 방화벽은 액세스 요청에서 발생하는 트래픽을 생성한 사용자 디바이스의 IP 주소를 쿼리의 기반으로 합니다.
디바이스에 특정 사용자에 대한 CPPM의 인증 정보가 아직 없는 데에는 여러 가지 이유가 있습니다. 예를 들어, 사용자가 CPPM에 의해 아직 인증되지 않은 경우가 발생할 수 있습니다. 이 조건은 사용자가 매니지드 스위치 또는 WLAN에 없는 액세스 레이어를 통해 네트워크에 가입한 경우에 발생할 수 있습니다.
사용자 쿼리 기능은 CPPM이 웹 API를 사용하여 SRX 시리즈 방화벽에 해당 정보를 게시하지 않은 사용자에 대해 SRX 시리즈 방화벽이 CPPM에서 사용자 인증 및 ID 정보를 얻을 수 있는 수단을 제공합니다. 디바이스가 ClearPass 인증 테이블에 항목이 없는 사용자로부터 액세스 요청을 받으면 이 기능이 구성된 경우 CPPM을 자동으로 쿼리합니다.
그림 4는 다음 단계를 포함하는 사용자 쿼리 흐름 프로세스를 보여 줍니다.
-
사용자가 리소스에 액세스하려고 합니다. SRX 시리즈 방화벽은 액세스를 요청하는 트래픽을 수신합니다. 디바이스가 ClearPass 인증 테이블에서 사용자에 대한 항목을 검색하지만 아무 항목도 찾을 수 없습니다.
-
디바이스는 CPPM에서 사용자에 대한 인증을 요청합니다.
-
CPPM은 사용자를 인증하고 사용자 인증 및 ID 정보를 디바이스에 반환합니다.
-
디바이스는 ClearPass 인증 테이블에 사용자에 대한 항목을 생성하고 인터넷에 대한 사용자 액세스 권한을 부여합니다.
디바이스가 쿼리를 실행하는 시기를 제어하는 데 사용할 수 있는 매개 변수에 대한 자세한 내용은 통합 ClearPass 인증 및 실행 사용자 쿼리 기능 이해를 참조하십시오.
이 기능이 구성되면 개별 사용자에 대한 인증 정보를 위해 CPPM을 수동으로 쿼리할 수도 있습니다.
ClearPass 엔드포인트 API를 사용하려면 OAuth(RFC 6749)를 사용하여 인증하고 액세스 권한을 부여해야 합니다. 디바이스가 개별 사용자 인증 및 권한 부여 정보를 위해 CPPM을 쿼리할 수 있으려면 액세스 토큰을 획득해야 합니다. 이를 위해 디바이스는 ClearPass가 지원하는 두 가지 유형 중 하나인 클라이언트 자격 증명 액세스 토큰 권한 부여 유형을 사용합니다.
CPPM(ClearPass Policy Manager)의 관리자로서 CPPM에서 grant_type "client_credentials"로 설정된 API 클라이언트를 작성해야 합니다. 그런 다음 해당 정보를 사용하여 액세스 토큰을 얻도록 디바이스를 구성할 수 있습니다. 다음은 이 작업을 수행하기 위한 메시지 형식의 예입니다.
curl https://{$Server}/api/oauth – – insecure – – data
“grant_type=client_credentials&client_id=Client2&client_secret= m2Tvcklsi9je0kH9UTwuXQwIutKLC2obaDL54/fC2DzC"
액세스 토큰을 얻기 위한 디바이스의 요청이 성공하면 다음 예제와 유사한 응답이 발생합니다.
{
“access_token”:”ae79d980adf83ecb8e0eaca6516a50a784e81a4e”,
“expires_in”:2880,
“token_type”:”Bearer”,
“scope”=nu;
}
액세스 토큰이 만료되기 전에 디바이스는 동일한 메시지를 사용하여 새 토큰을 얻을 수 있습니다.
구성
사용자 쿼리 기능을 활성화하고 구성하려면 다음 작업을 수행하십시오.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 문을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 문을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199 set services user-identification authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crt set services user-identification authentication-source aruba-clearpass user-query client-id client-1 set services user-identification authentication-source aruba-clearpass user-query client-secret 7cTr13# set services user-identification authentication-source aruba-clearpass user-query token-api “api/oauth” set services user-identification authentication-source aruba-clearpass user-query IP address “api/vi/insight/endpoint/ip/$IP$”
사용자 쿼리 기능 구성(옵션)
단계별 절차
SRX 시리즈 방화벽이 ClearPass 클라이언트에 자동으로 연결하여 개별 사용자에 대한 인증 정보를 요청할 수 있도록 사용자 쿼리 기능을 구성합니다.
사용자 쿼리 함수는 웹 API를 사용하여 전송된 CPPM의 입력을 보완합니다. 사용자 쿼리 함수가 작동하기 위해 Web API 데몬을 사용하도록 설정할 필요는 없습니다. 사용자 쿼리 기능의 경우, SRX 시리즈 방화벽은 HTTP 클라이언트입니다. 포트 443의 CPPM에 HTTPS 요청을 보냅니다.
SRX 시리즈 방화벽이 개별 사용자 쿼리를 자동으로 수행하도록 설정하려면:
-
Aruba ClearPass를 사용자 쿼리 요청에 대한 인증 소스로 구성하고 ClearPass 웹 서버 이름과 해당 IP 주소를 구성합니다. 디바이스가 ClearPass 웹 서버에 연결하려면 이 정보가 필요합니다.
Junos OS 릴리스 15.1X49-D130부터 IPv4 주소 외에 IPv6 주소로 Aruba Clearpass 서버 IP 주소를 구성할 수 있습니다. Junos OS 릴리스 15.1X49-D130 이전에는 IPv4 주소만 지원되었습니다.
메모:인증 소스로 aruba-clearpass를 지정해야 합니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query web-server cp-webserver address 192.0.2.199메모:ClearPass 웹 서버는 하나만 구성할 수 있습니다.
선택적으로 포트 번호와 연결 방법을 구성하거나 이러한 매개 변수에 대해 다음 값을 수락합니다. 이 예제에서는 기본값을 가정합니다.
-
connect-method(기본값은 HTTPS)
-
포트(기본적으로 디바이스는 포트 443에서 CPPM에 HTTPS 요청을 보냅니다
그러나 연결 방법 및 포트를 명시적으로 구성하려면 다음 문을 사용합니다.
set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver connect method <https/http> set services user-identification authentication-source aruba-clearpass user-query web-server cp-webserver port port-number -
-
(선택 사항) ClearPass 웹 서버를 확인하는 데 사용할 디바이스의 ClearPass CA 인증서 파일을 구성합니다. (아무것도 구성되지 않은 경우 기본 인증서가 가정됩니다.)
[edit services user-identification] user@host# set authentication-source aruba_clearpass user-query ca-certificate RADUISServerCertificate.crtCA 인증서를 사용하면 SRX 시리즈 방화벽에서 ClearPass 웹 서버의 신뢰성과 신뢰할 수 있는 웹 서버임을 확인할 수 있습니다.
인증서를 구성하기 전에 ClearPass 디바이스의 관리자로서 다음 작업을 수행해야 합니다.
-
CPPM에서 ClearPass 웹 서버의 인증서를 내보내고 인증서를 디바이스로 가져옵니다.
-
SRX 시리즈 방화벽에 있는 것처럼 ca-certificate를 CA 파일명을 포함한 경로로 구성합니다. 이 예에서는 다음 경로가 사용됩니다.
/var/tmp/RADUISServerCertificate.crt
-
-
사용자 쿼리에 필요한 액세스 토큰을 얻기 위해 SRX 시리즈 방화벽이 요구하는 클라이언트 ID와 암호를 구성합니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query client-id client-1 user@host# set authentication-source aruba-clearpass user-query client-secret 7cTr13#클라이언트 ID 및 클라이언트 암호는 필수 값입니다. CPPM의 클라이언트 구성과 일치해야 합니다.
팁:CPPM에서 클라이언트를 구성할 때 디바이스 구성에 사용할 클라이언트 ID와 암호를 복사합니다.
-
액세스 토큰을 획득하기 위한 URL을 생성하는 데 사용되는 토큰 API를 구성합니다.
메모:토큰 API를 지정해야 합니다. 기본값이 없습니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query token-api “api/oauth”이 예에서 토큰 API는 입니다
api/oauth. 다음 정보와 결합되어 액세스 토큰을https://192.0.2.199/api/oauth획득하기 위한 전체 URL을 생성합니다-
연결 방법은 HTTPS입니다.
-
이 예에서 ClearPass 웹 서버의 IP 주소는 192.0.2.199입니다.
-
-
개별 사용자 인증 및 ID 정보를 쿼리하는 데 사용할 쿼리 API를 구성합니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query query-api ’api/vi/insight/endpoint/ip/$IP$’이 예에서 query-api는 입니다
api/vi/insight/endpoint/ip/$IP$. 이https://192.0.2.199/api/oauthURL과 결합되어 .https://192.0.2.199/api/oauth/api/vi/insight/endpoint/ip/$IP$$IP 변수는 SRX 시리즈가 인증 정보를 요청하는 사용자에 대한 최종 사용자 디바이스의 IP 주소로 대체됩니다.
-
디바이스가 개별 사용자 쿼리를 전송하기 전에 지연되는 시간을 초 단위로 구성합니다.
[edit services user-identification] user@host# set authentication-source aruba-clearpass user-query delay-query-time 10
개별 사용자 인증 정보에 대해 CPPM에 수동으로 쿼리 발행(선택 사항)
단계별 절차
-
디바이스의 IP 주소가 203.0.113.46인 사용자에 대한 인증 정보를 수동으로 요청하려면 다음 문을 구성합니다.
root@device>request service user-identification authentication-source aruba-clearpass user-query address 203.0.113.46
확인
다음 절차에 따라 사용자 쿼리 함수가 예상대로 작동하는지 확인합니다.
ClearPass 웹 서버가 온라인 상태인지 확인
목적
사용자 쿼리 요청을 성공적으로 완료할 수 있는지 확인하는 첫 번째 방법인 ClearPass 웹 서버가 온라인 상태인지 확인합니다.
행동
show service user-identification authentication-source authentication-source user-query status 명령을 입력하여 ClearPass가 온라인 상태인지 확인합니다.
show service user-identification authentication-source aruba-clearpass user-query status Authentication source: aruba-clearpass Web server Address: 192.0.2.199 Status: Online Current connections: 0
추적 활성화 및 출력 확인
목적
사용자 쿼리 함수에서 생성된 모든 오류 메시지를 추적 로그에 표시합니다.
행동
추적 로그 파일 이름을 설정하고 다음 명령을 사용하여 추적을 활성화합니다.
set system services webapi debug-log trace-log-1
set services user-identification authentication-source aruba-clearpass traceoptions flag user-query
사용자 쿼리 함수가 정상적으로 실행되고 있는지 확인
목적
사용자 쿼리 함수 동작에 문제가 있는지 확인합니다.
행동
syslog 메시지를 확인하여 사용자 쿼리 요청이 실패했는지 확인합니다.
실패하면 다음 오류 메시지가 보고됩니다.
LOG1: sending user query for IP <ip-address> to ClearPass web server failed. :reason
그 이유는 "서버가 연결되지 않음" 또는 "소켓 오류"일 수 있습니다.
사용자 쿼리 카운터를 사용하여 문제가 있는지 확인
목적
명령이 있는 경우 명령을 입력하여 show service user-identification authentication-source authentication-source user-query counters 문제에 대한 사용자 쿼리 카운터를 홈으로 표시합니다.
사용자 조회 요청에 대한 응답으로 ClearPass가 리턴하는 타임스탬프는 시간대를 포함하는 형식을 포함하여 ISO 8601 형식 중 하나로 지정할 수 있습니다.
행동
show service user-identification authentication-source aruba-clearpass user-query counters
Authentication source: aruba-clearpass
Web server Address: Address: ip-address
Access token: token-string
RE quest sent number: counter
Routing received number: counter
Time of last response: timestamp
예: 위협 및 공격 로그를 필터링하고 속도를 제한하도록 ClearPass 구성
SRX 시리즈 방화벽은 네트워크 리소스를 보호하는 보안 모듈을 통해 식별된 위협 및 공격에 대한 정보를 ClearPass Policy Manager(CPPM)에 동적으로 전송할 수 있습니다. 특정 디바이스 및 해당 사용자의 활동과 관련된 공격 및 공격 위협을 탐지하고 해당 로그를 생성합니다. 이 전송을 제어하려면 전송할 로그 유형과 전송 속도를 구성해야 합니다. 그런 다음 CPPM에서 정책 규칙을 설정할 때 이 정보를 사용하여 네트워크 보안을 강화할 수 있습니다.
이 예에서는 위협 및 공격 로그만 필터링하여 CPPM으로 전송하고, SRX 시리즈 방화벽이 이를 전송하는 볼륨과 속도를 제어하도록 SRX 시리즈 통합 ClearPass 인증 및 집행 기능을 구성하는 방법을 보여줍니다.
요구 사항
이 예의 토폴로지는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
-
서버의 가상 머신(VM)에 구현된 Aruba CPPM. CPPM은 로컬 인증 소스를 사용하여 사용자를 인증하도록 구성됩니다.
-
통합 ClearPass 기능이 포함된 Junos OS를 실행하는 SRX 시리즈 방화벽. SRX 시리즈 방화벽은 주니퍼 네트웍스 EX4300 스위치와 인터넷에 연결됩니다. SRX 시리즈 방화벽은 보안 연결을 통해 ClearPass와 통신합니다.
-
유선 802.1 액세스 디바이스로 사용되는 주니퍼 네트웍스 EX4300 스위치. EX4300 레이어 2 스위치는 엔드포인트 사용자를 네트워크에 연결합니다. SRX 시리즈 방화벽이 스위치에 연결되어 있습니다.
-
Microsoft OS를 실행하는 유선 네트워크 연결 PC. 시스템은 EX4300 스위치에 직접 연결됩니다.
위협 및 공격 로그는 보안 기능이 포착하고 보호하는 이벤트에 의해 트리거된 이러한 디바이스의 활동에 대해 기록됩니다.
개요
SRX 시리즈 통합 ClearPass 인증 및 실행 기능은 Aruba ClearPass와 함께 실제 공격 및 잠재적 공격으로부터 회사 리소스를 보호합니다. SRX 시리즈 방화벽은 네트워크 리소스에 대한 위협과 CPPM이 전송하는 로그를 통해 이에 대한 공격을 알려줍니다. 그런 다음 이 정보를 사용하여 CPPM에서 보안 정책의 구성을 평가할 수 있습니다. 이 정보를 기반으로 개별 사용자 또는 디바이스에 대한 보안을 강화할 수 있습니다.
이 기능의 동작을 제어하려면 공격 및 위협 로그 항목을 필터링하고 속도 제한 조건을 설정하도록 SRX 시리즈 방화벽을 구성해야 합니다.
다음과 같은 방법으로 이 함수의 동작을 조정할 수 있습니다.
-
SRX 시리즈 방화벽이 위협 및 공격 로그만 CPPM에 전송하도록 지시하는 필터를 설정합니다. 이 필터를 사용하면 SRX 시리즈 방화벽 및 로그 서버가 관련 없는 로그를 처리할 필요가 없도록 할 수 있습니다.
-
전송되는 로그의 양을 제어하기 위한 속도 제한 조건을 설정합니다.
rate-limit 파라미터를 설정하여 로그가 전송되는 볼륨과 속도를 제어합니다. 예를 들어 rate-limit 매개 변수를 1000으로 설정하여 1초에 최대 1000개의 로그가 ClearPass로 전송되도록 지정할 수 있습니다. 이 경우 1015개의 로그를 보내려고 하면 제한을 초과하는 로그 수(이 경우 15개 로그)가 삭제됩니다. 로그는 큐에 대기되거나 버퍼링되지 않습니다.
최대 3개의 로그 스트림을 구성할 수 있으며, 각 개별 로그는 대상, 로그 형식, 필터 및 속도 제한에 의해 정의됩니다. 로그 메시지는 구성된 모든 로그 스트림으로 전송됩니다. 각 스트림은 개별적으로 속도가 제한됩니다.
속도 제한을 지원하기 위해 로그 메시지는 디바이스의 로컬 SPU에서 분할된 속도로 전송됩니다. 구성 과정에서 라우팅 엔진은 각 SPU에 분할된 속도를 할당합니다. 분할된 속도는 구성된 속도를 디바이스의 SPU 수로 나눈 값과 같습니다.
divided-rate = configured-rate/number-of-SPUs
구성
이 예에서는 ClearPass로 전송할 위협 및 공격 로그를 선택하도록 필터를 구성하는 방법에 대해 설명합니다. 또한 지정된 기간 동안 전송되는 로그의 양을 제어하기 위해 속도 제한기를 설정하는 방법도 다룹니다. 여기에는 다음과 같은 부분이 포함됩니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 문을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 문을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security log stream threat-attack-logs host 203.0.113.47
set security log mode stream
set security log source-interface ge-0/0/1.0
set security log stream to_clearpass format sd-syslog
set security log stream to_clearpass filter threat-attack
set security log stream to_clearpass rate-limit 1000
CPPM으로 전송되는 위협 및 공격 로그를 필터링하기 위한 통합 ClearPass 인증 및 시행 구성
단계별 절차
-
로그 스트림의 이름과 대상의 IP 주소를 지정합니다.
[edit security] user@host# set security log stream threat-attack-logs host 203.0.113.47 -
로그 모드를 스트림으로 설정합니다.
[edit security] user@host# set log mode stream -
호스트 소스 인터페이스 번호를 설정합니다.
[edit security] user@host#set log source-interface ge-0/0/1.0 -
syslog를 통해 ClearPass로 로그를 전송하기 위해 구조화된 syslog 형식을 사용하도록 로그 스트림을 설정합니다.
[ edit security] user@host# set log stream to_clearpass format sd-syslog -
기록할 이벤트 유형을 지정합니다.
[edit security] user@host# set log stream to_clearpass filter threat-attack메모:이 구성은 필터에 대해 설정된 현재 범주와 관련하여 상호 배타적입니다.
-
이 스트림에 대한 속도 제한을 설정합니다. 범위는 1에서 65,535까지입니다.
이 예에서는 초당 최대 1,000개의 로그를 ClearPass로 보낼 수 있도록 지정합니다. 최대값에 도달하면 추가 로그가 삭제됩니다.
[ edit security] user@host# set log stream to_clearpass rate-limit 1000
결과
구성 모드에서 명령을 입력하여 show interfaces 인터페이스 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
mode stream;
source-interface ge-0/0/1.0;
stream threat-attack-logs {
host {
203.0.113.47;
}
}
stream to_clearpass {
format sd-syslog;
filter threat-attack;
rate-limit {
1000;
}
}
예: JIMS로 ClearPass 구성
이 예에서는 사용자 ID 정보에 대해 JIMS(Juniper Identity Management Service)와 ClearPass를 동시에 활성화하고 JIMS와 ClearPass가 동시에 작동하는 방식을 확인하는 방법을 보여 줍니다. 또한 이 예에서는 우선 순위가 부여되는 인증 항목과 JIMS 및 ClearPass에 대한 시간 초과가 어떻게 작동하는지 설명합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
JIMS 서버의 IP 주소.
ClearPass 클라이언트 IP 주소.
Aruba ClearPass Policy Manager(CPPM). CPPM은 로컬 인증 소스를 사용하여 사용자를 인증하도록 구성됩니다.
메모:CPPM은 사용자 이름, 사용자가 속한 그룹의 이름 목록, 사용된 디바이스의 IP 주소, 디바이스 상태 토큰을 포함한 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽에 제공하도록 구성되었다고 가정합니다.
개요
SRX 시리즈 방화벽은 다양한 인증 소스에서 사용자 또는 디바이스 ID 정보를 획득합니다. SRX 시리즈 방화벽은 디바이스 ID 정보를 획득한 후 디바이스 ID 인증 테이블에 항목을 생성합니다. SRX 시리즈 방화벽은 사용자 ID 정보를 위해 JIMS 및 ClearPass에 의존합니다. JIMS와 ClearPass를 동시에 활성화함으로써 SRX 시리즈 방화벽은 JIMS를 쿼리하여 Active Directory 및 Exchange 서버로부터 사용자 ID 정보를 얻고, CPPM은 웹 API를 통해 사용자 인증 및 ID 정보를 SRX 시리즈 방화벽으로 푸시합니다.
JIMS IP 쿼리와 ClearPass 사용자 쿼리가 모두 활성화된 경우 SRX 시리즈 방화벽은 항상 ClearPass를 먼저 쿼리합니다. JIMS와 CPPM 모두에서 IP-사용자 또는 그룹 매핑을 수신하면 SRX 시리즈 방화벽은 최신 인증 항목을 고려하고 기존 인증 항목을 덮어씁니다. 초 단위로 지정된 매개 변수를 설정하여 delay-query-time SRX 시리즈 방화벽이 쿼리를 보내기 전에 일정 시간 동안 대기하도록 할 수 있습니다. JIMS와 ClearPass가 활성화되면 지연 시간은 서로 동일한 값이어야 합니다. 그렇지 않으면 오류 메시지가 표시되고 커밋 검사에 실패합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
set services user-identification identity-management connection primary address 192.0.2.0 set services user-identification identity-management connection primary client-id otest set services user-identification identity-management connection primary client-secret test set services user-identification authentication-source aruba-clearpass user-query web-server cp-server set services user-identification authentication-source aruba-clearpass user-query address 198.51.100.0 set services user-identification authentication-source aruba-clearpass user-query client-id otest set services user-identification authentication-source aruba-clearpass user-query client-secret test set services user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth set services user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$" set system services webapi user root set system services webapi user password “$ABC123" set system services webapi client 203.0.113.0 set system services webapi https port 8443 set system services webapi https default-certificate set services user-identification authentication-source aruba-clearpass authentication-entry-timeout 30 set services user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30 set services user-identification identity-management authentication-entry-timeout 30 set services user-identification identity-management invalid-authentication-entry-timeout 30 set services user-identification identity-management ip-query query-delay-time 15 set services user-identification authentication-source aruba-clearpass user-query delay-query-time 15
절차
단계별 절차
JIMS와 ClearPass를 동시에 구성하려면 다음 구성을 사용하십시오.
기본 JIMS 서버의 IP 주소를 구성합니다.
[edit services] user@host# set user-identification identity-management connection primary address 192.0.2.0
SRX 시리즈가 인증의 일환으로 JIMS 기본 서버에 제공하는 클라이언트 ID를 구성합니다.
[edit services] user@host# set user-identification identity-management connection primary client-id otest
SRX 시리즈가 인증의 일환으로 JIMS 기본 서버에 제공하는 클라이언트 암호를 구성합니다.
[edit services] user@host# set user-identification identity-management connection primary client-secret test
-
Aruba ClearPass를 사용자 쿼리 요청에 대한 인증 소스로 구성하고 ClearPass 웹 서버 이름과 해당 IP 주소를 구성합니다. SRX 시리즈 방화벽에서 ClearPass 웹 서버에 연결하려면 이 정보가 필요합니다.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query web-server cp-server address 198.51.100.0
-
SRX 시리즈 방화벽이 사용자 쿼리에 필요한 액세스 토큰을 획득하는 데 필요한 클라이언트 ID와 클라이언트 암호를 구성합니다.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query client-id otest user@host# set user-identification authentication-source aruba-clearpass user-query client-secret test
액세스 토큰을 획득하기 위한 URL을 생성하는 데 사용되는 토큰 API를 구성합니다.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query token-api oauth_token/oauth
개별 사용자 인증 및 ID 정보를 쿼리하는 데 사용할 쿼리 API를 구성합니다.
[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query query-api "user_query/v1/ip/$IP$"
계정에 대한 Web API 데몬 사용자 이름 및 암호를 구성합니다.
[edit system services] user@host# set webapi user user password “$ABC123"
웹 API 클라이언트 주소(즉, ClearPass 웹 서버 데이터 포트의 IP 주소)를 구성합니다.
[edit system services] user@host# set webapi client 203.0.113.0
Web API 프로세스 HTTPS 서비스 포트를 구성합니다.
[edit system services] user@host# set webapi https port 8443 user@host# set webapi https default-certificate
Aruba ClearPass에 대한 인증 입력 시간 제한 값을 구성합니다.
[edit services] user@host# set user-identification authentication-source aruba-clearpass invalid-authentication-entry-timeout 30
Aruba ClearPass에 대한 SRX 시리즈 인증 테이블의 잘못된 사용자 인증 항목에 할당될 독립적인 시간 제한 값을 구성합니다.
[edit services] user@host# set user-identification identity-management authentication-entry-timeout 30
JIMS에 대한 SRX 시리즈 인증 테이블의 무효 사용자 인증 항목에 할당될 독립적인 시간 제한 값을 구성합니다.
[edit services] user@host# set user-identification identity-management invalid-authentication-entry-timeout 30
-
SRX 시리즈 방화벽이
query-delay-time쿼리를 전송하기 전에 일정 시간 동안 대기할 수 있도록 초 단위로 지정된 매개 변수를 설정합니다.[edit services] user@host# set user-identification identity-management ip-query query-delay-time 15
-
SRX 시리즈 방화벽이
query-delay-time쿼리를 전송하기 전에 일정 시간 동안 대기할 수 있도록 초 단위로 지정된 매개 변수를 설정합니다.[edit services] user@host# set user-identification authentication-source aruba-clearpass user-query delay-query-time 15
결과
구성 모드에서 , 명령을 입력하여 show system services webapi구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit ]
user@host# show system services webapi
user {
device;
password "$ABC123"; ## SECRET-DATA
}
client {
203.0.113.0;
}
https {
port 8443;
default-certificate;
}
구성 모드에서 명령을 입력하여 show services user-identification authentication-source aruba-clearpass 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit ]
user@host# show services user-identification authentication-source aruba-clearpass
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
user-query {
web-server {
cp-server;
address 10.208.164.31;
}
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
token-api oauth_token/oauth;
query-api "user_query/v1/ip/$IP$";
delay-query-time 15;
}
구성 모드에서 명령을 입력하여 show services user-identification identity-management 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
[edit ]
user@host# show services user-identification identity-management
authentication-entry-timeout 30;
invalid-authentication-entry-timeout 30;
connection {
primary {
address 10.208.164.137;
client-id otest;
client-secret "$ABC123"; ## SECRET-DATA
}
}
ip-query {
query-delay-time 15;
}
디바이스 구성이 완료되면 구성모드에서 을(를) 입력합니다 commit .
확인
구성이 올바르게 작동하고 있는지 확인합니다.
JIMS 인증 항목 확인
목적
JIMS에 대한 디바이스 ID 인증 테이블이 업데이트되었는지 확인합니다.
행동
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 명령을 입력합니다.
show services user-identification authentication-table authentication-source identity-management source-name "JIMS - Active Directory" node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: ad-jims-2008.com Total entries: 5 Source IP Username groups(Ref by policy) state 192.0.2.2 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.4 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.5 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.7 administrator dow_group_00001,dow_group_0000 Valid 192.0.2.11 administrator dow_group_00001,dow_group_0000 Valid
의미
출력은 인증 항목이 업데이트된 것을 표시합니다.
ClearPass 인증 항목 확인
목적
ClearPass에 대한 디바이스 ID 인증 테이블이 업데이트되었는지 확인합니다.
행동
show services user-identification authentication-table authentication-source aruba-clearpass node 0 명령을 입력하여 항목이 업데이트되었는지 확인합니다.
show services user-identification authentication-table authentication-source aruba-clearpass node 0 node0: -------------------------------------------------------------------------- Logical System: root-logical-system Domain: juniper.net Total entries: 1 Source IP Username groups(Ref by policy) state 2001:db8::::63bf:3fff:fdd2 ipv6_user01 ipv6_group1 Valid
의미
출력은 ClearPass에 대한 인증 항목이 업데이트되고 있음을 표시합니다.
도메인별 디바이스 항목 확인
목적
인증된 모든 디바이스가 도메인에 속하는지 확인합니다.
행동
show services user-identification device-information table all domain juniper.net node 0 명령을 입력합니다.
show services user-identification device-information table all domain juniper.net node 0 node0: -------------------------------------------------------------------------- Domain: juniper.net Total entries: 1 Source IP Device ID Device-Groups 2001:db8:4136:e378:8000:63bf:3fff:fdd2 dev01 device_group1
의미
출력에는 도메인에 속하는 인증된 모든 디바이스가 표시됩니다.
ClearPass 웹 서버가 온라인 상태인지 확인
목적
ClearPass 웹 서버가 온라인 상태인지 확인합니다.
행동
show services user-identification authentication-source aruba-clearpass user-query status 명령을 입력합니다.
show services user-identification authentication-source aruba-clearpass user-query status
node1:
--------------------------------------------------------------------------
Authentication source: aruba-clearpass
Web server Address: 198.51.100.0
Status: Online
Current connections: 0
의미
출력에 ClearPass 웹 서버가 온라인 상태임을 표시합니다.
JIMS 서버가 온라인 상태인지 확인
목적
JIMS 서버가 온라인 상태인지 확인합니다.
행동
show services user-identification identity-management status 명령을 입력합니다.
show services user-identification identity-management status
node1:
--------------------------------------------------------------------------
Primary server :
Address : 192.0.2.0
Port : 443
Connection method : HTTPS
Connection status : Online
Secondary server :
Address : 192.0.2.1
Port : 443
Connection method : HTTPS
Connection status : Offline
Last received status message : OK (200)
Access token : P1kAlMiG2Kb7FzP5tM1QBI6DSS92c31Apgjk9lV
Token expire time : 2018-04-12 06:57:37
의미
출력에 JIMS 서버가 온라인 상태임을 표시합니다.