{"id":44,"date":"2018-07-14T20:54:24","date_gmt":"2018-07-14T20:54:24","guid":{"rendered":"https:\/\/benjamin-tews.de\/?p=44"},"modified":"2023-01-19T08:55:04","modified_gmt":"2023-01-19T07:55:04","slug":"aruba-cppm","status":"publish","type":"post","link":"https:\/\/wireless-solutions.net\/?p=44","title":{"rendered":"Guest &#038; Employee WiFi mit Aruba Clearpass"},"content":{"rendered":"<p>Folgende Darstellung ist ein Abstract einer Implementierung und eignet sich nicht als Anleitung eher als Design-Vorschlag. Eine NAC-Implementierung ist hochgradig individuell und erfordert die Ber\u00fccksichtigung vieler Faktoren.<\/p>\n<h3>Anforderungen<\/h3>\n<ul>\n<li>zwei getrennte SSIDs (Service Set Identifier)<\/li>\n<li>unterschiedliche Security Level<\/li>\n<li>Offenes G\u00e4ste-WLAN (mit Sponsoring)<\/li>\n<li>EAP-TLS gesch\u00fctztes WLAN f\u00fcr Mitarbeiter (= zertifikatsbasiert)<\/li>\n<li>Mitarbeiter-WLAN = internes Netzwerk | G\u00e4ste-WLAN = untrusted<\/li>\n<\/ul>\n<h3>Design<\/h3>\n<p>Im G\u00e4ste-WLAN haben G\u00e4ste die M\u00f6glichkeit sich einen eigenen Account f\u00fcr die Dauer Ihres Aufenthaltes zu erzeugen. Die Accounts sind in Quantit\u00e4t und G\u00fcte des Zugangs (diverse Filter etc.) entsprechend beschr\u00e4nkt. Weiterhin wurde von der M\u00f6glichkeit, der Hinterlegung von sogenannten Scratch Cards, Gebrauch gemacht. Diese erm\u00f6glichen ebenfalls einen Zugang zum G\u00e4stenetzwerk allerdings mit anderen Qualit\u00e4ts- und Quantit\u00e4tsmerkmalen (e.g. Beschr\u00e4nkung der Dauer, der <span class=\"inline-comment-marker\" data-ref=\"9ed9a529-70de-4cb7-a117-c07f60276791\">Bandbreite<\/span>\u00a0&#8230;)<\/p>\n<p>F\u00fcr das Mitarbeiter-WLAN wurde eine zertifikatsbasierte Authentifizierung gew\u00e4hlt, was eine eigene PKI bedingt. Daraus resultieren Herausforderungen wie: Zertifikatsverteilung, Entziehung, CSR Signing etc.<\/p>\n<p>Bei vorhandener AD Struktur empfiehlt sich gegen\u00fcber EAP-TLS die Authentisierung via EAP-MSCHAPv2 gegen das AD. Somit erspart man sich die aufwendige Zertifikatsverwaltung.<\/p>\n<h2>Funktionsweise<\/h2>\n<p>Der (WLAN-) assozierte Client erh\u00e4lt zun\u00e4chst vom Controller eine\u00a0 Rolle (=Berechtigungen | e.g. Guest, Authenticated, Employee, &#8230;) sowie einen Redirekt auf das Captive Portal Interface der Clearpass. Anschlie\u00dfend erfolgt der Login, durch Ausf\u00fcllen der Submit-Form (http post) durch den Gast (1) ODER das Aufrufen der OnBoard-Seite, durch den Mitarbeiter (2).<\/p>\n<p>(1) Der Client schickt ein automated NAS-Login; der Controller einen RADIUS Request an die Clearpass. Selbige antwortet dem Controller, welcher wiederum entsprechende Rolle dem Client zuweist (e.g. Guest bei erfolgreicher Authentisierung) und diesen somit authorisiert.<\/p>\n<p>(2) Der Mitarbeiter authentifiziert sich via (AD-)Credentials gegen\u00fcber Controller\/CPPM. Anschlie\u00dfend offeriert der CPPM den Quick Connect Agent, welcher durch den Mitarbeiter gestartet wird (=OnBoarding). Im Hintergrund authorisiert die Clearpass den User (silent &#8211; mit den gecachten Credentials), ob dieser onboarden darf. Nach erfolgreicher Authorisierung erh\u00e4lt der Client ein Zertifikat wie ein SSID-Profile f\u00fcr das Mitarbeiter-WLAN und verbindet sich daraufhin neu.<\/p>\n<p>! Beim Aruba OnBoarding via QuickConnect gilt zu beachten, dass es eigtl. f\u00fcr BYOD gedacht ist und root-Rechte auf dem Endsystem erforderlich sind. !<\/p>\n<h2>Technical Summary<\/h2>\n<ul>\n<li>zwei IP-Netzwerke, zwei VLANs, einmal am Inside-Interface der Firewall (Mitarbeiternetz), einmal Outside (G\u00e4stenetz)<\/li>\n<li>Clearpass Mgmt-Port im internen Netzwerk, Data-Port im G\u00e4stenetz (Outside)<\/li>\n<li>das Interface im G\u00e4stenetz (Captive Portal) hat ein entsprechendes Zertifikat und muss DNS resolvable sein<\/li>\n<li>(!) generell empfiehlt es sich ein (!) Zertifikat f\u00fcr alle Interfaces auf der Clearpass zu benutzen und alle anderen Namen als SANs zu hinterlegen<\/li>\n<li>zus\u00e4tzlich agiert der CPPM im Cluster mit einer zweiten VM; zwecks Redundanz (virtuelle IP m\u00f6glich)<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Dual SSID Implementierung mit Aruba Clearpass Policy Manager und Aruba Clearpass OnBoarding. G\u00e4ste sowie Mitarbeiter connecten zur gleichen SSID und erzeugen sich einen Gast-Account oder onboarden ihr Device f\u00fcr das zweite, interne WLAN&#8230;<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,3],"tags":[],"class_list":["post-44","post","type-post","status-publish","format-standard","hentry","category-cppm","category-nac"],"_links":{"self":[{"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/posts\/44","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=44"}],"version-history":[{"count":3,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/posts\/44\/revisions"}],"predecessor-version":[{"id":26361,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=\/wp\/v2\/posts\/44\/revisions\/26361"}],"wp:attachment":[{"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=44"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=44"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wireless-solutions.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=44"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}