Foro en Español

Reply
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Onguard para Invitados

Estimados Buen día:

 

Estoy a punto de ver un proyecto de NAC con ClearPass Onguard, y estaba pensando en hacer lo siguiente en el diseño, si se quiere validar al usuario invitado.

 

Es posible, configurar en los swithes modelo Cisco la validación MAB y COA, para que cuando un usuario coloque si PC en una interface de red se envie la MAC a ClearPass. Si en ClearPass para mi la Mac es desconocida, que se le envie al portal de Onguard para que pase el proceso de validación de Endpoint. (El envío sería mediante un acl a Cisco). Posteriormente luego del proceso de validación, se envíe un mensaje COA para que se realice el cambio a la VLAN respectiva.

 

Me comentan si es correcto este planteamiento?

 

Saludos,

MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: Onguard para Invitados

Puedes hacer la mayor parte de lo que piensas hacer lo que no entiendo Es la parte sober validation de endpoint , a que te refieres con eso?
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Onguard para Invitados

Hola:

 

Lanzar el portal de Onguard y validar los cumplimientos de Firewall instalados, antivirus, etc.

 

Ahora si lo que indique hace un momento es válidado. Sera esto posible?

 

  1. Enviar primero al usuario al portal de invitados cuando conecta su pc por cable
  2. Luego, si el usuario no tiene cuenta realizar el auto registro
  3. Posteriormente a ello, el usuario ingresará su usuario y clave
  4. Despues, pasar la validación de Onguard (NAC)
  5. Finalmente, despues de la evaluación darle/denegar acceso con COA

Me confirman si esto es posible

 

 

 

MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: Onguard para Invitados

Si esto es posible , algo que tienes que tener en cuenta que para que puedas enviar a los usuarios al site de registro es necesario que en el Cisco switch corras este comando : ip http server

Muchas compañías no le gusta correr ese comando por medidas de seguridad ya que no podrás bloquear a usuarios de tener acceso al switch por vía de http
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: Onguard para Invitados

Me falto hacerte una pregunta , que tipo de agente piensas utilizar ?

Ahora no estoy en casa pero luego te mostrare como configurar esta lógica
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Onguard para Invitados

Hola Victor:

 

Como son invitados, solo haría el uso de portal Web. Entendería que los switche cisco deben de soportar Web Auth, para que con ello desde clearpass envíe el siguiente mensaje:

 

Capture.JPG

 

 

Acompañado de estos comandos:

 

Capture.JPG

 

 

Capture.JPG

Si puedes ponerme el diagrama lógico, te lo agradeceré bastante.

 

Saludos,

MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: Onguard para Invitados

Tienes que crear un SHL y hay puedes agregar tu lista the mac addresses:

2014-08-15 10_45_08-ClearPass Policy Manager - Aruba Networks.png

 

Luego tienes que crear tres services :

1- Mac authentication 

2- Guest access

3- Web Health Check only 

 

2014-08-15 10_53_42-ClearPass Policy Manager - Aruba Networks.png

 

En el enforcement policy de el MAc Auth vas a implementar esto , tienes que asegurarte de que hagas click al "use cached roles "

 

2014-08-15 10_17_30-ClearPass Policy Manager - Aruba Networks.png

 

El Guest enforcement policy es simple

 

2014-08-15 10_45_51-ClearPass Policy Manager - Aruba Networks.png

 

Y por ultimo en el Health Check enforcement policy

2014-08-15 10_23_28-ClearPass Policy Manager - Aruba Networks.png

 

Otra cosas que podrias hacer es que puedes incrementar el valor en el cual "posture" ya sea si es "Healthy" o "Unhealthy" es valido, puedes cambiar este valor aqui:

2014-08-15 10_45_25-ClearPass Policy Manager - Aruba Networks.png

Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: Onguard para Invitados

Dejame saber si tiene sentido lo propuse aqui 

Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Moderator
Posts: 908
Registered: ‎07-29-2010

Re: Onguard para Invitados

Hola

 

Como de costumbre, la respuesta de Víctor es impecable. He hecho algo similar en más de un piloto y funciona estupendamente. Eso sí, tened en cuenta que el switch Cisco debería tener una versión de software 12.2.55 SE o superior.

 

Por otra parte, Eduardo, aquí van algunos apuntes con relación al chequeo NAC para invitados.

  • Ten en cuenta que no todos los tipos de dispositivos son susceptibles de usar NAC. En tu caso, al tratarse de acceso cableado los móviles y los tablet no aplican, pero de si haces algo así en la WiFi tendrás que permitir la conexión a los SmartDevices aun cuando no tengan "posture= HEALTY".
  • Desde la versión 6.3 se puede incorporar la validación NAC a cualquier portal de invitados, así que no tienes porqué usar uno específico para esto.
  • A partir de la versión 6.4 (adjunto release notes), Clearpass soporta los agente solubles de Windows y MAC OS. Mira a ver si te ayuda, porque utilizando esto te ahorrarías el agente java.

 

Espero que te sirvan de ayuda mis aportaciones.

 

Un saludo

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: