日本語フォーラム

last person joined: 6 days ago 

Arubaのソリューション、ネットワークマーケットに関する日本語ディスカッションフォーラム
Expand all | Collapse all

ClearPassで任意のSyslogをトリガーにして、RadiusCoAを実施する方法について

This thread has been viewed 18 times
  • 1.  ClearPassで任意のSyslogをトリガーにして、RadiusCoAを実施する方法について

    Posted Aug 17, 2021 09:52 AM
    ClearPassでsyslogを受信した場合に、RadiusCoAを実施したいです。
    ※一旦テストで動作確認したい為、syslogはCisco機器のlink downとしています。
    ↓通知されるsyslog
    213: *Mar 6 01:41:54.350: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan250, changed state to down

    ◆実施したいこと
    ・Cisco機器のリンクダウンを検知した場合に、こちらで指定した端末のendpointのThreat Risk属性の値を1に変更
    ・その後、再認証(Terminate Session)
    ※最終的には下記のリンクに記載の動画のような動作にさせたいです。
    <https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=16675#bm1b1af258-c220-41be-8e77-b660d7836f5a>

    ◆今できていること
    ・端末のPEAP認証。
    ・endpointのThreat Risk属性の値を手動で1に変更 ★
    ・監視 > ライブ監視 > アクセストラッカーからRADIUS動的認可(Terminate Session)を実施 ★
    ・再認証後、endpointのThreat Risk属性の値が1の時用のuser roleを割り当て

    ★の箇所がsyslogを受信後に自動的に実施させたい箇所となります。

    ------------------------------
    Kota Onohara
    ------------------------------


  • 2.  RE: ClearPassで任意のSyslogをトリガーにして、RadiusCoAを実施する方法について

    Posted Aug 19, 2021 09:26 AM
    任意のSyslogとなると、ClearPass単体では難しいかと思います。

    SyslogをTriggerにCoAを動作させるには、ClearPassのIngress Event Engineを利用します。
    その際、どんなSyslogでも対応できるわけではなく、Syslogを送る側、受ける側(ClearPass)双方で、どのような情報を送るかを合わせる必要があります。
    ClearPassが対応しているもの(テンプレートで用意しているもの)は以下になります。

    ClearPassのDictionaryで新たに追加することも可能ですが、Syslogを送る側の変更が困難かと思われます。
    たとえば、Paloaltoのファイアウォールの場合は、Log Forwardingの設定で、ログフォーマットをカスタマイズできるので、
    そこでClearPassに合わせたフォーマットとすることができます。
    何でもいいから受け取ったら動作する、というわけにはいかず、受け取ったSyslogをParseして、どのようなログが送られてきているのか、理解する必要があるためです。
    Juniper SRXの例だと、受信したSyslogをClearPassは以下のように理解しています。(Tech Noteの抜粋なので赤枠は無視してください)

    また、受信したSyslogのClient IPの情報を元に、そのClient IPに紐づいたSessionを切断することになるため、
    SyslogがClient IPを持っている必要があります。

    SplunkなどがSyslogを受信し、特定のキーワードをトリガーに、特定のIPを持った端末をClearPassで切断やRole変更をすることは可能ですが、
    その場合、Splunkなど外部のシステムからClearPassのAPIを経由して、端末を切断することになります。

    外部のシステムからClearPassのAPIを使って端末を隔離する場合、
    端末のIP or MACアドレスを指し、その端末を隔離することはそれほど難しくありません。
    あくまで参考程度としてですが、pythonのスクリプトならご案内も可能なので、その際は個別にご連絡下さい。





    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 3.  RE: ClearPassで任意のSyslogをトリガーにして、RadiusCoAを実施する方法について

    Posted Aug 23, 2021 12:31 AM
    ご回答いただきありがとうございます。
    大変参考になりました。

    syslogは何でもいいわけではないのですね。
    ※イングレスイベントで定義されている、フォーマットと一致させる必要があると理解しました。

    Paloaltoと連携してみて、想定通りの動きは確認できましたので、今回やりたいことは実装できそうです。

    以上です。よろしくお願いいたします。

    ------------------------------
    Kota Onohara
    ------------------------------