Guest & Employee WiFi mit Aruba Clearpass

Erfolgreiche Dual SSID Wifi

Disclaimer

Folgende Darstellung ist ein Abstract einer Implementierung und eignet sich nicht als Anleitung eher als Design-Vorschlag. Eine NAC-Implementierung ist hochgradig individuell und erfordert die Berücksichtigung vieler Faktoren.

Anforderungen

  • zwei getrennte SSIDs (Service Set Identifier)
  • unterschiedliche Security Level
  • Offenes Gäste-WLAN (mit Sponsoring)
  • EAP-TLS geschütztes WLAN für Mitarbeiter (= zertifikatsbasiert)
  • Mitarbeiter-WLAN = internes Netzwerk | Gäste-WLAN = untrusted

Design

Im Gäste-WLAN haben Gäste die Möglichkeit sich einen eigenen Account für die Dauer Ihres Aufenthaltes zu erzeugen. Die Accounts sind in Quantität und Güte des Zugangs (diverse Filter etc.) entsprechend beschränkt. Weiterhin wurde von der Möglichkeit, der Hinterlegung von sogenannten Scratch Cards, Gebrauch gemacht. Diese ermöglichen ebenfalls einen Zugang zum Gästenetzwerk allerdings mit anderen Qualitäts- und Quantitätsmerkmalen (e.g. Beschränkung der Dauer, der Bandbreite …)

Für das Mitarbeiter-WLAN wurde eine zertifikatsbasierte Authentifizierung gewählt, was eine eigene PKI bedingt. Daraus resultieren Herausforderungen wie: Zertifikatsverteilung, Entziehung, CSR Signing etc.

Bei vorhandener AD Struktur empfiehlt sich gegenüber EAP-TLS die Authentisierung via EAP-MSCHAPv2 gegen das AD. Somit erspart man sich die aufwendige Zertifikatsverwaltung.

Funktionsweise

Der (WLAN-) assozierte Client erhält zunächst vom Controller eine  Rolle (=Berechtigungen | e.g. Guest, Authenticated, Employee, …) sowie einen Redirekt auf das Captive Portal Interface der Clearpass. Anschließend erfolgt der Login, durch Ausfüllen der Submit-Form (http post) durch den Gast (1) ODER das Aufrufen der OnBoard-Seite, durch den Mitarbeiter (2).

(1) Der Client schickt ein automated NAS-Login; der Controller einen RADIUS Request an die Clearpass. Selbige antwortet dem Controller, welcher wiederum entsprechende Rolle dem Client zuweist (e.g. Guest bei erfolgreicher Authentisierung) und diesen somit authorisiert.

(2) Der Mitarbeiter authentifiziert sich via (AD-)Credentials gegenüber Controller/CPPM. Anschließend offeriert der CPPM den Quick Connect Agent, welcher durch den Mitarbeiter gestartet wird (=OnBoarding). Im Hintergrund authorisiert die Clearpass den User (silent – mit den gecachten Credentials), ob dieser onboarden darf. Nach erfolgreicher Authorisierung erhält der Client ein Zertifikat wie ein SSID-Profile für das Mitarbeiter-WLAN und verbindet sich daraufhin neu.

! Beim Aruba OnBoarding via QuickConnect gilt zu beachten, dass es eigtl. für BYOD gedacht ist und root-Rechte auf dem Endsystem erforderlich sind. !

Technical Summary

  • zwei IP-Netzwerke, zwei VLANs, einmal am Inside-Interface der Firewall (Mitarbeiternetz), einmal Outside (Gästenetz)
  • Clearpass Mgmt-Port im internen Netzwerk, Data-Port im Gästenetz (Outside)
  • WLAN Controller hat ebenfalls in jedem Netzwerk einen Fuß; IPs entsprechend vergeben …
  • das Interface im Gästenetz (Captive Portal) hat ein entsprechendes Zertifikat und muss DNS resolvable sein
  • (!) generell empfiehlt es sich ein (!) Zertifikat für alle Interfaces auf der Clearpass zu benutzen und alle anderen Namen als SANs zu hinterlegen
  • zusätzlich agiert der CPPM im Cluster mit einer zweiten VM; zwecks Redundanz (virtuelle IP möglich)
Post by Benjamin Tews

Comments are closed.