Řízení přístupu spolehlivě a při tom jednoduše? Nasaďte ClearPass cluster.

Řízení přístupu do sítě a přiřazování rolí je jeden z nejlepších nápadů, jak zajistit bezpečnost vaší sítě. Vysoká dostupnost systému je potom ale velmi důležitá a neměla by znamenat nárůst složitosti. Nedělejte šílenosti, použijte raději ClearPass.

Vysoká dostupnost řízení přístupu se stává nutností

Pro nasazování technologií jako je 802.1X, drátové a bezdrátové ověřování, inteligentní přístup hostů a kontraktorů nebo začlenění telefonů a tabletů pod enterprise prostředí vidím dva hlavní důvody.

Tím prvním je určitě bezpečnost. Pokud si u vás na chodbě vytáhnu kabel z tiskárny nebo AP a připojím notebook – dostanu se do sítě? Nastavit si MAC nebo tagovat různé VLAN umím. Jsou v bezdrátové síti odděleni vaši běžní zaměstnanci, vývojáři, hosté, manažeři, bezpečnostní kamery a řízení výroby? Mám přehled kdo s čím se mi připojuje a komu který tablet patří? Dávám hostům přístup na Internet způsobem, který neohrožuje moje bezpečnostní zásady? Takových otázek by mohlo být mnoho – bezpečnost je určitě důvod k přemýšlení o ClearPass.

Druhým důvodem, pro mě snad ještě zásadnějším, jsou politiky a role. Nechci evidovat kdo v jaké kanceláři sedí, abych na příslušných portech nastavil správnou VLAN a ACL. Nechci mít pět SSID jen pro to, abych mapoval různé typy bezdrátových potřeb na drátové VLAN. Nechci každý měsíc měnit sdílené klíče a tuto informaci distribuovat uživatelům. Nechci při návštěvě důležitého zákazníka při otázce na přístup na Internet jen krčit rameny nebo diktovat tajný řetězec nebo nabídnout otevřené SSID, které je pod tlakem kolemjdoucích i hostů restaurace naproti přetížené a nepoužitelné. Ostatně vlastně ani nechci trávit čas přemýšlením, kde mám jakou VLAN, jaký ACL, jakou zónu nebo QoS pravidla. A nejhorší je, když se lidé stěhují – buď mi fyzicky někde chodí nebo mění organizační začlenění a tím svoje práva na přístup k různým zdrojům. Tohle vše chci řešit dynamicky a chytře – použiji ClearPass.

Máme tu ale jeden háček – přístupový systém je dost důležitý a jeho výpadek znamená omezení služeb celé sítě!

ClearPass na to jde chytře a jednoduše

Aruba ClearPass Policy Manager nabízí velmi moderní řešení ve formě clusteru, který sám zajišťuje všechny potřebné replikace a konzistence. Ale nejen to – dělá to distribuovanými mechanismy, takže můžete vzít několik desítek ClearPass serverů a řídit tak přístup milionu uživatelů nebo dvou milionů hostů. Ovšem to všechno tak, že se to pro správce chová jako jedno zařízení. Mňam.

Publisher – subscriber, moderní clustering

Základní myšlenkou ClearPass clusteru je moderní message bus pro události, kterým se automaticky udržuje cluster v synchronizaci. Pokud jste doteď replikovali stav systému jednou za hodinu nebo den, s ClearPass to opravdu dělat nemusíte. Publisher je node, který má zapisovací právo do konfigurační DB. Subscriber jsou ti ostatní – mají lokální read only kopii dat a o událostech informují přes message bus (ve skutečnosti ClearPass nepoužívá jen DB, ale také velmi sofistikované in-memory tabulky pro cache – velké množství requestů, autentizací a policy checků se tak disku vůbec nedotkne). Všechny změny jako je nová politika, nový lokální uživatel či host nebo nějaké nastavení se provádí na Publisheru – to se dynamicky ve vteřinách replikuje na všechny ostatní nody clusteru (nejčastěji budete mít dva, ale v nadnárodních organizacích jich bude víc podle lokalit a někde třeba kvůli škálování výkonu použijete desítky nodů).

Takhle vypadá ClearPass po přidání druhého nodu:

cpcluster1

Jak se to nastavuje? Jednoduše – nakonfigurujete cluster heslo, zvolíte publisher a u subscriberů řeknete kde je publisher a jaké má heslo. To je celé – node se začlení do clusteru a do pár minut má stav plně sesynchronizovaný a věrně slouží.

Subscriber GUI je pak jen read only:

cpcluster2

A co když publisher umře? V ten okamžik sice nemůžete vytvářet nové účty nebo měnit politiku, ale veškeré přihlašování funguje na jiných nodech bez problémů dál. Typický prvek má primary a secondary RADIUS server, takže se dokáže sám přepnout. Vezměte v úvahu, že replikovaný je i celý state, takže při této události nedojde k žádnému odpojování klientů či jiným nepříjemným efektům. A jak se dostat do stavu, kdy lze zase konfigurovat? Jednoduše. Můžete se připojit do subscribera v roli koruního prince a povýšit ho na publisher. Nebo využijete automatizovaný mechanismus – pokud se deset minut publisher neukáže, jeden z vámi předem určených subscriberů otěže moci převezme. Jednoduché, že?

cpcluster3

Virtuální IP

Většina prvků dovoluje nastavit dva (a více) RADIUS serverů, takže není problém je navázat přímo na jednotlivé nody ClearPass clusteru. Možná ale máte exotické (nebo hodně levné) zařízení, které podporuje jen jeden RADIUS. Především ale přistupujete do ClearPass GUI, kde vytváříte politiky, recepční se připojuje na portál pro generování účtů nebo vaše aplikace využívají ClearPass XML API. Máte možnost nastavit virtuální IP, něco jako VRRP, takže okolí nic nepozná.

Nastavení je snadné:

cpcluster4

cpcluster5

Virtuálních IP navíc můžete mít víc. K čemu to? Představte si AP, které podporuje jen jeden RADIUS server (to je případ některých nejmenovaných levných značek). Můžete rozdělit zátěž vašich ClearPass serverů? Pokud namíříte jedno AP na první fyzickou adresu a druhé na druhou, tak máte zátěž rozdělenu, ale protože AP nepodporuje redundanci, tak je to velmi riskantní. Použijete tedy virtuální IP, která se v případě potřeby sama překlopí na druhý ClearPass. Pak ale nerozdělujete zátěž. Řešení je tedy použít dvě virtuální IP. PIP1 provozuje VIP1, PIP2 má VIP2 a VIP se dokáže přesouvat pří výpadcích. Půlku AP pak namíříte na VIP1, druhou na VIP2.

Insight – analytika

Cluster je zaměřen na synchronizaci konfigurace, účtů a stavu. V ClearPass najdete ale ještě Insight údaje. Jde o separátní proces (a DB), kde se shromažďují accounting informace a dělá se různá analytika. Tohle funguje podobným modelem – jeden z nodů je shromažďovač a ostatní mu to posílají přes další message bus (na rozdíl od konfigurační a stavové báze ale node po úspěšném odeslání nedrží repliku dat lokálně). Navíc zase můžete mít shromažďovačů víc, typicky dva, takž redundance je opět zajištěna. Proč je to takhle oddělené? Kvůli škálování – díky všem těmto chytrým architekturám můžete mít 40 ClearPass nodů v clusteru (a to je limit, který support testuje a podporuje – technologické omezení škálovatelnosti je ještě víš). Pokud máte cluster dvou ClearPass, jednoduše to zapněte. Pokud máte cluster 10 nodů, možná dejte role na jiné nody. Jestli jich potřebujete v clusteru 40, tak buď přijďte za mnou (:)) nebo zvažte nasazení publisher a insight nodů, které neobsluhují běžné RADIUS requesty (nebo v menší míře). Ale opakuji – pro dva nody to zkrátka zapněte a jedete.

Nastavení jednoduché. Na dvou nodech zapnete a na jednom z nich to bude master:

cpcluster6

Chystáte se řídit přístup do sítě? Je jedno jakého výrobce prvků nebo bezdrátů používáte – ClearPass bude rozhodně ideální volba, ozvěte se a převěčte se sami!
Similar posts
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]
  • Návod na Aruba ClearPass v češtině Čtěte online na stránkách netSvět: http://www.netsvet.cz/clearpasslab [...]
  • ArubaOS-Switch (dříve ProVision OS) a... ArubaOS-Switch 16.01 a podpora captive portálu ClearPass Guest. ProVision OS generace 15 podporoval lokální webový portál, lokálně ověřovaný webový portál s obsahem na externím serveru a proprietární HTTP redirect kompatibilní s Comware platformou a iMC UAM portálem. Nová generace software s označením ArubaOS 16.01 přináší nově podporu pro Guest ověřování s ClearPass Guest. Které prvky [...]
  • ClearPass Guest: Vyplňte a vstupte pr... Už jsme si ukázali, jak pouštět hosty do vaší sítě bezpečně a pohodlně s licenčním ujednání nebo SMSkou. Další možnost je nechat uživatele vyplnit údaje o sobě. Řekni mi co čteš a já … Co čtete raději? netsvet.cz nebo cloudsvet.cz? Nebo oboje stejně? Stačí jen odpovědět a pustím vás do sítě. Takhle nějak můžete nastavit [...]
  • Píp-píp, tady je váš login do sítě Podívejte se jak Aruba ClearPass umožňuje přistupovat pouze těm hostům, kteří uvedou platné telefonní číslo. Rádi ti dáme připojení, ale dej nám telefonní číslo Řada zákazníků řeší problém jak připojit hosty do sítě a to tak, aby to bylo elegantní (ať to není ostuda), pro hosty velmi jednoduché (bez diktování dlouhých hesel nebo klíčů) a [...]

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *