12 Eylül 2018

ARUBA CLEARPASS POLICY MANAGER (CPPM) KURULUMU

 

ARUBA CLEARPASS POLICY MANAGER (CPPM) KURULUMU

Merhaba arkadaşlar; bugün size Clearpass Policy Manager (CPPM) kurulumunu anlatacağım. Kuruluma başlamadan önce CPPM’in ne işe yaradığı konusundan bahsetmek istiyorum. CPPM Aruba tarafından geliştirilen ve piyasada sık kullanılan 802.1x NAC çözümüdür. Fiziksel cihaz olarak kullanılabildiği gibi Virtual Appliance’ı da vardır.

 

Peki nedir bu 802.1x?

IEEE standardı olan 802.1x port tabanlı kimlik doğrulama ve yetkilendirme sağlayan bir erişim denetimidir. Ağa erişmek isteyen cihazın ağ üzerinde hangi yetkilere sahip olacağı ve ağa erişip erişemeyeceği CPPM’in kimlik denetim sunucundan alacağı cevaba göre belirlenir. Bunu nasıl yapar? Ağa dahil olmak isteyen bir kullanıcı ile kimlik denetimi yapacak sunucu arasında konumlandırılan CPPM ağa erişim istemi geldiğinde EAP-Request/Idetify paketi göndererek kimliğini tanıtmasını söyler. Ağa erişmek isteyen cihaz kendini tanıtan EAP-Response/Identify paketi ile sorguya cevap verir. Ve bu paket kimlik
doğrulamasını yapacak sunucuya (LDAP vb.) gönderilir. Kimlik denetim sunucusu CPMM’e encrypt token sistemi benzeri bir davetiye atar. CPPM bu paketi açarak EAPOL (EAP over LAN) üzerinde ağa erişmek isteyen cihaza gönderir. Eğer ağa erişmek isteyen cihaz gerekli kullanıcı tanımına sahipse ağa erişmesine izin verilir.

Günün sonunda CPPM kimlik doğrulama sunucusu ile client’lar arasında denetleyici bir mekanizmadır. Bu ve benzer cihaz ve yazılımlara genel adıyla NAC (Network access control) sunucusu denir. Aruba Clearpass sadece bu denetimi yapmakla kalmayıp yetkilendirme tarafında da geniş bir kapsam sunmakta. Örneğin misafir ağınıza giriş yapan kişiyi authentication adımınında sonra kullandığı cihaz modeline göre Örn: IPhone ise belirli bir role, Samsung ise başka bir role, notebook ise başka bir role veya İşletim sistemine göre farklı rollere hatta ve hatta cihazda kurulu olan bir programa bakarak bambaşka bir role atayabilir.

 

 

 

Ne yaptığından ve nasıl yaptığından kısaca bahsettikten sonra gelelim nasıl kuracağımıza. Öncelikle CPPM’in Virtual Appliance’ını Aruba resmi sitesinden kuracağımız platforma göre seçip indiriyoruz. (ESXi, Hyper-V,) CPPM in çalışacağı sanal makina kullanıcı sayınıza bağlı olarak değişiklik göstermektedir.
Minimum system gereksinimi;
2 Sanal CPU
80 GB HDD (2. Disk olarak eklenmesi gerekir)
6 GB RAM
2 adet Gigabit NIC
SCSI Controller (Aruba VMware Paravirtual Öneriyor)
OVF dosyasını deploy edip minimum system gereksinimlerini ayarladıktan sonra gelelim sanal makinamıza enerji vermeye. İlk olarak karşımıza VM Appliance tipini soran bir ekran gelecektir.

 

Satınalmış olduğunuz lisans türüne göre buraya nümerik bir seçim yapmanız gerekiyor. Bizim elimizde EVAL lisans olduğu için “1” e basıp geçiyoruz. (EVAL Lisanslar 100 kullanıcı içindir ve 90 gün geçerlidir)

Karşımıza gelen ikinci ekranda eklemiş olduğumuz ikinci diskin formatlanacağı ve varsa içindeki bilgilerin silineceğine dair bir uyarı geliyor. “Y” ye basarak devam ediyoruz. Şimdi bu ikinci disk ne işe yarar neden ekledik sorusunu soruyorsunuz . CPPM işletim sistemini deploy ettiğimiz ilk cihazın içinde yaklaşık 16GB diskte koşturuyor. İkinci diske ise database’ini ve loglarını yazıyor. İkinci disk bu nedenle eklenmesi gerekiyor. İşletim sistemi ile aynı disk üzerinde bu datayı tutmuyor.
Yes cevabımızla birlikte eklenen ikincil diskimiz formatlanıp mount ediliyor ve kurulumun ilk aşaması bitmiş oluyor. Karşımıza bizden “login” soran bir ekran gelecek. CPMM’in CLI ve GUI kullanıcıları birbirinden farklıdır. Karşımıza gelen CLI ekranda aşağıdaki bilgiler ile giriş yapabilirsiniz.

Localhost login : appadmin
Password : eTIPS123

Giriş yaptıktan sonra karşımıza “System Configuration Wizard” ekranı gelecek. Bu kısımda CPMM’in hostname’ i , IP’si vb bilgilerini gireceğiz. Bu bilgileri girerken CPPM bizden hem data hem management ip si isteyecektir. Eğer ağınızda management ayrı bir vlan da değilse management ip’si üzerinden data
trafiğini de yönlendirebiliyorsunuz. Bu gibi bir durumda data tarafına ip vermeden direk geçebilirsiniz. Kendisi tüm trafiğini “Management Interface” üzerinden yönlendirecektir. Tabi önerilen her zaman olduğu gibi “Management” ve “Data” vlanlarını ayırmanız.

Burda bir handicap daha ortaya çıkıyor ki o da şu; CPPM tüm networkünüzün kalbine yerleşecek bir pil gibi düşünün Clearpass durursa tüm network durur. Bu nedenle kesinlikle yedekli bir yapıda çalışmanız önerilir. Cluster yapıyı ileriki konularda anlatacağım Bu örnekte kurulan cihazımızı “publisher” olarak
adlandırdık.

Management IP’mizi de verdikten sonra Subnet Mask’ımızı DNS bilgilerimizi isteyecek. Bu bilgileri de girince ilk başlangıçta “eTIPS123” olarak girdiğimiz default şifreyi değiştirmemiz istenecek. Kendimize complex bir şifre belirleyip devam edelim.

Yukarıdaki şekilde de görüldüğü gibi bizden sistem tarih ve saatini ayarlamak isteyip istemediğimizi soruyor ki bu çok önemli bir nokta. Ağınızdaki sunucu ve istemcilerin saatleri kesinlikle doğru olması gerekiyor. Clearpass ile sunucu arasında ve/veya istemci arasında saat/tarih uyumsuzluğu varsa bu istemcinin ağa dahil olmasına engel olabilir veya yapmış olduğunuz ayarların çalışmamasına sebep olabilmekte.

Bu kısımda size iki seçenek sunuluyor. Manuel olarak ayarlayabileceğiniz gibi varsa bir NTP server’da belirleyebilirsiniz. Biz NTP server vererek devam edeceğiz. NTP server bir tane girebileceğiniz gibi secondary olarak ikinci NTP server bilgisi girebilirsiniz. Bu kısmı IP veya FQDN olarak verebilirsiniz. Daha
sonra bulunduğunuz konuma göre Time-Zone seçmemizi isteyecek ki bu noktada benim hoşuma giden kısım çoktan seçmeli olarak seçenek sunuyor olması.

Şekilde de görüldüğü gibi bulunduğunuz konuma göre seçim yapabiliyorsunuz. Biz Türkiye için yapıyor olacağız seçimlerimizi dolayısıyla “8 Europe” seçip devam ediyoruz.

Bir sonraki ekranda da bizden bulunduğumuz ülkeyi seçmemizi istiyor. “47 Turkey” seçip devam ediyoruz. Daha sonra tarih saat ve time-zone bilgilerini gösteren bir bilgi altında ayarların Doğruluğunu teyit etmemizi isteyen bir ekran gelecek.

Eğer gördüğünüz bilgiler Doğru ise “1” seçip devam ediyoruz.

Bir sonraki ekran yine önemli noktalardan birtanesi burada bizden FIPS Mode’un enable edilip edilmeyeceğini soruyor.

FIPS (Federal Bilgi İşleme Standardı) ABD’de kategorize edilmemiş fakat hassas kullanım için Bİlgi teknolojileri ürünlerinde olması gereken crypto vb. Güvenlik koşullarını tarif eden bir ABD standardıdır. Biz ABD dışında olduğumuz için bu seçeneği “N” olarak seçip devam ediyoruz. Son olarak yaptığımız tüm konfigurasyonu özetleyen bir ekran gelecek ve Doğru olup olmadığını teyit etmemizi isteyecek. “Y” diyip devam ediyoruz.

Bu kısımdan sonra CLI ekranı tamamlayıp kalan işlemleri GUI üzerinden devam ettireceğiz. GUI kısmında lisans girişleri cluster yapısı ve diğer ayarları yapıyor olacağız. Bu kısımları da bir sonraki yazımda anlatmak üzere burada şimdilik bir virgül koyalım. Buraya kadar anlattıklarım umarım faydalı olmuştur.

Add Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir