Pulse Policy Secure – Juniper EX Switch Dynamic VLAN Assignment

Makaleyi Paylaş

pulse-secure-802-1x
Pulse Policy Secure’ ün üzerinde gelen Steel Belted Radius ile L2 authentication işlemlerini kolayca yapabiliyoruz.
Piyasadaki en bilindik security/network markalarının radius dictionary leri ön tanımlı olarak bulunmakta. Kendimiz de manuel olarak Radius dictionary ekleyebiliyoruz.

Tabii Policy Secure ün tek özelliği 802.1x authentication için sunuculuk yapmak değil. Birçok Authentication Server (Active Directory, LDAP, MDM Server, Sertifika Sunucuları, MAC Adres Veritabanı vs.) tanımlanıp kimlik doğrulama ve yetkilendirme süreçlerinde bu authentication source lar kullanılabilir. Ayrıca two factor / multi-factor authentication işlemleri için de bu sourcelarla entegrasyon yapılabiliyor.

L2 authentication sonrasında Host Checker Policy ler tanımlanarak client makine üzerinde “çalışan uygulamalardan açık portlara; güvenlik taramasından registry kayıtlarına” varana kadar birçok remediation işlemi ve kontroller yapılabiliyor.

Aşağıdaki örnekte basit bir şekilde Active Directory de BT grubundaki kullanıcılar bir VLAN a; Satış grubundaki kullanıcılar başka bir VLAN a atanıyor olacak. EX4200 Switchim üzerinde VLAN-10 ve VLAN-20 tanımlı.

Pulse Policy Secure: 10.10.20.106
EX4200 : 10.10.20.2
Kullanıcının bağlı olduğu port : ge-0/0/20

admin@Kabin_Switch> show version
fpc0:
————————————————————————–
Hostname: Kabin_Switch
Model: ex4200-24p
JUNOS Base OS boot [12.3R12.4]

{master:0}[edit vlans]
admin@Kabin_Switch# show
VLAN-10 {
vlan-id 10;
}
VLAN-20 {
vlan-id 20;
}

Juniper EX Switch üzerinde dot1x authentication ayarları:
set access radius-server 10.10.20.106 secret junoscuk123123

set access profile emreninyeri authentication-order radius
set access profile emreninyeri radius authentication-server 10.10.20.106

set protocols dot1x authenticator interface ge-0/0/20.0 supplicant single
set protocols dot1x authenticator authentication-profile-name emreninyeri

Pulse Policy Secure üzerinde 802.1x için yapılacak ayarlar:

Authentication Servers kısmından Active Directory sunucumuzu tanımlıyoruz.

pulse-secure-802-1x_11

Users > User Roles kısmından aşağıdaki gibi Satış ve BT olmak üzere 2 Role oluşturuyoruz.
pulse-secure-802-1x_12
User Realms bölümünde bir erişim bölgesi oluşturarak Authentication kısmına ACTIVE DIRECTORY sunucumuzu seçiyoruz.pulse-secure-802-1x_5Role Mapping kısmından satış ve bt için ayrı iki role mapping yapacağız. Group Membership i seçip update diyoruz ve çıkan gruplardan (Active directory yapımıza göre) ilgili grubu seçiyoruz. Yukarıda tanımladığımız iki Role ü ayrı ayrı burada Map edeceğiz. Active Directory grubu Satış olanları “Satış Role” e atayacağız. Aynı şekilde Active Directory BT grubunu da “BT Role” e atayacağız.pulse-secure-802-1x_6

Yukarıdaki Role Mapping işlemi bittikten sonra Network Access > Location Groups kısmından bir lokasyon grubu oluşturuyoruz.

pulse-secure-802-1x_7

Juniper EX Switch imizi Radius Client olarak tanımlıyoruz. Burada belirleyeceğimiz shared secret ile Switch te belirttiğimiz secret ın aynı olması gerekiyor.
pulse-secure-802-1x_8Radius Return Attribute Policyde ise Switche göndereceğimiz vlan assignment bilgisini tanımlıyoruz.

pulse-secure-802-1x_9

Kişisel bilgisayarımızdaki network kartını 802.1x supplicant olarak kullanacak isek aşağıdaki linkten ethernet kartının konfigürasyonunu yapabiliriz.
https://documentation.meraki.com/MS/Access_Control/Configuring_802.1X_Wired_Authentication_on_a_Windows_7_Client

Bağlantımız gerçekleştikten sonra konu ile ilgili logları ve raporları Switch ve Pulse Policy Secure üzerinden aşağıdaki gibi görebiliriz.

Pulse Policy Secure üzerinde Log/Monitoring > User Access > Logs
pulse-secure-802-1x_10

Switch üzerinde show dot1x interface ge-0/0/20 detail

pulse-secure-802-1x_4

show dot1x interface ge-0/0/20pulse-secure-802-1x_2

pulse-secure-802-1xEn basit uygulaması ile Pulse Policy Secure ve Juniper EX Switch üzerinde 802.1x Authentication işlemleri yukarıdaki gibi yapılmaktadır. Sonraki makalelerde Layer3 Remediation / Host Checker tarafına ve sonrasında da Profiling tarafına değiniyor olacağız.

Emre BAŞTUĞ

About Emre BAŞTUĞ

Emre BAŞTUĞ