Aruba ClearPass Access Management System
Kontrola dostępu, zarządzanie, bezpieczeństwo w sieciach WiFi sieciach przewodowych
Aruba ClearPass (ClearPass Access Management System) to system dostarczany w postaci maszyny wirtualnej bądź fizycznego serwera. Platforma ta umożliwia centralne zarządzanie i monitorowanie dostępem do sieci zarówno bezprzewodowych jak i przewodowych.
Aruba ClearPass to zaawansowany system AAA bazujący na standardach RADIUS oraz TACACS+. Szeroka gama zastosowań ClearPass obejmuje m.in.:
- autoryzację bezprzewodową i przewodową w sieciach korporacyjnych,
- realizację dostępu dla gości,
- realizację dostępu BYOD (Bring Your Own Device),
- wymuszanie polityk bezpieczeństwa dla użytkowników lokalnych i mobilnych.
ClearPass współpracuje z szeroką gamą urządzeń sieci LAN i WLAN, możliwa jest integracja nie tylko z bezprzewodowymi sieciami Aruba, ale także z rozwiązaniami takich producentów jak: Alcatel, CISCO, HP, Juniper, RuckusWireless i kilkudziesięciu innych.
Kluczowe funkcje
- Kontrola dostępu oparta na rolach dla użytkowników sieci WLAN i LAN - niezależnie od producenta (multi-vendor).
- Wysoka wydajność, niezawodność i skalowalność.
- Zcentralizowana, intuicyjna konfiguracja oparta o wzorce.
- Różnorodne mechanizmy integracji - obsługa Microsoft AD, LDAP, SQL.
- BYOD - realizacja "samoobsługowego" dostępu do sieci (self service on-boarding) z wykorzystaniem certyfikatów.
- Dostęp gościnny z funkcjami: kastomizacji, brandingu i sponsoringu.
- Obsługa NAC, Microsoft NAP, integracja EMM/MDM.
- Integracja z systemami SIEM.
- Obsługa SSO (Single Sign-On) poprzez standard SAML 2.0.
- Zaawansowane raportowanie i debugowanie konfiguracji.
- Identyfikacja platform klienckich poprzez DHCP i TCP fingerprinting.
- Obsługuje platformy wirtualizacyjne Hyper-V i ESXi.
Warianty
Aruba ClearPass dostępny jest w kilku wariantach licencyjnych:
- ClearPass Guest - przeznaczony do zastosowań typu Captive Portal dla dostępu gościnnego
- ClearPass Exchange - pozwala na integrację mechanizmów kontroli dostępu w systemach firewall z kontrolą dostępu na poziomie warstwy drugiej sieci
- ClearPass Onboard - pozwala na realizację usługi BYOD w sieciach korporacyjnych
- ClearPass OnGuard - wymusza bezpieczną konfigurację urządzeń endpoint - zarówno stacjonarnych jak i mobilnych
Dostęp dla gości - ClearPass Guest
Funkcje realizowane przez ClearPass Guest obejmują:
- System Captive Portal z interfejsem WWW pozwalający na praktycznie dowolne dostosowanie do potrzeb administracyjnych.
- Interfejs administracyjny przeznaczony dla operatorów systemu oparty na wzorcach (możliwe dostosowanie do konkretnych potrzeb).
- Wymuszanie polityk bezpieczeństwa oraz QoS (jakości usług) dla użytkowników mobilnych.
- Bezpieczny - w pełni szyfrowany dostęp bazujący na standardach EAP-PEAP-Public.
- Integracja z kilkudziesięcioma dostawcami rozwiązań sieci WiFi (Aruba CISCO, HP, Juniper, inni).
- Automatyczne dostosowanie interfejsu do możliwości urządzenia (telefon, tablet).
- Polityka dostępu może być zróżnicowana w zależności od urządzenia użytkownika (typu urządzenia (telefon tablet), systemu operacyjnego - Android, iOS, itp.).
- Cachowanie adresów MAC zapewnia sprawną obsługę powracających gości.
- Możliwość logowania poprzez konta FaceBook i Twitter.
- Funkcje obsługi HotSpot, w tym obsługa płatności kartami płatniczymi.
- Możliwość wprowadzania reklam do Captive Portalu.
- Możliwość integracji z innymi aplikacjami poprzez API.
Wspierane standardy
- Autoryzacja w sieci: RADIUS, RADIUS CoA, TACACS+, SAML v2.0
- Autoryzacja L2: EAP-FAST (EAP-MSCHAPv2, EAP-GTC, EAP-TLS), PEAP (EAP-MSCHAPv2, EAP-GTC, EAP-TLS, EAP-PEAP-Public, EAP-PWD), TTLS (EAP-MSCHAPv2, EAP-GTC, EAP- TLS, EAP-MD5,PAP, CHAP), EAP-TLS
- Autporyzacja użytkowników PAP, CHAP, MSCHAPv1 and 2, EAP-MD5
- Serwery autoryzacji: NAC, Microsoft NAP
- Inne mechanizmy autoryzacji L2: MAC auth (non-802.1X devices)
- Weryfikacja certyfikatów: Online Certificate Status Protocol (OCSP)
- Zarządzanie: SNMP generic MIB, SNMP private MIB
- Logowanie: Common Event Format (CEF), Log Event Extended Format (LEEF)
- RFC: 2246, 2248, 2548, 2759, 2865, 2866, 2869, 2882, 3079, 3576, 3579, 3580, 3748, 4017, 4137, 4849, 4851, 5216, 528, 7030
- Profilowanie użytkowników: DHCP, TCP, MAC OUI, ClearPass Onboard, SNMP, Cisco device sensor
- Serwery katalogowe: Microsoft Active Directory, RADIUS, LDAP, ODBC/SQL, wbudowana baza SQL, statyczne listy, Kerberos
- Platformy wirtualne:
- ESX 4.0, ESXi 4.1, do 5.5
- Hyper-V 2012 R2 and Windows 2012 R2 Enterprise
- Platformy sprzętowe:
- PolicyManager-500: do 500 urządzeń, Dual core / 4GB RAM
- PolicyManager-5K: do 5 000 urządzeń, Quad Core Xeon / 8 GB RAM, RAID-1
- PolicyManager-25K: do 25 000 urzadzeń, 6-core Xeon / 64 GB RAM, RAID-10