Page History

Blancco Drive Eraser (BDE) supports several wireless network encryption types, namely WPA-PSK, WPA-EAP, WEP and no encryption. WPA2 is also supported, the same configuration as for WPA is used and BDE does not make any difference, by default it tries to connect to WPA2 first. However, it is up to the access point to decide which one to use (WPA or WPA2).

Although WPA-EAP without authentication works fine, what BDE does not support is a WLAN using WPA-EAP with authentication (via a certificate and/or an authentication server) e.g. the 802.1X Authentication. There is a workaround if one needs to run BDE in an environment with such authentication (tested with Cisco ISE):

Eraser（BDE）は、WPA-PSK、WPA-EAP、WEP、暗号化なしなど、複数の無線ネットワーク暗号化方式をサポートします。WPA2も同様にサポートされます。WPAと同じ設定が使用され、BDEに違いはありません。デフォルトでは最初にWPA2に接続を試みます。ただし、WPAあるいはWPA2のどちらの暗号化方式を使用するかは、アクセスポイント次第です。

認証なしのWPA-EAPの場合は問題なく動作しますが、証明書または認証サーバー、あるいはその両方経由する802.1X 認証などの認証付きのWPA-EAPを使用する無線LANをBDEはサポートしません。そのような認証環境でBDEを実行する必要がある場合は次の回避策があります（Cisco ISEでテスト済み）。

• BDE（クライアント）が最初のDHCPリクエスト（discoveryメッセージ）を作成すると、次のような情報を送信します 。
  
  When BDE (the client) makes its initial DHCP request (discovery message), it sends an information similar to “Option: (60) Vendor class identifier: dhcpcd-5.5.6:Linux-4.1.3-0-BLANCCO:i686:GenuineIntel” . The customer can use it to set up a DHCP class identifier in Cisco ISE, such client profiling can be utilized as a common attribute for end points in the network for dynamic whitelisting.
• Once specific rules are set up in Cisco ISE, the client is able to authenticate.

Other workarounds include manual addition of mac addresses to the NAC system every time an erasure is run, or setting up specific ports that are 802.1x enabled.

There exist other possibilities to circumvent the 802.1X Authentication; they involve the creation of a dedicated “wireless network for erasure purposes”:

• 
  
  このメッセージを使用してCisco ISEにDHCPクラスIDを設定できます。このようなクライアントプロファイルは、ネットワーク内のエンドポイントの共通属性として動的ホワイトリストに利用できます。

• Cisco ISEで特定のルールが設定されると、クライアントを認証できます。

その他の回避策としては、消去の実行ごとに、MACアドレスをNACシステムに手動で追加する方法や、802.1xが有効化された特定のポートを設定する方法があります。

あるいは802.1 X認証を回避する方法として、専用の「消去用のワイヤレスネットワーク」を作成する方法もあります。

• BDEがサポートする暗号化方式（WPA-PSKまたはWPA2-PSKなど）を使用して非表示設定の無線LANネットワークを構成し、強力なパスワードを設定します。
• ローカルのBlancco Management Console（あるいはBlancco Cloud）がこの無線LANに接続できることを確認します。
• この非表示設定の無線LANからBMCへ接続するようにBDEを設定し、マシンを消去する必要があると判断したら、BDEを起動します。ソフトウェアは無線LAN経由でBMCに接続して消去ライセンスを取得し、最終的に消去レポートを送信します。
• BMCを配置したLAN内の無線アクセスポイントを１つだけにする（アクセスポイントの近くでのみ、Wi-Fiマシンが接続を確立できるようにする）、あるいは無線LANのファイアーウォールに（BMCに対応する）１つのIPアドレスとポートのみの接続を許可するルールを追加する、などのその他の条件を決めることができます。
• Configure a hidden WLAN network using one of the encryption types that BDE supports (e.g. WPA-PSK or WPA2-PSK) and set a strong password.
• Make sure that a local Blancco Management Console (or Blancco Cloud) can access this WLAN.
• Configure BDE to connect to this hidden WLAN and to the BMC: once you decide that a machine needs to be erased, boot BDE and the software will connect to the WLAN and to the BMC to get the erasure licenses and send the erasure report in the end.
• You can define other things like having your BMC in a LAN with one wireless access point only (for Wi-Fi machines to be able to establish a connection, but only in the vicinity of the access point) or adding rules in your WLAN firewall to allow connecting to only one IP address and port (both corresponding to your BMC).