Catalyst 9800 WLC iPSK configureren met ISE

Inleiding

In dit document wordt de configuratie beschreven van een iPSK-beveiligd WLAN op een Cisco 9800 Wireless LAN-controller met Cisco ISE als RADIUS-server.

Voorwaarden

Vereisten

• De basisconfiguratie van een WLAN op 9800
• Mogelijkheid om de configuratie aan te passen aan uw implementatie

Gebruikte componenten

• Cisco 9800-CL WLC met 17.6.3
• Cisco ISE 3.0

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Begrijp wat iPSK is en welke scenario's het past

Traditionele Pre-Shared Key (PSK) beveiligde netwerken gebruiken hetzelfde wachtwoord voor alle aangesloten clients. Dit kan ertoe leiden dat de sleutel wordt gedeeld met ongeautoriseerde gebruikers, waardoor een beveiligingsinbreuk en ongeautoriseerde toegang tot het netwerk wordt veroorzaakt. De meest voorkomende verzachting van deze inbreuk is de verandering van de PSK zelf. Dit heeft gevolgen voor alle gebruikers, omdat veel eindapparaten moeten worden bijgewerkt met de nieuwe sleutel om weer toegang te krijgen tot het netwerk. 

Met Identity PSK (iPSK) worden unieke vooraf gedeelde sleutels gemaakt voor individuen of een groep gebruikers op dezelfde SSID met behulp van een RADIUS-server. Dit soort instellingen is uiterst nuttig in netwerken waar eindclientapparaten geen dot1x-verificatie ondersteunen, maar een veiliger en granulairder verificatieschema nodig is. Vanuit clientperspectief ziet dit WLAN er identiek uit als het traditionele PSK-netwerk. In het geval dat een van de PSK's wordt aangetast, hoeft alleen het getroffen individu of de getroffen groep hun PSK te laten bijwerken. De rest van de apparaten die zijn aangesloten op het WLAN worden niet beïnvloed. 

Beperkingen

• Met een WLC waarvoor Mac Filtering en AAA-overschrijving zijn ingeschakeld en waarvan ISE is geconfigureerd, kunnen door IPSK geconfigureerde apparaten verbinding maken met WLAN met MAC-adressen die op ISE zijn geconfigureerd.

• Apparaten met MAC-adressen die zijn geconfigureerd op ISE kunnen geen verbinding maken met WLAN-generieke PSK, maar alleen met IPSK die voor dat apparaat is geconfigureerd.

• Apparaten zonder MAC-adressen die zijn geconfigureerd in ISE kunnen alleen verbinding maken met WLAN met algemene PSK.

• IPSK ondersteunt de lokale modus en de flexconnect-modus (centrale verificatie en lokale switching). Lokale verificatie wordt niet ondersteund.

• IPSK ondersteunt FSR en key caching wordt gedaan voor snellere roams om RADIUS-verbinding op elke roam te voorkomen.

• Om de geldigheid van de IPSK op bepaalde geplande tijdstippen mogelijk te maken, kan het tijdschema/de geldigheid worden benut met behulp van het radius session-time-out attribuut in radius response.

9800 WLC configureren

Onder Configuratie > Beveiliging > AAA > Servers/Groepen > Servers, voegt u de ISE toe als RADIUS-server:

Maak onder Configuratie > Beveiliging > AAA > Servers/Groepen > Servergroepen een RADIUS-servergroep en voeg de eerder gemaakte ISE-server toe:

Maak op het tabblad AAA-methodenlijst een autorisatielijst met Type "network" en het groepstype "group" dat verwijst naar de eerder gemaakte RADIUS-servergroep:

Het instellen van Accounting is optioneel, maar kan worden gedaan door het type te configureren naar "identity" en naar dezelfde RADIUS-servergroep te verwijzen:

Dit kan ook worden uitgevoerd via de opdrachtregel met behulp van:

radius server 
 address ipv4  auth-port 1812 acct-port 1813
 key 0 

aaa group server radius 
 server name 

aaa authorization network  group 
aaa accounting identity  start-stop group 

Onder Configuratie > Tags en profielen > WLAN's, maakt u een nieuw WLAN. Onder Layer 2-configuratie:

• Schakel MAC-filtering in en stel de autorisatielijst in op de eerder gemaakte lijst
• Onder Auth Key Management schakel PSK in
• Het veld met de vooraf gedeelde sleutel kan met elke waarde worden gevuld. Dit wordt alleen gedaan om te voldoen aan de vereisten van het ontwerp van de webinterface. Geen enkele gebruiker kan zich met deze sleutel identificeren. In dit geval is de vooraf gedeelde sleutel ingesteld op "12345678".

De scheiding van gebruikers kan worden bereikt onder het tabblad Geavanceerd. Als u deze instelt op Allow Private Group, kunnen gebruikers die dezelfde PSK gebruiken, met elkaar communiceren, terwijl gebruikers die een andere PSK gebruiken, worden geblokkeerd:

Onder Configuratie > Codes en profielen > Beleid, maakt u een nieuw beleidsprofiel. Stel op het tabblad Toegangsbeleid de VLAN- of VLAN-groep in die dit WLAN gebruikt:

Schakel op het tabblad Geavanceerd AAA Override in en voeg de lijst Boekhouding toe als deze eerder is gemaakt:

Controleer onder Configuratie > Codes en profielen > Codes > Beleid of het WLAN is toegewezen aan het beleidsprofiel dat u hebt gemaakt:

Dit kan ook worden uitgevoerd via de opdrachtregel met behulp van:

wlan   
 mac-filtering 
 security wpa psk set-key ascii 0 
 no security wpa akm dot1x
 security wpa akm psk
 peer-blocking allow-private-group
 no shutdown

wireless profile policy 
 aaa-override
 accounting-list 
 vlan 
 no shutdown

wireless tag policy 
 wlan  policy 

Controleer onder Configuratie > Draadloos > Toegangspunten of deze tag is toegepast op de toegangspunten waarop het WLAN moet worden uitgezonden:

ISE-configuratie

Deze configuratiehandleiding behandelt een scenario waarin de PSK van het apparaat wordt bepaald op basis van het MAC-adres van de client. Onder Beheer > Netwerkbronnen > Netwerkapparaten, voegt u een nieuw apparaat toe, specificeert u het IP-adres, schakelt u de RADIUS-verificatieinstellingen in en specificeert u een gedeeld RADIUS-geheim: 

Voeg onder Contextzichtbaarheid > Eindpunten > Verificatie de MAC-adressen toe van alle apparaten (clients) die verbinding maken met het iPSK-netwerk:

Onder Beheer > Identiteitsbeheer > Groepen >Endpoint Identity Groups, maakt u een of meer groepen en wijst u gebruikers aan hen toe. Elke groep kan later worden geconfigureerd om een andere PSK te gebruiken om verbinding te maken met het netwerk.

Zodra de groep is gemaakt, kunt u gebruikers aan hen toewijzen. Selecteer de groep die u hebt gemaakt en klik op Bewerken:

 Voeg in de groepsconfiguratie het MAC-adres toe van de client(s) die u aan deze groep wilt toewijzen door op de knop "Toevoegen" te klikken:

Maak onder Beleid > Beleidselementen > Resultaten > Autorisatie > Autorisatieprofielen een nieuw autorisatieprofiel aan. Attributen instellen als:

access Type = ACCESS_ACCEPT
cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=            // This is the psk that the user group is using

Voor elke gebruikersgroep die een andere PSK moet gebruiken, maakt u een extra resultaat met een ander PSK-av-paar. Extra parameters zoals ACL en VLAN override kunnen hier ook worden geconfigureerd.

Onder Beleid > Beleidsreeksen maakt u een nieuwe. Om ervoor te zorgen dat de client overeenkomt met de beleidsset, wordt deze voorwaarde gebruikt:

Cisco:cisco-av-pair EQUALS cisco-wlan-ssid=WLAN_iPSK    // "WLAN_iPSK" is WLAN name

Extra voorwaarden kunnen worden toegevoegd om het matchen van beleid veiliger te maken.

Ga naar de nieuw gemaakte configuratie van de iPSK-beleidsset door op de blauwe pijl rechts van de regel Beleidsinstelling te klikken:

Zorg ervoor dat het verificatiebeleid is ingesteld op "Interne eindpunten":

Maak in het machtigingsbeleid een nieuwe regel voor elk van de gebruikersgroepen. Als voorwaarde, gebruik:

IdentityGroup-Name EQUALS Endpoint Identity Group:Identity_Group_iPSK      // "Identity_Group_iPSK" is name of the created endpoint group

met als resultaat het autorisatieprofiel dat eerder is gemaakt. Zorg ervoor dat de standaardregel onderaan blijft staan en wijst naar DenyAccess.

Als elke gebruiker een ander wachtwoord heeft, kan in plaats van Eindpuntgroepen en regels te maken die overeenkomen met die eindpuntgroep, een regel met deze voorwaarde worden gemaakt:

Radius-Calling-Station-ID EQUALS <client_mac_addr>

Opmerking: MAC-adresbegrenzer kan worden geconfigureerd op de WLC onder AAA > AAA Advanced > Global Config > Advanced Settings. In dit voorbeeld werd het teken "-" gebruikt.

Regels voor het autorisatiebeleid staan toe dat veel andere parameters worden gebruikt om het wachtwoord op te geven dat de gebruiker gebruikt.

De meest gebruikte regels zijn:

1. Overeenkomen op basis van de gebruikerslocatie
   In dit scenario moet de WLC AP Location-informatie naar de ISE sturen. Hierdoor kunnen gebruikers op de ene locatie één wachtwoord gebruiken, terwijl de gebruikers op een andere locatie een ander wachtwoord gebruiken. U kunt dit configureren onder Configuratie > Beveiliging > Wireless AAA-beleid:
   

    

2. Matching op basis van apparaatprofilering
   In dit scenario moet de WLC worden geconfigureerd om apparaten wereldwijd te profileren. Hierdoor kan een beheerder verschillende wachtwoorden configureren voor laptop- en telefoonapparaten. Globale apparaatclassificatie kan worden ingeschakeld onder Configuratie > Draadloos > Draadloos wereldwijd. Raadpleeg de ISE Profiling Design Guide voor de configuratie van apparaatprofilering op ISE.

Naast het retourneren van de coderingssleutel, aangezien deze autorisatie plaatsvindt in de 802.11-associatiefase, is het volledig mogelijk om andere AAA-attributen van ISE, zoals ACL of VLAN-id, terug te sturen.

Problemen oplossen

Problemen oplossen met de 9800 WLC

Op de WLC moet het verzamelen van radioactieve sporen meer dan voldoende zijn om een meerderheid van de problemen te identificeren. Dit kan worden gedaan in de WLC-webinterface onder Problemen oplossen > Radioactief spoor. Voeg het MAC-adres van de client toe, druk op Start en probeer het probleem te reproduceren. Klik op Genereren om het bestand te maken en te downloaden:

Belangrijk: iPhones op iOS 14 en Android 10-smartphones gebruiken een willekeurig mac-adres bij het koppelen aan het netwerk. Deze functionaliteit kan de iPSK-configuratie volledig doorbreken. Zorg ervoor dat deze functie is uitgeschakeld!

Als Radioactive Traces niet voldoende zijn om het probleem te identificeren, kunnen pakketopnames rechtstreeks op de WLC worden verzameld. Onder Problemen oplossen > Pakketvastlegging, voegt u een opnamepunt toe. Standaard gebruikt WLC de Wireless Management-interface voor alle RADIUS AAA-communicatie. Verhoog de buffergrootte tot 100 MB als de WLC een groot aantal clients heeft:

Een pakketopname van een succesvolle verificatie- en boekhoudingspoging wordt weergegeven in de onderstaande afbeelding. Gebruik dit Wireshark-filter om alle relevante pakketten voor deze client uit te filteren:

ip.addr== || eapol || bootp

Problemen oplossen met ISE

De belangrijkste probleemoplossingstechniek op Cisco ISE is de pagina Live Logs, te vinden onder Operations > RADIUS > Live Logs. Ze kunnen worden gefilterd door het MAC-adres van de client in het veld Endpoint ID te plaatsen. Het openen van een volledig ISE-rapport geeft meer details over de reden van het falen. Zorg ervoor dat de client het juiste ISE-beleid aanraakt:

Referenties

8.5 Handleiding voor de implementatie van functies voor identiteitspasks