Entender e configurar EAP-TLS usando WLC e ISE

Introduction

Este documento descreve como configurar uma WLAN (Wireless Local Area Network) com segurança 802.1x e com o uso do EAP (Extensible Authentication Protocol) - TLS (Transport Layer Security).

  

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• processo de autenticação 802.1x
• Certificados

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC 5508 versão 8.3
• Identity Services Engine (ISE) versão 2.1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico.All of the devices used in this document started with a cleared (default) configuration.Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Fluxo EAP-TLS

Etapas do fluxo EAP-TLS

1. O cliente sem fio é associado ao ponto de acesso (AP).

2. O AP não permite que o cliente envie dados neste momento e envia uma solicitação de autenticação.

3. Em seguida, o requerente responde com uma identidade EAP-Response. Em seguida, a WLC comunica as informações de ID de usuário ao Servidor de autenticação.

4. O servidor RADIUS responde de volta ao cliente com um pacote de início EAP-TLS. A conversação EAP-TLS começa neste ponto.

5. O peer envia uma Resposta EAP de volta ao servidor de autenticação que contém uma mensagem de handshake "client_hello", uma cifra definida para NULL.

6. O servidor de autenticação responde com um pacote de desafio de acesso que contém:

TLS server_hello
handshake message
certificate
server_key_exchange
certificate request
server_hello_done. 

7. O cliente responde com uma mensagem EAP-Response que contém:

Certificate ¬ Server can validate to verify that it is trusted.

client_key_exchange

certificate_verify ¬ Verifies the server is trusted

change_cipher_spec

TLS finished

8. Depois que o cliente se autentica com êxito, o servidor RADIUS responde com um desafio de acesso, que contém a mensagem "change_cipher_spec" e handshake concluído. Ao receber isso, o cliente verifica o hash para autenticar o servidor radius. Uma nova chave de criptografia é derivada dinamicamente do segredo durante o handshake TLS.

9. Neste ponto, o cliente sem fio EAP-TLS ativado pode acessar a rede sem fio.

Configurar

Controlador de LAN sem fio da Cisco

Etapa 1. A primeira etapa é configurar o servidor RADIUS no Cisco WLC. Para adicionar um servidor RADIUS, navegue até Security > RADIUS > Authentication. Clique em Novo conforme mostrado na imagem.

Etapa 2. Aqui, você precisa digitar o endereço IP e o segredo compartilhado <password> que é usado para validar a WLC no ISE. Clique em Apply para continuar como mostrado na imagem.

Etapa 3. Criar WLAN para autenticação RADIUS.

Agora, você pode criar uma nova WLAN e configurá-la para usar o modo WPA-enterprise, para que ela possa usar RADIUS para autenticação.

Etapa 4. Selecione WLANs no menu principal, escolha Create New e clique em Go como mostrado na imagem.

Etapa 5. Vamos nomear o novo WLAN EAP. Clique em Apply para continuar como mostrado na imagem.

Etapa 6. Clique em Geral e verifique se o Status está Habilitado. As políticas de segurança padrão são a autenticação 802.1X e WPA2, como mostrado na imagem.

Passo 7. Agora, navegue até a guia Security > AAA Servers, selecione o servidor RADIUS que você acabou de configurar e como mostrado na imagem.

Nota: É recomendável verificar se você pode acessar o servidor RADIUS da WLC antes de continuar. O RADIUS usa a porta UDP 1812 (para autenticação), portanto, você precisa garantir que esse tráfego não seja bloqueado em nenhum lugar da rede.

ISE com Cisco WLC

Configurações EAP-TLS

  

Para criar a política, você precisa criar a lista de protocolos permitidos para usar em nossa política. Como uma política dot1x é gravada, especifique o tipo de EAP permitido com base em como a política é configurada.

Se você usar o padrão, você permitirá a maioria dos tipos de EAP para autenticação que talvez não seja preferível se precisar bloquear o acesso a um tipo específico de EAP.

Etapa 1. Navegue paraPolítica > Elementos de política > Resultados > Autenticação > Protocolos permitidos e clique emAdicionar conforme mostrado na imagem.

  

Etapa 2. Nessa lista de Protocolos Permitidos, você pode digitar o nome da lista. Nesse caso, a caixa Permitir EAP-TLS está marcada e outras caixas estão desmarcadas, como mostrado na imagem. 

Configurações de WLC no ISE

Etapa 1. Abra o console do ISE e navegue até Administration > Network Resources > Network Devices > Add, como mostrado na imagem.

Etapa 2. Insira os valores como mostrado na imagem.

  

Criar novo usuário no ISE

Etapa 1. Navegue até Administration > Identity Management > Identities > Users > Add, como mostrado na imagem.

Etapa 2. Insira as informações conforme mostrado na imagem.

Certificado de Confiança no ISE

Etapa 1. Navegue até Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados Confiáveis.

Clique em Importar para importar um certificado para o ISE. Depois de adicionar uma WLC e criar um usuário no ISE, você precisa fazer a parte mais importante do EAP-TLS que é confiar no certificado no ISE. Para isso, precisamos gerar CSR.

Etapa 2. Navegue até Administrador > Certificados > Solicitações de assinatura de certificado > Gerar solicitações de assinatura de certificado (CSR) conforme mostrado na imagem.

Etapa 3. Para gerar CSR, navegue até Usage (Uso) e, a partir dos Certificados, serão usados para as opções suspensas, selecione EAP Authentication (Autenticação EAP) como mostrado na imagem.

Etapa 4. O CSR gerado no ISE pode ser visualizado. Clique em Exibir conforme mostrado na imagem.

Etapa 5. Depois que o CSR for gerado, procure o servidor CA e clique em Solicitar um certificado conforme mostrado na imagem:

Etapa 6. Depois de solicitar um certificado, você obtém opções para Certificado do usuário e solicitação de certificado avançado, clique em solicitação de certificado avançado como mostrado na imagem.

Passo 7. Cole o CSR gerado na solicitação de certificado codificada em Base 64. Do Modelo de Certificado: selecione Servidor Web e clique em Enviar conforme mostrado na imagem.

Etapa 8. Depois de clicar em Enviar, você terá a opção de selecionar o tipo de certificado, selecionar Base 64 codificado e clicar em Baixar cadeia de certificados como mostrado na imagem.

Etapa 9. O download do certificado foi concluído para o servidor ISE. Você pode extrair o certificado, o certificado conterá dois certificados, um certificado raiz e outro intermediário. O certificado raiz pode ser importado em Administração > Certificados > Certificados Confiáveis > Importar como mostrado nas imagens.

Etapa 10. Depois de clicar em Enviar, o certificado é adicionado à lista de certificados fidedignos. Além disso, o certificado intermediário é necessário para se vincular ao CSR, como mostrado na imagem.

Etapa 11. Depois de clicar em Vincular certificado, há uma opção para escolher o arquivo de certificado salvo em sua área de trabalho. Navegue até o certificado intermediário e clique em Enviar conforme mostrado na imagem.

Etapa 12. Para visualizar o certificado, navegue para Administração > Certificados > Certificados do Sistema, conforme mostrado na imagem.

Cliente para EAP-TLS

Fazer download do certificado do usuário na máquina cliente (Windows Desktop)

Etapa 1. Para autenticar um usuário sem fio por meio do EAP-TLS, você precisa gerar um certificado de cliente. Conecte seu computador Windows à rede para que você possa acessar o servidor. Abra um navegador da Web e digite este endereço: https://sever ip addr/certsrv—

Etapa 2. Observe que a CA deve ser a mesma com a qual o certificado foi baixado para o ISE.

Para isso, você precisa procurar o mesmo servidor CA que você usou para baixar o certificado para o servidor. Na mesma CA, clique em Solicitar um certificado como feito anteriormente, mas desta vez você precisa selecionar Usuário como o Modelo de certificado como mostrado na imagem.

Etapa 3. Em seguida, clique em baixar a cadeia de certificados como foi feito anteriormente para o servidor.

Depois de obter os certificados, siga estas etapas para importar o certificado no windows laptop:

Etapa 4. Para importar o certificado, você precisa acessá-lo do Console de Gerenciamento da Microsoft (MMC).

1. Para abrir o MMC, navegue até Start > Run > MMC.
2. Navegue até Arquivo > Adicionar/remover snap-in
3. Clique Duas Vezes Em Certificados.
4. SelecioneConta do computador.
5. Selecione Computador local > Concluir
6. Clique em OK para sair da janela Snap-In.
7. Clique em [+] ao lado de Certificados > Pessoal > Certificados.
8. Clique com o botão direito em Certificados e selecione Todas as Tarefas > Importar.
9. Clique em Next.
10. Clique em Procurar.
11. Selecione o .cer, .crt ou .pfx que deseja importar. 
12. Clique em Abrir.
13. Clique em Next.
14. Selecione Selecionar automaticamente o arquivo de certificados com base no tipo de certificado.
15. Clique em Concluir e OK

Quando a importação do certificado estiver concluída, você precisará configurar seu cliente sem fio (desktop do windows neste exemplo) para EAP-TLS.

Perfil sem fio para EAP-TLS

Etapa 1. Altere o perfil sem fios criado anteriormente para o Protected Extensible Authentication Protocol (PEAP) para utilizar o EAP-TLS. Clique em EAP wireless profile.

  

Etapa 2. Selecione Microsoft: Smart Card ou outro certificado e clique em OK mostrado na imagem.

Etapa 3. Clique em configurações e selecione o certificado raiz emitido do servidor CA como mostrado na imagem.

Etapa 4. Clique em Configurações avançadas e selecione Autenticação de usuário ou computador na guia Configurações 802.1x, conforme mostrado na imagem.

Etapa 5. Agora, tente se conectar novamente à rede sem fio, selecione o perfil correto (EAP neste exemplo) e Conecte. Você está conectado à rede sem fio conforme mostrado na imagem.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Etapa 1. O estado do gerenciador de políticas do cliente deve ser exibido como RUN. Isso significa que o cliente concluiu a autenticação, obteve o endereço IP e está pronto para passar o tráfego mostrado na imagem.

Etapa 2. Verifique também o método EAP correto na WLC na página de detalhes do cliente, conforme mostrado na imagem.

Etapa 3. Aqui estão os detalhes do cliente da CLI da controladora (saída recortada):

(Cisco Controller-Standby) >show client detail 34:02:86:96:2f:b7
Client MAC Address............................... 34:02:86:96:2f:b7
Client Username ................................. Administrator
AP MAC Address................................... 00:d7:8f:52:db:a0
AP Name.......................................... Alpha2802_3rdfloor 
AP radio slot Id................................. 0 
Client State..................................... Associated 
Wireless LAN Id.................................. 5 
Wireless LAN Network Name (SSID)................. EAP
Wireless LAN Profile Name........................ EAP
Hotspot (802.11u)................................ Not Supported
BSSID............................................ 00:d7:8f:52:db:a4 
Connected For ................................... 48 secs
Channel.......................................... 1 
IP Address....................................... 10.106.32.239
Gateway Address.................................. 10.106.32.1
Netmask.......................................... 255.255.255.0
Policy Manager State............................. RUN
Policy Type...................................... WPA2
Authentication Key Management.................... 802.1x
Encryption Cipher................................ CCMP-128 (AES)
Protected Management Frame ...................... No
Management Frame Protection...................... No
EAP Type......................................... EAP-TLS

Etapa 4. No ISE, navegue até Context Visbility > End Points > Attributes, como mostrado nas imagens.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.