Configurar o iPSK do Catalyst 9800 WLC com ISE
Contents
Introduction
Este documento descreve a configuração de uma WLAN segura iPSK em um Cisco 9800 Wireless LAN Controller com o Cisco ISE como um servidor RADIUS.
Prerequisites
Requirements
Este documento pressupõe que você já esteja familiarizado com a configuração básica de uma WLAN no 9800 e seja capaz de adaptar a configuração à sua implementação.
Componentes Utilizados
- Cisco 9800-CL WLC com 17.6.3
- Cisco ISE 3.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Entender o que é o iPSK e em quais cenários ele se encaixa
As redes protegidas tradicionais por chave pré-compartilhada (PSK) usam a mesma senha para todos os clientes conectados. Isso pode fazer com que a chave compartilhada com usuários não autorizados cause uma violação de segurança e acesso não autorizado à rede. A mitigação mais comum dessa violação é a alteração da PSK em si, uma alteração que afeta todos os usuários, já que muitos dispositivos finais precisam ser atualizados com a nova chave para acessar a rede novamente.
Com o Identity PSK (iPSK), chaves pré-compartilhadas exclusivas são criadas para indivíduos ou um grupo de usuários no mesmo SSID com a ajuda de um servidor RADIUS. Esse tipo de configuração é extremamente útil em redes onde os dispositivos de cliente final não suportam autenticação dot1x, mas é necessário um esquema de autenticação mais seguro e granular. Da perspectiva do cliente, essa WLAN parece idêntica à rede PSK tradicional. Caso uma das PSKs seja comprometida, somente o indivíduo ou grupo afetado precisará ter sua PSK atualizada. O restante dos dispositivos conectados à WLAN não são afetados.
Configurar a WLC 9800
Em Configuration > Security > AAA > Servers/Groups > Servers, adicione o ISE como servidor RADIUS:
Em Configuration > Security > AAA > Servers/Groups > Server Groups, crie um grupo de servidores RADIUS e adicione o servidor ISE criado anteriormente a ele:
Na guia AAA Method List, crie uma lista Authorization com o tipo "network" e o tipo de grupo "group", apontando para o grupo de servidores RADIUS criado anteriormente:
A configuração da Contabilidade é opcional, mas pode ser feita configurando o Tipo como "identity" e apontando-o para o mesmo grupo de servidores RADIUS:
Isso também pode ser feito por meio da linha de comando usando:
radius server
address ipv4
auth-port 1812 acct-port 1813 key 0
aaa group server radius
server name
aaa authorization network
group
aaa accounting identity
start-stop group
Em Configuration > Tags & Profiles > WLANs, crie uma nova WLAN. Na configuração da camada 2:
- Habilite a filtragem de endereços MAC e defina a lista de autorização como a criada anteriormente
- Em Auth Key Mgmt, habilite a PSK
- O campo de chave pré-compartilhada pode ser preenchido com qualquer valor. Isso é feito apenas para satisfazer o requisito do projeto de interface da Web. Nenhum usuário pode se autenticar usando esta chave. Nesse caso, a chave pré-compartilhada foi definida como "12345678".
A segregação de usuários pode ser obtida na guia Advanced. Defini-la como Permitir grupo privado permite que os usuários que usam a mesma PSK se comuniquem entre si, enquanto os usuários que usam uma PSK diferente são bloqueados:
Em Configuration > Tags & Profiles > Policy, crie um novo Policy Profile. Na guia Access Policies, defina a VLAN ou o grupo de VLAN que esta WLAN está usando:
Na guia Advanced, habilite AAA Override e adicione a lista Accounting se tiver sido criada anteriormente:
Em Configuration > Tags & Profiles > Tags > Policy, certifique-se de que a WLAN esteja mapeada para o perfil de política que você criou:
Isso também pode ser feito por meio da linha de comando usando:
wlan
mac-filtering
security wpa psk set-key ascii 0
no security wpa akm dot1x security wpa akm psk peer-blocking allow-private-group no shutdown wireless profile policy
aaa-override accounting-list
vlan
no shutdown wireless tag policy
wlan
policy
Em Configuration > Wireless > Access Points, certifique-se de que esta etiqueta tenha sido aplicada nos access points nos quais a WLAN deve ser transmitida:
Configuração do ISE
Este guia de configuração cobre um cenário em que a PSK do dispositivo é determinada com base no endereço MAC do cliente. Em Administração > Recursos de rede > Dispositivos de rede, adicione um novo dispositivo, especifique o endereço IP, habilite as Configurações de autenticação RADIUS e especifique um Segredo compartilhado RADIUS:
Em Context Visibility > Endpoints > Authentication, adicione os endereços MAC de todos os dispositivos (clientes) que estão se conectando à rede iPSK:
Em Administration > Identity Management > Groups >Endpoint Identity Groups, crie um ou mais grupos e atribua usuários a eles. Cada grupo pode ser configurado posteriormente para usar uma PSK diferente para se conectar à rede.
Depois que o grupo for criado, você poderá atribuir usuários a eles. Selecione o grupo criado e clique em "Editar":
Na configuração do grupo, adicione o endereço MAC do(s) cliente(s) que você deseja atribuir a este grupo clicando no botão "Adicionar":
Em Policy > Policy Elements > Results > Authorization > Authorization Profiles, crie um novo perfil de autorização. Definir atributos como:
access Type = ACCESS_ACCEPT
cisco-av-pair = psk-mode=ascii
cisco-av-pair = psk=// This is the psk that the user group is using
Para cada grupo de usuários que deve estar usando uma PSK diferente, crie um resultado adicional com uma psk av-pair diferente. Parâmetros adicionais como ACL e substituição de VLAN também podem ser configurados aqui.
Em Policy > Policy Sets, crie um novo. Para garantir que o cliente corresponda ao conjunto de políticas, esta condição é usada:
Cisco:cisco-av-pair EQUALS cisco-wlan-ssid=WLAN_iPSK // "WLAN_iPSK" is WLAN name
Condições adicionais podem ser adicionadas para tornar a correspondência de políticas mais segura.
Acesse a configuração recém-criada do conjunto de políticas iPSK clicando na seta azul à direita da linha do conjunto de políticas:
Certifique-se de que Authentication Policy esteja definida como "Internal Endpoints":
Em Authorization Policy, crie uma nova regra para cada um dos grupos de usuários. Como condição, use:
IdentityGroup-Name EQUALS Endpoint Identity Group:Identity_Group_iPSK // "Identity_Group_iPSK" is name of the created endpoint group
com o Resultado sendo o Perfil de Autorização que foi criado anteriormente. Certifique-se de que a regra Default fique na parte inferior e aponte para DenyAccess.
Se cada usuário tiver uma senha diferente, em vez de criar grupos de endpoint e regras correspondentes a esse grupo de endpoint, uma regra com esta condição poderá ser feita:
Radius-Calling-Station-ID EQUALS <client_mac_addr>
As regras da política de autorização permitem que muitos outros parâmetros sejam usados para especificar a senha que o usuário está utilizando. Algumas das regras mais comumente usadas seriam:
- Correspondência com base no local do usuário
Neste cenário, a WLC precisa enviar informações de localização do AP para o ISE. Isso permite que os usuários em um local usem uma senha, enquanto os usuários em outro local usam uma senha diferente. Isso pode ser configurado em Configuration > Security > Wireless AAA Policy:
- Correspondência baseada no perfil do dispositivo
Neste cenário, a WLC precisa ser configurada para criar o perfil dos dispositivos globalmente. Isso permite que um administrador configure uma senha diferente para dispositivos de laptop e telefone. A classificação global de dispositivos pode ser ativada em Configuration > Wireless > Wireless Global. Para obter a configuração de criação de perfil do dispositivo no ISE, consulte o Guia de design de criação de perfil do ISE.
Além do retorno da chave de criptografia, como essa autorização acontece na fase de associação 802.11, é inteiramente possível retornar outros atributos AAA do ISE, como ACL ou ID de VLAN.
Troubleshoot
Solução de problemas no 9800 WLC
Na WLC, a coleta de rastreamentos radioativos deve ser mais do que suficiente para identificar a maioria dos problemas. Isso pode ser feito na interface da Web da WLC em Troubleshooting > Radioative Trace. Adicione o endereço MAC do cliente, pressione Start e tente reproduzir o problema. Clique em Gerar para criar o arquivo e baixá-lo:
Se os rastreamentos radioativos não forem suficientes para identificar o problema, as capturas de pacotes poderão ser coletadas diretamente no WLC. Em Troubleshooting > Captura de Pacotes, adicione um ponto de captura. Por padrão, a WLC usa a interface de gerenciamento sem fio para todas as comunicações RADIUS AAA. Aumente o tamanho do buffer para 100 MB se a WLC tiver um número alto de clientes:
Uma captura de pacote de uma tentativa de autenticação e contabilização bem-sucedida é mostrada na figura abaixo. Use este filtro do Wireshark para filtrar todos os pacotes relevantes para este cliente:
ip.addr==
|| eapol || bootp
Solução de problemas do ISE
A principal técnica de solução de problemas no Cisco ISE é a página Live Logs, encontrada em Operations > RADIUS > Live Logs. Eles podem ser filtrados colocando o endereço MAC do cliente no campo ID do endpoint. Abrir um relatório completo do ISE fornece mais detalhes sobre o motivo da falha. Verifique se o cliente está atingindo a política correta do ISE:
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
23-Aug-2022 |
Documento atualizado com as versões mais recentes |
1.0 |
20-Oct-2020 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)