Cum să securizezi accesul la WLC și AP-uri cu un server TACACS

1. Vom configura serverul ISE TACACS pe controler. În pagina de controler accesăm meniul:

Configuration => Security => AAA => Server Groups => Servers și apăsăm butonul TACACS+ după care +Add pentru adăugarea serverului TACACS+

Name = numele ce-l vom da server-ului, ISE-Tacacs îi vom spune noi.

Server Address = adresa IPv4 a server-ului nostru ISE, adică 172.20.16.100

Key = reprezintă parola folosită pentru conexiunea dintre WLC și server-ul ISE. Aceeași parolă introdusă aici o vom pune și pe ISE. Celelalte câmpuri le lăsăm default.

2. Serverul definit la punctul 1 trebuie să-l introducem într-un grup. Așa că vom crea un grup cu acest server. Mai departe în configurații vom folosi numele grupului. Dacă aveam mai multe servere de back-up, le puneam pe toate în același grup. Ne mutăm în Server Groups (1), apăsăm +Add (2). În fereastra ce apare dăm un nume grupului (TacacsRares) și mutăm server-ul de la Available Servers la Assigned Servers, apăsând pe săgeata (4). După salvare vom vedea grupul ca la (5).

3. Vom crea metoda de autentificare TACACS+. Tot în meniul Configuration => Security => AAA => mergem la AAA Method List (2) și alegem Authentication (3) după care +Add (4).

Completăm:

Method List Name: Autentificare

Type: login

Group Type: local

Mutăm server TacacsRares la Assigned Server Groups cu ajutorul semnului de mai mare. Salvăm cu Apply to Device.

Autentificarea va arăta ca mai jos.

4. Creăm lista de autorizare TACACS+. Ne mutăm la meniul Authorization și apăsăm butonul +Add

Completăm:

Method List Name: Autorizare

Type: exec

Group Type: local

Mutăm serverul TacacsRares la Assigned Server Groups cu ajutorul semnului de mai mare. Și salvăm cu Apply to Device.

Autorizarea va arăta ca mai jos

5. Punem autentificarea pe HTTP

În meniul Administration => Command Line Interface selectăm Configure. Introducem comenzile ce fac referire la Autentificare și Autorizare, create mai sus.

ip http authentication aaa login-authentication Autentificare

ip http authentication aaa exec-authorization Autorizare

Rulăm cele două comenzi cu Run Command. Ai grijă cum introduci comenzile deoarece tasta Tab de autocompletare nu merge. Denumirea autentificării și a autorizării trebuie scrise cu litere mici și mari, exact cum au fost definite.

Dacă ai introdus comenzile corect, va fi afișat mesajul de mai jos:

6. Dacă dorim să punem condiția de autentificare și autorizare pe SSH/Telnet, mai introducem comenzile cum am făcut la puctul 5. Comenzile sunt:

line vty 0 4

login authentication Autentificare

authorization exec Autorizare

7. Salvăm configul

8. Trecem la configurarea lui ISE. Pentru ca WLC să acceseze ISE va trebui să adăugăm WLC în ISE în network access device. Vom crea un username și o parolă ce o vom folosi la accesul în WLC. Vom face un profil TACACS+ și o politică de Device Admin ce o vom lega de grupul de useri Device Admin. Le luăm pe rând.

9. Adăugăm WLC-ul în ISE. Conectați în ISE, mergem în meniul Administration => Network Resources => Network Devices => +Add

Name = WLC9800

Description = WLC Alef

IP Address = 172.20.16.103 /32

Device Profile = Cisco

TACACS Authentication Settings = trebuie bifat

Shared Secret = Punem aceeași parolă ce a fost pusă la pct.1 la Key

La (3) este pus IP-ul WLC-ului adică: 172.20.16.103, doar că nu este vizibil integral în imagine. Celelalte valori rămân cum sunt, nu le modificăm.

Apăsăm Save.

10. Verificăm dacă avem pornită opțiunea de Device Admin pe instanța de ISE. Mergem în meniul:

Administration => System = > Deployment => Deployment => alegem server-ul ISE, în cazul meu se cheamă tot ISE (4).

Mergem în jos la General Settings, până găsim Enable Device Admin Service. Dacă nu este deja bifat, trebuie bifat default. Apoi Save.

11. Creăm o comandă TACACS+ în care vom permite toate comenzile. La acest pas putem limita comenzile pe care le va putea da respectivul utilizator: Work Center => Device Administration => Policy Elements => Results => TACACS Commands Sets => +Add

Name = PermiteOrice (1)

Bifăm Permit any command that is not listed below (2)

După care salvăm (3).

12. Creăm un profil ce are “privilege level” = 15. Meniul Work Center => Device Administration => Policy Elements => Results => TACACS Profiles => +Add

Name = WLC_Admin

Description = o descriere

Common Task Type = Shell

Default Privilege = 15

13. Creare de DeviceAdmin user identity group în meniul:

Administration => Identity Management => Groups => Identity Groups => User Identity Groups => +Add

Name = DeviceAdmin

Apoi Submit.

14. Creăm un user admin.

Administration => Identity Management => Identities => Users => +Add

Name = wlc-admin (1)

Password Type = Internal Users (2)

Login Password = Parola de Login (3)

Enable Password = Parola de Enable (3)

Device Admin (4), apoi Save (5).

15. Creăm Policy Set

Work Centers => Device Administration => Device Admin Policy Sets => apăsăm semnul plus.

Policy Set Name = WLC (1)

Conditions = apăsăm semnul + și ne apare o pagină nouă denumită Conditions Studio. (2)

Network Access Device IP Address (1) = 172.20.16.103

Salvăm cu butonul din dreapta jos: USE

Default Device Admin (1)

Apoi Save (2).

După continuăm cu crearea autorizației. Apăsăm semnul de mai mare (3) și continuăm cu punctul 16.

16. Mergem la Authorization Policy (1) în imaginea de mai jos pentru a crea politica de autorizare. Apăsăm semnul +.

Rule Name = 9800 admin (1)

Conditions = InternalUser-Name equals wlc-admin (2)

Command Sets = Permit Orice (3)

Shell Profiles = WLC_Admin (4)

Save (5)

17. Verificăm accesul HTTPS către WLC9800 accesând adresa:

https://172.20.16.103/

Folosim user-ul și parola setate la pasul 14 adică user-ul „wlc-admin”

Accesul în WLC este acceptat.

În meniul Operations => TACACS => Live Logs => vedem faptul că am fost autorizați să accesăm WLC-ul.