Güvenli kablosuz ağın temel işlevi, korumalı ve verimli bir ortamda ağ kullanıcılarının kimliklerini doğrulamaktır. Bloğumda bu zamana kadar Cisco ISE üzerinde farklı yöntemlerle kimlik doğrulama yöntemlerini anlatmaya çalıştım. Bu yazımda da kimlik doğrulama işlemini daha güçlü kılmanın yollarında biri olan sertifika ile authenticationu anlatmaya çaışacağım

Temel konfigürasyon tamamladıktan sonra, sertifika tabanlı kimlik doğrulamanın en avantajlı yönü , kimlik bilgilerine olan ihtiyacı ortadan kaldırarak, kullanıcıların artık parola değiştirme politikaları veya hantal kimlik doğrulama süreçleri ile boğuşmadan cihazların ağa dahil edilmesini sağlayacak.

Dilersekte cihazların, son kullanıcı etkileşimi olmadan SCEP Ağ Geçidi kullanılarak sertifikaları kolayca doğrulayabilir ve Man in the Middle saldırılarına karşı ağımızı koruyabiliriz.

Demomda Cisco Dect telefonu EAP-TLS ile kablosuz ağıma nasıl dahil edeceğimi anlatmaya çalışacağım, amacım temel ayarları göstermek ve sizlere alternatif yöntemler için fikir edinmenizi sağlamak.

Aşağıda EAP-TLS Flow unu görebilirsiniz.

Adım 1: Call manager üzerindeki Root sertifikaları, Cisco ISE Trusted Certificates kısmına ekliyorum.

Adım 2: EAP-TLS authentication sağlarken default profili kullanacağım. Bu alanda da Certificate Attriube kısmında Subject- Comman Name kontrol edeceğim.

Adım 3: Authentication kuralımda Conditions = EAP-TLS, Use = Preloaded_Certificate_Profile olarak yaratıyorum.

Adım 4: Authorization kısmında Adım 2 de belirtiğim sertifika profilinde neleri kontrol edeceğimi belirliyorum. Certification Subject ve Certificate Issuer kısımlarında isterlerimi karşılarsa Permit Access kuralını tanımlıyorum.

Adım 5: Cisco Dect telefonu 802.1X wireless ağıma aşağıdaki şekilde dahil ediyorum.

Adım 6: Dahil olan cihazın loglarını incelediğimde Dot1x Method ve EAP-TLS Protokolünü kullanarak ağa dahil olduğunu görebiliyorum.