Cisco AccessPoint – Sicherheit

Absicherung von AccessPoints am Cisco WLAN Controller kann auf unterschiedliche Arten erfolgen.

Zum einen benutzen die AccessPoint interne Zertifikate (MIC) um sich am WLAN Controller zu authorisieren, aber es gibt dahingehend auch noch andere Varianten.
Zum einen kann man die MAC Adresse des AccessPoints eintragen, ähnlich der Portsecurity am Cisco Switch, das nur die eingetragenen AccessPoints sich mit dem Controller verbinden dürfen oder man kann die AccessPoints gegen einen Radius Server über die Cisco ISE authorisieren.
Es gibt dann noch die Variante das die AccessPoints sich von einer CA Zertifikate bei dem starten “ziehen”.

Fangen wir mit dem eintragen der MAC Adressen an :

Wie bekommen wir die MAC Adresse des AccessPoints ?

einloggen auf den AccessPoint und sh interface bvi1 ist die eine Variante.
Die andere Variante ist, wenn er sich schon mit dem Controller verbunden hat, unter Wireless zu schauen.

Jetzt geht es zum eintragen der MAC Adresse :

Über den Punkt Security/AP Policies gelangen wir in den Bereich, wo wir die MAC Adresse eintragen können.

Hier müssen wir oben rechts auf den Button “add” klicken damit wir die Ethernet MAC Adresse des AccessPoints eintragen können.
Als Zertifikat wird MIC ausgewählt und dann auf “add” klicken.

Danach erschein die MAC Adresse in der Authorisierten Liste

Authentisierung über Cisco ISE 2.2 über Radius

Die nächste Variante die wir machen können, ist die AccessPoint über das Radius Protokoll an dem Cisco ISE Server zu authentisieren.

Was wir als erstes machen müssen, ist den WLAN Controlle auf der ISE in den Devices einzutragen.

Dazu unter Administration/Network Devices den WLC mit Namen und IP Adresse eintragen und unter dem Punkt Radius Authentication Settings ein Passwort vergeben.

in der Übersicht erscheint dann der WLC

Als nächstes muss die Cisco ISE als Radius Server auf dem WLC eingetragen werden.
Dazu unter unter Security/Radius Authentication und Authorization die entsprechenden Einträge machen.
Hier kommt auch das auf der ISE gesetzte Passwort zur Anwendung.

Der nächste Schritt ist auf der ISE unter Administration/Identity Management/Groups eine Gruppe für die AccessPoints anzulegen.


Ich habe sie Cisco-AP genannt.
jetzt auf die Gruppe auf der linke Seite klicken und dann die AccessPoints hinzufügen.

Durch das anklicken von “add” und das eintragen der MAC Adresse, die ISE wird nach der Mac Adresse durchsucht und kann dann durch doppelklick in die Gruppe aufgenommen werden.

Wenn die Policy angelegt wird, muss die ISE auch wissen wie sie danach suchen soll, somit muss unter Policy/Results/Authentication/Allowed Protocols noch ein Eintrag namens “Host Lookup” erstellt werden

Die fertige Policy sieht dann so aus.


Wenn der AccessPoint jetzt neu gestartet wird, ein shut gefolgt von no shut auf dem entsprechenden Switchport reicht dafür aus, muss man den AccessPoint in den Radius Live Logs sehen

Werden nun neue AccessPoints ins Netz gebracht, muss man nur die MAC Adresse in der ISE Eintragen.
Entweder nach dem booten des AccessPoint in der AP Gruppe über “add” nach der neuen MAC Adresse suchen, oder unter Endpoints im Vorfeld den neuen AccessPoint eintragen und dann der Grupper hinzufügen.