Cisco iPSK – Stranger Things av Jan Frank Nielsen, Conscia.
Har du någonsin hört någon i din verksamhet säga såhär?
- ”Vi behöver vårt eget Wi-Fi-nätverk för detta projekt och utan säkerhet. Det är för svårt”
- ”Jag behöver verkligen de här 100 Wi-Fi-kamerorna på nätverket, helst igår!”
- ”Jag har 20 utvecklare som inte lyckas koppla sina iPhones till det interna nätverket för tester. Förresten – vad är 802.1x?”
Om du är en nätverksadministratör har du säkert hört en version av en eller flera av dessa uttalanden tidigare.
Hanteringen av det ständigt ökande antalet enheter på ditt nätverk blir svårare och mer tidskrävande varje dag. Inte alla enheter är skapade lika, och inte alla användningsfall kräver samma säkerhetsnivå.
Vissa enheter kommer att kunna använda något som EAP-TLS med 802.1x och göra det enkelt. Vissa enheter stöder inte ens 802.1x, och om de gör det blir det en mardröm att införa och underhålla dem. Därför har vi bara haft några alternativ för Wi-Fi tidigare:
- Öppen SSID med MAC-validering
Lätt att använda, något svårt att hantera (eller hanteras inte), helt osäkert! - 802.1x SSID med stöd för EAP-TLS och/eller PEAP-autentisering
Ganska svår att implementera, ganska svår att hantera, inte alla enheter stöder det, helt säkert! - Pre-shared key SSID (gemensam statisk nyckel)
Lätt att använda, ganska enkelt att hantera, alla enheter stöder det, bara en nyckel för alla, ganska säkert!
Medan alla har sina fördelar och nackdelar är Pre-shared key SSIDs det alternativ som de flesta av oss använder på något sätt, och de flesta av oss har mer än en för olika användningsfall. Men det här alternativet skalar inte upp så bra och det är svårt att tilldela roller och rättigheter till enheterna på dessa nätverk, eller åtminstone inte särskilt specifika.
Det är här vi tror att Cisco Wireless Controller version 8.5-baserade ”Identity PSK”-funktion kan tillföra något till din lösning. Cisco Identity PSK eller Cisco iPSK ger dig flexibiliteten att använda samma SSID för allt PSK-relaterat och ändå ha olika nycklar och olika rättigheter på nätverket, alla kontrollerade från en autentiseringsserver som Cisco Identity Service Engine (ISE).
Cisco iPSK i ett nötskal:
- Enkel SSID, flera nycklar, upp till en per Mac-adress
- Gruppering av Mac-adresser med en nyckel för gruppen
- Tilldelning av åtkomsträttigheter som i en 802.1x-lösning med VLAN, ACL, SGT, bandbreddskontroll och så vidare.
I de flesta fall tillåter den här kombinationen oss att sluta med endast 3 SSID:s:
- En för 802.1x
- En för gäst (OPEN)
- En för Cisco iPSK
Nu är det uppenbarligen ingen liten uppgift att hantera dessa enheter, eftersom var och en måste registreras på något sätt för att få sin egen fördelade nyckel. Några sätt att hantera detta kan vara:
- Skapa en enkel webbportal för användare/IT, och använd sedan ISE Endpoint Attributes för att utöka ISE till att innehålla den fördelade nyckeln i sin databas, ta hjälp av ISE REST API för att skapa / ta bort / uppdatera ändpunkter.
- Använd en extern SQL-databas, med ISE ODBC-integration, lagra dina slutpunkter där, och använd ISE med den här databasen som Authentication store, och eventuellt också hantera gruppering av Mac-adresser för tilldelning av rättigheter.
- Använda Enhetsregistreringsportalen i ISE för att tillåta användare att logga in med sina AD-uppgifter och ange egna enheter eller enheter som de då har ansvaret för.
Med alla dessa alternativ kan du skapa en lätthanterad lösning, som ger en ganska hög säkerhetsnivå i kombination med flexibiliteten och driftskompatibiliteten du behöver för ditt nätverk idag.
Det tillåter dig att ge någon möjlighet att föra in enheter själva och ta bort den tidskrävande uppgiften från IT, men fortfarande spåra vem som adderar vad – och när.
Låter detta intressant? Kontakta oss gärna så hjälper vi dig.
Läs mer om Cisco iPSK här.
Jan Frank Nielsen är utbildad datamekaniker och började arbeta med WAN-teknik och klassisk Routing och Switching. Senare har han rört sig över till nätverkssäkerhet och arbetat mycket med Identity and rights management (IBNS) relaterat till Cisco ISE över flera år.
Jan är ofta med för att testa nya funktioner i Cisco ISE innan lansering och arbetar också med mjukvarudefinierade nätverk. Dessutom har Jan stor erfarenhet av Cisco Firepower, Cisco ASA och Cisco VPN som DMVPN, GETVPN, AnyConnect (SSL VPN) samt L2L IPSec.