Kurumsal ortamlarda kablosuz ağ güvenliği, standart ev tipi WPA2/WPA3 Personal (Pre-Shared Key - PSK) şifreleme yöntemleriyle sağlanamaz. Tek bir şifrenin tüm şirket personeli tarafından bilinmesi ve paylaşılması ciddi bir güvenlik açığı oluşturur. Kurumsal Wi-Fi ağlarının güvenliği için kullanıcı bazlı kimlik doğrulama sunan 802.1X standardı ve güncel WPA3 Enterprise protokolü kullanılmalıdır.

Bu yazımızda, kurumsal kablosuz ağlarda 802.1X mimarisini ve Cisco WLC (Wireless LAN Controller) üzerinde WPA3 Enterprise yapılandırma mantığını ele alacağız.

1. 802.1X Mimarisi ve Bileşenleri

802.1X tabanlı bir yetkilendirme sistemi üç ana bileşenden oluşur:

  1. Supplicant (İstemci): Kablosuz ağa bağlanmak isteyen telefon, bilgisayar vb. cihazlar.
  2. Authenticator (Kimlik Doğrulayıcı): İstemcinin bağlandığı Access Point (Erişim Noktası) veya WLC. İstekleri doğrudan arkadaki sunucuya iletir.
  3. Authentication Server (Kimlik Doğrulama Sunucusu): Genellikle bir RADIUS (Remote Authentication Dial-In User Service) sunucusudur (Örn: Cisco ISE, Microsoft NPS veya FreeRADIUS). Kullanıcı bilgilerini kontrol eder ve onay/ret verir.

2. Cisco WLC Üzerinde WPA3 Enterprise Yapılandırma Mantığı

Cisco Wireless Controller üzerinde RADIUS entegrasyonu ve kurumsal WLAN tanımlama adımları genellikle CLI üzerinden aşağıdaki şablonda yapılır:

Adım 1: RADIUS Sunucusunun Tanımlanması

RADIUS sunucumuzun (Örn: IP adresi 192.168.10.15) WLC’ye eklenmesi:

(Cisco-WLC)# config radius auth add 1 192.168.10.15 1812 ascii secretKey123

Burada 1812 RADIUS kimlik doğrulama portudur ve secretKey123 sunucu ile WLC arasındaki ortak şifredir.

Adım 2: WLAN (SSID) Oluşturma

“Kurumsal_WIFI” adında yeni bir WLAN tanımlayalım:

(Cisco-WLC)# config wlan create 10 Kurumsal_WIFI Kurumsal_WIFI

Adım 3: Güvenlik Protokolünü 802.1X ve WPA3 Olarak Ayarlama

Bu SSID altında şifrelemeyi WPA3-Enterprise (802.1X üzerinden yetkilendirme) olarak belirliyoruz:

! WPA3 ve WPA2 hibrit modu aktifleştirme (WPA3 geçiş aşaması için)
(Cisco-WLC)# config wlan security wpa enable 10
(Cisco-WLC)# config wlan security wpa wpa2 enable 10
(Cisco-WLC)# config wlan security wpa wpa3 enable 10

! 802.1X (802.1X Key Management) protokolünü aktif etme
(Cisco-WLC)# config wlan security wpa akm dot1x enable 10

Adım 4: RADIUS Sunucusunu WLAN ile Eşleştirme

WLAN 10 isteklerini Adım 1’de tanımladığımız 1 numaralı RADIUS sunucusuna yönlendiriyoruz:

(Cisco-WLC)# config wlan filter active 10 1
(Cisco-WLC)# config wlan enable 10

3. WPA3 Enterprise Avantajları Nelerdir?

Neden eski standartlar yerine WPA3 Enterprise tercih edilmelidir?

  • 192-bit Güvenlik Paketi: WPA3 Enterprise, siber saldırganların kaba kuvvet (brute force) saldırılarını imkansız hale getiren CNSA (Commercial National Security Algorithm) uyumlu 192-bit şifreleme gücü sunar.
  • İstisnasız PMF (Protected Management Frames): Yönetim çerçevelerinin (Disconnect/Deauth paketleri) taklit edilmesini zorunlu olarak engeller. Bu sayede kablosuz ağınızda “deauthentication” (bağlantı koparma) saldırıları yapılamaz.
  • Perfect Forward Secrecy (PFS): Oturum anahtarlarının geçmişe dönük deşifre edilmesini engeller. Trafik kaydedilse dahi sonradan şifresi çözülemez.

💡 Kurumsal Öneri: 802.1X sistemlerinde kullanıcı adı ve şifre sorgulaması yerine, istemci bilgisayarlara yerel sertifikalar (EAP-TLS yöntemi) dağıtarak kimlik doğrulaması yapmak en güvenli kurumsal siber güvenlik pratiklerinden biridir.