Konfigurieren der erweiterten offenen SSID mit dem Übergangsmodus - OWE

Einleitung

In diesem Dokument wird beschrieben, wie Sie Enhanced Open mit dem Übergangsmodus auf dem Catalyst 9800 Wireless LAN-Controller (9800 WLC) konfigurieren und Fehler bei diesem beheben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Wireless LAN Controller (WLC) 9800
• Cisco Access Points (APs), die Wi-Fi 6E unterstützen. 
• IEEE-Standard 802.11ax
• Wireshark

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• WLC 9800-CL mit IOS® XE 17.9.3
• APs: C9130, C9136, CW9162, CW9164 und CW9166.
• Wi-Fi 6-Clients: 
  • iPhone SE3.Gen. auf IOS 16
  • MacBook unter Mac OS 12
• Wi-Fi 6E-Clients:
  • Lenovo X1 Carbon Gen11 mit Intel AX211 Wi-Fi 6 und 6E Adapter mit Treiberversion 22.200.2(1).
  • Netgear A8000 Wi-Fi 6 und 6E Adapter mit Treiber v1(0.0.108)
  • Mobiltelefon Pixel 6a mit Android 13;
  • Handy Samsung S23 mit Android 13.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Enhanced Open ist eine Zertifizierung, die von der WiFi Alliance als Teil des Wireless-Sicherheitsstandards WPA3 bereitgestellt wird. Es verwendet Opportunistic Wireless Encryption (OWE) in offenen (nicht authentifizierten) Netzwerken, um passives Sniffing zu verhindern und einfache Angriffe im Vergleich zu einem öffentlichen PSK-Wireless-Netzwerk zu verhindern. 

Bei Enhanced Open führen Clients und der WLC (bei Central Authentication) bzw. der AP (bei FlexConnect Local Authentication) während des Zuordnungsprozesses einen Diffie-Hellman-Schlüsselaustausch durch und verwenden mit dem 4-Wege-Handshake den paarweisen Master Key Secret (PMK). 

SCHULD

Opportunistic Wireless Encryption (OWE) ist eine Erweiterung von IEEE 802.11 zur Verschlüsselung des Wireless-Mediums (IETF RFC 8110). Der Zweck der OWE-basierten Authentifizierung besteht in der Vermeidung offener, ungesicherter Wireless-Verbindungen zwischen den APs und Clients. Der OWE verwendet die auf dem Diffie-Hellman-Algorithmus basierende Verschlüsselung, um die Wireless-Verschlüsselung einzurichten. Mit OWE führen der Client und AP während des Zugriffsvorgangs einen Diffie-Hellman-Schlüsselaustausch durch und verwenden den resultierenden paarweisen Master Key (PMK)-Schlüssel mit dem 4-Wege-Handshake. Die Verwendung von OWE erhöht die Sicherheit von Wireless-Netzwerken in Bereitstellungen, in denen offene oder gemeinsam genutzte PSK-basierte Netzwerke bereitgestellt werden.

OWE-Frame-Austausch

Übergangsmodus

In der Regel verfügen Unternehmensnetzwerke nur über eine unverschlüsselte Gast-SSID und bevorzugen beide älteren Clients, die keine erweiterten offenen und neueren Clients mit erweiterter Open-to-Co-Existenz unterstützen. Der Übergangsmodus wird speziell für dieses Szenario eingeführt.

Dies erfordert die Konfiguration von zwei SSIDs - einer verborgenen SSID zur Unterstützung von OWE und einer zweiten SSID, die offen ist und übertragen wird.

Der OWE-Übergangsmodus (Opportunistic Wireless Encryption) ermöglicht OWE- und Nicht-OWE-STAs die gleichzeitige Verbindung mit derselben SSID. Wenn alle OWE-STAs eine SSID im OWE-Übergangsmodus sehen, stellen sie eine Verbindung mit dem OWE her.

Sowohl das offene WLAN als auch das OWE WLAN übertragen Beacon-Frames. Beacon- und Probe-Response-Frames aus dem OWE-WLAN beinhalten den Wi-Fi Alliance-Anbieter IE zur Kapselung der BSSID und SSID des offenen WLAN. Entsprechend umfasst das offene WLAN auch das OWE-WLAN.

Ein OWE-STA zeigt dem Benutzer in der Liste der verfügbaren Netzwerke nur die SSID des offenen BSS eines im OWE-Übergangsmodus betriebenen OWE-AP an und unterdrückt die Anzeige der OWE-BSS-SSID dieses OWE-AP.

Richtlinien und Einschränkungen:

• Bei erweiterter Offenheit ist nur die WPA3-Richtlinie erforderlich. WPA3 wird von Cisco Wave 1-APs (basierend auf Cisco IOS®) nicht unterstützt.
• Protected Management Frame (PMF) muss auf Required (Erforderlich) festgelegt werden. Dies wird standardmäßig mit ausschließlich WPA3 Layer 2-Sicherheit festgelegt.
• Enhanced Open funktioniert nur auf Endclients, auf denen die neueren Versionen mit Unterstützung von Enhanced Open ausgeführt werden.

Konfigurieren

Ein typischer Anwendungsfall, bei dem der Administrator Enhanced Open konfigurieren möchte, aber dennoch älteren Clients die Verbindung mit der Gast-SSID ermöglicht.

Netzwerkdiagramm

Netzwerktopologie

Konfigurationsschritte für die GUI:

Erstellen Sie die erste SSID mit der Bezeichnung "OWE_Transition". In diesem Beispiel WLAN-ID 3. Stellen Sie sicher, dass die Option "Broadcast SSID" deaktiviert ist.

Schritt 1 Wählen Sie Configuration > Tags & Profiles > WLANs, um die Seite WLANs zu öffnen.

Schritt 2 Klicken Sie auf Hinzufügen, um ein neues WLAN hinzuzufügen > fügen Sie den WLAN-Namen "OWE_Transition" hinzu > ändern Sie den Status zu Aktivieren > stellen Sie sicher, dass die SSID für Broadcast deaktiviert ist.

OWE-Übergang - Erweiterte offene SSID ausgeblendet

Schritt 3 Wählen Sie die Registerkarte Security > Layer 2 > Select WPA3 aus.

Schritt 4 Setzen Sie Protected Management Frame (PMF) auf Erforderlich.

Schritt 5 Unter WPA-Parameter > Überprüfen Sie die WPA3-Richtlinie. Wählen Sie AES (CCMP128) Encryption und OWE Auth Key Management aus.

Schritt 6 Hinzufügen der WLAN-ID 4 (WLAN öffnen) zum Feld "Transition Mode WLAN ID".

Schritt 7 Klicken Sie auf Auf Gerät anwenden.

OWE-Übergangsmodus - OWE SSID

Erstellen Sie eine zweite SSID, nennen Sie sie in diesem Beispiel "open" (offen), WLAN-ID 4, und stellen Sie sicher, dass Sie die "Broadcast-SSID" aktivieren:

Schritt 1 Wählen Sie Configuration > Tags & Profiles > WLANs, um die Seite WLANs zu öffnen.

Schritt 2 Klicken Sie auf Hinzufügen, um ein neues WLAN hinzuzufügen > fügen Sie den WLAN-Namen "open" hinzu > ändern Sie den Status zu Enable > stellen Sie sicher, dass Broadcast-SSID aktiviert ist.

OWE-Umstellung: offene SSID

Schritt 3 Wählen Sie die Registerkarte Security > Layer 2 > Choose None.

Schritt 4 Hinzufügen der WLAN-ID 4 (OWE_Transition) zum Feld "Transition Mode WLAN ID".

Schritt 5 Klicken Sie auf Auf Gerät anwenden.

OWE Transition Mode Open WLAN Security

Dieser Screenshot zeigt das Endergebnis: Ein WLAN ist gesichert und für WPA3+OWE+WPA3 mit dem Namen "OWE_Transition" konfiguriert, das andere mit einem vollständig offenen SSID mit dem Namen "open". Nur die vollständig geöffnete SSID mit der Bezeichnung "open" wird in den Beacons ausgestrahlt, während "OWE_Transition" ausgeblendet wird.

OWE-WLANs im Übergangsmodus

Schritt 6 Ordnen Sie die erstellten WLANs den gewünschten Richtlinienprofilen im Policy Tag zu und wenden Sie sie auf die APs an.

Richtlinien-Tag

Für CLI konfigurieren:

Erweiterte offene SSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

Offene SSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Richtlinienprofil:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Überprüfung

Dies ist der Verifizierungsabschnitt.

Überprüfen der WLAN-Konfiguration in der CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

Im WLC können Sie die AP-Konfiguration aufrufen und überprüfen, ob beide WLANs auf dem AP aktiv sind:

Betriebskonfigurationsanzeige für OWE-Übergangsmodus-AP

Wenn diese Funktion aktiviert ist, verfügt der Access Point nur über Beacons mit Open SSID, jedoch mit einem OWE Transition Mode Information Element (IE). Wenn sich ein Client, der eine erweiterte offene Verbindung herstellen kann, mit dieser SSID verbindet, verwendet er automatisch OWE, um die gesamte Datenverkehrszuordnung nach der Zuweisung zu verschlüsseln.

Hier ist, was Sie über die Luft beobachten können (OTA):

OWE Transition Open SSID Beacon

Das mit SSID "open" gesendete Beacon enthält den OWE Transition Mode IE mit den erweiterten offenen SSID-Details, wie BSSID und SSID-Name "OWE_Transition".

Es gibt auch Beacons OTA mit der SSID versteckt und wenn wir nach bssid filtern, werden die Frames an die BSSID 00:df:1d:dd:7d:3e gesendet, die die BSSID innerhalb des OWE-Übergangsmodus IE ist:

OWE-Beacon

Sie können sehen, dass auch das versteckte OWE-Beacon den OWE-Übergangsmodus IE mit dem offenen SSID BSSID und dem SSID-Namen "open" enthält.

Diese Screenshots zeigen ein Android-Telefon, das Enhanced Open unterstützt: Es zeigt nur die offene SSID ohne Sperrsymbol (ein Sperrsymbol würde den Benutzer glauben machen, dass es ein Passwort benötigt, um eine Verbindung herzustellen), aber sobald die Verbindung hergestellt ist, zeigt die Sicherheit Enhanced Open Security verwendet wird.

OWE-SSID-ListeOWE Client mit Enhanced Open Support

Über die Funkverbindung können wir die vollständige Verbindungsreihenfolge sehen:

OWE Transition Vollanschluss

Nach dem Abhören der Beacons überprüft der Client die OWE-SSID, und der AP antwortet.

Dann erfolgt der normale OWE-Frame-Austausch: Authentifizierungsanfrage und -antwort, Zuordnungsanfrage und -antwort mit dem DH IE und dann der 4-Wege-Handshake von EAPOL. 

Auf dem WLC können Sie die Client-Verbindung überprüfen. Der Client, der OWE unterstützt, kann sich mit dem Enhanced Open WLAN verbinden. In diesem Beispiel ist dies die WLAN-ID 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

Dasselbe können wir in der WLC-GUI beobachten:

Clients, die Enhanced Open nicht unterstützen, sehen und verbinden sich nur mit der offenen SSID, ohne Verschlüsselung.

Wie hier dargestellt, sind dies Clients, die Enhanced Open nicht unterstützen (bzw. ein iPhone unter IOS 15 und ein MacBook unter Mac OS 12) und nur die offene Gast-SSID sehen und keine Verschlüsselung verwenden.

Gerät, das OWE nicht unterstütztAbbildung 4: MacBook unter Mac OS 12 unterstützt Enhanced Open nicht

Hier ein weiteres Beispiel für einen USB-Wireless-Adapter, der OWE nicht unterstützt:

Client, der Enhanced Open nicht unterstützt

Der Client unterstützt keine Verbindung zwischen OWE und Open WLAN. In diesem Beispiel ist dies die WLAN-ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Fehlerbehebung

1. Stellen Sie sicher, dass der Client OWE unterstützt, da dies nicht von allen Clients unterstützt wird. Lesen Sie in der Dokumentation des Client-Anbieters nach. Hier hat Apple beispielsweise den Support für seine Geräte dokumentiert.
   
2. Einige ältere Clients akzeptieren möglicherweise nicht einmal die Open SSID Beacons aufgrund des Vorliegens des OWE Transition Mode IE und präsentieren die SSID nicht in den Netzwerken in Reichweite. Wenn Ihr Client die Open SSID nicht sehen kann, entfernen Sie das Transition VLAN (auf 0 eingestellt) aus der WLAN-Konfiguration, und überprüfen Sie, ob das WLAN erkannt wird.
3. Wenn Clients eine offene SSID sehen, OWE unterstützen, aber dennoch eine Verbindung ohne WPA3 herstellen, überprüfen Sie, ob die Transition-VLAN-ID richtig ist und in den Beacons beider WLANs gesendet wird. Sie können AP im Sniffer-Modus verwenden, um OTA-Datenverkehr zu erfassen. Führen Sie die folgenden Schritte aus, um einen Access Point im Sniffer-Modus zu konfigurieren: APs Catalyst 91xx im Sniffer-Modus .
   • Das Beacon wird mit SSID "offen" gesendet und enthält den OWE-Übergangsmodus IE mit den erweiterten offenen SSID-Details im Inneren, wie BSSID und SSID-Name "OWE_Transition":OWE Transition Open SSID Beacon

   • Es gibt auch Beacons OTA mit der SSID versteckt und wenn wir nach bssid filtern, werden die Frames an die BSSID 00:df:1d:dd:7d:3e gesendet, die die BSSID innerhalb des OWE-Übergangsmodus IE ist:

     OWE-Beacon

     Sie können sehen, dass auch das versteckte OWE-Beacon den OWE-Übergangsmodus IE mit dem offenen SSID BSSID und dem SSID-Namen "open" enthält.

   • Sie können auch AKM-Informationen anzeigen und überprüfen, ob MFP als Erforderlich und fähig angekündigt wird:
   • OWE Beacon AKM
4. Sammeln von RadioActive-Ablaufverfolgungen basierend auf der MAC-Adresse und y des ClientsEs werden ähnliche Protokolle wie diese angezeigt:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Referenzen

Was ist Wi-Fi 6E?

Was ist Wi-Fi 6 im Vergleich zu Wi-Fi 6E?

Wi-Fi 6E - Informationen auf einen Blick

Wi-Fi 6E: Das nächste große Kapitel im Wi-Fi-Whitepaper

Software-Konfigurationsleitfaden für Cisco Catalyst Wireless Controller der Serie 9800 17.9.x

WPA3-Bereitstellungsleitfaden