概要
このドキュメントでは、Wi-Fi 6E WLANレイヤ2セキュリティを設定する方法と、さまざまなクライアントで想定される内容について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Wireless Lan Controller(WLC)9800
- Wi-Fi 6Eをサポートするシスコアクセスポイント(AP)
- IEEE標準802.11ax。
- ツール:Wireshark v4.0.6
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- IOS® XE 17.9.3を搭載したWLC 9800-CL
- AP C9136、CW9162、CW9164、およびCW9166。
- Wi-Fi 6Eクライアント:
- Lenovo X1 Carbon Gen11(Intel AX211 Wi-Fi 6および6Eアダプタ、ドライババージョン22.200.2(1))
- Netgear A8000 Wi-Fi 6および6Eアダプタ、ドライバv1(0.0.108)、
- Android 13搭載の携帯電話Pixel 6a;
- 携帯電話Samsung S23 Android 13。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
重要なのは、Wi-Fi 6Eは完全に新しい標準ではなく、拡張であるということです。 Wi-Fi 6Eは、Wi-Fi 6(802.11ax)ワイヤレス規格を6 GHz無線周波数帯域に拡張したものです。
Wi-Fi 6Eは、最新世代のWi-Fi規格であるWi-Fi 6を基盤としていますが、6 GHz帯域で動作できるのはWi-Fi 6Eデバイスとアプリケーションだけです。
Wi-Fi 6Eセキュリティ
Wi-Fi 6Eは、Wi-Fi Protected Access 3(WPA3)およびOpportunistic Wireless Encryption(LEAN)を使用してセキュリティを強化し、オープンおよびWPA2セキュリティとの下位互換性はありません。
WPA3とEnhanced Open Securityは現在、Wi-Fi 6E認定に必須であり、Wi-Fi 6EにはAPとクライアントの両方でProtected Management Frame(PMF)も必要です。
6 GHz SSIDを設定する際には、特定のセキュリティ要件を満たす必要があります。
- LEAN、SAEまたは802.1x-SHA256を使用したWPA3 L2セキュリティ
- 保護された管理フレームが有効。
- 他のL2セキュリティ方式は許可されません。つまり、混合モードは使用できません。
WPA3
WPA3は、WPA2での認証を強化し、強力な暗号化機能を提供して、重要なネットワークの復元力を高めることで、Wi-Fiセキュリティを向上するように設計されています。
WPA3の主な機能は次のとおりです。
- Protected Management Frame(PMF)は、ユニキャストおよびブロードキャスト管理フレームを保護し、ユニキャスト管理フレームを暗号化します。つまり、ワイヤレス侵入検知システムとワイヤレス侵入防御システムでは、クライアントポリシーを適用するための総当たり的な方法が少なくなっています。
- Simultaneous Authentication of Equals(SAE):パスワードベースの認証とキー同意メカニズムを有効にします。これは、総当たり攻撃から保護します。
- 遷移モードは、WPA2を使用してWPA3をサポートしないクライアントに接続できるようにする混合モードです。
WPA3は、継続的なセキュリティの開発と準拠、および相互運用性に関するものです。
WPA3(WPA2と同じ)を指定する情報要素(IE)はありません。WPA3は、AKM/Cipher Suite/PMFの組み合わせによって定義されます。
9800 WLAN設定では、使用できる4つの異なるWPA3暗号化アルゴリズムがあります。
これらは、Galois/Counter Mode Protocol(GCMP)およびCounter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP):AES(CCMP128)、CCMP256、GCMP128、およびGCMP256に基づいています。
WPA2/3暗号化オプション
PMF
PMFを有効にすると、WLANでPMFがアクティブになります。
デフォルトでは、802.11管理フレームは認証されないため、スプーフィングから保護されません。Infrastructure Management Protection Frame(MFP)および802.11wで保護された管理フレーム(PMF)は、このような攻撃に対する保護を提供します。
PMFオプション
認証キー管理
17.9.xバージョンで使用できるAKMオプションは次のとおりです。
AKMオプション
負っている
Opportunistic Wireless Encryption(LEAN)は、ワイヤレスメディアの暗号化を提供するIEEE 802.11の拡張です(IETF RFC 8110)。LEANベースの認証の目的は、APとクライアント間のセキュアでないオープンなワイヤレス接続を回避することです。LEANでは、Diffie-Hellmanアルゴリズムに基づく暗号化を使用して、ワイヤレス暗号化を設定します。LEANを使用すると、クライアントとAPはアクセス手順中にDiffie-Hellman(DH)キー交換を実行し、結果として生成されるPairwise Master Key(PMK)シークレットを4ウェイハンドシェイクで使用します。オープンまたは共有のPSKベースのネットワークが展開されている環境では、LEANを使用するとワイヤレスネットワークセキュリティが強化されます。
LEANフレーム交換
SAE
WPA3では、Simultaneous Authentication of Equalsと呼ばれる新しい認証およびキー管理メカニズムを使用します。このメカニズムは、SAE Hash-to-Element(H2E)を使用することでさらに強化されています。
WPA3およびWi-Fi 6Eでは、H2EによるSAEが必須です。
SAEでは、離散対数暗号化を採用しており、オフライン辞書攻撃に対して耐性を持つ可能性のあるパスワードを使用して相互認証を実行するように、効率的な交換を実行しています。
オフライン辞書攻撃とは、攻撃者がネットワークとのやり取りを行わずに、可能なパスワードを試みることによってネットワークパスワードを決定しようとする攻撃です。
クライアントがアクセスポイントに接続すると、SAE交換が実行されます。成功した場合は、それぞれが暗号強度の高いキーを作成し、そこからセッションキーが取得されます。基本的に、クライアントとアクセスポイントはコミットのフェーズに入り、確認します。
確約が行われると、生成されるセッションキーがあるたびに、クライアントとアクセスポイントは確認状態になります。この方法では、侵入者が単一のキーをクラックする可能性がありますが、他のすべてのキーはクラックできない前方秘密が使用されます。
SAEフレーム交換
ハッシュから要素(H2E)
ハッシュから要素(H2E)は、新しいSAEパスワード要素(PWE)方式です。この方法では、SAEプロトコルで使用される秘密PWEがパスワードから生成されます。
H2Eをサポートするステーション(STA)がAPとのSAEを開始すると、APがH2Eをサポートしているかどうかを確認します。はいの場合、APはH2Eを使用し、SAEコミットメッセージで新しく定義されたステータスコード(SC)値を使用してPWEを取得します。
STAがハンティングアンドペッキング(HnP)を使用する場合、SAE交換全体は変更されません。
H2Eを使用する場合、PWE導出は次のコンポーネントに分割されます。
注:6 GHzは、ハッシュから要素へのSAE PWE方式のみをサポートします。
WPA – エンタープライズ(別名802.1x)
WPA3-EnterpriseはWPA3の最も安全なバージョンで、RADIUSサーバでのユーザ認証に802.1Xとユーザ名とパスワードの組み合わせを使用します。デフォルトでは、WPA3は128ビットの暗号化を使用しますが、オプションで設定可能な192ビットの暗号強度の暗号化も導入されています。これにより、機密データを送信するすべてのネットワークに対する保護が強化されます。
WPA3 Enterpriseの図のフロー
レベルセット:WPA3モード
- WPA3パーソナル
- WPA3 – パーソナル専用モード
- WPA3-Personal移行モード
- 設定ルール:APでは、WPA2-Personalが有効になっている場合は常に、WPA2-Personal専用モードで動作するように管理者が明示的に上書きしない限り、WPA3-Personal移行モードもデフォルトで有効にする必要があります
- WPA3 – エンタープライズ
- WPA3-Enterprise専用モード
- すべてのWPA3接続に対してPMFがネゴシエートされます
- WPA3-Enterprise移行モード
- PMFはWPA3接続でネゴシエートされます
- WPA2接続のPMFオプション
- Commercial National Security Algorithm(CNSA)に準拠したWPA3-Enterprise suite-B「192ビット」モード
- 単なる連邦政府のニーズではありません
- 誤設定を回避するための一貫性のある暗号暗号スイート
- 暗号化と優れたハッシュ関数のためのGCMPとECCPの追加(SHA384)
- PMFが必要
-
WPA3 192ビットセキュリティは、サプリカントとRADIUSサーバの両方で証明書を必要とするEAP-TLSにのみ適用されます。
-
WPA3 192ビットエンタープライズを使用するには、RADIUSサーバは許可されたEAP暗号のいずれかを使用する必要があります。
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
クライアントセキュリティの互換性マトリクスを含む、Cisco WLANでのWPA3実装の詳細については、WPA3導入ガイドを参照してください。
Cisco Catalyst Wi-Fi 6E AP
Wi-Fi 6Eアクセスポイント
クライアントでサポートされるセキュリティ設定
WiFi Alliance Webページを使用して、WPA3-Enterpriseをサポートしている製品を確認できます 製品ファインダを参照。
Windowsデバイスでは、コマンド「netsh wlan show drivers」を使用して、アダプタでサポートされているセキュリティ設定を確認できます。
Intel AX211の出力を次に示します。
クライアントAX211の_netsh wlan show driver_のWindows出力
Netgear A8000:
クライアントNetgear A8000のWindows出力_netsh wlan show driver_
Androidピクセル6a:
Android Pixel6aでサポートされているセキュリティ設定
Samsung S23:
Android S23でサポートされるセキュリティ設定
前の出力に基づいて、次の表を完成できます。
各クライアントでサポートされるセキュリティプロトコル
設定
このセクションでは、基本的なWLAN設定を示します。使用されるポリシープロファイルは、中央関連付け/認証/DHCP/スイッチングを使用して常に同じです。
このドキュメントの後半では、各Wi-Fi 6Eレイヤ2セキュリティの組み合わせを設定する方法と、設定と予想される動作を確認する方法を示します。
ネットワーク図
ネットワーク図
コンフィギュレーション
Wi-Fi 6EにはWPA3が必要であり、WLAN無線ポリシーには次の制限事項があることに注意してください。
基本設定
WLANは6GHzのみの無線ポリシーとUPR(Broadcast Probe Response)検出方式で設定されました。
WLAN Baseの設定
6GHz RFプロファイルの設定
確認
セキュリティの検証
このセクションでは、次のWPA3プロトコルの組み合わせを使用したセキュリティ設定とクライアントアソシエーションのフェーズについて説明します。
- WPA3 – エンタープライズ
- AES(CCMP128) + 802.1x-SHA256
- AES(CCMP128) + 802.1x-SHA256 + FT
- GCMP128暗号+ SUITEB-1X
- GCMP256暗号+ SUITEB192-1X
注:このドキュメントの作成時点でGCMP128 cipher + SUITEB-1Xをサポートするクライアントは存在しませんが、ブロードキャストを監視し、ビーコンのRSN情報を確認することがテストされています。
WPA3 - AES(CCPM128) +借用額
WLANセキュリティの設定を次に示します。
BOREDセキュリティ設定
WLCのGUIでWLANのセキュリティ設定を表示します。
WLC GUIのWLANセキュリティ設定
ここでは、Wi-Fi 6Eクライアントの接続プロセスを確認できます。
インテルAX211
ここでは、クライアントIntel AX211の完全な接続プロセスを示します。
LEAVE Discovery(ディスカバリの支払い)
ここでは、ビーコンOTAを見ることができます。 APは、RSN情報要素の下でLEANのAKMスイートセレクタを使用してLEANのサポートをアドバタイズします。
AKMスイートのタイプ値18(00-0F-AC:18)を参照してください。
LEANビーコンフレーム
RSN機能のフィールドを見ると、APがManagement Frame Protection(MFP)機能とMFP required bitの両方を1に設定してアドバタイズしていることがわかります。
借入組合
UPRがブロードキャストモードで送信され、次に関連付け自体が送信されていることが確認できます。
LEANはOPEN認証の要求と応答で始まります。
次に、BORINGを実行するクライアントは、関連付け要求フレームのRSN IEでBORING AKMを示し、Diffie Helman(DH)パラメータ要素を含める必要があります。
借用組合の応答
アソシエーション応答の後、4ウェイハンドシェイクが行われ、クライアントが接続状態に移行します。
WLC GUIでクライアントの詳細を確認できます。
NetGear A8000(日本未発売)
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
WPA3 - AES(CCPM128) +移行モード付きLEAN
LEAD移行モードの詳細な設定とトラブルシューティングについては、このドキュメントの「移行モードを使用した拡張オープンSSIDの設定 – LEAD」を参照してください。
WPA3パーソナル – AES(CCMP128) + SAE
WLANセキュリティ設定:
WPA3 SAEの設定
注:6 GHz無線ポリシーでは、ハンティングとペッキングは許可されないことに注意してください。6 GHzのみのWLANを設定する場合は、H2E SAE Password Elementを選択する必要があります。
WLCのGUIでWLANのセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 SAEビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
NetGear A8000(日本未発売)
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
WPA3 – パーソナル – AES(CCMP128) + SAE + FT
WLANセキュリティ設定:
注意:認証キー管理では、SAEを有効にせずにFT+SAEを選択することはWLCで許可されていますが、クライアントが接続できないことが確認されています。Fast TransitionでSAEを使用する場合は、必ずSAEとFT+SAEの両方のチェックボックスをオンにしてください。
WLCのGUIでWLANのセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 SAE + FTビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
PMKIDを確認できるローミングイベント:
WPA3 SAE + FT再関連付け要求
WLCでのクライアントの詳細:
NetGear A8000(日本未発売)
クライアントからのRSN情報に重点を置いたConnection OTA。初期接続:
ssss
WLCでのクライアントの詳細:
ピクセル6a
FTが有効な場合、デバイスはローミングできませんでした。
サムスンS23
FTが有効な場合、デバイスはローミングできませんでした。
WPA3-Enterprise + AES(CCMP128) + 802.1x-SHA256 + FT
WLANセキュリティ設定:
WPA3 Enterprise 802.1x-SHA256 + FTWLANセキュリティ設定
WLCのGUIでWLANのセキュリティ設定を表示します。
次に、各デバイスからの認証を示すISEライブログを示します。
ISE ライブログ
ビーコンOTAは次のようになります。
WPA3 Enterprise 802.1x +FTビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
ローミングイベントのクライアントからのRSN情報に重点を置いた接続OTA:
WPA3 Enterprise 802.1x + FTローミングイベント
WLANから(たとえばWLC GUIから)クライアントを手動で削除すると、興味深い動作が発生します。クライアントは関連付け解除フレームを受信しますが、同じAPへの再接続を試行し、クライアントの詳細がAP/WLCから削除されているため、再関連付けフレームを使用した後に完全なEAP交換を実行します。
これは基本的に、新しいアソシエーションプロセスでのフレーム交換と同じです。次に、フレーム交換を示します。
WPA3 Enterprise 802.1x + FT Ax211接続フロー
WLCでのクライアントの詳細:
WPA3 Enterprise 802.1x + FTクライアントの詳細
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
DS上でのFTを使用したAX211のローミング
また、FTローミングイベントも表示されます。
FTを使用するWPA3 Enterprise
wlcからのクライアントraトレース:
NetGear A8000(日本未発売)
WPA3-Enterpriseは、このクライアントではサポートされていません。
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WPA3 Enterprise 802.1x + FT Pixel6aアソシエーション
WLCでのクライアントの詳細:
WPA3 Enterprise 802.1x + FT Pixel6aクライアントの詳細
ローミングタイプ802.11Rを確認できるOver the Airに注目してください。
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
S23 FToTAローミングイベント
WLCでのクライアントの詳細:
S23クライアントのプロパティ
ローミングタイプ802.11Rを確認できるOver the Airに注目してください。
S23ローミングタイプ802.11R
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
S23ローミングFToDSパケット
WPA3-Enterprise + GCMP128暗号+ SUITEB-1X
WLANセキュリティ設定:
WPA3 Enterprise SuiteB-1Xのセキュリティ設定
注:FTはSUITEB-1Xではサポートされていません。
WLCのGUIでWLANのセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 Enterprise SuiteB-1Xビーコン
テスト対象のクライアントは、SuiteB-1Xを使用してWLANに接続できず、このセキュリティ方式をサポートするクライアントは存在しないことが確認されました。
WPA3-Enterprise + GCMP256暗号+ SUITEB192-1X
WLANセキュリティ設定:
WPA3 Enterprise SUITEB192-1xセキュリティ設定
注:FTはGCMP256+SUITEB192-1Xではサポートされていません。
WLCのWLAN GUIのWLANリスト:
テストに使用されるWLAN
ビーコンOTAの検証:
WPA3 Enterprise SUITEB192-1xビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
WPA3 EnterpriseとIntel AX211クライアントおよびRSNとのEAP-TLSの関連付けに関する情報
EAP-TLS交換の場合は次のようになります。
WPA3 EnterpriseとIntel AX211クライアントとのEAP-TLSアソシエーションおよびEAP-TLSの焦点
WLCでのクライアントの詳細:
EAP-TLSクライアントを使用するWPA3 Enterpriseの詳細
NetGear A8000(日本未発売)
WPA3-Enterpriseは、このクライアントではサポートされていません。
ピクセル6a
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在取り組み中です。問題が解決されるとすぐに、このドキュメントは更新されます。
サムスンS23
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在取り組み中です。問題が解決されるとすぐに、このドキュメントは更新されます。
セキュリティ結論
これまでのテストをすべて実行した結果、次の結果が得られます。
プロトコル |
暗号化 |
AKM |
AKM暗号 |
EAP方式 |
FT-OverTA |
FT-OverDS |
インテルAX210 |
Samsung/Google Android |
NetGear A8000(日本未発売) |
負っている |
AES-CCMP128 |
負っている |
適用外. |
適用外. |
適用外 |
適用外 |
サポート |
サポート |
サポート |
SAE |
AES-CCMP128 |
SAE(H2Eのみ) |
SHA256 |
適用外. |
サポート |
サポート |
サポート:H2Eのみ、およびFT-oTA |
サポート:H2Eのみ。 FTが失敗しました。FT-oDSが失敗しました。 |
サポート: H2Eのみ、およびFT-oTA FT-oDSが失敗しました。 |
エンタープライズ |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
サポート |
サポート |
サポート:SHA256およびFT-oTA/oDS 非サポート:EAP-FAST |
サポート:SHA256およびFT-oTA、FT-oDS(S23) サポート対象外:EAP-FAST、FT-oDS(Pixel6a) |
サポート:SHA256およびFT-oTA 非サポート:EAP-FAST、FT-oDS |
エンタープライズ |
GCMP128 |
スイートB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
エンタープライズ |
GCMP256 |
スイートB-192 |
SHA384-SuiteB |
[TLS] |
サポート対象外 |
サポート対象外 |
該当なし/未定 |
該当なし/未定 |
サポート対象外 |
トラブルシュート
このドキュメントで使用されているトラブルシューティングは、次のオンラインドキュメントに基づいています。
COS APのトラブルシューティング
トラブルシューティングの一般的なガイドラインは、クライアントのMACアドレスを使用してWLCからデバッグモードでRAトレースを収集し、クライアントがランダム化されたMACアドレスではなく、デバイスのMACアドレスを使用して接続していることを確認することです。
Over the Airのトラブルシューティングでは、APにサービスを提供するクライアントのチャネルでトラフィックをキャプチャするスニファモードでAPを使用することを推奨します。
注:debugコマンドを使用する前に、『debugコマンドの重要な情報』を参照してください。
関連情報
Wi-Fi 6Eとは
Wi-Fi 6とWi-Fi 6Eの比較
Wi-Fi 6E概要
Wi-Fi 6E:Wi-Fiホワイトペーパーの次の重要な章
Cisco Live - Catalyst Wi-Fi 6Eアクセスポイントによる次世代ワイヤレスネットワークの設計
Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアコンフィギュレーションガイド17.9.x
WPA3導入ガイド