Verbeterde open SSID configureren met overgangsmodus - OWE

Inleiding

In dit document wordt beschreven hoe u Enhanced Open configureert en problemen oplost met de overgangsmodus op de Catalyst 9800 Wireless LAN-controller (9800 WLC).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco Wireless LAN Controllers (WLC) 9800.
• Cisco-toegangspunten (AP's) die WPA3 ondersteunen. 
• IEEE-standaard 802.11ax.
• Wireshark.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• WLC 9800-CL met IOS® XE 17.9.3.
• TP's C9130, C9136, CW9162, CW9164 en CW9166.
• Wi-Fi 6-clients: 
  • iPhone SE3rd gen voor iOS 16
  • MacBook voor Mac OS 12.
• Wi-Fi 6-clients:
  • Lenovo X1 Carbon Gen11 met Intel AX211 Wi-Fi 6 en 6E adapter met driverversie 22.200.2(1).
  • Netgear A8000 Wi-Fi 6 en 6E Adapter met driver v1(0.0.108);
  • Mobiele telefoon Pixel 6a met Android 13;
  • Samsung S23 met Android 13.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De Enhanced Open is een certificering die door de WiFi-alliantie wordt geleverd als onderdeel van de WPA3-standaard voor draadloze beveiliging. Het maakt gebruik van Opportunistic Wireless Encryption (OWE) op Open (niet-geverifieerde) netwerken om passief snuiven te voorkomen en eenvoudige aanvallen te voorkomen in vergelijking met een openbaar PSK draadloos netwerk. 

Met Enhanced Open voeren clients en de WLC (in het geval van centrale verificatie) of het toegangspunt (in het geval van FlexConnect Local Authentication) een Diffie-Hellman-sleuteluitwisseling uit tijdens het associatieproces en gebruiken ze het paarsgewijze hoofdsleutelgeheim (PMK) met de 4-weg handshake. 

VERSCHULDIGD

Opportunistic Wireless Encryption (OWE) is een extensie voor IEEE 802.11 die codering van het draadloze medium biedt (IETF RFC 8110). Het doel van op OWE gebaseerde verificatie is het voorkomen van open, onbeveiligde draadloze connectiviteit tussen het toegangspunt en clients. De OWE maakt gebruik van de Diffie-Hellman algoritmes gebaseerd op Cryptography om de draadloze encryptie in te stellen. Met OWE voeren de client en AP een Diffie-Hellman-sleuteluitwisseling uit tijdens de toegangsprocedure en gebruiken ze het resulterende paarsgewijze hoofdsleutel (PMK) geheim met de 4-weg handshake. Het gebruik van OWE verbetert de draadloze netwerkbeveiliging voor implementaties waarbij open of gedeelde PSK-gebaseerde netwerken worden geïmplementeerd.

OWE-frameuitwisseling

overgangsmodus

Gewoonlijk hebben bedrijfsnetwerken slechts één niet-gecodeerde gast-SSID en geven ze er de voorkeur aan om zowel oudere clients te hebben die geen verbeterde open en nieuwere clients ondersteunen met verbeterde open coëxistentie. De Transition Mode wordt specifiek geïntroduceerd om aan dit scenario tegemoet te komen.

Dit vereist configuratie van twee SSID's - één verborgen SSID ter ondersteuning van OWE en een tweede SSID die Open is en wordt uitgezonden.

Met de overgangsmodus Opportunistic Wireless Encryption (OWE) kunnen OWE en niet-OWE STA's tegelijkertijd verbinding maken met dezelfde SSID. Wanneer alle OWE STA's een SSID zien in OWE-overgangsmodus, maken ze verbinding met de OWE.

Zowel het open WLAN als het OWE WLAN zenden bakenframes uit. Beacon- en probe-responsframes van het OWE WLAN omvatten de Wi-Fi Alliance-leverancier IE om de BSSID en SSID van het open WLAN in te kapselen, en op dezelfde manier omvat het open WLAN ook voor OWE WLAN.

Een OWE STA geeft de gebruiker in de lijst van beschikbare netwerken alleen de SSID van de Open BSS van een OWE AP weer die in OWE Transition Mode werkt, en onderdrukt de weergave van de OWE BSS SSID van dat OWE AP.

Richtlijnen en beperkingen:

• Verbeterd open vereist alleen WPA3-beleid. WPA3 wordt niet ondersteund in Cisco Wave 1 (Cisco IOS®-gebaseerde) toegangspunten.
• Protected Management Frame (PMF) moet worden ingesteld op Vereist. Dit is standaard ingesteld met alleen WPA3 Layer 2 Security.
• Enhanced Open werkt alleen op eindclients die de nieuwere versies uitvoeren die Enhanced Open ondersteunen.
• Wi-Fi Enhanced Open Transition Mode is niet toegestaan op de 6GHz band. Volgens de WPA3™-specificatie v3.4: er zijn deze beperkingen met betrekking tot 6 GHz en Wi-Fi 7 (EHT - Extreem hoge doorvoer of MLO - Multi Link Operation):
  • "Wanneer een toegangspunt een BSS in de 6 GHz-band gebruikt: [...] mag de AP BSS-configuratie geen Wi-Fi Enhanced Open Transition Mode toestaan (waarbij het OWE Transition Mode-element is opgenomen in Beacons and Probe-responsen)".
  • "Wanneer een toegangspunt een BSS gebruikt met EHT of MLO ingeschakeld [...]: de AP BSS-configuratie staat geen Wi-Fi Enhanced Open Transition Mode toe waarbij het OWE Transition Mode-element is opgenomen in Beacons and Probe-reacties). 
• De overgangsmodus bindt de twee SSID's via een overgangs-mode informatie-element dat cliënten begrijpen om te weten dat de Enhanced Open SSID is het veilige equivalent van de onveilige Open SSID. Dit werkt omdat de 2 SSID's een andere naam hebben. U kunt niet hetzelfde gedrag bereiken door dezelfde SSID-naam te gebruiken voor de veilige en onveilige gast-SSID's als het is tegen de 802.11-standaard om dezelfde SSID-naam te gebruiken voor SSID's die verschillende beveiligingsprotocollen gebruiken.

Configureren

Typische use case waarbij de beheerder Enhanced Open wil configureren, maar nog steeds toestaat dat oudere clients verbinding kunnen maken met de gast-SSID.

Netwerkdiagram

Netwerktopologie

Configuratiestappen voor GUI:

Maak de eerste SSID aan, hierbij "OWE_Transition" genoemd. In dit voorbeeld WLAN ID 3, en zorg ervoor dat het verborgen is met de optie "Broadcast SSID" uitgeschakeld:

Stap 1 Kies Configuratie > Tags en profielen > WLAN's om de WLAN-pagina te openen.

Stap 2 Klik op Toevoegen om een nieuw WLAN toe te voegen > WLAN-naam "OWE_Transition" toevoegen > Status wijzigen om Inschakelen te maken > ervoor zorgen dat Broadcast SSID is Uitgeschakeld.

OWE Transition Enhanced Open SSID verborgen

Stap 3 Kies het tabblad Beveiliging > Laag 2 > Selecteer WPA3.

Stap 4 Stel Protected Management Frame (PMF) in op Vereist.

Stap 5 Onder WPA-parameters > Controleer het WPA3-beleid. Selecteer AES(CCMP128)-codering en OWE Auth Key Management.

Stap 6 Voeg WLAN ID 4 (open WLAN) toe aan het vak "Transition Mode WLAN ID".

Stap 7 Klik op Toepassen op apparaat.

OWE-overgangsmodus - OWE SSID

Maak een tweede SSID, noem deze "open" in dit voorbeeld WLAN ID 4 en zorg ervoor dat u "Broadcast SSID" inschakelt:

Stap 1 Kies Configuratie > Tags en profielen > WLAN's om de WLAN-pagina te openen.

Stap 2 Klik op Toevoegen om een nieuw WLAN toe te voegen > WLAN-naam "open" toevoegen > Status wijzigen om Inschakelen te maken > controleren of Broadcast-SSID is ingeschakeld.

OWE Transition Open SSID

Stap 3 Kies het tabblad Beveiliging > Laag 2 > Kies Geen.

Stap 4 Voeg WLAN ID 3 (OWE_Transition) toe aan het vak "Transition Mode WLAN ID".

Stap 5 Klik op Toepassen op apparaat.

OWE Transition Mode Open WLAN Security

Waarschuwing: Als u een eerder geopend WLAN hebt gehad met dezelfde SSID van het OWE WLAN, wordt "2" toegevoegd aan de SSID-naam. Om dit te overwinnen, navigeert u naar "Netwerk & Internet > Wi-Fi > Bekende netwerken beheren" en verwijdert u de oude verbinding.

Deze screenshot toont het eindresultaat: een WLAN is beveiligd en geconfigureerd voor WPA3+OWE+WPA3 met de naam "OWE_Transition" en de andere is een volledig open SSID met de naam "open". Alleen de volledig open SSID genaamd "open" heeft zijn SSID uitgezonden in de bakens, terwijl "OWE_Transition" verborgen is.

OWE Transition Mode WLAN's

Stap 6 Koppel de WLAN's die zijn gemaakt aan de gewenste beleidsprofielen aan de beleidstag en pas deze toe op de toegangspunten.

Beleidstag

Configureren voor CLI:

Verbeterde open SSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

SSID openen:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Beleidsprofiel:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Verifiëren

Dit is het verificatiegedeelte.

Controleer de WLAN-configuratie op de CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

In de WLC kunt u naar de configuratie van het toegangspunt gaan en controleren of beide WLAN's actief zijn op het toegangspunt:

OWE Transition Mode AP Operational Configuration Viewer

Als deze optie is ingeschakeld, worden alleen bakens met een open SSID gebruikt, maar is deze voorzien van een OWE Transition Mode Information Element (IE). Wanneer een client die in staat is om verbeterde open verbindingen te maken met deze SSID, gebruikt deze automatisch OWE om alle verkeer na de koppeling te coderen.

Hier is wat je kunt zien over de lucht (OTA):

OWE Transition Open SSID Beacon

Het beacon send met SSID "open" bevat de OWE Transition Mode IE met de verbeterde open SSID details erin, zoals BSSID en SSID naam "OWE_Transition".

Er zijn ook bakens OTA met de SSID verborgen en als we filteren op bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Transition Mode IE:

OWE Beacon

U kunt zien dat ook de OWE verborgen baken bevat de OWE Transition Mode IE met de open SSID BSSID en SSID naam "open".

Deze schermafbeeldingen tonen een Android-telefoon die Enhanced Open ondersteunt: het toont alleen de open SSID zonder vergrendelingspictogram (een vergrendelingspictogram zou de gebruiker doen geloven dat het een wachtwoord nodig heeft om verbinding te maken), maar zodra het is verbonden, toont de beveiliging dat Enhanced Open-beveiliging wordt gebruikt.

OWE SSID-lijstOWE-client met uitgebreide Open-ondersteuning

In de lucht kunnen we de volledige verbindingssequentie zien:

OWE Transition volledige verbinding

Na het luisteren naar de bakens, de client sondes voor de OWE SSID en de AP reageert.

Vervolgens vindt de normale OWE-frameuitwisseling plaats: authenticatieverzoek en -reactie, associatieverzoek en -reactie met de DHIE en vervolgens de EAPOL 4-weg handshake. 

Op de WLC kunt u de clientverbinding controleren. Client die OWE ondersteunt, kan verbinding maken met Enhanced Open WLAN. In dit voorbeeld is dit WLAN-ID 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

En we kunnen hetzelfde waarnemen in de WLC GUI:

Voor clients die Enhanced Open niet ondersteunen, zien en maken ze alleen verbinding met de open SSID, zonder codering.

Zoals hier wordt geïllustreerd, zijn dit clients die geen Enhanced Open ondersteunen (respectievelijk een iPhone op IOS 15 en een MacBook op Mac OS 12) en alleen de open gast-SSID zien en geen codering gebruiken.

Apparaat dat OWE niet ondersteuntAfbeelding 4: MacBook op Mac OS 12 ondersteunt geen Enhanced Open

Hier nog een voorbeeld van een draadloze USB-adapter die OWE niet ondersteunt:

Client die Enhanced Open niet ondersteunt

Client ondersteunt geen OWE kan verbinding maken met Open WLAN in dit voorbeeld is het WLAN ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Problemen oplossen

1. Zorg ervoor dat de klant OWE ondersteunt, omdat niet alle klanten het ondersteunen. Controleer de documentatie van de leverancier van de client, bijvoorbeeld Apple gedocumenteerd de ondersteuning voor hun apparaten hier.
   
2. Sommige oudere clients accepteren mogelijk niet eens de Open SSID-bakens vanwege de aanwezigheid van de OWE Transition Mode IE en presenteren de SSID niet in het bereik van de netwerken. Als de client de Open SSID niet kan zien, verwijdert u het Transition VLAN (ingesteld op 0) uit de WLAN-configuratie en controleert u of het WLAN wordt weergegeven.
3. Als clients een open SSID zien, OWE ondersteunen, maar nog steeds verbinding maken zonder WPA3, controleert u of de VLAN-id voor de overgang correct is en wordt uitgezonden in de bakens van beide WLAN's. U kunt AP in de sniffer-modus gebruiken om OTA-verkeer vast te leggen. Voer deze stappen uit om een toegangspunt in de sniffer-modus te configureren: toegangspunten Catalyst 91xx in de sniffer-modus.
   • Het baken wordt verzonden met SSID "open" en bevat de OWE Transition Mode IE met de verbeterde open SSID details erin, zoals BSSID en SSID naam "OWE_Transition":OWE Transition Open SSID Beacon

   • Er zijn ook bakens OTA met de SSID verborgen en als we filteren op bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Transition Mode IE:

     OWE Beacon

     U kunt zien dat ook de OWE verborgen baken bevat de OWE Transition Mode IE met de open SSID BSSID en SSID naam "open".

   • U kunt ook AKM-informatie bekijken en controleren of MFP wordt geadverteerd als vereist en geschikt:
   • OWE Beacon AKM
4. Verzamel RadioActive-sporen op basis van het MAC-adres van de client en u ziet vergelijkbare logs als deze:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Referenties

Cisco Catalyst 9800-reeks Draadloze controller Softwareconfiguratiehandleiding 17.9.x 

WPA3-implementatiegids

Wi-Fi Alliance® WPA3™ Specificaties v3.4