Uitgebreide open SSID met overgangsmodus configureren - OWE

Inleiding

Dit document beschrijft hoe u Enhanced Open en probleemoplossing kunt configureren met de overgangsmodus op Catalyst 9800 draadloze LAN-controller (9800 WLC).

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco draadloze LAN-controllers (WLC) 9800.
• Cisco Access points (AP’s) die Wi-Fi 6E ondersteunen. 
• IEEE-standaard 802.11ax.
• Wireshark.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• WLC 9800-CL met IOS® XE 17.9.3
• AP9130, C9136, CW9162, CW9164 en CW9166.
• Wi-Fi 6 clients: 
  • iPhone SE3rd gen op IOS 16
  • MacBook op Mac OS 12.
• Wi-Fi 6E-clients:
  • Lenovo X1 Carbon Gen11 met Intel AX211 Wi-Fi 6 en 6E adapter met driver versie 22.200.2(1).
  • Netgear A8000 Wi-Fi 6- en 6E-adapter met stuurprogramma v1(0.0.108);
  • Mobiele telefoon Pixel 6a met Android 13;
  • Mobiele telefoon Samsung S23 met Android 13.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

De Enhanced Open is een certificering die wordt geleverd door WiFi Alliance als onderdeel van de WPA3 draadloze beveiligingsstandaard. Het maakt gebruik van Opportunistische Wireless Encryption (OWE) op Open (niet-geverifieerde) netwerken om passief snuffelen te voorkomen en eenvoudige aanvallen te voorkomen in vergelijking met een openbaar PSK draadloos netwerk. 

Met Enhanced Open voeren clients en de WLC (in het geval van Central Authentication) of de AP (in het geval van FlexConnect Local Authenticatie) tijdens het associatieproces een Diffie-Hellman-sleuteluitwisseling uit en gebruiken ze het paarsgewijze master-sleutelgeheim (PMK) met de 4-voudige handdruk. 

VERSCHULDIGD

Opportunistische draadloze encryptie (OWE) is een uitbreiding van IEEE 802.11 die codering van het draadloze medium biedt (IETF RFC 8110). Het doel van op OWE gebaseerde verificatie is het vermijden van open onbeveiligde draadloze connectiviteit tussen de AP’s en clients. De OWE gebruikt de Diffie-Hellman algoritmen op basis van Cryptografie om de draadloze codering in te stellen. Met OWE voeren de client en AP tijdens de toegangsprocedure een Diffie-Hellman sleuteluitwisseling uit en gebruiken de resulterende paarsgewijze hoofdsleutel (PMK) geheim met de 4-voudige handdruk. Het gebruik van OWE verbetert de draadloze netwerkbeveiliging voor implementaties waar op Open of gedeelde PSK gebaseerde netwerken worden geïmplementeerd.

OWE frame exchange

Overgangsmodus

Over het algemeen hebben ondernemingsnetwerken slechts één niet-versleutelde gast-SSID en geven er de voorkeur aan om zowel oudere clients te hebben die geen verbeterde open en nieuwere clients ondersteunen met verbeterde open to coëxistentie. De transitiemodus is specifiek geïntroduceerd om aan dit scenario te voldoen.

Dit vereist configuratie van twee SSIDs - één verborgen SSID om OWE en een tweede SSID te steunen die open is en wordt uitgezonden.

De OWE-overgangsmodus (Opportunistic Wireless Encryption) maakt het mogelijk dat OWE en niet-OWE STA’s tegelijkertijd verbinding maken met dezelfde SSID. Wanneer alle OWE STAs een SSID in OWE overgangswijze zien, verbinden zij met OWE.

Zowel het open WLAN als de OWE WLAN-transmissiebakenframes. De responsframes van beacon en sonde van het OWE WLAN omvatten de leverancier-IE van Wi-Fi Alliance om de BSSID en SSID van het open WLAN in te kapselen en het open WLAN omvat op dezelfde manier ook voor OWE WLAN.

Een OWE STA zal alleen de SSID van de open BSS van een OWE AP die in OWE Osition Mode werkt, aan de gebruiker in de lijst van beschikbare netwerken weergeven en zal de weergave van de OWE BSS SSID van dat OWE AP onderdrukken.

Richtsnoeren en beperkingen:

• Voor Enhanced Open is alleen WPA3-beleid vereist. WPA3 wordt niet ondersteund in Cisco Wave 1 (Cisco IOS®-gebaseerde) AP’s.
• Protected Management Frame (PMF) moet worden ingesteld op Vereist. Dit wordt standaard ingesteld met WPA3 only Layer 2 Security.
• Enhanced Open werkt alleen op end clients die de nieuwere versies draaien die Enhanced Open ondersteunen.

Configureren

Typische gebruikscase waar de beheerder Enhanced Open wil configureren maar nog steeds oudere clients toestaat om verbinding te kunnen maken met de gast-SSID.

Netwerkdiagram

Netwerktopologie

Configuratiestappen voor GUI:

Maak eerste SSID, hierbij genaamd "OWE_Transition". In dit voorbeeld WLAN ID 3, en zorg ervoor dat het verborgen is met de optie "Broadcast SSID" uitgeschakeld:

Stap 1 Kies Configuratie > Tags en profielen > WLAN’s om de WLAN-pagina te openen.

Stap 2 Klik op Add om nieuw WLAN toe te voegen > voeg WLAN-naam toe "OWE_Transition" > Status wijzigen om in te schakelen > ervoor te zorgen dat Broadcast SSID is uitgeschakeld.

OWE Transition Enhanced Open SSID verborgen

Stap 3 Kies de Security > Layer 2 tab > WPA3 selecteren.

Stap 4 Stel Protected Management Frame (PMF) in op Vereist.

Stap 5 Onder WPA Parameters > Controleer het WPA3-beleid. Selecteer AES(CCMP128) Encryptie en WAE-autorisatiesleutelbeheer.

Stap 6 Voeg WLAN-id 4 (open WLAN) toe aan het vakje "Transition Mode WLAN-id".

Stap 7 Klik op Toepassen op apparaat.

OWE Transition Mode - OWE SSID

Maak tweede SSID, noem het "open" in dit voorbeeld WLAN ID 4, en zorg ervoor dat u "Broadcast SSID" inschakelt:

Stap 1 Kies Configuratie > Tags en profielen > WLAN’s om de WLAN-pagina te openen.

Stap 2 Klik op Add om nieuw WLAN toe te voegen > voeg WLAN-naam toe "open" > verander de status om in te schakelen > te verzekeren dat Broadcast SSIDingeschakeld is.

OWE Transition Open SSID

Stap 3 Kies de Security > Layer 2 tab > Geen kiezen.

Stap 4 Voeg WLAN-id 4 (OWE_Transition) toe aan het vakje "Transition Mode WLAN-id".

Stap 5 Klik op Toepassen op apparaat.

OWE Transition Mode Open WLAN-beveiliging

Deze screenshot toont het eindresultaat: één WLAN is beveiligd en geconfigureerd voor WPA3+OWE+WPA3 met de naam "OWE_Transition" en de andere is een volledig open SSID met de naam "open". Alleen de volledig open SSID genaamd "open" heeft zijn SSID uitgezonden in de bakens terwijl "OWE_Transition" verborgen is.

WLAN’s met OWE-overgangsmodus

Stap 6 Breng de WLAN’s die met de gewenste beleidsprofielen zijn gemaakt, in de beleidstag in kaart en pas deze op de AP’s toe.

Beleidskabel

Configureren voor CLI:

Uitgebreide open SSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

SSID openen:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Beleidsprofiel:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Verifiëren

Dit is het verificatiegedeelte.

Controleer de WLAN-configuratie op CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

In de WLC kunt u naar de AP Configuration gaan en controleren of beide WLAN’s actief zijn op de AP:

PowerKEY-venster voor operationele configuratie met OWE-overgangsmodus

Als deze optie is ingeschakeld, heeft het toegangspunt alleen bakens met Open SSID, maar heeft het een OWE Transition Mode Information Element (IE). Wanneer een client die in staat is tot verbeterde open verbinding maakt met deze SSID, gebruikt deze automatisch OWE om alle traffic post associatie te versleutelen.

Dit is wat je over de lucht kunt zien (OTA):

OWE Transition Open SSID Beacon

Het beacon verzenden met SSID "open" bevat de OWE Transition Mode IE met de verbeterde open SSID details binnenin, zoals BSSID en SSID naam "OWE_Transition".

Er zijn ook bakens OTA met de SSID verborgen en als we filteren op basis van bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Overgangsmodus IE:

OWE Beacon

U kunt zien dat ook het OWE verborgen beacon bevat de OWE Transition Mode IE met de open zijkant BSSID en SSID naam "open".

Deze screenshots tonen een Android-telefoon die Enhanced Open ondersteunt: het toont alleen de open SSID zonder slot-pictogram (een slot-pictogram zou de gebruiker doen geloven dat het een wachtwoord vereist om verbinding te maken), maar zodra verbonden de security toont Enhanced Open-beveiliging wordt gebruikt.

SSID-lijst VAN VORDERINGENWAE-client met uitgebreide open ondersteuning

Over de lucht zien we de volledige verbindingssequentie:

OWE Transition volledige verbinding

Na het luisteren naar de bakens, de client zoekt naar de OWE SSID en het AP reageert.

Dan vindt de normale OWE frame-uitwisseling plaats: authenticatieaanvraag en -antwoord, associatieverzoek en reactie met de DH IE, en vervolgens de EAPOL 4-way handshake. 

Op de WLC kunt u de clientverbinding verifiëren. De client die OWE ondersteunt kan verbinding maken met Enhanced Open WLAN in dit voorbeeld is het WLAN-id 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

En we kunnen hetzelfde waarnemen in de WLC GUI:

Voor clients die Enhanced Open niet ondersteunen, zien ze alleen en verbinden ze met de open SSID, zonder encryptie.

Zoals hier geïllustreerd, zijn dit clients die Enhanced Open (respectievelijk een iPhone op IOS 15 en een MacBook op Mac OS 12) niet ondersteunen en alleen de open guest SSID zien en geen encryptie gebruiken.

Apparaat dat geen OWE ondersteuntAfbeelding 4: MacBook op Mac OS 12 ondersteunt geen Enhanced Open

Hier nog een voorbeeld van een draadloze USB-adapter die geen OWE ondersteunt:

Cliënt die geen Uitgebreide Open steunt

De client ondersteunt geen OWE can connect to Open WLAN in dit voorbeeld is het WLAN ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Problemen oplossen

1. Zorg ervoor dat de klant OWE ondersteunt, aangezien niet alle klanten het ondersteunen. Controleer de documentatie van de clientleverancier, bijvoorbeeld Apple heeft hier de ondersteuning voor hun apparaten gedocumenteerd.
   
2. Sommige oudere klanten accepteren de open bakens mogelijk niet eens vanwege de aanwezigheid van de OWE Transition Mode IE en presenteren de SSID niet in de netwerken in bereik. Als uw client de Open SSID niet kan zien, verwijdert u het Transition VLAN (ingesteld op 0) van de WLAN-configuratie en controleert u of het WLAN dan wordt weergegeven.
3. Als de cliënten open SSID zien, steun OWE, maar zij verbinden nog zonder WPA3, dan verifiëren als de identificatie van overgangsVLAN correct is en uitgezonden in de bakens van beide WLANs. U kunt AP in snuffelmodus gebruiken om OTA-verkeer op te nemen. Voer deze stappen uit om een AP in de snuffelmodus te configureren: APs Catalyst 91xx in snuffelmodus .
   • Het baken wordt verzonden met SSID "open" bevat de OWE Overgangsmodus IE met de verbeterde open SSID details binnenin, zoals BSSID en SSID naam "OWE_Transition":OWE Transition Open SSID Beacon

   • Er zijn ook bakens OTA met de SSID verborgen en als we filteren op basis van bssid, worden de frames verzonden naar de BSSID 00:df:1d:dd:7d:3e die de BSSID is binnen de OWE Overgangsmodus IE:

     OWE Beacon

     U kunt zien dat ook het OWE verborgen beacon bevat de OWE Transition Mode IE met de open zijkant BSSID en SSID naam "open".

   • Je kunt ook AKM info bekijken en controleren of MFP wordt geadverteerd zoals Vereist en Geschikt:
   • OWE Beacon AKM
4. RadioActive-sporen verzamelen op basis van het mac-adres van de client en yU ziet soortgelijke logboeken als dit:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Referenties

Wat is Wi-Fi 6E?

Wat is Wi-Fi 6 versus Wi-Fi 6E?

Wi-Fi 6E At-a-Glance

Wi-Fi 6E: Het volgende grote hoofdstuk in Wi-Fi White Paper

Software voor Cisco Catalyst 9800 Series draadloze controller, configuratiehandleiding 17.9.x

Implementatiegids voor WPA3