配置和驗證Wi-Fi 6E WLAN第2層安全性
目錄
簡介
本文檔介紹如何配置Wi-Fi 6E WLAN第2層安全性,以及在不同客戶端上預期會發生什麼。
必要條件
需求
思科建議您瞭解以下主題:
- Cisco無線Lan控制器(WLC)9800
- 支援Wi-Fi 6E的思科接入點(AP)。
- IEEE標準802.11ax。
- 工具:Wireshark v4.0.6
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 採用IOS® XE 17.9.3的WLC 9800-CL。
- 接入點C9136、CW9162、CW9164和CW9166。
- Wi-Fi 6E客戶端:
- Lenovo X1 Carbon Gen11,帶英特爾AX211 Wi-Fi 6和6E介面卡,帶驅動程式版本22.200.2(1)。
- Netgear A8000 Wi-Fi 6和6E介面卡,帶驅動程式v1(0.0.108);
- 採用Android 13的手機Pixel 6a;
- 搭載Android 13的手機三星S23。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
需要瞭解的關鍵是,Wi-Fi 6E並不是一個全新的標準,而是一個擴展。 Wi-Fi 6E的基本功能是Wi-Fi 6(802.11ax)無線標準到6 GHz射頻頻帶的擴展。
Wi-Fi 6E建立在Wi-Fi 6之上,Wi-Fi 6是Wi-Fi標準的最新一代,但只有Wi-Fi 6E裝置和應用程式可以在6-GHz頻段運行。
Wi-Fi 6E安全
Wi-Fi 6E通過Wi-Fi Protected Access 3(WPA3)和Opportational Wireless Encryption(OWE)來增強安全性,並且與開放和WPA2安全性沒有向後相容性。
WPA3和增強型開放式安全現在是Wi-Fi 6E認證的必備條件,Wi-Fi 6E還需要在AP和客戶端中使用保護管理幀(PMF)。
配置6GHz SSID時,必須滿足特定的安全要求:
- WPA3 L2安全,帶OWE、SAE或802.1x-SHA256
- 已啟用受保護管理幀;
- 不允許使用任何其他L2安全方法,即不能使用混合模式。
WPA3
WPA3旨在通過啟用更好的身份驗證來提高Wi-Fi安全性,從而增強加密強度,提高關鍵網路的恢復能力。
WPA3的主要功能包括:
- 受保護管理幀(PMF)保護單播和廣播管理幀,並加密單播管理幀。這意味著無線入侵檢測和無線入侵防禦系統現在執行客戶端策略的暴力方式更少。
- Simultaneous Authentication of Equals(SAE)啟用基於密碼的身份驗證和金鑰協商機制。這可以防止暴力攻擊。
- 轉換模式是一種混合模式,它允許使用WPA2連線不支援WPA3的客戶端。
WPA3涉及持續的安全開發、合規性以及互操作性。
沒有指定WPA3(與WPA2相同)的資訊元素。WPA3由AKM/密碼套件/PMF組合定義。
在9800 WLAN設定中,可以使用4種不同的WPA3加密演算法。
它們基於Galois/Counter Mode Protocol(GCMP)和Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP): AES(CCMP128)、CCMP256、GCMP128和GCMP256:
WPA2/3加密選項
PMF
啟用PMF時,PMF將在WLAN上啟用。
預設情況下,802.11管理幀未經身份驗證,因此不能防止欺騙。基礎架構管理保護幀(MFP)和802.11w受保護管理幀(PMF)提供針對此類攻擊的防護。
PMF選項
驗證金鑰管理
以下是17.9.x版中可用的AKM選項:
AKM選項
OWE
機會無線加密(OWE)是IEEE 802.11的擴展,提供無線介質加密(IETF RFC 8110)。基於OWE的身份驗證的目的是避免AP和客戶端之間的開放式非安全無線連線。OWE使用基於Diffie-Hellman演算法的加密來設定無線加密。使用OWE時,客戶端和AP在訪問過程中執行Diffie-Hellman金鑰交換,並將生成的成對主金鑰(PMK)金鑰與4次握手配合使用。使用OWE可增強部署基於PSK的開放式或共用網路的部署的無線網路安全性。
OWE幀交換
SAE
WPA3使用一種稱為「對等同時身份驗證」的新身份驗證和金鑰管理機制。通過使用SAE Hash-to-Element(H2E),進一步增強了此機制。
WPA3和Wi-Fi 6E必須使用H2E的SAE。
SAE採用離散對數密碼技術來執行高效交換,其方式是使用可能可以抵抗離線字典攻擊的密碼執行相互身份驗證。
離線字典攻擊是指攻擊者嘗試通過嘗試可能的密碼來確定網路密碼,而無需進一步進行網路互動。
當客戶端連線到接入點時,它們執行SAE交換。如果成功,它們會為每個金鑰建立一個加密強金鑰,會話金鑰由此匯出。客戶端和接入點基本上進入提交階段,然後進行確認。
一旦有承諾,則客戶端和接入點可以在每次有要生成的會話金鑰時進入確認狀態。該方法使用前向保密,入侵者可以破解單個金鑰,但不會破解所有其他金鑰。
SAE幀交換
雜湊到元素(H2E)
雜湊到元素(H2E)是一種新的SAE密碼元素(PWE)方法。在該方法中,SAE協定中使用的金鑰PWE由密碼生成。
支援H2E的站點(STA)向AP發起SAE時,會檢查AP是否支援H2E。如果是,則AP使用H2E在SAE Commit消息中使用新定義的狀態代碼值來匯出PWE。
如果STA使用尋線啄食(HnP),則整個SAE交換保持不變。
在使用H2E時,PWE推導可分為以下部分:
-
從密碼派生秘密中間元素(PT)。當在裝置上為每個受支援的組初始配置密碼時,可以離線執行此操作。
-
從儲存的PT匯出PWE。這取決於對等點的協商組和MAC地址。在SAE交換期間即時執行該操作。
註:6-GHz僅支援雜湊到元素SAE PWE方法。
WPA-Enterprise也稱為802.1x
WPA3-Enterprise是WPA3最安全的版本,它使用使用者名稱加密碼組合和802.1X來通過RADIUS伺服器進行使用者身份驗證。預設情況下,WPA3使用128位加密,但它也引入了可選可配置的192位加密強度加密,為傳輸敏感資料的任何網路提供額外保護。
WPA3企業圖流程
級別集:WPA3模式
- WPA3 — 個人
- WPA3 — 僅個人模式
- 需要PMF
- WPA3 — 個人轉換模式
- 配置規則:在AP上,無論何時啟用WPA2 — 個人,預設情況下還必須啟用WPA3 — 個人轉換模式,除非管理員明確覆蓋該模式才能在WPA2 — 個人專用模式下運行
- WPA3 — 僅個人模式
- WPA3 — 企業
- WPA3 — 僅企業模式
- 應針對所有WPA3連線協商PMF
- WPA3 — 企業過渡模式
- WPA3連線應協商PMF
- PMF對於WPA2連線是可選的
- WPA3-Enterprise suite-B「192位」模式與商業國家安全演算法(CNSA)一致
- 不只是聯邦政府
- 一致的加密密碼套件以避免配置錯誤
- 為加密和更好的雜湊函式新增了GCMP和ECCP(SHA384)
- 需要PMF
-
WPA3 192位安全應專用於EAP-TLS,EAP-TLS需要請求方和RADIUS伺服器上的證書。
-
要使用WPA3 192位企業版,RADIUS伺服器必須使用允許的EAP密碼之一:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- WPA3 — 僅企業模式
要瞭解有關思科WLAN中WPA3實施的詳細資訊(包括客戶端安全相容性矩陣),請隨時檢視WPA3部署指南。
Cisco Catalyst Wi-Fi 6E AP
Wi-Fi 6E存取點
客戶端支援的安全設定
您可以使用WiFi聯盟網頁找到支援WPA3-Enterprise的產品 產品搜尋工具.
在Windows裝置上,您可以使用命令「netsh wlan show drivers」驗證介面卡支援哪些安全設定。
在這裡,您可以看到英特爾AX211的輸出:
客戶端AX211的_netsh wlan show driver_的Windows輸出
Netgear A8000:
客戶端Netgear A8000的_netsh wlan show driver_的Windows輸出
Android Pixel 6a:
Android Pixel6a上支援的安全設定
三星S23:
Android S23上支援的安全設定
根據先前的輸出,我們可以得出以下結論:
每個客戶端支援的安全協定
設定
本節顯示基本WLAN組態。使用中央關聯/身份驗證/DHCP/交換時,使用的策略配置檔案始終相同。
本文檔後面介紹了如何配置每個Wi-Fi 6E第2層安全組合以及如何驗證配置和預期行為。
網路圖表
網路圖表
組態
請記住,Wi-Fi 6E需要WPA3,以下是對WLAN無線電策略的限制:
-
僅當使用下列配置組合之一時,才會將WLAN推送到所有無線電:
-
WPA3 + AES密碼+ 802.1x-SHA256(FT)AKM
-
WPA3 + AES密碼+ OWE AKM
-
WPA3 + AES密碼+ SAE(FT)AKM
-
WPA3 + CCMP256密碼+ SUITEB192-1X AKM
-
WPA3 + GCMP128密碼+ SUITEB-1X AKM
-
WPA3 + GCMP256密碼+ SUITEB192-1X AKM
-
基本配置
為WLAN配置了僅6GHz的無線電策略和UPR(廣播探測響應)發現方法:
WLAN基本配置
6GHz RF配置檔案配置
驗證
安全驗證
本節介紹使用以下WPA3協定組合的安全配置和客戶端關聯階段:
- WPA3- AES(CCMP128)+ OWE
- OWE轉換模式
- WPA3 — 個人
- AES(CCMP128)+ SAE
- WPA3 — 企業
- AES(CCMP128)+ 802.1x-SHA256
- AES(CCMP128)+ 802.1x-SHA256 + FT
- GCMP128密碼+ SUITEB-1X
- GCMP256密碼+ SUITEB192-1X
註:在撰寫本文檔時,即使沒有支援GCMP128密碼+ SUITEB-1X的客戶端,也會測試該客戶端是否被廣播並檢查信標中的RSN資訊。
WPA3 - AES(CCPM128)+ OWE
以下是WLAN安全配置:
OWE安全設定
在WLC GUI上檢視WLAN安全設定:
WLC GUI上的WLAN安全設定
在這裡,我們可以觀察Wi-Fi 6E客戶端的連線過程:
英特爾AX211
此處我們展示了客戶端Intel AX211的完整連線過程。
OWE發現
在這裡你可以看到OTA的信標。 AP在RSN資訊元素下使用OWE的AKM套件選擇器通告對OWE的支援。
您可以看到AKM套件型別值18(00-0F-AC:18)表示OWE支援。
OWE信標幀
如果您檢視RSN功能欄位,可以看到AP正在通告管理幀保護(MFP)功能和MFP所需位設定為1。
OWE關聯
您可以看到以廣播模式傳送的UPR,然後是關聯本身。
OWE從OPEN身份驗證請求和響應開始:
然後,要進行OWE的客戶端必須在關聯請求幀的RSN IE中指示OWE AKM,並包含Diffie Helman(DH)引數元素:
OWE關聯響應
在關聯響應之後,我們可以看到四向握手和客戶端進入連線狀態。
您可以在WLC GUI上看到使用者端詳細資訊:
NetGear A8000
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
畫素6a
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
三星S23
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
WPA3 - AES(CCPM128)+ OWE(帶過渡模式)
本文檔中提供了OWE轉換模式的詳細配置和故障排除:使用轉換模式配置增強型開放式SSID - OWE。
WPA3 — 個人 — AES(CCMP128)+ SAE
WLAN安全配置:
WPA3 SAE配置
注意:請記住,6 GHz無線電策略不允許搜尋和平移。配置僅6GHz WLAN時,必須選擇H2E SAE Password Element。
在WLC GUI上檢視WLAN安全設定:
驗證OTA的信標:
WPA3 SAE信標
在這裡,我們可以觀察Wi-Fi 6E客戶端的關聯:
英特爾AX211
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
NetGear A8000
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
畫素6a
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
三星S23
連線OTA,側重於來自客戶端的RSN資訊:
WLC中的使用者端詳細資訊:
WPA3 — 個人 — AES(CCMP128)+ SAE + FT
WLAN安全配置:
注意:在「身份驗證金鑰管理」中,WLC允許在未啟用SAE的情況下選擇FT+SAE,但觀察到客戶端無法連線。如果要將SAE與快速轉換一起使用,請始終啟用SAE和FT+SAE這兩個覈取方塊。
在WLC GUI上檢視WLAN安全設定:
驗證OTA的信標:
WPA3 SAE + FT信標
在這裡,我們可以觀察Wi-Fi 6E客戶端的關聯:
英特爾AX211
連線OTA,側重於來自客戶端的RSN資訊:
可以在其中看到PMKID的漫遊事件:
WPA3 SAE + FT重新關聯請求
WLC中的使用者端詳細資訊:
NetGear A8000
連線OTA,側重於來自客戶端的RSN資訊。初始連線:
ssss
WLC中的使用者端詳細資訊:
畫素6a
啟用FT時,裝置無法漫遊。
三星S23
啟用FT時,裝置無法漫遊。
WPA3-Enterprise + AES(CCMP128)+ 802.1x-SHA256 + FT
WLAN安全配置:
WPA3企業版802.1x-SHA256 + FTWLAN安全配置
在WLC GUI上檢視WLAN安全設定:
在這裡,我們可以看到ISE Live日誌顯示來自每台裝置的身份驗證:
ISE 即時記錄
OTA的信標如下所示:
WPA3企業版802.1x +FT信標
在這裡,我們可以觀察Wi-Fi 6E客戶端的關聯:
英特爾AX211
連線OTA,重點是在漫遊事件上來自客戶端的RSN資訊:
WPA3企業版802.1x + FT漫遊事件
如果從WLAN手動刪除使用者端(例如從WLC GUI),則會發生有趣的行為。客戶端收到一個取消關聯幀,但嘗試重新連線到同一個AP,並使用重新關聯幀後跟一個完整的EAP交換,因為客戶端詳細資訊已從AP/WLC中刪除。
這基本上與新的關聯過程中的幀交換相同。此處您可以看到幀交換:
WPA3企業版802.1x + FT Ax211連線流
WLC中的使用者端詳細資訊:
WPA3企業版802.1x + FT客戶端詳細資訊
該客戶端還使用FT在DS上進行了測試,並且能夠使用802.11r漫遊:
AX211漫遊,帶FT over DS
我們還可以看到英國《金融時報》的漫遊活動:
含FT的WPA3企業版
和來自wlc的客戶端ra跟蹤:
NetGear A8000
此客戶端不支援WPA3-Enterprise。
畫素6a
連線OTA,側重於來自客戶端的RSN資訊:
WPA3企業802.1x + FT Pixel6a關聯
WLC中的使用者端詳細資訊:
WPA3企業版802.1x + FT Pixel6a客戶端詳細資訊
關注漫遊型別Over the Air,在此我們可以看到漫遊型別802.11R:
三星S23
連線OTA,側重於來自客戶端的RSN資訊:
S23 FToTA漫遊事件
WLC中的使用者端詳細資訊:
S23客戶端屬性
關注漫遊型別Over the Air,在此我們可以看到漫遊型別802.11R:
S23漫遊型別802.11R
該客戶端還使用FT在DS上進行了測試,並且能夠使用802.11r漫遊:
S23漫遊FToDS資料包
WPA3 — 企業+ GCMP128密碼+ SUITEB-1X
WLAN安全配置:
WPA3企業套件B-1X安全配置
註:SUITEB-1X不支援FT
在WLC GUI上檢視WLAN安全設定:
驗證OTA的信標:
WPA3企業套件B-1X信標
測試的所有客戶端均無法使用SuiteB-1X連線到WLAN,確認它們均不支援此安全方法。
WPA3-Enterprise + GCMP256密碼+ SUITEB192-1X
WLAN安全配置:
WPA3 Enterprise SUITEB192-1x安全設定
註:GCMP256+SUITEB192-1X不支援FT。
WLC上的WLAN GUI WLANs清單:
用於測試的WLAN
驗證OTA的信標:
WPA3企業版SUITEB192-1x信標
在這裡,我們可以觀察Wi-Fi 6E客戶端的關聯:
英特爾AX211
連線OTA,側重於來自客戶端的RSN資訊:
採用EAP-TLS的WPA3企業版與英特爾AX211客戶端和RSN資訊關聯
以及EAP-TLS交換:
採用EAP-TLS的WPA3企業版與英特爾AX211客戶端和EAP-TLS焦點關聯
WLC中的使用者端詳細資訊:
採用EAP-TLS客戶端詳細資訊的WPA3企業版
NetGear A8000
此客戶端不支援WPA3-Enterprise。
畫素6a
在撰寫本文檔的日期,此客戶端無法使用EAP-TLS連線到WPA3企業版。
這是一個正在處理的客戶端問題,一旦解決,將更新此文檔。
三星S23
在撰寫本文檔的日期,此客戶端無法使用EAP-TLS連線到WPA3企業版。
這是一個正在處理的客戶端問題,一旦解決,將更新此文檔。
安全結論
經過前面所有測試,得出以下結論:
| 通訊協定 |
加密 |
AKM |
AKM密碼 |
EAP方法 |
FT-OverTA |
FT-OverDS |
英特爾AX210 |
三星/Google Android |
NetGear A8000 |
| OWE |
AES-CCMP128 |
OWE |
不。 |
不。 |
不適用 |
不適用 |
支援 |
支援 |
支援 |
| SAE |
AES-CCMP128 |
SAE(僅限H2E) |
SHA256 |
不。 |
支援 |
支援 |
支援:僅H2E和FT-oTA |
支援:僅限H2E。 |
支援 : |
| 企業 |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
支援 |
支援 |
支援:SHA256和FT-oTA/oDS |
支援:SHA256和FT-oTA、FT-oDS(S23) |
支援:SHA256和FT-oTA |
| 企業 |
GCMP128 |
SuiteB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
不支援 |
不支援 |
不支援 |
不支援 |
不支援 |
| 企業 |
GCMP256 |
SuiteB-192 |
SHA384-SuiteB |
TLS |
不支援 |
不支援 |
不適用/待定 |
不適用/待定 |
不支援 |
疑難排解
本文中使用的故障排除基於聯機文檔:
故障排除的一般指南是使用客戶端mac地址收集WLC在調試模式下的RA跟蹤,以確保客戶端使用裝置mac而不是隨機mac地址進行連線。
對於Over the Air故障排除,建議在監聽器模式下使用AP捕獲客戶端服務AP的通道上的流量。
註:使用debug命令之前,請先參閱有關Debug命令的重要資訊。
相關資訊
Cisco Live — 使用Catalyst Wi-Fi 6E接入點設計下一代無線網路
Cisco Catalyst 9800系列無線控制器軟體組態設定指南17.9.x
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Aug-2023 |
初始版本 |
意見