El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
En este documento se describe cómo configurar la seguridad de la capa 2 de la WLAN de Wi-Fi 6E y qué esperar en diferentes clientes.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Lo más importante es que Wi-Fi 6E no es un estándar completamente nuevo, sino una extensión. En su base, Wi-Fi 6E es una extensión del estándar inalámbrico Wi-Fi 6 (802.11ax) en la banda de radiofrecuencia de 6 GHz.
Wi-Fi 6E se basa en Wi-Fi 6, que es la última generación del estándar Wi-Fi, pero solo los dispositivos y aplicaciones Wi-Fi 6E pueden funcionar en la banda de 6 GHz.
Wi-Fi 6E aumenta la seguridad con Wi-Fi Protected Access 3 (WPA3) y Opportunistic Wireless Encryption (OWE), y no hay compatibilidad con versiones anteriores con la seguridad Open (abierta) y WPA2.
WPA3 y Enhanced Open Security son ahora obligatorios para la certificación Wi-Fi 6E y Wi-Fi 6E también requiere Protected Management Frame (PMF) tanto en el punto de acceso como en los clientes.
Al configurar un SSID de 6 GHz, deben cumplirse determinados requisitos de seguridad:
WPA3 está diseñado para mejorar la seguridad Wi-Fi al permitir una mejor autenticación a través de WPA2, proporcionar una mayor resistencia criptográfica y aumentar la resistencia de las redes críticas.
Entre las funciones clave de WPA3 se incluyen:
WPA3 tiene que ver con el desarrollo y la conformidad continuos de la seguridad, así como con la interoperabilidad.
No hay ningún elemento de información que designe WPA3 (igual que WPA2). WPA3 se define mediante combinaciones AKM/Cipher Suite/PMF.
En la configuración WLAN 9800, tiene 4 algoritmos de encriptación WPA3 diferentes que puede utilizar.
Se basan en Galois/Counter Mode Protocol (GCMP) y Counter Mode con Cipher Block Chaining Message Authentication Code Protocol (CCMP): AES (CCMP128), CCMP256, GCMP128 y GCMP256:
PMF
El PMF se activa en una WLAN cuando se habilita el PMF.
De forma predeterminada, las tramas de administración 802.11 no están autenticadas y, por lo tanto, no están protegidas contra la suplantación. El marco de protección de administración de infraestructura (MFP) y los marcos de administración protegidos (PMF) 802.11w proporcionan protección frente a este tipo de ataques.
Administración de claves de autenticación
Estas son las opciones de AKM disponibles en la versión 17.9.x:
Observe que no hay "FT + 802.1x-SHA256" en la GUI. Esto se debe a que:
Si sólo desea admitir clientes FT, puede tener un SSID WPA3 con "FT+802.1x" únicamente. Si desea admitir tanto clientes FT como no FT, puede tener un SSID WPA3 con FT+802.1x y 802.1x-SHA256.
En resumen, no hay ningún AKM diferente para FT en 802.1x para WPA3, ya que el existente ya era compatible con WPA3.
La siguiente tabla muestra los diferentes valores AKM definidos en el documento IEEE Std 802.11™-2020.
Tenga en cuenta que AKM 8 y 9 se utilizan con SAE, AKM 1,3,5,11 se utilizan solo para WPA3-Enterprise o transición WPA3-Enterprise, AKM 12,13 se utilizan para WPA3-Enterprise con 192 bits y AKM 18 para Enhanced Open (OWE).
OUI |
Tipo de conjunto |
Tipo de autenticación |
Descripción |
00-0F-AC |
0 |
Reservado |
Reservado |
00-0F-AC |
1 |
Estándar 802.1x: SHA1 |
Autenticación negociada sobre el estándar IEEE 802.1X compatible con SHA1 |
00-0F-AC |
2 |
PSK: SHA-1 |
Clave precompartida compatible con SHA1 |
00-0F-AC |
3 |
FT sobre 802.1x - SHA256 |
Autenticación de transición rápida negociada a través de IEEE Std 802.1X compatible con SHA256 |
00-0F-AC |
4 |
FT sobre PSK: SHA256 |
Autenticación de transición rápida mediante PSK compatible con SHA-256 |
00-0F-AC |
5 |
Estándar 802.1x: SHA256 |
Autenticación negociada sobre IEEE Std 802.1X |
00-0F-AC |
6 |
PSK: SHA256 |
Clave precompartida compatible con SHA256 |
00-0F-AC |
7 |
TDLS |
TPK Handshake compatible con SHA256 |
00-0F-AC |
8 |
SAE: SHA256 |
Autenticación simultánea de iguales mediante SHA256 |
00-0F-AC |
9 |
FT sobre SAE - SHA256 |
Transición rápida sobre autenticación simultánea de iguales mediante SHA256 |
00-0F-AC |
10 |
Autenticación APPeerKey: SHA256 |
Autenticación APPeerKey con SHA-256 |
00-0F-AC |
11 |
Estándar 802.1x Suite B: SHA256 |
Autenticación negociada a través de IEEE Std 802.1X mediante un método EAP compatible con Suite B compatible con SHA-256 |
00-0F-AC |
12 |
Estándar 802.1x Suite B: SHA384 |
Autenticación negociada a través de IEEE Std 802.1X mediante un método EAP compatible con CNSA Suite que admite SHA384 |
00-0F-AC |
13 |
FT sobre 802.1x - SHA384 |
Autenticación de transición rápida negociada a través de IEEE Std 802.1X compatible con SHA384 |
00-0F-AC |
14 |
FILS con SHA256 y AES-SIV-256 |
Gestión de claves sobre FILS mediante SHA-256 y AES-SIV-256, o autenticación negociada sobre IEEE Std 802.1X |
00-0F-AC |
15 |
FILS con SHA384 y AES-SIV-512 |
Gestión de claves sobre FILS mediante SHA-384 y AES-SIV-512, o autenticación negociada sobre IEEE Std 802.1X |
00-0F-AC |
16 |
FT sobre FILS (SHA256) |
Autenticación Fast Transition sobre FILS con SHA-256 y AES-SIV-256 o autenticación negociada sobre IEEE Std 802.1X |
00-0F-AC |
17 |
FT sobre FILS (SHA384) |
Autenticación de transición rápida sobre FILS con SHA-384 y AES-SIV-512, o autenticación negociada sobre IEEE Std 802.1X |
00-0F-AC |
18 |
Reservado |
Utilizado para OWE por WiFi Alliance |
00-0F-AC |
19 |
FT sobre PSK: SHA384 |
Autenticación de transición rápida mediante PSK con SHA384 |
00-0F-AC |
20 |
PSK-SHA384 |
Clave precompartida compatible con SHA384 |
00-0F-AC |
21-255 |
Reservado |
Reservado |
00-0F-AC |
cualquiera |
Específico del proveedor |
Específico del proveedor |
Tomar nota de que algunos AKM se refieren a "SuiteB", que es un conjunto de algoritmos criptográficos (para proporcionar seguridad de 128 bits y 192 bits) definido por la NSA (Agencia Nacional de Seguridad) en 2005. La NSA sustituyó la Suite B por la CNSA (Commercial National Security Algorithm Suite), para proporcionar una seguridad mínima de 192 bits, en 2018. El modo WPA3-Enterprise de 192 bits utiliza la encriptación AES-256-GCMP y utiliza los conjuntos de cifrado aprobados por CNSA que se muestran a continuación:
DEBER
El cifrado inalámbrico oportunista (OWE) es una extensión de IEEE 802.11 que proporciona cifrado del medio inalámbrico (IETF RFC 8110). El propósito de la autenticación basada en OWE es evitar la conectividad inalámbrica abierta no segura entre los AP y los clientes. La OWE utiliza la criptografía basada en los algoritmos Diffie-Hellman para configurar el cifrado inalámbrico. Con OWE, el cliente y el AP realizan un intercambio de claves Diffie-Hellman durante el procedimiento de acceso y utilizan el secreto de clave maestra en pares (PMK) resultante con el protocolo de enlace de 4 vías. El uso de OWE mejora la seguridad de la red inalámbrica en aquellas implementaciones en las que se implementan redes abiertas o compartidas basadas en PSK.
SAE
WPA3 utiliza un nuevo mecanismo de autenticación y administración de claves denominado Autenticación simultánea de iguales. Este mecanismo se mejora aún más mediante el uso de Hash-to-Element (H2E) SAE.
SAE con H2E es obligatorio para WPA3 y Wi-Fi 6E.
SAE emplea una criptografía de logaritmo discreta para realizar un intercambio eficiente de una manera que realiza la autenticación mutua utilizando una contraseña que probablemente sea resistente a un ataque de diccionario sin conexión.
Un ataque de diccionario sin conexión es cuando un adversario intenta determinar una contraseña de red intentando posibles contraseñas sin más interacción de red.
Cuando el cliente se conecta al punto de acceso, realiza un intercambio SAE. Si tienen éxito, crean una clave criptográficamente segura, de la que se deriva la clave de sesión. Básicamente, un cliente y un punto de acceso entran en fases de confirmación y luego confirman.
Una vez que hay un compromiso, el cliente y el punto de acceso pueden entrar en los estados de confirmación cada vez que hay una clave de sesión que se debe generar. El método utiliza la confidencialidad directa, donde un intruso podría descifrar una sola clave, pero no todas las demás.
Hash a elemento (H2E)
Hash-to-Element (H2E) es un nuevo método SAE Password Element (PWE). En este método, el PWE secreto utilizado en el protocolo SAE se genera a partir de una contraseña.
Cuando una estación (STA) que soporta H2E inicia SAE con un AP, verifica si AP soporta H2E. Si la respuesta es sí, el AP utiliza el H2E para derivar el PWE usando un valor de código de estado recién definido en el mensaje de confirmación SAE.
Si STA utiliza Hunting-and-Pecking (HnP), todo el intercambio SAE permanece sin cambios.
Mientras se utiliza el H2E, la derivación PWE se divide en estos componentes:
Derivación de un elemento intermediario secreto (PT) de la contraseña. Esto se puede realizar sin conexión cuando la contraseña se configura inicialmente en el dispositivo para cada grupo admitido.
Derivación del PWE del PT almacenado. Esto depende del grupo negociado y de las direcciones MAC de los peers. Esto se realiza en tiempo real durante el intercambio SAE.
Nota: 6 GHz admite únicamente el método PWE SAE de hash a elemento.
WPA-Enterprise (802.1x)
WPA3-Enterprise es la versión más segura de WPA3 y utiliza una combinación de nombre de usuario y contraseña con 802.1X para la autenticación de usuarios con un servidor RADIUS. De forma predeterminada, WPA3 utiliza encriptación de 128 bits, pero también introduce una encriptación de 192 bits configurable opcionalmente, que proporciona protección adicional a cualquier red que transmita datos confidenciales.
La seguridad WPA3 de 192 bits será exclusiva para EAP-TLS, que requerirá certificados tanto en el solicitante como en el servidor RADIUS.
Para utilizar WPA3 Enterprise de 192 bits, los servidores RADIUS deben utilizar uno de los cifrados EAP permitidos:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
Para obtener más información sobre la implementación de WPA3 en las WLAN de Cisco, incluida la matriz de compatibilidad de seguridad del cliente, no dude en consultar la Guía de implementación de WPA3.
Puede encontrar la asistencia para productos WPA3-Enterprise mediante la página web de WiFi Alliance buscador de productos.
En los dispositivos Windows, puede verificar cuáles son las configuraciones de seguridad admitidas por el adaptador mediante el comando "netsh wlan show drivers".
Aquí puede ver el resultado del Intel AX211:
Netgear A8000:
Android Pixel 6a:
Samsung S23:
Sobre la base de los resultados anteriores, podemos concluir esta tabla:
En esta sección, se muestra la configuración WLAN básica. El perfil de política utilizado es siempre el mismo mediante Asociación central/Autenticación/DHCP/Switching.
Más adelante en el documento, se muestra cómo configurar cada combinación de seguridad de capa 2 Wi-Fi 6E y cómo verificar la configuración y el comportamiento esperado.
Recuerde que Wi-Fi 6E requiere WPA3 y estas son las restricciones de la política de radio WLAN:
La WLAN se envía a todas las radios sólo si se utiliza una de las combinaciones de configuración:
WPA3 + cifrado AES + AKM 802.1x-SHA256 (FT)
WPA3 + cifrado AES + AKM OWE
WPA3 + cifrado AES + AKM SAE (FT)
WPA3 + cifrado CCMP256 + AKM SUITEB192-1X
WPA3 + cifrado GCMP128 + SUITEB-1X AKM
WPA3 + cifrado GCMP256 + AKM SUITEB192-1X
La WLAN se configuró con el método de detección de política de radio y UPR (Respuesta de sondeo de difusión) solo de 6 GHz:
En esta sección se presenta la fase de asociación de cliente y configuración de seguridad mediante las siguientes combinaciones de protocolos WPA3:
Nota: Aunque no hay clientes que soporten el cifrado GCMP128 + SUITEB-1X al momento de escribir este documento, se probó para observar que se estaba transmitiendo y verificar la información RSN en las balizas.
Esta es la configuración de Seguridad WLAN:
Ver en WLC GUI de los ajustes de seguridad WLAN:
Aquí podemos observar el proceso de conexión de clientes Wi-Fi 6E:
Intel AX211
Aquí mostramos el proceso de conexión completo del cliente Intel AX211.
Descubrimiento de OWE
Aquí puede ver los indicadores OTA. El AP anuncia el soporte para OWE usando el selector de conjunto AKM para OWE bajo el elemento de información RSN.
Puede ver el valor del tipo de conjunto AKM 18 (00-0F-AC:18) que indica el soporte de OWE.
Si observa el campo de capacidades RSN, puede ver que AP anuncia capacidades de protección de tramas de administración (MFP) y bit requerido de MFP establecido en 1.
Asociación OWE
Puede ver el UPR enviado en modo de difusión y luego la asociación misma.
El OWE comienza con la solicitud y respuesta de autenticación OPEN:
Luego, un cliente que quiera hacer OWE debe indicar OWE AKM en la trama RSN IE of Association Request e incluir el elemento de parámetro Diffie Helman (DH):
Después de la respuesta de asociación, podemos ver el protocolo de enlace de 4 vías y el cliente pasa al estado conectado.
Aquí usted puede ver los detalles del cliente en la GUI del WLC:
NetGear A8000
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Píxel 6a
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Samsung S23
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
En este documento encontrará información detallada sobre la configuración y solución de problemas del modo de transición OWE: Configuración de Enhanced Open SSID with Transition Mode - OWE.
Configuración de seguridad WLAN:
Nota: Tenga en cuenta que la política de radio de 6 GHz no permite Hunting y Pecking. Al configurar una WLAN de sólo 6 GHz, debe seleccionar H2E SAE Password Element (Elemento de contraseña SAE H2E).
Ver en WLC GUI de los ajustes de seguridad WLAN:
Verificación de las balizas OTA:
Aquí podemos observar clientes Wi-Fi 6E asociando:
Intel AX211
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
NetGear A8000
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Píxel 6a
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Samsung S23
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Configuración de seguridad WLAN:
Precaución: En la Administración de claves de autenticación, el WLC permite seleccionar FT+SAE sin SAE habilitado, sin embargo se observó que los clientes no podían conectarse. Active siempre ambas casillas de verificación SAE y FT+SAE si desea utilizar SAE con Fast Transition.
Ver en WLC GUI de los ajustes de seguridad WLAN:
Verificación de las balizas OTA:
Aquí podemos observar clientes Wi-Fi 6E asociando:
Intel AX211
Conexión OTA con enfoque en la información RSN del cliente:
Evento de itinerancia en el que puede ver PMKID:
Detalles del cliente en WLC:
NetGear A8000
Conexión OTA con enfoque en la información RSN del cliente. Conexión inicial:
Detalles del cliente en WLC:
Píxel 6a
El dispositivo no pudo desplazarse cuando FT está habilitado.
Samsung S23
El dispositivo no pudo desplazarse cuando FT está habilitado.
Configuración de seguridad WLAN:
Ver en WLC GUI de los ajustes de seguridad WLAN:
Aquí podemos ver los registros en directo de ISE que muestran las autenticaciones procedentes de cada dispositivo:
Las balizas OTA se ven así:
Aquí podemos observar clientes Wi-Fi 6E asociando:
Intel AX211
Conexión OTA con enfoque en la información RSN del cliente en un evento de roaming:
Un comportamiento interesante ocurre si usted elimina manualmente el cliente de la WLAN (de la GUI del WLC por ejemplo). El cliente recibe una trama de desasociación pero intenta volver a conectarse al mismo AP y utiliza una trama de reasociación seguida por un intercambio EAP completo porque los detalles del cliente se eliminaron del AP/WLC.
Se trata básicamente del mismo intercambio de tramas que en un nuevo proceso de asociación. Aquí puede ver el intercambio de tramas:
Detalles del cliente en WLC:
Este cliente también se probó con FT en la DS y pudo desplazarse usando 802.11r:
También podemos ver los eventos de itinerancia de FT:
Y el cliente traza desde wlc:
NetGear A8000
WPA3-Enterprise no se admite en este cliente.
Píxel 6a
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Céntrese en el tipo de itinerancia "Over the Air", donde se puede ver el tipo de itinerancia 802.11R:
Samsung S23
Conexión OTA con enfoque en la información RSN del cliente:
Detalles del cliente en WLC:
Céntrese en el tipo de itinerancia "Over the Air", donde se puede ver el tipo de itinerancia 802.11R:
Este cliente también se probó con FT en la DS y pudo desplazarse usando 802.11r:
Configuración de seguridad WLAN:
Nota: FT no es compatible con SUITEB-1X
Ver en WLC GUI de los ajustes de seguridad WLAN:
Verificación de las balizas OTA:
Ninguno de los clientes probados pudo conectarse a la WLAN mediante SuiteB-1X, lo que confirma que ninguno admite este método de seguridad.
Configuración de seguridad WLAN:
Nota: FT no es compatible con GCMP256+SUITEB192-1X.
WLAN en la lista WLANs de la GUI del WLC:
Verificación de las balizas OTA:
Aquí podemos observar clientes Wi-Fi 6E asociando:
Intel AX211
Conexión OTA con enfoque en la información RSN del cliente:
Y el intercambio EAP-TLS:
Detalles del cliente en WLC:
NetGear A8000
WPA3-Enterprise no se admite en este cliente.
Píxel 6a
En la fecha de escritura de este documento, este cliente no podía conectarse a WPA3 Enterprise mediante EAP-TLS.
Se trataba de un problema relacionado con el cliente que se estaba tratando y, tan pronto como se resolviera, se actualizaría el presente documento.
Samsung S23
En la fecha de escritura de este documento, este cliente no podía conectarse a WPA3 Enterprise mediante EAP-TLS.
Se trataba de un problema relacionado con el cliente que se estaba tratando y, tan pronto como se resolviera, se actualizaría el presente documento.
Después de todas las pruebas anteriores, estas son las conclusiones resultantes:
Protocolo |
Cifrado |
AKM |
Cifrado AKM |
Método EAP |
FT-OverTA |
FT-OverDS |
Intel AX211 |
Samsung/Google Android |
NetGear A8000 |
DEBER |
AES-CCMP128 |
DEBER |
NA. |
NA. |
NA |
NA |
Supported |
Supported |
Supported |
SAE |
AES-CCMP128 |
SAE (sólo H2E) |
SHA256 |
NA. |
Supported |
Supported |
Admitido: Sólo H2E y FT-TA |
Admitido: Sólo H2E. |
Admitido: |
Empresa |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
Supported |
Supported |
Admitido: SHA256 y FT-TA/oDS |
Admitido: SHA256 y FT-TA, FT-oDS (S23) |
Admitido: SHA256 y FT-TA |
Empresa |
GCMP128 |
SuiteB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
Not Supported |
Not Supported |
Not Supported |
Not Supported |
Not Supported |
Empresa |
GCMP256 |
SuiteB-192 |
SHA384-SuiteB |
TLS |
Not Supported |
Not Supported |
NA/TBD |
NA/TBD |
Not Supported |
La solución de problemas utilizada en este documento se basó en el documento en línea:
Solucionar problemas de COS AP
La pauta general para la resolución de problemas es recolectar el seguimiento de RA en el modo de depuración del WLC usando la dirección MAC del cliente asegurándose de que el cliente se conecte usando la MAC del dispositivo y no una dirección MAC aleatoria.
Para la resolución de problemas por el aire, la recomendación es utilizar el AP en el modo del sabueso que captura el tráfico en el canal del AP que sirve al cliente.
Nota: Consulte Información Importante sobre los Comandos Debug antes de utilizar los comandos debug.
¿Qué es Wi-Fi 6 frente a Wi-Fi 6E?
Wi-Fi 6E: El siguiente gran capítulo del informe técnico sobre Wi-Fi
Guía de configuración del software del controlador inalámbrico Cisco Catalyst serie 9800 17.9.x
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
08-Aug-2023 |
Versión inicial |