Configurer et vérifier la sécurité de la couche 2 du réseau WLAN Wi-Fi 6E

Introduction

Ce document décrit comment configurer la sécurité de couche 2 du WLAN Wi-Fi 6E et ce à quoi il faut s'attendre de la part des différents clients.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Contrôleurs LAN sans fil Cisco (WLC) 9800
• Points d'accès Cisco prenant en charge le Wi-Fi 6E. 
• Norme IEEE 802.11ax.
• Outils: Wireshark v4.0.6

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• WLC 9800-CL avec IOS® XE 17.9.3.
• AP C9136, CW9162, CW9164 et CW9166.
• Clients Wi-Fi 6E :
  • Carte Lenovo X1 Carbon Gen11 avec Intel AX211 Wi-Fi 6 et 6E avec pilote version 22.200.2(1).
  • Adaptateur Wi-Fi 6 et 6E Netgear A8000 avec pilote v1(0.0.108);
  • Téléphone portable Pixel 6a avec Android 13 ;
  • Téléphone portable Samsung S23 avec Android 13.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

Il est important de savoir que le Wi-Fi 6E n'est pas une norme entièrement nouvelle, mais une extension. À sa base, le Wi-Fi 6E est une extension de la norme sans fil Wi-Fi 6 (802.11ax) dans la bande de fréquences radio de 6 GHz.

Le Wi-Fi 6E repose sur le Wi-Fi 6, qui est la dernière génération de la norme Wi-Fi, mais seuls les périphériques et applications Wi-Fi 6E peuvent fonctionner dans la bande 6 GHz.

Sécurité Wi-Fi 6E

Le Wi-Fi 6E renforce la sécurité grâce à la norme Wi-Fi Protected Access 3 (WPA3) et au cryptage sans fil opportuniste (OWE) et il n'y a pas de rétrocompatibilité avec la sécurité Open et WPA2.

WPA3 et Enhanced Open Security sont désormais obligatoires pour la certification Wi-Fi 6E et Wi-Fi 6E nécessite également la technologie Protected Management Frame (PMF) dans les points d'accès et les clients.

Lors de la configuration d'un SSID 6 GHz, certaines exigences de sécurité doivent être respectées :

• Sécurité WPA3 L2 avec OWE, SAE ou 802.1x-SHA256
• trame de gestion protégée activée ;
• Toute autre méthode de sécurité de couche 2 n'est pas autorisée, c'est-à-dire qu'aucun mode mixte n'est possible.

WPA3

WPA3 est conçu pour améliorer la sécurité Wi-Fi en permettant une meilleure authentification sur WPA2, en fournissant une puissance cryptographique étendue et en augmentant la résilience des réseaux critiques.

Fonctionnalités clés du WPA3 :

• La trame de gestion protégée (PMF) protège les trames de gestion de monodiffusion et de diffusion et chiffre les trames de gestion de monodiffusion. Cela signifie que les systèmes de détection et de prévention des intrusions sans fil disposent désormais de moins de moyens de force brute pour appliquer les stratégies client.
• L'authentification simultanée d'égal à égal (SAE) permet l'authentification par mot de passe et un mécanisme d'accord de clé. Cela permet de se protéger contre les attaques en force.
• Le mode de transition est un mode mixte qui permet d'utiliser WPA2 pour connecter des clients qui ne prennent pas en charge WPA3.

Le WPA3 concerne le développement continu de la sécurité et de la conformité, ainsi que l'interopérabilité.
Aucun élément d'information ne désigne WPA3 (comme WPA2). WPA3 est défini par les combinaisons AKM/Cipher Suite/PMF.

Dans la configuration WLAN du 9800, vous pouvez utiliser 4 algorithmes de cryptage WPA3 différents.

Ils sont basés sur les protocoles Galois/Counter Mode Protocol (GCMP) et Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP) : AES (CCMP128), CCMP256, GCMP128 et GCMP256 : 

Options de cryptage WPA2/3

PMF

PMF est activé sur un WLAN lorsque vous activez PMF.

Par défaut, les trames de gestion 802.11 ne sont pas authentifiées et ne sont donc pas protégées contre l’usurpation. Infrastructure Management Protection Frame (MFP) et 802.11w protected management frames (PMF) assurent une protection contre de telles attaques.

Options PMF

Gestion des clés d'authentification

Voici les options AKM disponibles dans la version 17.9.x :

Options AKM

Notez qu'il n'y a pas de « FT + 802.1x-SHA256 » dans l'interface utilisateur graphique. En effet :

• 802.1X fait référence à AKM 1 et est la norme 802.1X - SHA1. L'interface utilisateur graphique ne la propose que pour les politiques « WPA2 » ou « WPA2+3 ». 
• FT + 802.1x est AKM 3 et est en fait FT sur 802.1X-SHA256. Cela était déjà utilisable dans WPA2, mais comme il utilise déjà SHA256, il est qualifié de conforme WPA3.
• 802.1X - SHA256 est conforme à la norme AKM 5 et à la norme WPA3.

Si vous souhaitez prendre en charge uniquement le client FTP, vous pouvez disposer d'un SSID WPA3 avec uniquement « FT+802.1x ». Si vous souhaitez prendre en charge les clients FT et non-FT, vous pouvez avoir un SSID WPA3 avec FT+802.1x et 802.1x-SHA256.

En résumé, il n'y a pas d'AKM différent pour FT sur 802.1x pour WPA3 car l'AKM existant était déjà conforme WPA3.

Le tableau ci-dessous présente les différentes valeurs AKM définies dans le document IEEE Std 802.11™-2020.

Veuillez noter que les modules AKM 8 et 9 sont utilisés avec SAE, les modules AKM 1,3,5,11 sont utilisés pour WPA3-Enterprise uniquement ou WPA3-Enterprise transition, les modules AKM 12,13 sont utilisés pour WPA3-Enterprise utilisant 192 bits et les modules AKM 18 pour Enhanced Open (OWE).

OUI	Type de suite	Type d'authentification	Description
00-0F-AC	0	Réservé	Réservé
00-0F-AC	1	802.1x standard - SHA1	Authentification négociée sur la norme IEEE 802.1X prenant en charge SHA1
00-0F-AC	2	PSK - SHA-1	Clé pré-partagée prenant en charge SHA1
00-0F-AC	3	FT sur 802.1x - SHA256	Authentification de transition rapide négociée sur IEEE Std 802.1X prenant en charge SHA256
00-0F-AC	4	FT sur PSK - SHA256	Authentification de transition rapide utilisant PSK prenant en charge SHA-256
00-0F-AC	5	802.1x standard - SHA256	Authentification négociée sur IEEE Std 802.1X
00-0F-AC	6	PSK - SHA256	Clé pré-partagée prenant en charge SHA256
00-0F-AC	7	TDLS	Connexion TPK prenant en charge SHA256
00-0F-AC	8	SAE - SHA256	Authentification simultanée de Equals à l'aide de SHA256
00-0F-AC	9	FT sur SAE - SHA256	Transition rapide vers l'authentification simultanée d'Equals à l'aide de SHA256
00-0F-AC	10	Authentification APPeerKey - SHA256	Authentification APPeerKey avec SHA-256
00-0F-AC	11	Suite B standard 802.1x - SHA256	Authentification négociée sur la norme IEEE 802.1X à l'aide d'une méthode EAP compatible Suite B prenant en charge SHA-256
00-0F-AC	12	Suite B standard 802.1x - SHA384	Authentification négociée sur la norme IEEE 802.1X à l'aide d'une méthode EAP conforme à la suite CNSA prenant en charge SHA384
00-0F-AC	13	FT sur 802.1x - SHA384	Authentification de transition rapide négociée sur IEEE Std 802.1X prenant en charge SHA384
00-0F-AC	14	FILS avec SHA256 et AES-SIV-256	Gestion des clés sur FILS avec SHA-256 et AES-SIV-256, ou authentification négociée sur IEEE Std 802.1X
00-0F-AC	15	FILS avec SHA384 et AES-SIV-512	Gestion des clés sur FILS avec SHA-384 et AES-SIV-512, ou authentification négociée sur IEEE Std 802.1X
00-0F-AC	16	FT sur FILS (SHA256)	Authentification de transition rapide sur FILS avec SHA-256 et AES-SIV-256 ou authentification négociée sur IEEE Std 802.1X
00-0F-AC	17	FT sur FILS (SHA384)	Authentification de transition rapide sur FILS avec SHA-384 et AES-SIV-512, ou authentification négociée sur IEEE Std 802.1X
00-0F-AC	18	Réservé	Utilisé pour OWE par WiFi Alliance
00-0F-AC	19	FT sur PSK - SHA384	Authentification de transition rapide utilisant PSK avec SHA384
00-0F-AC	20	PSK-SHA384	Clé pré-partagée prenant en charge SHA384
00-0F-AC	21-255	Réservé	Réservé
00-0F-AC	tous les modèles	Spécifique au fournisseur	Spécifique au fournisseur

A noter que certains AKM se réfèrent à « SuiteB » qui est un ensemble d'algorithmes cryptographiques (pour fournir une sécurité de 128 bits et 192 bits) définis par la NSA (National Security Agency) en 2005. La NSA a remplacé la Suite B par la CNSA (Commercial National Security Algorithm Suite), pour fournir une sécurité minimale de 192 bits, en 2018. Le mode WPA3-Enterprise 192 bits utilise le cryptage AES-256-GCMP et les suites de cryptage approuvées par la CNSA répertoriées ci-dessous :

• AES-256-GCMP : Chiffrement authentifié.
• HMAC-SHA-384 pour la dérivation et la confirmation de clé.
• ECDHandECDSAutilisation d'une courbe elliptique 384 bits pour l'établissement et l'authentification des clés.

DEVOIR

Opportunistic Wireless Encryption (OWE) est une extension de la norme IEEE 802.11 qui assure le cryptage du support sans fil (IETF RFC 8110). L'objectif de l'authentification basée sur OWE est d'éviter une connectivité sans fil ouverte et non sécurisée entre les points d'accès et les clients. L'OWE utilise le cryptage basé sur les algorithmes Diffie-Hellman pour configurer le cryptage sans fil. Avec OWE, le client et le point d'accès effectuent un échange de clés Diffie-Hellman au cours de la procédure d'accès et utilisent le secret PMK (Pairwise Master Key) résultant avec la connexion en 4 étapes. L'utilisation d'OWE améliore la sécurité du réseau sans fil pour les déploiements où des réseaux basés sur une clé prépartagée ouverte ou partagée sont déployés.

échange de trames OWE

SAE

WPA3 utilise un nouveau mécanisme d'authentification et de gestion des clés appelé Authentification simultanée d'égal à égal. Ce mécanisme est encore amélioré grâce à l'utilisation de SAE Hash-to-Element (H2E).

SAE avec H2E est obligatoire pour WPA3 et Wi-Fi 6E.

SAE utilise une cryptographie à logarithme discret pour effectuer un échange efficace d'une manière qui effectue une authentification mutuelle à l'aide d'un mot de passe qui est probablement résistant à une attaque de dictionnaire hors ligne.

Une attaque par dictionnaire hors connexion est une attaque par laquelle un pirate tente de déterminer un mot de passe réseau en essayant des mots de passe possibles sans autre interaction réseau.

Lorsque le client se connecte au point d'accès, il effectue un échange SAE. En cas de succès, ils créent chacun une clé cryptographiquement forte, à partir de laquelle la clé de session est dérivée. Fondamentalement, un client et un point d'accès passent en phases de validation, puis de confirmation.

Une fois l'engagement pris, le client et le point d'accès peuvent passer à l'état de confirmation chaque fois qu'une clé de session doit être générée. La méthode utilise le secret de transmission, où un intrus pourrait craquer une seule clé, mais pas toutes les autres clés.

échange de trames SAE

Hachage d'élément (H2E)

Hash-to-Element (H2E) est une nouvelle méthode SAE Password Element (PWE). Dans ce procédé, le PWE secret utilisé dans le protocole SAE est généré à partir d'un mot de passe.

Lorsqu'une station (STA) qui prend en charge H2E lance SAE avec un point d'accès, elle vérifie si le point d'accès prend en charge H2E. Si oui, le point d'accès utilise H2E pour dériver le PWE en utilisant une valeur de code d'état nouvellement définie dans le message SAE Commit.

Si STA utilise le protocole HnP (Hunting-and-Pecking), l'ensemble de l'échange SAE reste inchangé.

Lors de l'utilisation de H2E, la dérivation PWE est divisée en ces composants :

• Dérivation d'un élément intermédiaire secret (PT) du mot de passe. Cette opération peut être effectuée hors connexion lorsque le mot de passe est initialement configuré sur le périphérique pour chaque groupe pris en charge.

• Dérivation du PWE à partir du PT stocké. Cela dépend du groupe négocié et des adresses MAC des homologues. Cette opération est effectuée en temps réel lors de l'échange SAE.

WPA-Enterprise alias 802.1x

WPA3-Enterprise est la version la plus sécurisée de WPA3 et utilise une combinaison nom d'utilisateur/mot de passe avec 802.1X pour l'authentification des utilisateurs avec un serveur RADIUS. Par défaut, le WPA3 utilise un cryptage 128 bits, mais il introduit également un cryptage de puissance cryptographique 192 bits éventuellement configurable, qui offre une protection supplémentaire à tout réseau transmettant des données sensibles.

Flux du diagramme WPA3 Enterprise

Jeu de niveaux : Modes WPA3

• WPA3 personnel
  • WPA3-Personal only mode
    • PMF requis
  • WPA3-Mode de transition personnel
    • Règles de configuration : Sur un point d'accès, chaque fois que WPA2-Personal est activé, le mode de transition WPA3-Personal doit également être activé par défaut, à moins que l'administrateur ne le remplace explicitement pour fonctionner en mode WPA2-Personal uniquement

• WPA3-Entreprise
  • WPA3 - mode entreprise uniquement
    • Le PMF doit être négocié pour toutes les connexions WPA3
  • WPA3-Mode transition entreprise
    • Le PMF doit être négocié pour une connexion WPA3
    • PMF en option pour une connexion WPA2
  • Mode WPA3-Enterprise suite-B « 192 bits » aligné sur l'algorithme CNSA (Commercial National Security Algorithm)
    • Plus que pour le seul gouvernement fédéral
    • Des suites de chiffrement cryptographiques cohérentes pour éviter toute erreur de configuration
    • Ajout de GCMP et ECCP pour les fonctions de chiffrement et de hachage (SHA384)
    • PMF requis

    • La sécurité WPA3 192 bits doit être exclusive pour EAP-TLS, qui doit exiger des certificats à la fois sur le demandeur et sur le serveur RADIUS.

    • Pour utiliser WPA3 Enterprise 192 bits, les serveurs RADIUS doivent utiliser l'un des chiffrements EAP autorisés :

      TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Pour en savoir plus sur les informations détaillées sur la mise en oeuvre de WPA3 dans les WLAN Cisco, y compris la matrice de compatibilité de sécurité client, n'hésitez pas à consulter le Guide de déploiement de WPA3.

Points d'accès Cisco Catalyst Wi-Fi 6E

Points d'accès Wi-Fi 6E

Paramètres de sécurité pris en charge

Vous pouvez trouver quelle assistance produit WPA3-Enterprise utilise la page Web WiFi Alliance chercheur de produits.

Sur les périphériques Windows, vous pouvez vérifier quels sont les paramètres de sécurité pris en charge par la carte à l'aide de la commande "netsh wlan show drivers". 

Vous pouvez voir ici la sortie de l'AX211 Intel :

Sortie Windows de _netsh wlan show driver_ pour le client AX211

Netgear A8000 :

Sortie Windows de _netsh wlan show driver_ pour le client Netgear A8000s

Android Pixel 6a :

Paramètres de sécurité pris en charge sur Android Pixel6a

Samsung S23

Paramètres de sécurité pris en charge sur Android S23

D'après les résultats précédents, nous pouvons conclure ce tableau :

Protocoles de sécurité pris en charge par chaque client

Configurer

Cette section présente la configuration WLAN de base. Le profil de stratégie utilisé est toujours le même avec l'association centrale/l'authentification/DHCP/la commutation.

Plus loin dans le document, vous apprendrez à configurer chaque combinaison de sécurité de couche 2 Wi-Fi 6E et à vérifier la configuration et le comportement attendu.

Diagramme du réseau

Diagramme du réseau

Configurations

N'oubliez pas que le Wi-Fi 6E nécessite le WPA3 et que les restrictions suivantes s'appliquent à la politique de radio WLAN :

• Le WLAN est transmis à toutes les radios uniquement si l'une des combinaisons de configuration est utilisée :

  • WPA3 + chiffrement AES + AKM 802.1x-SHA256 (FT)

  • WPA3 + chiffrement AES + AKM OWE

  • WPA3 + chiffrement AES + AKM SAE (FT)

  • Chiffrement WPA3 + CCMP256 + SUITEB192-1X AKM

  • Chiffrement WPA3 + GCMP128 + SUITEB-1X AKM

  • Chiffrement WPA3 + GCMP256 + SUITEB192-1X AKM

Configuration de base

Le WLAN a été configuré avec une méthode de détection de stratégie radio et de réponse de sondage de diffusion (UPR) 6 GHz uniquement :

Configuration de base WLAN

Configuration du profil RF 6 GHz

Vérifier

Vérification de sécurité

Dans cette section, la configuration de la sécurité et la phase d'association du client sont présentées à l'aide des combinaisons de protocoles WPA3 suivantes :

• WPA3- AES(CCMP128) + OWE 
  • Mode de transition OWE

• WPA3 personnel
  • AES(CCMP128) + SAE

•  WPA3-Entreprise
  • AES(CCMP128) + 802.1x-SHA256
  • AES(CCMP128) + 802.1x-SHA256 + FT
  • Chiffrement GCMP128 + SUITEB-1X
  • Chiffrement GCMP256 + SUITEB192-1X

 

WPA3 - AES (CCPM128) + OWE

Voici la configuration de la sécurité WLAN :

Paramètres de sécurité OWE

Affichage sur l'interface graphique utilisateur WLC des paramètres de sécurité WLAN :

Paramètres de sécurité WLAN sur l'interface graphique WLC

Ici, nous pouvons observer le processus de connexion des clients Wi-Fi 6E :

Intel AX211

Nous présentons ici le processus de connexion complet du client Intel AX211.

Détection OWE

Ici vous pouvez voir les balises OTA. Le point d'accès annonce la prise en charge d'OWE en utilisant le sélecteur de suite AKM pour OWE sous l'élément d'information RSN.

Vous pouvez voir le type de suite AKM valeur 18 (00-0F-AC:18) qui indique la prise en charge OWE. 

trame de balise OWE

Si vous regardez le champ de capacités RSN, vous pouvez voir que l'AP annonce à la fois les capacités de protection de trame de gestion (MFP) et le bit requis MFP défini sur 1.

Association OWE

Vous pouvez voir l'UPR envoyé en mode de diffusion, puis l'association elle-même.

Le message OWE commence par la requête et la réponse d'authentification OPEN :

Ensuite, un client qui veut faire OWE doit indiquer OWE AKM dans l'IE RSN de la trame de demande d'association et inclure l'élément de paramètre Diffie Helman (DH) :

Réponse de l'association OWE

Après la réponse d'association, nous pouvons voir la connexion en 4 étapes et le client passe à l'état connecté.

Ici, vous pouvez voir les détails du client sur l'interface utilisateur graphique du WLC :

NetGear A8000

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

Pixel 6a

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

Samsung S23

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

WPA3 - AES (CCPM128) + OWE avec mode de transition

Configuration détaillée et dépannage du mode de transition OWE disponibles dans ce document : Configurez Enhanced Open SSID avec Transition Mode - OWE.

WPA3 personnel - AES(CCMP128) + SAE

Configuration de la sécurité WLAN :

Configuration WPA3 SAE

Affichage sur l'interface graphique utilisateur WLC des paramètres de sécurité WLAN :

Vérification des balises OTA :

Balises SAE WPA3

Ici, nous pouvons observer les clients Wi-Fi 6E associés :

Intel AX211

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

NetGear A8000

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

Pixel 6a

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

Samsung S23

Connexion OTA avec accent sur les informations RSN du client :

Détails du client dans le WLC : 

WPA3 personnel - AES(CCMP128) + SAE + FT

Configuration de la sécurité WLAN :

Affichage sur l'interface graphique utilisateur WLC des paramètres de sécurité WLAN :

Vérification des balises OTA :

WPA3 SAE + balises FT

Ici, nous pouvons observer les clients Wi-Fi 6E associés :

Intel AX211

Connexion OTA avec accent sur les informations RSN du client :

Événement d'itinérance où vous pouvez voir le PMKID :

Demande de réassociation WPA3 SAE + FT

Détails du client dans le WLC : 

NetGear A8000

Connexion OTA avec accent sur les informations RSN du client. Connexion initiale :

ssss

Détails du client dans le WLC : 

Pixel 6a

Le périphérique n'a pas pu se déplacer lorsque FT est activé.

Samsung S23

Le périphérique n'a pas pu se déplacer lorsque FT est activé.

WPA3-Enterprise + AES(CCMP128) + 802.1x-SHA256 + FT

Configuration de la sécurité WLAN :

Configuration de la sécurité WPA3 Enterprise 802.1x-SHA256 + FTWLAN

Affichage sur l'interface graphique utilisateur WLC des paramètres de sécurité WLAN :

Ici, nous pouvons voir les journaux en direct ISE montrant les authentifications provenant de chaque périphérique :

Journaux en direct ISE

Les balises OTA ressemblent à ceci :

WPA3 Enterprise 802.1x +FT Beacon

Ici, nous pouvons observer les clients Wi-Fi 6E associés :

Intel AX211

Connexion OTA avec accent sur les informations RSN du client sur un événement d'itinérance :

Événement d'itinérance WPA3 Enterprise 802.1x + FT

Un comportement intéressant se produit si vous supprimez manuellement le client du WLAN (à partir de l'interface graphique du WLC par exemple). Le client reçoit une trame de dissociation mais tente de se reconnecter au même AP et utilise une trame de réassociation suivie d'un échange EAP complet parce que les détails du client ont été supprimés de l'AP/WLC.

Il s’agit essentiellement du même échange de trames que dans un nouveau processus d’association. Ici vous pouvez voir l'échange de trames :

Flux de connexion WPA3 Enterprise 802.1x + FT Ax211

Détails du client dans le WLC : 

Détails du client WPA3 Enterprise 802.1x + FT

Ce client a également été testé à l’aide de FT sur le DS et a pu se déplacer à l’aide de 802.11r :

Itinérance AX211 avec FT sur DS

Nous pouvons également voir les événements d'itinérance FT :

WPA3 Entreprise avec FT

Et le client ra trace de wlc :

NetGear A8000

WPA3-Enterprise n'est pas pris en charge sur ce client.

Pixel 6a

Connexion OTA avec accent sur les informations RSN du client :

Association WPA3 Enterprise 802.1x + FT Pixel6a

Détails du client dans le WLC : 

Détails sur le client WPA3 Enterprise 802.1x + FT Pixel6a

Concentrez-vous sur le type d’itinérance 802.11R sur les ondes, où vous pouvez voir le type d’itinérance 802.11R :

Samsung S23

Connexion OTA avec accent sur les informations RSN du client :

Événement d'itinérance FToTA S23

Détails du client dans le WLC : 

Propriétés du client S23

Concentrez-vous sur le type d’itinérance 802.11R sur les ondes, où vous pouvez voir le type d’itinérance 802.11R :

S23 Itinérance de type 802.11R

Ce client a également été testé à l’aide de FT sur le DS et a pu se déplacer à l’aide de 802.11r :

Paquets FToDS itinérants S23

WPA3-Enterprise + chiffrement GCMP128 + SUITEB-1X

Configuration de la sécurité WLAN :

WPA3 Enterprise SuiteB-1X Configuration de la sécurité

Affichage sur l'interface graphique utilisateur WLC des paramètres de sécurité WLAN :

Vérification des balises OTA :

WPA3 Enterprise SuiteB-1X Beacon

Aucun des clients testés n'a pu se connecter au WLAN à l'aide de SuiteB-1X, ce qui confirme qu'aucun d'entre eux ne prend en charge cette méthode de sécurité.

WPA3-Enterprise + chiffrement GCMP256 + SUITEB192-1X

Configuration de la sécurité WLAN :

Paramètres de sécurité WPA3 Enterprise SUITEB192-1x

WLAN sur WLC GUI Liste des WLAN :

WLAN utilisé pour les tests

Vérification des balises OTA :

WPA3 Enterprise SUITEB192-1x balises

Ici, nous pouvons observer les clients Wi-Fi 6E associés :

Intel AX211

Connexion OTA avec accent sur les informations RSN du client :

WPA3 Enterprise avec association EAP-TLS avec client Intel AX211 et informations RSN

Et l'échange EAP-TLS :

WPA3 Enterprise avec association EAP-TLS avec client Intel AX211 et EAP-TLS Focus

Détails du client dans le WLC : 

Détails du client WPA3 Enterprise avec EAP-TLS

NetGear A8000

WPA3-Enterprise n'est pas pris en charge sur ce client.

Pixel 6a

À la date de rédaction de ce document, ce client n'était pas en mesure de se connecter à WPA3 Enterprise à l'aide d'EAP-TLS.

Il s'agissait d'un problème du côté du client sur lequel on travaille et, dès qu'il sera résolu, le présent document sera mis à jour.

Samsung S23

À la date de rédaction de ce document, ce client n'était pas en mesure de se connecter à WPA3 Enterprise à l'aide d'EAP-TLS.

Il s'agissait d'un problème du côté du client sur lequel on travaille et, dès qu'il sera résolu, le présent document sera mis à jour.

Conclusions sur la sécurité

Après tous les essais précédents, voici les conclusions qui en résultent :

Protocol	Chiffrement	AKM	Chiffrement AKM	Méthode EAP	FT-OverTA	FT-OverDS	Intel AX211	Samsung/Google Android	NetGear A8000
DEVOIR	AES-CCMP128	DEVOIR	S. O..	S. O..	S. O.	S. O.	Pris en charge	Pris en charge	Pris en charge
SAE	AES-CCMP128	SAE (H2E uniquement)	SHA256	S. O..	Pris en charge	Pris en charge	Pris en charge: H2E uniquement et FT-oTA	Pris en charge: H2E uniquement. Échec de FT. Échec de FT-oDS.	Pris en charge: H2E uniquement et FT-oTA. Échec de FT-oDS.
Entreprise	AES-CCMP128	802.1x-SHA256	SHA256	PEAP/FAST/TLS	Pris en charge	Pris en charge	Pris en charge: SHA256 et FT-oTA/oDS Non pris en charge : EAP-FAST	Pris en charge: SHA256 et FT-oTA, FT-oDS (S23) Non pris en charge : EAP-FAST, FT-oDS (Pixel6a)	Pris en charge: SHA256 et FT-oTA Non pris en charge : EAP-FAST, FT-oDS
Entreprise	GCMP128	Suite B-1x	SHA256-SuiteB	PEAP/FAST/TLS	Non pris en charge	Non pris en charge	Non pris en charge	Non pris en charge	Non pris en charge
Entreprise	GCMP256	Bureau B-192	SHA384-Suite B	TLS	Non pris en charge	Non pris en charge	NA/À déterminer	NA/À déterminer	Non pris en charge

Dépannage

Le dépannage utilisé dans ce document est basé sur le document en ligne :

Dépannage des AP COS

La ligne directrice générale pour le dépannage est de collecter la trace RA en mode de débogage à partir du WLC en utilisant l'adresse mac du client en s'assurant que le client se connecte en utilisant l'adresse mac du périphérique et non une adresse mac randomisée.

Pour le dépannage Over the Air, la recommandation est d'utiliser AP en mode sniffer capturant le trafic sur le canal du client desservant AP.

Informations connexes

Qu'est-ce que le Wi-Fi 6E ?

Qu'est-ce que le Wi-Fi 6 et le Wi-Fi 6E ?

Wi-Fi 6E en quelques mots

Wi-Fi 6E : Le prochain grand chapitre du livre blanc sur le Wi-Fi

Cisco Live : concevoir un réseau sans fil de nouvelle génération avec des points d'accès Wi-Fi 6E Catalyst

Guide de configuration du logiciel du contrôleur sans fil Cisco Catalyst 9800 17.9.x

Guide de déploiement WPA3