Configura Enhanced Open SSID con modalità di transizione - OWE

Introduzione

Questo documento descrive come configurare e risolvere i problemi di Enhanced Open con modalità di transizione sul controller Catalyst 9800 Wireless LAN (9800 WLC).

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco Wireless Lan Controller (WLC) 9800.
• Access point Cisco (AP) che supportano WPA3. 
• Standard IEEE 802.11ax
• Wireshark.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• WLC 9800-CL con IOS® XE 17.9.3.
• AP C9130, C9136, CW9162, CW9164 e CW9166.
• Client Wi-Fi 6: 
  • iPhone SE di terza generazione su IOS 16
  • MacBook su Mac OS 12.
• Client Wi-Fi 6:
  • Lenovo X1 Carbon Gen11 con scheda di rete Intel AX211 Wi-Fi 6 e 6E con driver versione 22.200.2(1).
  • Scheda Netgear A8000 Wi-Fi 6 e 6E con driver v1(0.0.108);
  • Pixel 6a per cellulare con Android 13;
  • Cellulare Samsung S23 con Android 13.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

L'Enhanced Open è una certificazione fornita dall'alleanza WiFi come parte dello standard di sicurezza wireless WPA3. Utilizza Opportunistic Wireless Encryption (OWE) su reti aperte (non autenticate) per prevenire lo sniffing passivo e gli attacchi semplici rispetto a una rete wireless PSK pubblica. 

Con Enhanced Open, i client e il WLC (in caso di autenticazione centrale) o l'access point (in caso di autenticazione locale FlexConnect) eseguono uno scambio di chiavi Diffie-Hellman durante il processo di associazione e utilizzano il master key secret (PMK) pairwise con l'handshake a 4 vie. 

DOVERE

Opportunistic Wireless Encryption (OWE) è un'estensione di IEEE 802.11 che fornisce la crittografia del supporto wireless (IETF RFC 8110). Lo scopo dell'autenticazione basata su OWE è evitare la connettività wireless aperta non protetta tra l'access point e i client. L'OWE utilizza la crittografia basata sugli algoritmi Diffie-Hellman per impostare la crittografia wireless. Con OWE, il client e l'access point eseguono uno scambio di chiavi Diffie-Hellman durante la procedura di accesso e utilizzano il segreto PMK (pairwise master key) risultante con l'handshake a 4 vie. L'utilizzo di OWE migliora la sicurezza delle reti wireless per le installazioni in cui vengono installate reti aperte o condivise basate su PSK.

scambio frame OWE

Modalità Transizione

In genere, le reti aziendali dispongono di un solo SSID guest non crittografato e preferiscono che coesistano sia i client meno recenti che quelli più recenti che non supportano l'apertura avanzata sia quelli più recenti. La modalità Transizione è stata introdotta specificamente per rispondere a questo scenario.

È quindi necessario configurare due SSID: un SSID nascosto per supportare OWE e un secondo SSID aperto e trasmesso.

La modalità di transizione Opportunistica di Crittografia wireless (OWE) consente a Host non OEM e non OEM di connettersi contemporaneamente allo stesso SSID. Quando tutti gli STA OWE vedono un SSID in modalità di transizione OWE, si connettono con OWE.

Sia la WLAN aperta che i frame del beacon di trasmissione della WLAN OWE. I frame di risposta beacon e probe della WLAN OWE includono il fornitore IE della Wi-Fi Alliance per incapsulare il BSSID e l'SSID della WLAN aperta e, analogamente, la WLAN aperta include anche la WLAN OWE.

Nell'elenco delle reti disponibili, una STA OWE visualizzerà solo il SSID del BSS aperto di un access point OWE in modalità di transizione OWE e sopprimerà la visualizzazione del SSID OWE BSS di tale access point OWE.

Linee guida e limitazioni:

• Apertura migliorata richiede criteri solo WPA3. WPA3 non è supportato nei Cisco Wave 1 (basati su Cisco IOS®) AP.
• Protected Management Frame (PMF) deve essere impostato su Required. Questa opzione è impostata per impostazione predefinita solo con la protezione di livello 2 di WPA3.
• Apertura avanzata funziona solo sui client finali che eseguono le versioni più recenti che supportano Apertura avanzata.
• La modalità di transizione aperta avanzata Wi-Fi non è consentita su banda a 6 GHz. In base alla specifica WPA3™ v3.4: esistono questi vincoli relativi a 6GHz e Wi-Fi 7 (EHT - Throughput estremamente elevato o MLO - Funzionamento multi-link):
  • "Quando un access point utilizza un BSS nella banda a 6 GHz: [...] La configurazione BSS del punto di accesso non consente la modalità di transizione aperta Wi-Fi Enhanced (ossia, quando l'elemento Modalità di transizione OWE è incluso nei beacon e nelle risposte della sonda)".
  • "Quando un punto di accesso utilizza un punto di accesso con EHT o MLO abilitato [...]: La configurazione BSS del punto di accesso non consente la modalità di transizione aperta Wi-Fi Enhanced (ossia, dove l'elemento Modalità di transizione OWE è incluso nei beacon e nelle risposte della sonda). 

Configurazione

Tipico caso di utilizzo in cui l'amministratore desidera configurare l'apertura avanzata ma consente comunque ai client meno recenti di connettersi all'SSID guest.

Esempio di rete

Topologia della rete

Procedura di configurazione per GUI:

Creare il primo SSID, con la presente denominato "OWE_Transition". Nell'esempio, ID WLAN 3, e verificare che sia nascosto con l'opzione "Broadcast SSID" disabilitata:

1. Scegliere Configurazione > Tag e profili > WLAN per aprire la pagina WLAN.

2. Fare clic su Add per aggiungere una nuova WLAN > add WLAN name "OWE_Transition" > change Status to Enable > sure Broadcast SSID is Disabled.

OWE Transition Enhanced Open SSID nascosto

3. Selezionare Security > Layer 2 tab > Select WPA3.

4. Impostare Protected Management Frame (PMF) su Required.

5. In Parametri WPA > Controllare la regola WPA3. Selezionare AES(CCMP128) Encryption e OWE Auth Key Management.

6. Aggiungere l'ID WLAN 4 (WLAN aperta) alla casella "ID WLAN modalità di transizione".

7. Fare clic su Apply to Device (Applica al dispositivo).

Modalità di transizione OWE - OWE SSID

Creare un secondo SSID, chiamarlo "open" (aperto) nell'esempio con ID WLAN 4, quindi accertarsi di abilitare "Broadcast SSID" (SSID broadcast):

1. Scegliere Configurazione > Tag e profili > WLAN per aprire la pagina WLAN.

2. Fare clic su Add per aggiungere una nuova WLAN > add WLAN name "open" > change Status to Enable > sure Broadcast SSID is Enabled.

Transizione OWE: SSID aperto

3. Scegliere la scheda Sicurezza > Layer 2 > Scegli nessuno.

4. Aggiungere l'ID WLAN 4 (OWE_Transition) nella casella "Transition Mode WLAN ID" (ID WLAN modalità di transizione).

5. Fare clic su Apply to Device (Applica al dispositivo).

OWE Transition Mode Open WLAN Security

In questa schermata viene mostrato il risultato finale: una WLAN è protetta e configurata per WPA3+OWE+WPA3 denominata "OWE_Transition" e l'altra è un SSID completamente aperto denominato "open". Solo il SSID completamente aperto denominato "open" ha il suo SSID trasmesso nei beacon mentre "OWE_Transition" è nascosto.

WLAN in modalità di transizione OWE

6. Mappare le WLAN create ai profili delle policy desiderati nel tag delle policy e applicarlo agli access point.

Tag criteri

Configurare per CLI:

Enhanced Open SSID:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

Apri SSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Profilo criterio:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Verifica

Questa è la sezione di verifica.

Verificare la configurazione WLAN sulla CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

Nel WLC, è possibile andare alla configurazione AP e verificare che entrambe le WLAN siano attive sull'AP:

Visualizzatore configurazione operativa AP modalità di transizione OWE

Quando è abilitato, l'access point utilizza solo beacon con SSID aperto ma con un elemento di informazioni sulla modalità di transizione OWE (IE). Quando un client in grado di ottimizzare l'apertura si connette a questo SSID, utilizza automaticamente OWE per crittografare tutte le associazioni dei post del traffico.

Ecco cosa si può osservare nell'aria (OTA):

Transizione OWE: apri beacon SSID

Il beacon inviato con SSID "open" contiene la modalità di transizione OWE IE con i dettagli SSID aperti avanzati, come BSSID e il nome SSID "OWE_Transition".

Ci sono anche i beacon OTA con il SSID nascosto e se filtriamo per bssid, i frame vengono inviati al BSSID 00:df:1d:dd:7d:3e che è il BSSID all'interno della modalità di transizione OWE IE:

Beacon OWE

È possibile notare che anche il beacon nascosto OWE contiene la modalità di transizione OWE IE con il BSSID del ssid aperto e il nome SSID "open".

Questi screenshot mostrano un telefono Android che supporta Enhanced Open: viene visualizzato solo il SSID aperto senza l'icona del lucchetto (un'icona del lucchetto farebbe credere all'utente che è necessaria una password per la connessione), ma una volta connesso viene visualizzato il messaggio Protezione avanzata aperta.

Elenco SSID OWEClient OWE con supporto Open avanzato

Nell'etere, possiamo vedere l'intera sequenza di connessione:

Transizione OWE: connessione completa

Dopo aver ascoltato i beacon, il client cerca l'SSID OWE e l'access point risponde.

Quindi si verifica il normale scambio di frame OWE: richiesta e risposta di autenticazione, richiesta di associazione e risposta contenenti DH IE, quindi handshake a 4 vie EAPOL. 

Sul WLC è possibile verificare la connessione del client. Il client che supporta OWE può connettersi a Enhanced Open WLAN in questo esempio è l'ID WLAN 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

E possiamo osservare la stessa cosa nell'interfaccia utente del WLC:

Per i client che non supportano l'apertura avanzata, possono vedere e connettersi solo all'SSID aperto, senza crittografia.

Come illustrato qui, si tratta di client che non supportano Enhanced Open (rispettivamente un iPhone su IOS 15 e un MacBook su Mac OS 12) e che vedono solo l'SSID guest aperto e non usano la crittografia.

Dispositivo che non supporta OWEFigura 4: MacBook su Mac OS 12 non supporta Enhanced Open

Di seguito è riportato un altro esempio di scheda wireless USB che non supporta OWE:

Client che non supporta l'apertura avanzata

Il client non supporta OWE in grado di connettersi ad Open WLAN in questo esempio è WLAN ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Risoluzione dei problemi

1. Verificare che il client supporti OWE, poiché non tutti i client lo supportano. Consultare la documentazione del fornitore del client, ad esempio Apple ha documentato qui il supporto per i propri dispositivi.
   
2. È possibile che alcuni client meno recenti non accettino nemmeno i beacon SSID aperti a causa della presenza di OWE Transition Mode IE e non presentino il SSID nelle reti nel campo. Se il client non riesce a visualizzare l'SSID aperto, rimuovere la VLAN di transizione (impostata su 0) dalla configurazione WLAN e verificare se rileva la WLAN.
3. Se i client vedono un SSID aperto, supportano OWE, ma si connettono comunque senza WPA3, verificare che l'ID della VLAN di transizione sia corretto e che venga trasmesso nei beacon di entrambe le WLAN. È possibile utilizzare AP in modalità sniffer per catturare il traffico OTA. Eseguire la procedura seguente per configurare un access point in modalità sniffer: AP Catalyst 91xx in modalità sniffer.
   • Il beacon viene inviato con SSID "open" (aperto) che contiene la modalità di transizione OWE IE con i dettagli SSID aperti avanzati, ad esempio BSSID e il nome SSID "OWE_Transition" (OWE_Transition):Transizione OWE: apri beacon SSID

   • Ci sono anche i beacon OTA con il SSID nascosto e se filtriamo per bssid, i frame vengono inviati al BSSID 00:df:1d:dd:7d:3e che è il BSSID all'interno della modalità di transizione OWE IE:

     Beacon OWE

     È possibile notare che anche il beacon nascosto OWE contiene la modalità di transizione OWE IE con il BSSID del ssid aperto e il nome SSID "open".

   • È inoltre possibile visualizzare le informazioni AKM e verificare che MFP sia indicato come Obbligatorio e Capace:
   • OWE Beacon AKM
4. Raccogli tracce RadioActive in base all'indirizzo MAC del client e aI registri visualizzati sono simili ai seguenti:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Riferimenti

Guida alla configurazione del software Cisco Catalyst serie 9800 Wireless Controller 17.9.x 

Guida alla distribuzione di WPA3

Specifiche Wi-Fi Alliance® WPA3™ v3.4