Configurar SSID aberto avançado com modo de transição - OWE

Introdução

Este documento descreve como configurar e solucionar problemas do Enhanced Open com o Modo de Transição no Catalyst 9800 Wireless LAN Controller (9800 WLC).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Controladores de LAN sem fio (WLC) 9800 da Cisco.
• Pontos de acesso (APs) da Cisco que suportam WPA3. 
• Padrão IEEE 802.11ax.
• Wireshark.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• WLC 9800-CL com IOS® XE 17.9.3.
• APs C9130, C9136, CW9162, CW9164 e CW9166.
• Clientes Wi-Fi 6: 
  • iPhone SE3ª geração no IOS 16
  • MacBook no Mac OS 12.
• Clientes Wi-Fi 6:
  • Lenovo X1 Carbon Gen11 com adaptador Intel AX211 Wi-Fi 6 e 6E com driver versão 22.200.2(1).
  • Adaptador Netgear A8000 Wi-Fi 6 e 6E com driver v1(0.0.108);
  • Celular Pixel 6a com Android 13;
  • Celular Samsung S23 com Android 13.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O Enhanced Open é uma certificação fornecida pela WiFi Alliance como parte do padrão de segurança sem fio WPA3. Ele usa criptografia sem fio oportunista (OWE) em redes abertas (não autenticadas) para evitar farejamento passivo e impedir ataques simples em comparação a uma rede sem fio PSK pública. 

Com o Enhanced Open, os clientes e a WLC (no caso da autenticação central) ou o AP (no caso da autenticação local FlexConnect) executam uma troca de chave Diffie-Hellman durante o processo de associação e usam o segredo de chave mestre (PMK) em pares com o handshake de 4 vias. 

DEVER

O Opportunistic Wireless Encryption (OWE) é uma extensão do IEEE 802.11 que fornece criptografia do meio sem fio (IETF RFC 8110). A finalidade da autenticação baseada em OWE é evitar a conectividade sem fio aberta e não segura entre o AP e os clientes. O OWE usa os algoritmos Diffie-Hellman baseados em criptografia para configurar a criptografia sem fio. Com o OWE, o cliente e o AP executam uma troca de chave Diffie-Hellman durante o procedimento de acesso e usam o segredo resultante da chave mestra em pares (PMK) com o handshake de 4 vias. O uso do OWE melhora a segurança da rede sem fio para implantações em que redes abertas ou compartilhadas baseadas em PSK são implantadas.

Troca de quadros OWE

Modo de transição

Geralmente, as redes corporativas têm apenas um SSID convidado não criptografado e preferem ter clientes mais antigos que não suportam clientes abertos avançados e clientes mais novos com abertos aprimorados para coexistir. O Modo de transição é apresentado especificamente para atender a esse cenário.

Isso exige a configuração de dois SSIDs - um SSID oculto para suportar OWE e um segundo SSID que é aberto e transmitido.

O modo de transição Opportunistic Wireless Encryption (OWE) permite que STAs OWE e não OWE se conectem ao mesmo SSID simultaneamente. Quando todos os OWE STAs veem um SSID no modo de transição OWE, eles se conectam com o OWE.

A WLAN aberta e a WLAN OWE transmitem quadros beacon. Os quadros de resposta de beacon e sonda da OWE WLAN incluem o IE do fornecedor da Wi-Fi Alliance para encapsular o BSSID e o SSID da WLAN aberta e, da mesma forma, a WLAN aberta também inclui para a OWE WLAN.

Um STA OWE só deve apresentar ao utilizador, na lista de redes disponíveis, o SSID do SSID Aberto de um AP OWE que funcione no modo de transição OWE, e deve suprimir a apresentação do SSID OWE BSS desse AP OWE.

Diretrizes e restrições:

• A abertura avançada exige a Política somente WPA3. A WPA3 não é suportada nos APs Cisco Wave 1 (com base no Cisco IOS®).
• O Quadro de Gerenciamento Protegido (PMF) deve ser definido como Obrigatório. Isso é definido por padrão com a Segurança de Camada 2 somente WPA3.
• O Enhanced Open só funciona em clientes finais que executam as versões mais recentes compatíveis com o Enhanced Open.
• O Modo de Transição Aberta Avançada Wi-Fi não é permitido em bandas de 6 GHz. De acordo com a especificação WPA3™ v3.4: há estas restrições relacionadas a 6GHz e Wi-Fi 7 (EHT - Extremamente High Throughput ou MLO - Multi Link Operation):
  • "Quando um AP estiver operando um BSS na banda de 6 GHz: [...] A configuração BSS do AP não deve permitir o Modo de Transição Aberta Avançada Wi-Fi (ou seja, em que o elemento Modo de Transição OWE está incluído nas respostas de Beacons e Probe)".
  • "Quando um AP estiver operando um BSS com EHT ou MLO habilitado [...]: A configuração BSS do AP não deve permitir o Modo de Transição Aberta Avançada Wi-Fi (isto é, quando o elemento do Modo de Transição OWE estiver incluído nas respostas de Beacons e Probe). 

Configurar

Caso de uso típico em que o administrador deseja configurar o Enhanced Open, mas ainda permite que clientes mais antigos possam se conectar ao SSID convidado.

Diagrama de Rede

Topologia de rede

Etapas de configuração da GUI:

Crie o primeiro SSID, a seguir denominado "OWE_Transition". Neste exemplo, a ID de WLAN 3 e certifique-se de que esteja oculta com a opção "Broadcast SSID" desativada:

Etapa 1 Escolha Configuration > Tags & Profiles > WLANs para abrir a página WLANs.

Etapa 2 Clique em Add para adicionar uma nova WLAN > adicionar o nome de WLAN "OWE_Transition" > alterar Status para Enable > garantir que Broadcast SSID esteja Disabled.

Transição OWE SSID aberto avançado oculto

Etapa 3 Escolha a guia Security > Layer 2 > Select WPA3.

Etapa 4 Definir Quadro de Gerenciamento Protegido (PMF) como Obrigatório.

Etapa 5 Em WPA Parameters > Check the WPA3 Policy. Selecione AES(CCMP128) Encryption and OWE Auth Key Management.

Etapa 6 Adicione o ID 4 da WLAN (abra a WLAN) à caixa "Transition Mode WLAN ID".

Etapa 7 Clique em Apply to Device.

Modo de transição OWE - OWE SSID

Crie um segundo SSID, chame-o de "open" (aberto) neste exemplo, WLAN ID 4, e certifique-se de habilitar "Broadcast SSID" (Transmissão de SSID):

Etapa 1 Escolha Configuration > Tags & Profiles > WLANs para abrir a página WLANs.

Etapa 2 Clique em Add para adicionar uma nova WLAN > adicionar o nome de WLAN "open" > alterar Status para Enable > garantir que Broadcast SSID esteja Enabled.

Transição OWE SSID aberto

Etapa 3 Escolha a guia Security > Layer 2 > Choose None.

Etapa 4 Adicione o ID de WLAN 4 (OWE_Transition) à caixa "Transition Mode WLAN ID".

Etapa 5 Clique em Apply to Device.

Modo de transição OWE Abrir segurança de WLAN

Esta captura de tela mostra o resultado final: uma WLAN é protegida e configurada para WPA3+OWE+WPA3 chamada "OWE_Transition" e a outra é um SSID totalmente aberto chamado "open". Somente o SSID totalmente aberto chamado "open" tem seu SSID transmitido nos beacons enquanto "OWE_Transition" está oculto.

WLANs do modo de transição OWE

Etapa 6 Mapeie as WLANs criadas para os perfis de política desejados na tag Policy e aplique-a aos APs.

Marca de política

Configurar para CLI:

SSID Aberto Avançado:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

Abrir SSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Perfil da política:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Verificar

Esta é a seção de verificação.

Verifique a configuração das WLANs na CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

Na WLC, você pode ir para a Configuração do AP e verificar se ambas as WLANs estão ativas no AP:

Visualizador de Configuração Operacional do AP do Modo de Transição OWE

Quando ativado, o AP somente acessa beacons com SSID aberto, mas carrega um elemento de informação do modo de transição (IE) OWE. Quando um cliente capaz de abrir avançado se conecta a esse SSID, ele automaticamente usa OWE para criptografar toda a associação de postagem de tráfego.

Aqui está o que você pode observar no ar (OTA):

Beacon de SSID Aberto de Transição OWE

O beacon enviado com o SSID "open" contém o IE do Modo de transição OWE com os detalhes avançados do SSID aberto, como o BSSID e o nome do SSID "OWE_Transition".

Há também beacons OTA com o SSID oculto e, se filtrarmos por bssid, os quadros serão enviados para o BSSID 00:df:1d:dd:7d:3e que é o BSSID dentro do OWE Transition Mode IE:

Beacon OWE

Você também pode ver que o beacon oculto OWE contém o IE do Modo de transição OWE com o BSSID do ssid aberto e o nome do SSID "open".

Estas capturas de tela mostram um telefone Android que oferece suporte ao Enhanced Open: ele exibe apenas o SSID aberto sem um ícone de cadeado (um ícone de cadeado faria com que o usuário acreditasse que é necessária uma senha para se conectar), mas uma vez conectado, a segurança mostra que a segurança Aberta aprimorada é usada.

Lista de SSID OWECliente OWE com suporte avançado a software aberto

Pelo ar, podemos ver a sequência de conexão completa:

Conexão completa de transição OWE

Depois de ouvir os beacons, o cliente investiga o SSID OWE e o AP responde.

Em seguida, ocorre a troca de quadros OWE normal: solicitação e resposta de autenticação, solicitação e resposta de associação que contém o IE DH e, em seguida, o handshake de 4 vias EAPOL. 

Na WLC, você pode verificar a conexão do cliente. O cliente que suporta OWE pode se conectar à Enhanced Open WLAN neste exemplo, é a WLAN ID 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

E podemos observar o mesmo na GUI da WLC:

Para clientes que não suportam a Abertura Avançada, eles só veem e se conectam ao SSID aberto, sem criptografia.

Como ilustrado aqui, esses são clientes que não suportam Enhanced Open (respectivamente um iPhone no IOS 15 e um MacBook no Mac OS 12) e veem apenas o SSID de convidado aberto e não usam criptografia.

Dispositivo que não oferece suporte a OWEFigura 4: MacBook no Mac OS 12 não suporta Enhanced Open

Aqui está outro exemplo de um adaptador sem fio USB que não suporta OWE:

Cliente que não oferece suporte a Aberto Aprimorado

O cliente não oferece suporte a OWE pode se conectar a uma WLAN aberta neste exemplo, é a ID de WLAN 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Troubleshooting

1. Verifique se o cliente oferece suporte ao OWE, pois nem todos os clientes oferecem suporte a ele. Verifique a documentação do fornecedor do cliente, por exemplo, a Apple documentou o suporte para seus dispositivos aqui.
   
2. Alguns clientes mais antigos possivelmente nem aceitam os beacons Open ssid devido à presença do IE do Modo de transição OWE e não apresentam o SSID nas redes no intervalo. Se o cliente não conseguir ver o SSID aberto, remova a VLAN de transição (definida como 0) da configuração da WLAN e verifique se ela vê a WLAN.
3. Se os clientes virem o SSID aberto, suportam OWE, mas ainda assim se conectam sem WPA3, verifique se a ID da VLAN de transição está correta e sendo transmitida nos beacons de ambas as WLANs. Você pode usar o AP no modo farejador para capturar o tráfego OTA. Execute estas etapas para configurar um AP no modo farejador: APs Catalyst 91xx no modo farejador .
   • O beacon é enviado com o SSID "open", que contém o IE do Modo de transição OWE com os detalhes avançados do SSID aberto, como BSSID e nome do SSID "OWE_Transition":Beacon de SSID Aberto de Transição OWE

   • Há também beacons OTA com o SSID oculto e, se filtrarmos por bssid, os quadros serão enviados para o BSSID 00:df:1d:dd:7d:3e que é o BSSID dentro do OWE Transition Mode IE:

     Beacon OWE

     Você também pode ver que o beacon oculto OWE contém o IE do Modo de transição OWE com o BSSID do ssid aberto e o nome do SSID "open".

   • Você também pode ver as informações de AKM e verificar se MFP é anunciado como Required and Capable:
   • Aviso OWE AKM
4. Coletar rastreamentos RadioActive com base no endereço mac do cliente e no yVocê verá logs semelhantes como este:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Referências

Guia de Configuração de Software do Cisco Catalyst 9800 Series Wireless Controller 17.9.x 

Guia de implantação WPA3

Especificações Wi-Fi Alliance® WPA3™ v3.4