配置并验证Wi-Fi 6E WLAN第2层安全性
目录
简介
本文档介绍如何配置Wi-Fi 6E WLAN第2层安全性,以及不同客户端上的要求。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科无线局域网控制器(WLC) 9800
- 支持Wi-Fi 6E的思科接入点(AP)。
- IEEE标准802.11ax。
- 工具:Wireshark v4.0.6
使用的组件
本文档中的信息基于以下软件和硬件版本:
- WLC 9800-CL,带IOS® XE 17.9.3。
- AP C9136、CW9162、CW9164和CW9166。
- Wi-Fi 6E客户端:
- Lenovo X1 Carbon Gen11,带英特尔AX211 Wi-Fi 6和6E适配器,带驱动程序版本22.200.2(1)。
- 带驱动程序v1(0.0.108)的Netgear A8000 Wi-Fi 6和6E适配器;
- Android 13的手机Pixel 6a;
- 装有安卓13的手机三星S23。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
需要了解的关键一点是,Wi-Fi 6E并不是一个全新的标准,而是一个扩展。 在其基本上,Wi-Fi 6E是Wi-Fi 6 (802.11ax)无线标准到6 GHz射频频段的扩展。
Wi-Fi 6E基于Wi-Fi 6(最新一代Wi-Fi标准)构建,但只有Wi-Fi 6E设备和应用可以在6-GHz频段运行。
Wi-Fi 6E安全
Wi-Fi 6E通过Wi-Fi Protected Access 3 (WPA3)和Opportunistic Wireless Encryption (OWE)提升安全性,并且不与Open和WPA2安全性向后兼容。
WPA3和增强型开放安全现在是Wi-Fi 6E认证的必要条件,并且Wi-Fi 6E还需要在AP和客户端中使用保护管理帧(PMF)。
配置6GHz SSID时,必须满足某些安全要求:
- WPA3 L2安全,带OWE、SAE或802.1x-SHA256
- 已启用受保护的管理帧;
- 不允许使用任何其他L2安全方法,即不能使用混合模式。
WPA3
WPA3旨在通过WPA2启用更好的身份验证,从而提高Wi-Fi安全性,提供更大的加密强度并提高关键网络的恢复能力。
WPA3的主要功能包括:
- 受保护的管理帧(PMF)保护单播和广播管理帧并加密单播管理帧。这意味着无线入侵检测和无线入侵防御系统现在实施客户端策略的暴力方式更少。
- Simultaneous Authentication of Equals (SAE)启用基于密码的身份验证和密钥协商机制。这样可以防止暴力攻击。
- 过渡模式是一种混合模式,它允许使用WPA2连接不支持WPA3的客户端。
WPA3涉及持续的安全开发、一致性以及互操作性。
没有用于指定WPA3(与WPA2相同)的信息元素。WPA3由AKM/密码套件/PMF组合定义。
在9800 WLAN配置中,您可以使用四种不同的WPA3加密算法。
它们基于Galois/Counter Mode Protocol (GCMP)和Counter Mode with Cipher Block Chaining Message Authentication Code Protocol (CCMP):AES (CCMP128)、CCMP256、GCMP128和GCMP256:
WPA2/3加密选项
PMF
启用PMF时,PMF在WLAN上激活。
默认情况下,802.11管理帧未经身份验证,因此不能防范欺骗。基础设施管理保护帧(MFP)和802.11w保护管理帧(PMF)提供针对此类攻击的防护。
PMF选项
身份验证密钥管理
以下是17.9.x版本中可用的AKM选项:
AKM选项
OWE
机会无线加密(OWE)是对IEEE 802.11的扩展,提供无线介质加密(IETF RFC 8110)。基于OWE的身份验证的目的是避免AP和客户端之间的开放式非安全无线连接。OWE使用基于Diffie-Hellman算法的加密来设置无线加密。借助OWE,客户端和AP在访问过程中执行Diffie-Hellman密钥交换,并将生成的配对主密钥(PMK)密钥与4次握手配合使用。使用OWE可增强部署基于开放式或共享式PSK网络的无线网络的安全性。
OWE帧交换
SAE
WPA3使用称为“等值的同时身份验证”的新身份验证和密钥管理机制。通过使用SAE散列到元素(H2E),此机制得到了进一步增强。
WPA3和Wi-Fi 6E必须使用SAE和H2E。
SAE采用离散对数密码执行有效交换,其方式是使用可能抵御离线字典攻击的密码执行相互身份验证。
离线字典攻击是指攻击者尝试通过尝试可能的密码来确定网络密码,而不进行进一步的网络交互。
当客户端连接到接入点时,它们会执行SAE交换。如果成功,它们会为每个会话密钥创建一个加密强密钥,会话密钥就是从该密钥派生的。基本上,客户端和接入点进入提交阶段,然后进行确认。
一旦有承诺,客户端和接入点就可以进入确认状态,每次有会话密钥需要生成。该方法使用前向保密,即入侵者可以破解单个密钥,但不是所有其他密钥。
SAE帧交换
散列到元素(H2E)
散列到元素(H2E)是一种新的SAE密码元素(PWE)方法。在此方法中,SAE协议中使用的密钥PWE从密码生成。
当支持H2E的站点(STA)向AP发起SAE时,它会检查AP是否支持H2E。如果是,则AP使用H2E,通过在SAE提交消息中使用新定义的状态代码值来获取PWE。
如果STA使用寻线寻址(HnP),整个SAE交换将保持不变。
当使用H2E时,PWE衍生分为以下部分:
-
从密码派生秘密中间元素(PT)。在设备上为每个受支持的组初始配置密码时,可以脱机执行此任务。
-
从存储的PT派生PWE。这取决于对等体的协商组和MAC地址。在SAE交换期间实时执行该操作。
注意:6 GHz仅支持散列到元素SAE PWE方法。
WPA-企业aka 802.1x
WPA3-Enterprise是最安全的WPA3版本,它使用用户名加密码组合和802.1X来通过RADIUS服务器进行用户身份验证。默认情况下,WPA3使用128位加密,但它也引入了可选的可配置192位加密强度加密,为传输敏感数据的所有网络提供额外保护。
WPA3企业图流程
级别集:WPA3模式
- WPA3-个人
- WPA3-仅个人模式
- 需要PMF
- WPA3-个人过渡模式
- 配置规则:在AP上,每当启用WPA2-Personal时,默认情况下还必须启用WPA3-Personal过渡模式,除非管理员明确覆盖此模式才能在WPA2-Personal only模式下运行
- WPA3-仅个人模式
- WPA3-企业
- 仅WPA3-企业模式
- 应为所有WPA3连接协商PMF
- WPA3-企业过渡模式
- 应针对WPA3连接协商PMF
- PMF对于WPA2连接是可选的
- WPA3-Enterprise suite-B“192位”模式与商业国家安全算法(CNSA)一致
- 不仅仅是联邦政府
- 一致的加密密码套件以避免错误配置
- 为加密和更好的哈希函数添加了GCMP和ECCP (SHA384)
- 需要PMF
-
WPA3 192位安全应专用于EAP-TLS,EAP-TLS需要请求方和RADIUS服务器上的证书。
-
要使用WPA3 192位企业版,RADIUS服务器必须使用允许的EAP密码之一:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- 仅WPA3-企业模式
要了解有关Cisco WLAN中WPA3实施的详细信息(包括客户端安全兼容性列表),请随时查看WPA3部署指南。
思科Catalyst Wi-Fi 6E AP
Wi-Fi 6E接入点
客户端支持的安全设置
您可以使用WiFi联盟网页产品查找器查找支持WPA3-Enterprise的产品。
在windows设备上,您可以使用命令“netsh wlan show drivers”验证适配器支持的安全设置是什么。
在此,您可以看到英特尔AX211的输出:
客户端AX211的_netsh wlan show driver_的Windows输出
Netgear A8000:
客户端Netgear A8000s的_netsh wlan show driver_的Windows输出
Android Pixel 6a:
Android Pixel6a上支持的安全设置
三星S23:
Android S23上支持的安全设置
根据之前的输出,我们可以得出以下结论:
每个客户端支持的安全协议
配置
本部分展示了基本的WLAN配置。使用集中关联/身份验证/DHCP/交换时,使用的策略配置文件始终相同。
稍后,本文档将介绍如何配置每个Wi-Fi 6E第2层安全组合以及如何验证配置和预期行为。
网络图
网络图
配置
请记住,Wi-Fi 6E需要WPA3,以下是WLAN无线电策略的限制:
-
仅当使用下列配置组合之一时,WLAN才会推送到所有无线电:
-
WPA3 + AES密码+ 802.1x-SHA256 (FT) AKM
-
WPA3 + AES密码+ OWE AKM
-
WPA3 + AES密码+ SAE (FT) AKM
-
WPA3 + CCMP256密码+ SUITEB192-1X AKM
-
WPA3 + GCMP128密码+ SUITEB-1X AKM
-
WPA3 + GCMP256密码+ SUITEB192-1X AKM
-
基本配置
WLAN配置了仅限6GHz的无线电策略和UPR(广播探测响应)发现方法:
WLAN基本配置
6GHz RF配置文件配置
验证
安全验证
本部分展示了使用以下WPA3协议组合的安全配置和客户端关联阶段:
- WPA3- AES(CCMP128) + OWE
- OWE过渡模式
- WPA3-个人
- AES(CCMP128) + SAE
- WPA3-企业
- AES(CCMP128) + 802.1x-SHA256
- AES(CCMP128) + 802.1x-SHA256 + FT
- GCMP128密码+ SUITEB-1X
- GCMP256密码+ SUITEB192-1X
注意:尽管截至编写本文档时没有支持GCMP128密码和SUITEB-1X的客户端,但经过测试可观察其是否被广播并检查信标中的RSN信息。
WPA3 - AES(CCPM128) + OWE
这是WLAN安全配置:
OWE安全设置
在WLC GUI上查看WLAN安全设置:
WLC GUI上的WLAN安全设置
在此,我们可以观察Wi-Fi 6E客户端的连接过程:
英特尔AX211
此处我们显示了客户端Intel AX211的完整连接过程。
OWE发现
在这里你可以看到OTA的信标。 AP在RSN信息元素下使用OWE的AKM套件选择器来通告对OWE的支持。
您可以看到指示OWE支持的AKM套件类型值18 (00-0F-AC:18)。
OWE信标帧
如果查看RSN功能字段,您可以看到AP同时通告管理帧保护(MFP)功能和MFP要求位设置为1。
OWE关联
您可以看到以广播模式发送的UPR,然后是关联本身。
OWE从开放式身份验证请求和响应开始:
然后,要执行OWE的客户端必须在RSN IE of Association Request帧中指示OWE AKM并包含Diffie Helman (DH)参数元素:
OWE关联响应
在关联响应之后,我们可以看到四次握手,并且客户端会进入连接状态。
您可以在此处查看WLC GUI上的客户端详细信息:
NetGear A8000
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
像素6a
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
三星S23
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
WPA3 - AES(CCPM128) + OWE,带过渡模式
本文档中提供了OWE过渡模式的详细配置和故障排除:使用过渡模式- OWE配置增强型开放式SSID。
WPA3-个人- AES(CCMP128) + SAE
无线局域网安全配置:
WPA3 SAE配置
注意:请记住,6 GHz无线电策略不允许使用寻线与支路。当配置仅6GHz WLAN时,必须选择H2E SAE Password Element。
在WLC GUI上查看WLAN安全设置:
信标OTA验证:
WPA3 SAE信标
在此,我们可以观察关联Wi-Fi 6E客户端的情况:
英特尔AX211
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
NetGear A8000
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
像素6a
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
三星S23
连接OTA,侧重于来自客户端的RSN信息:
WLC中的客户端详细信息:
WPA3-个人- AES(CCMP128) + SAE + FT
无线局域网安全配置:
注意:在身份验证密钥管理中,WLC允许在未启用SAE的情况下选择FT+SAE,但发现客户端无法连接。如果要将SAE与快速过渡配合使用,请始终启用SAE和FT+SAE这两个复选框。
在WLC GUI上查看WLAN安全设置:
信标OTA验证:
WPA3 SAE + FT信标
在此,我们可以观察关联Wi-Fi 6E客户端的情况:
英特尔AX211
连接OTA,侧重于来自客户端的RSN信息:
可看到PMKID的漫游事件:
WPA3 SAE + FT重新关联请求
WLC中的客户端详细信息:
NetGear A8000
连接OTA,重点关注来自客户端的RSN信息。初始连接:
ssss
WLC中的客户端详细信息:
像素6a
启用FT时,设备无法漫游。
三星S23
启用FT时,设备无法漫游。
WPA3-企业+ AES(CCMP128) + 802.1x-SHA256 + FT
无线局域网安全配置:
WPA3 Enterprise 802.1x-SHA256 + FTWLAN安全配置
在WLC GUI上查看WLAN安全设置:
在这里,我们可以看到ISE实时日志显示来自每个设备的身份验证:
ISE 实时日志
信标OTA如下所示:
WPA3企业版802.1x +FT信标
在此,我们可以观察关联Wi-Fi 6E客户端的情况:
英特尔AX211
连接OTA,侧重于漫游事件中来自客户端的RSN信息:
WPA3企业802.1x + FT漫游事件
如果从WLAN中手动删除客户端(例如从WLC GUI中),则会发生有趣的行为。客户端收到取消关联帧,但尝试重新连接到同一AP,并且使用重新关联帧后跟完整的EAP交换,因为客户端详细信息已从AP/WLC中删除。
这基本上与新的关联过程中的帧交换相同。此处您可以看到帧交换:
WPA3企业802.1x + FT Ax211连接流
WLC中的客户端详细信息:
WPA3 Enterprise 802.1x + FT客户端详细信息
此客户端还使用FT over the DS进行了测试,能够使用802.11r漫游:
AX211漫游,带FT over DS
我们还可以看到FT漫游事件:
WPA3企业版(含FT)
和来自wlc的客户端ra跟踪:
NetGear A8000
此客户端不支持WPA3-Enterprise。
像素6a
连接OTA,侧重于来自客户端的RSN信息:
WPA3企业802.1x + FT Pixel6a关联
WLC中的客户端详细信息:
WPA3企业802.1x + FT Pixel6a客户端详细信息
将焦点放在空中漫游类型上,在这里我们可以看到802.11R漫游类型:
三星S23
连接OTA,侧重于来自客户端的RSN信息:
S23 FToTA漫游事件
WLC中的客户端详细信息:
S23客户端属性
将焦点放在空中漫游类型上,在这里我们可以看到802.11R漫游类型:
S23漫游类型802.11R
此客户端还使用FT over the DS进行了测试,能够使用802.11r漫游:
S23漫游FToDS数据包
WPA3-企业+ GCMP128密码+ SUITEB-1X
无线局域网安全配置:
WPA3企业套件B-1X安全配置
注意:SUITEB-1X不支持FT
在WLC GUI上查看WLAN安全设置:
信标OTA验证:
WPA3企业套件B-1X信标
所有接受测试的客户端均无法使用SuiteB-1X连接到WLAN,从而确认它们均不支持此安全方法。
WPA3-企业+ GCMP256密码+ SUITEB192-1X
无线局域网安全配置:
WPA3 Enterprise SUITEB192-1x安全设置
注意:GCMP256+SUITEB192-1X不支持FT。
WLC GUI WLAN列表中的WLAN:
用于测试的WLAN
信标OTA验证:
WPA3企业版SUITEB192-1x信标
在此,我们可以观察关联Wi-Fi 6E客户端的情况:
英特尔AX211
连接OTA,侧重于来自客户端的RSN信息:
采用EAP-TLS的WPA3企业版与Intel AX211客户端和RSN信息的关联
EAP-TLS交换:
采用EAP-TLS的WPA3企业版与英特尔AX211客户端和EAP-TLS关联
WLC中的客户端详细信息:
具有EAP-TLS客户端详细信息的WPA3企业版
NetGear A8000
此客户端不支持WPA3-Enterprise。
像素6a
在撰写本文档的日期,此客户端无法使用EAP-TLS连接到WPA3企业。
这是一个正在处理的客户端问题,一旦解决,将更新此文档。
三星S23
在撰写本文档的日期,此客户端无法使用EAP-TLS连接到WPA3企业。
这是一个正在处理的客户端问题,一旦解决,将更新此文档。
安全结论
经过以上所有测试,得出的结论如下:
| 协议 |
加密 |
AKM |
AKM密码 |
EAP方法 |
FT-OverTA |
FT-OverDS |
英特尔AX211 |
三星/谷歌Android |
NetGear A8000 |
| OWE |
AES-CCMP128 |
OWE |
不适用. |
不适用. |
不适用 |
不适用 |
受支持 |
受支持 |
受支持 |
| SAE |
AES-CCMP128 |
SAE(仅限H2E) |
SHA256 |
不适用. |
受支持 |
受支持 |
支持:仅H2E和FT-oTA |
支持:仅限H2E。 |
受支持: |
| 企业 |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
受支持 |
受支持 |
支持:SHA256和FT-oTA/oDS |
支持:SHA256和FT-oTA、FT-oDS (S23) |
支持:SHA256和FT-oTA |
| 企业 |
GCMP128 |
SuiteB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
Not Supported |
Not Supported |
Not Supported |
Not Supported |
Not Supported |
| 企业 |
GCMP256 |
SuiteB-192 |
SHA384-SuiteB |
TLS |
Not Supported |
Not Supported |
不适用/待定 |
不适用/待定 |
Not Supported |
故障排除
本文档中使用的故障排除基于联机文档:
故障排除的一般指导原则是使用客户端mac地址从WLC收集调试模式的RA跟踪,确保客户端使用设备mac而不是随机mac地址进行连接。
对于空中故障排除,建议使用嗅探器模式下的AP捕获客户端服务AP的信道上的流量。
相关信息
Cisco Live -使用Catalyst Wi-Fi 6E接入点构建下一代无线网络
Cisco Catalyst 9800系列无线控制器软件配置指南17.9.x
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Aug-2023 |
初始版本 |
反馈