配置和驗證Wi-Fi 6E WLAN第2層安全性
目錄
簡介
本文檔介紹如何配置Wi-Fi 6E WLAN第2層安全性,以及在不同客戶端上預期會發生什麼。
必要條件
需求
思科建議您瞭解以下主題:
- 思科無線 LAN 控制器 (WLC) 9800
- 支援 Wi-Fi 6E 的思科存取點 (AP)
- IEEE 標準 802.11ax
- 工具:Wireshark v4.0.6
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 採用IOS® XE 17.9.3的WLC 9800-CL。
- 存取點C9136、CW9162、CW9164和CW9166。
- Wi-Fi 6E 用戶端:
- Lenovo X1 Carbon Gen11 搭載 Intel AX211 Wi-Fi 6 和 6E 介面卡,並搭配 22.200.2(1) 版驅動程式
- Netgear A8000 Wi-Fi 6 和 6E 介面卡搭配驅動程式 v1(0.0.108)
- 搭載 Android 13 的手機 Pixel 6a
- 搭載 Android 13 的手機 Samsung S23
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
請務必瞭解,Wi-Fi 6E 並非全新標準,而是原有標準的延伸。 Wi-Fi 6E是Wi-Fi 6 (802.11ax)無線標準在6 GHz射頻頻帶的延伸。
Wi-Fi 6E 的基礎是最新一代 Wi-Fi 標準 Wi-Fi 6,只不過 Wi-Fi 6E 裝置和應用程式可以在 6-GHz 頻帶中運作。
Wi-Fi 6E 安全性
Wi-Fi 6E 採用 Wi-Fi Protected Access 3 (WPA3) 及 Opportunistic Wireless Encryption (OWE) 有效提升網路安全,且不與開放網路及 WPA2 的安全性向下相容。
Wi-Fi 6E 認證現在強制使用 WPA3 和 Enhanced Open Security,且 Wi-Fi 6E 也要求 AP 和用戶端使用受保護的訊框管理 (PMF)。
設定 6 GHz SSID 時,必須符合以下幾項安全要求:
- 採用 OWE、SAE 或 802.1x-SHA256 的 WPA3 L2 安全防護
- 啟用受保護的訊框管理
- 不允許使用其他 L2 安全防護方法,亦即不接受混合模式
WPA3
WPA3的設計是為了提升Wi-Fi的安全性,因為它能在WPA2上啟用更好的驗證,提供增強的加密強度並增強重要網路的彈性。
WPA3的主要功能包括:
- 受保護的管理幀(PMF)保護單播和廣播管理幀並加密單播管理幀。這意味著無線入侵檢測和無線入侵防禦系統現在使用更少的暴力方法來實施客戶端策略。
- Simultaneous Authentication of Equals (SAE)啟用基於密碼的身份驗證和金鑰協定機制。這可以防止暴力攻擊。
- 過渡模式是一種混合模式,它允許使用WPA2連線不支援WPA3的客戶端。
WPA3涉及持續的安全開發、一致性以及互操作性。
沒有指定WPA3 (與WPA2相同)的「資訊元素」。WPA3由AKM/Cipher Suite/PMF組合定義。
在9800 WLAN配置中,您有4種不同的WPA3加密演算法可以使用。
它們基於Galois/Counter Mode Protocol (GCMP)和帶密碼塊鏈結消息驗證碼協定(CCMP)的計數器模式:AES (CCMP128)、CCMP256、GCMP128和GCMP256:
WPA2/3加密選項
PMF
啟用PMF時,PMF將在WLAN上啟用。
預設情況下,802.11管理幀未經身份驗證,因此不會受到防止欺騙的保護。基礎架構管理保護架構(MFP)和802.11w保護管理架構(PMF)提供針對此類攻擊的保護。
PMF選項
驗證金鑰管理
以下是17.9.x版中可用的AKM選項:
AKM選項
欠款
機會無線加密(OWE)是IEEE 802.11的擴展,提供無線介質的加密(IETF RFC 8110)。基於OWE的身份驗證的目的是避免AP和客戶端之間的開放非安全無線連線。OWE使用基於Diffie-Hellman演算法的加密來設定無線加密。使用OWE時,客戶端和AP在訪問過程中執行Diffie-Hellman金鑰交換,並使用生成的成對主金鑰(PMK)金鑰和4次握手。使用OWE可增強部署基於開放或共用PSK的網路的無線網路的安全性。
OWE幀交換
SAE
WPA3使用一種稱為「對等同時驗證」的新驗證和金鑰管理機制。透過使用SAE雜湊到元素(H2E),此機製得到了進一步增強。
WPA3和Wi-Fi 6E必須使用H2E的SAE。
SAE採用離散對數密碼技術來執行有效交換,其方式是使用可能抵抗離線詞典攻擊的密碼執行相互身份驗證。
離線詞典攻擊是指攻擊者透過嘗試可能的密碼來確定網路密碼,而無需進一步進行網路互動。
當客戶端連線到存取點時,它們會執行SAE交換。如果成功,它們會為每個金鑰建立一個密碼強金鑰,從中派生會話金鑰。基本上,客戶端和存取點進入提交階段,然後進行確認。
一旦有承諾,則客戶端和存取點可以在每次生成會話金鑰時進入確認狀態。該方法使用前向保密,入侵者可以破解單個金鑰,但不能破解所有其他金鑰。
SAE幀交換
雜湊到元素(H2E)
Hash-to-Element (H2E)是一種新的SAE密碼元素(PWE)方法。在此方法中,SAE協定中使用的密碼PWE從密碼生成。
支援H2E的站點(STA)向AP發起SAE時,會檢查AP是否支援H2E。如果是,則AP使用H2E在SAE提交消息中使用新定義的狀態代碼值來導出PWE。
如果STA使用「搜尋和啄食」(HnP),則整個SAE交換保持不變。
使用H2E時,PWE派生分為以下元件:
-
從密碼衍生秘密中間元素(PT)。當最初在裝置上為每個受支援的組配置密碼時,可以離線執行此操作。
-
從儲存的PT衍生PWE。這取決於對等體的協商組和MAC地址。這在SAE交換期間即時執行。
注意:6 GHz僅支援雜湊到元素SAE PWE方法。
WPA-企業aka 802.1x
WPA3-Enterprise是WPA3的最安全版本,它使用使用者名稱加密碼的組合與802.1X來使用RADIUS伺服器進行使用者驗證。預設情況下,WPA3使用128位加密,但它還引入了一個可選配置的192位加密強度加密,為傳輸敏感資料的任何網路提供額外的保護。
WPA3企業圖流程
級別集:WPA3模式
- WPA3-個人
- WPA3-僅限個人模式
- 需要PMF
- WPA3-個人轉換模式
- 配置規則:在AP上,每當啟用「WPA2個人」時,除非管理員明確覆寫為在「僅WPA2個人」模式下操作,否則預設也必須啟用「WPA3個人轉換」模式
- WPA3-僅限個人模式
- WPA3-企業
- WPA3-僅限企業模式
- 所有WPA3連線都應協商PMF
- WPA3-企業轉換模式
- WPA3連線應協商PMF
- PMF對於WPA2連線是可選的
- WPA3-Enterprise suite-B「192位元」模式符合商業國家安全演演算法(CNSA)
- 不僅僅是聯邦政府
- 一致的加密密碼套件以避免錯誤配置
- GCMP與ECCP的加入,提供加密和更好的雜湊函式(SHA384)
- 需要PMF
-
WPA3 192位元保全性必須專屬EAP-TLS,EAP-TLS在請求者和RADIUS伺服器上都需要憑證。
-
若要使用WPA3 192位元企業,RADIUS伺服器必須使用其中一個允許的EAP密碼:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- WPA3-僅限企業模式
如需深入瞭解如何在 Cisco WLAN 實作 WPA3,包含用戶端安全相容對照表,請參閱 WPA3 部署指南。
Cisco Catalyst Wi-Fi 6E AP
Wi-Fi 6E 存取點
客戶端支援的安全設定
您可以使用WiFi聯盟網頁產品搜尋器找到支援WPA3-Enterprise的產品。
在windows裝置上,您可以使用命令「netsh wlan show drivers」驗證介面卡支援哪些安全設定。
您可以在這裡看到Intel AX211的輸出:
客戶端AX211的_netsh wlan show driver_的Windows輸出
Netgear A8000:
客戶端Netgear A8000s的_netsh wlan show driver_的Windows輸出
Android Pixel 6a:
Android Pixel6a支援的安全設定
三星S23:
Android S23支援的安全設定
根據之前的輸出,我們可以得出以下結論:
每個客戶端支援的安全協定
設定
本節示範的是基本 WLAN 設定。使用集中關聯/身份驗證/DHCP/交換時,使用的策略配置檔案始終相同。
稍後的文檔將介紹如何配置每個Wi-Fi 6E第2層安全組合以及如何驗證配置和預期行為。
網路圖表
網路圖表
組態
請記住,Wi-Fi 6E需要WPA3,以下是對WLAN無線電政策的限制:
-
只有使用下列其中一個組態組合時,才會將WLAN推送到所有無線電:
-
WPA3 + AES密碼+ 802.1x-SHA256 (FT) AKM
-
WPA3 + AES密碼+ OWE AKM
-
WPA3 + AES密碼+ SAE (FT) AKM
-
WPA3 + CCMP256密碼+ SUITEB192-1X AKM
-
WPA3 + GCMP128密碼+ SUITEB-1X AKM
-
WPA3 + GCMP256密碼+ SUITEB192-1X AKM
-
基本配置
WLAN配置為僅6GHz的無線電策略和UPR(廣播探測響應)發現方法:
WLAN基本配置
6GHz RF配置檔案配置
驗證
安全性驗證
本節介紹使用以下WPA3協定組合的安全配置和客戶端關聯階段:
- WPA3- AES(CCMP128) + OWE
- OWE轉換模式
- WPA3-個人
- AES(CCMP128) + SAE
- WPA3-企業
- AES(CCMP128) + 802.1x-SHA256
- AES(CCMP128) + 802.1x-SHA256 +英呎
- GCMP128密碼+ SUITEB-1X
- GCMP256密碼+ SUITEB192-1X
注意:即使在編寫本文檔時沒有支援GCMP128 cipher + SUITEB-1X的客戶端,也會對其進行測試,以觀察其是否被廣播,並檢查信標中的RSN資訊。
WPA3 - AES(CCPM128) + OWE
以下是WLAN安全配置:
OWE安全性設定
在WLC GUI上檢視WLAN安全設定:
WLC GUI上的WLAN安全設定
在此,我們可以觀察Wi-Fi 6E客戶端連線過程:
Intel AX211
此處我們顯示了客戶端Intel AX211的完整連線過程。
OWE發現
這裡你可以看到OTA的信標。 AP使用RSN資訊元素下的OWE的AKM套件選擇器來通告對OWE的支援。
您可以看到指示OWE支援的AKM套件型別值18 (00-0F-AC:18)。
OWE信標幀
如果您檢視RSN功能欄位,可以看到AP正在通告管理幀保護(MFP)功能和MFP必需位設定為1。
OWE關聯
您可以看到以廣播模式傳送的UPR,然後是關聯本身。
OWE從OPEN身份驗證請求和響應開始:
然後,要執行OWE的客戶端必須在RSN IE of Association Request幀中指示OWE AKM並包括Diffie Helman (DH)引數元素:
OWE關聯響應
在關聯響應之後,我們可以看到4次握手,並且客戶端會進入連線狀態。
您可以在WLC GUI上看到使用者端詳細資訊:
NetGear A8000
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
Pixel 6a
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
Samsung S23
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
WPA3 - AES(CCPM128) + OWE與轉換模式
本文檔中提供了OWE轉換模式的詳細配置和故障排除:使用轉換模式配置增強型開放式SSID - OWE。
WPA3-個人- AES(CCMP128) + SAE
WLAN 安全設定:
WPA3 SAE配置
注意:請注意,6 GHz無線電策略不允許搜尋與啄食。配置僅6GHz WLAN時,必須選擇H2E SAE密碼元素。
在WLC GUI上檢視WLAN安全設定:
驗證OTA信標:
WPA3 SAE信標
在此,我們可以觀察到Wi-Fi 6E客戶端的關聯:
Intel AX211
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
NetGear A8000
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
Pixel 6a
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
Samsung S23
連線OTA側重於來自客戶端的RSN資訊:
WLC 用戶端詳細資訊:
WPA3-個人- AES(CCMP128) + SAE + FT
WLAN 安全設定:
注意:在身份驗證金鑰管理中,WLC允許在未啟用SAE的情況下選擇FT+SAE,但發現客戶端無法連線。如果要將SAE與快速轉換搭配使用,請務必同時啟用SAE與FT+SAE核取方塊。
在WLC GUI上檢視WLAN安全設定:
驗證OTA信標:
WPA3 SAE + FT信標
在此,我們可以觀察到Wi-Fi 6E客戶端的關聯:
Intel AX211
連線OTA側重於來自客戶端的RSN資訊:
可看到PMKID的漫遊事件:
WPA3 SAE + FT重新關聯請求
WLC 用戶端詳細資訊:
NetGear A8000
連線OTA,側重於來自客戶端的RSN資訊。初始連線:
ssss
WLC 用戶端詳細資訊:
Pixel 6a
啟用FT時,裝置無法漫遊。
Samsung S23
啟用FT時,裝置無法漫遊。
WPA3-企業+ AES(CCMP128) + 802.1x-SHA256 + FT
WLAN 安全設定:
WPA3企業版802.1x-SHA256 + FTWLAN安全配置
在WLC GUI上檢視WLAN安全設定:
在此,我們可以看到ISE Live日誌顯示來自每個裝置的身份驗證:
ISE 即時記錄
信標OTA如下所示:
WPA3企業版802.1x +FT信標
在此,我們可以觀察到Wi-Fi 6E客戶端的關聯:
Intel AX211
連線OTA,重點為來自漫遊事件客戶端的RSN資訊:
WPA3企業版802.1x + FT漫遊事件
如果從WLAN(例如,從WLC GUI)中手動刪除客戶端,則會發生有趣的行為。客戶端收到分離幀,但嘗試重新連線到同一個AP,並使用重新關聯幀後接完整的EAP交換,因為客戶端詳細資訊已從AP/WLC中刪除。
這基本上與新的「關聯」流程中的幀交換相同。您可以在此處看到幀交換:
WPA3企業802.1x + FT Ax211連線流
WLC 用戶端詳細資訊:
WPA3企業802.1x + FT使用者端詳細資料
該客戶端還使用FT測試DS,並能使用802.11r漫遊:
AX211漫遊,帶FT over DS
我們還可以看到FT的漫遊活動:
含FT的WPA3企業版
和來自wlc的客戶端ra跟蹤:
NetGear A8000
此使用者端不支援WPA3-Enterprise。
Pixel 6a
連線OTA側重於來自客戶端的RSN資訊:
WPA3企業802.1x + FT Pixel6a關聯
WLC 用戶端詳細資訊:
WPA3企業版802.1x + FT Pixel6a客戶端詳細資訊
關注漫遊型別802.11R漫遊型別:
Samsung S23
連線OTA側重於來自客戶端的RSN資訊:
S23 FToTA漫遊事件
WLC 用戶端詳細資訊:
S23客戶端屬性
關注漫遊型別802.11R漫遊型別:
S23漫遊型別802.11R
該客戶端還使用FT測試DS,並能使用802.11r漫遊:
S23漫遊FToDS封包
WPA3-企業+ GCMP128密碼+ SUITEB-1X
WLAN 安全設定:
WPA3企業套件B-1X安全配置
註:SUITEB-1X不支援FT
在WLC GUI上檢視WLAN安全設定:
驗證OTA信標:
WPA3企業套件B-1X信標
測試過的客戶端均無法使用SuiteB-1X連線到WLAN,確認它們均不支援此安全方法。
WPA3-企業+ GCMP256密碼+ SUITEB192-1X
WLAN 安全設定:
WPA3 Enterprise SUITEB192-1x安全性設定
註:GCMP256+SUITEB192-1X不支援FT。
WLC上的WLAN GUI WLAN清單:
用於測試的WLAN
驗證OTA信標:
WPA3企業版SUITEB192-1x信標
在此,我們可以觀察到Wi-Fi 6E客戶端的關聯:
Intel AX211
連線OTA側重於來自客戶端的RSN資訊:
與Intel AX211使用者端和RSN資訊有EAP-TLS關聯的WPA3企業
以及EAP-TLS交換:
與Intel AX211使用者端和EAP-TLS焦點進行EAP-TLS關聯的WPA3企業
WLC 用戶端詳細資訊:
具有EAP-TLS使用者端詳細資料的WPA3企業
NetGear A8000
此使用者端不支援WPA3-Enterprise。
Pixel 6a
在撰寫本文檔的日期,此客戶端無法使用EAP-TLS連線到WPA3企業。
這是一個正在處理的客戶端問題,一旦解決,將更新此文檔。
Samsung S23
在撰寫本文檔的日期,此客戶端無法使用EAP-TLS連線到WPA3企業。
這是一個正在處理的客戶端問題,一旦解決,將更新此文檔。
安全性結論
經過以上所有測試,得出以下結論:
| 通訊協定 |
加密 |
AKM |
AKM密碼 |
EAP方法 |
FT-OverTA |
FT-OVERDS |
Intel AX211 |
三星/谷歌Android |
NetGear A8000 |
| 欠款 |
AES-CCMP128 |
欠款 |
不。 |
不。 |
NA |
NA |
支援 |
支援 |
支援 |
| SAE |
AES-CCMP128 |
SAE(僅限H2E) |
SHA256 |
不。 |
支援 |
支援 |
支援:僅H2E和FT-oTA |
支援:僅H2E。 |
支援 : |
| 企業 |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
支援 |
支援 |
支援:SHA256和FT-oTA/oDS |
支援:SHA256和FT-oTA、FT-oDS (S23) |
支援:SHA256和FT-oTA |
| 企業 |
GCMP128 |
SuiteB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
不支援 |
不支援 |
不支援 |
不支援 |
不支援 |
| 企業 |
GCMP256 |
SuiteB-192 |
SHA384-SuiteB |
TLS |
不支援 |
不支援 |
不適用/待定 |
不適用/待定 |
不支援 |
疑難排解
本文檔中使用的故障排除基於聯機文檔:
故障排除的一般指南是使用客戶端mac地址從WLC收集調試模式下的RA跟蹤,以確保客戶端使用裝置mac而不是隨機mac地址進行連線。
對於無線故障排除,建議以嗅探器模式使用AP,捕獲客戶端服務AP的通道上的流量。
相關資訊
Cisco Live - 使用 Catalyst Wi-Fi 6E 存取點架構新世代無線網路
Cisco Catalyst 9800 系列無線控制器軟體設定指南 17.9.x
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Aug-2023 |
初始版本 |
意見