Logo CISCO

Vestavěný bezdrátový ovladač Catalyst Access Points
Uživatelská příručka

Obsah skrýt
1 Vestavěný bezdrátový ovladač Catalyst Access Points
2 Hash-to-Element (H2E)
3 YANG (RPC model)
4 Konfigurace WPA3 SAE H2E
5 Ověření podpory WPA3 SAE H2E ve WLAN
6 Dokumenty / zdroje
6.1 Reference

Vestavěný bezdrátový ovladač Catalyst Access Points

CISCO Embedded Wireless Controller Catalyst Access PointsCISCO Embedded Wireless Controller Catalyst Access Points - obrPodpora pro hash-to-element pro prvek hesla v ověřování SAE

 

  • Hash-to-Element (H2E), na straně 1
  • YANG (model RPC), na straně 1
  • Konfigurace WPA3 SAE H2E, na straně 2
  • Ověření podpory WPA3 SAE H2E v síti WLAN, na straně 4

Hash-to-Element (H2E)

Hash-to-Element (H2E) je nová metoda SAE Password Element (PWE). V této metodě se tajné PWE používané v protokolu SAE generuje z hesla.
Když STA, která podporuje H2E, zahájí SAE s AP, zkontroluje, zda AP podporuje H2E. Pokud ano, AP použije H2E k odvození PWE pomocí nově definované hodnoty stavového kódu ve zprávě SAE Commit.
Pokud STA používá Hunting-and-Pecking, celá burza SAE zůstane nezměněna.
Při použití H2E je odvození PWE rozděleno do následujících složek:

  • Odvození tajného zprostředkovatelského prvku PT od hesla. To lze provést offline, když je heslo na zařízení pro každou podporovanou skupinu původně nakonfigurováno.
  • Odvození PWE z uloženého PT. To závisí na vyjednané skupině a MAC adresách peerů. To se provádí v reálném čase během výměny SAE.

CISCO Embedded Wireless Controller Catalyst Access Points – ikona Poznámka

  • Metoda H2E také zahrnuje ochranu proti útokům typu man-in-the-middle Group Downgrade. Během výměny SAE si kolegové vyměňují seznamy odmítnutých skupin v pásmu do odvození PMK. Každý peer porovná přijatý seznam se seznamem podporovaných skupin, jakákoliv nesrovnalost detekuje útok downgrade a ukončí autentizaci.

YANG (RPC model)

Chcete-li vytvořit RPC pro režim SAE Password Element (PWE), použijte následující model RPC:CISCO Embedded Wireless Controller Catalyst Access Points - obr.1
CISCO Embedded Wireless Controller Catalyst Access Points – ikona Poznámka

Operace odstranění provádí jednu akci po druhé kvůli aktuálnímu omezení infračerveného rozhraní. To znamená, že v modulu YANG není podporována operace odstranění na více uzlech.

Konfigurace WPA3 SAE H2E

Postup Příkaz nebo Akce Účel
Krok 1 nakonfigurovat terminál
Exampten:
Konfigurační terminál Device#		 Vstoupí do režimu globální konfigurace.
Krok 2 wan wan-name waned SSID-name Přampten:
Device(config)# wan WPA3 1 WPA3		 Vstoupí do dílčího režimu konfigurace WLAN.
Krok 3 žádné zabezpečení wpa akm dot1x
Exampten:
Zařízení(config-wlan)# žádné zabezpečení wpaakm dot1x		 Zakáže zabezpečení AKM pro dot1x.
Krok 4 žádné zabezpečení ft over-the-ds Přampten:
Device(config-wlan)# bez zabezpečení ft over-the-ds		 Zakáže rychlý přechod přes zdroj dat v síti WLAN.
Krok 5 bez zabezpečení ft Přampten:
Device(config-wlan)# no security ft		 Zakáže rychlý přechod 802.11r na WLAN.
Krok 6 žádné zabezpečení wpa wpa2 Přampten:
Zařízení (config-wlan)# žádné zabezpečení wpa wpa2		 Deaktivuje zabezpečení WPA2. PMF je nyní zakázáno.
Krok 7 zabezpečení wpa wpa2 šifry aes
Exampten:
Zařízení(config-wlan)# zabezpečení wpa wpa2 šifry aes		 Konfiguruje šifru WPA2.
Poznámka Můžete zkontrolovat, zda je šifra nakonfigurována pomocí příkazu no security wpa wpa2 ciphers aes. Pokud není šifra resetována, nakonfigurujte
šifra.
Krok 8 zabezpečení wpa psk set-key ascii hodnota preshared-key Přampten:
Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123		 Určuje přednastavený klíč.
Krok 9 zabezpečení wpa wpa3 Přampten:
Zařízení (config-wlan)# zabezpečení wpa wpa3		 Umožňuje podporu WPA3.
Krok 10 zabezpečení wpa akm sae Přampten:
Device(config-wlan)# security wpa akm sae		 Umožňuje podporu AKM SAE.
Krok 11 zabezpečení wpa akm sae pwe {h2e | hnp | both-h2e-hnp}
Exampten:
Device(config-wlan)# security wpa akm sae pwe		 Povoluje podporu AKM SAE PWE.
PWE podporuje následující možnosti:
• h2e – pouze hash-to-Element; zakáže Hnp.
• hnp – pouze lov a klování; deaktivuje H2E.
• Both-h2e-hnp – podpora jak Hash-to-Element, tak Hunting a Pecking (je výchozí volba).
Krok 12 žádné vypnutí Přampten:
Device(config-wlan)# bez vypnutí		 Aktivuje WLAN.
Krok 13 konec Přampten:
Device(config-wlan)# end		 Vrátí se do privilegovaného režimu EXEC.

Ověření podpory WPA3 SAE H2E ve WLAN

Na view vlastnosti WLAN (metoda PWE) na základě WLAN ID, použijte následující příkaz:

CISCO Embedded Wireless Controller Catalyst Access Points - obr.2

CISCO Embedded Wireless Controller Catalyst Access Points - obr.3
CISCO Embedded Wireless Controller Catalyst Access Points - obr.4

Chcete-li ověřit přidružení klientů, kteří použili metodu PWE jako H2E nebo Hnp, použijte následující příkaz:
CISCO Embedded Wireless Controller Catalyst Access Points - obr.5
CISCO Embedded Wireless Controller Catalyst Access Points - obr.6

CISCO Embedded Wireless Controller Catalyst Access Points - obr.7
Na view počet autentizací SAE pomocí H2E a HnP, použijte následující příkaz:

CISCO Embedded Wireless Controller Catalyst Access Points - obr.8CISCO Embedded Wireless Controller Catalyst Access Points - obr.9

Podpora pro hash-to-element pro prvek hesla v ověřování SAELogo CISCO

Dokumenty / zdroje

CISCO Embedded Wireless Controller Catalyst Access Points [pdfUživatelská příručka
Vestavěný bezdrátový ovladač Catalyst Access Points, Wireless Controller Catalyst Access Points, Controller Catalyst Access Points, Catalyst Access Points, Access Points, Points

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *