Eingebettete Wireless-Controller-Catalyst-Access-Points
Benutzerhandbuch
Eingebettete Wireless-Controller-Catalyst-Access-Points
Unterstützung für Hash-to-Element für Kennwortelemente in der SAE-Authentifizierung
- Hash-to-Element (H2E), auf Seite 1
- YANG (RPC-Modell), auf Seite 1
- Konfigurieren von WPA3 SAE H2E, auf Seite 2
- Überprüfen der WPA3 SAE H2E-Unterstützung im WLAN, auf Seite 4
Hash-zu-Element (H2E)
Hash-to-Element (H2E) ist eine neue SAE Password Element (PWE)-Methode. Bei dieser Methode wird das im SAE-Protokoll verwendete geheime PWE aus einem Passwort generiert.
Wenn eine STA, die H2E unterstützt, SAE mit einem AP initiiert, prüft sie, ob der AP H2E unterstützt. Wenn ja, verwendet der AP das H2E, um das PWE abzuleiten, indem er einen neu definierten Statuscodewert in der SAE-Commit-Nachricht verwendet.
Wenn STA Hunting-and-Pecking verwendet, bleibt der gesamte SAE-Austausch unverändert.
Bei der Verwendung des H2E wird die PWE-Ableitung in folgende Komponenten aufgeteilt:
- Ableitung eines geheimen Zwischenelements PT aus dem Passwort. Dies kann offline durchgeführt werden, wenn das Passwort auf dem Gerät für jede unterstützte Gruppe zum ersten Mal konfiguriert wird.
- Ableitung des PWE aus dem gespeicherten PT. Dies hängt von den ausgehandelten Gruppen- und MAC-Adressen der Peers ab. Dies wird in Echtzeit während des SAE-Austauschs durchgeführt.
Notiz
- Die H2E-Methode bietet auch Schutz vor Man-in-the-Middle-Angriffen mit Gruppen-Downgrade. Während des SAE-Austauschs tauschen die Peers Listen abgelehnter Gruppen aus, die in die PMK-Ableitung eingebunden sind. Jeder Peer vergleicht die empfangene Liste mit der Liste der unterstützten Gruppen. Bei Abweichungen wird ein Downgrade-Angriff erkannt und die Authentifizierung beendet.
YANG (RPC-Modell)
Um einen RPC für den SAE Password Element (PWE)-Modus zu erstellen, verwenden Sie das folgende RPC-Modell:
Notiz
Der Löschvorgang führt aufgrund der aktuellen Infrastrukturbeschränkung jeweils eine Aktion aus. Das heißt, im YANG-Modul wird der Löschvorgang auf mehreren Knoten nicht unterstützt.
Konfigurieren von WPA3 SAE H2E
| Verfahren | Befehl oder Aktion | Zweck |
| Schritt 1 | Terminal konfigurieren Exampauf: Gerät# Terminal konfigurieren |
Wechselt in den globalen Konfigurationsmodus. |
| Schritt 2 | wan wan-Name waned SSID-Name Exampauf: Gerät(Konfiguration)# wan WPA3 1 WPA3 |
Wechselt in den WLAN-Konfigurationsuntermodus. |
| Schritt 3 | keine Sicherheit WPA AKM Dot1x Exampauf: Gerät (config-wlan)# keine Sicherheit wpaakm dot1x |
Deaktiviert die Sicherheit von AKM für dot1x. |
| Schritt 4 | keine Sicherheit ft over-the-ds Exampauf: Gerät (config-wlan)# keine Sicherheit ft over-the-ds |
Deaktiviert den schnellen Übergang über die Datenquelle im WLAN. |
| Schritt 5 | keine Sicherheit ft Exampauf: Gerät (config-wlan)# keine Sicherheit ft |
Deaktiviert den schnellen 802.11r-Übergang im WLAN. |
| Schritt 6 | keine Sicherheit wpa wpa2 Exampauf: Gerät (config-wlan)# keine Sicherheit wpa wpa2 |
Deaktiviert die WPA2-Sicherheit. PMF ist jetzt deaktiviert. |
| Schritt 7 | Sicherheit WPA WPA2 Chiffren AES Exampauf: Gerät (config-wlan)# Sicherheit WPA WPA2 Chiffren AES |
Konfiguriert die WPA2-Verschlüsselung. Hinweis Sie können überprüfen, ob die Verschlüsselung mit dem Befehl no security wpa wpa2 ciphers aes konfiguriert ist. Wenn die Verschlüsselung nicht zurückgesetzt wird, konfigurieren Sie die Chiffre. |
| Schritt 8 | Sicherheit WPA PSK Set-Key ASCII Wert Preshared-Key Exampauf: Gerät (config-wlan)# Sicherheit WPA PSK Set-Key ASCII 0 Cisco123 |
Gibt einen vordefinierten Schlüssel an. |
| Schritt 9 | Sicherheit WPA WPA3 Exampauf: Gerät (config-wlan)# Sicherheit WPA WPA3 |
Aktiviert WPA3-Unterstützung. |
| Schritt 10 | Sicherheit WPA AKM SAE Exampauf: Gerät (Konfiguration-Wlan)# Sicherheit WPA AKM SAE |
Aktiviert AKM SAE-Unterstützung. |
| Schritt 11 | Sicherheit WPA AKM SAE PWE {h2e | hnp | beide-h2e-hnp} Exampauf: Gerät (config-wlan)# Sicherheit WPA AKM SAE PWE |
Aktiviert AKM SAE PWE-Unterstützung. PWE unterstützt die folgenden Optionen: • h2e – nur Hash-to-Element; deaktiviert Hnp. • hnp – nur Jagen und Picken; deaktiviert H2E. • Both-h2e-hnp – Unterstützt sowohl Hash-to-Element als auch Hunting and Pecking (ist die Standardoption). |
| Schritt 12 | kein Herunterfahren Exampauf: Gerät (config-wlan)# kein Herunterfahren |
Aktiviert das WLAN. |
| Schritt 13 | Ende Bspampauf: Gerät (config-wlan)# Ende |
Kehrt zum privilegierten EXEC-Modus zurück. |
Überprüfen der WPA3 SAE H2E-Unterstützung im WLAN
Zu view Um die WLAN-Eigenschaften (PWE-Methode) anhand der WLAN-ID zu ermitteln, verwenden Sie folgenden Befehl:
Um die Clientzuordnung zu überprüfen, die die PWE-Methode als H2E oder Hnp verwendet hat, verwenden Sie den folgenden Befehl:
Zu view Um die Anzahl der SAE-Authentifizierungen mit H2E und HnP zu ermitteln, verwenden Sie den folgenden Befehl:
Unterstützung für Hash-to-Element für Kennwortelemente in der SAE-Authentifizierung
Dokumente / Ressourcen
 |
CISCO Embedded Wireless Controller Catalyst-Zugriffspunkte [pdf] Benutzerhandbuch Eingebettete Wireless Controller Catalyst-Zugangspunkte, Wireless Controller Catalyst-Zugangspunkte, Controller Catalyst-Zugangspunkte, Catalyst-Zugangspunkte, Zugangspunkte, Punkte |