Ενσωματωμένα σημεία πρόσβασης καταλύτη ασύρματου ελεγκτή
Οδηγός χρήσης
Ενσωματωμένα σημεία πρόσβασης καταλύτη ασύρματου ελεγκτή
Υποστήριξη για Hash-to-Element για Στοιχείο κωδικού πρόσβασης στον έλεγχο ταυτότητας SAE
- Hash-to-Element (H2E), στη σελίδα 1
- YANG (μοντέλο RPC), στη σελίδα 1
- Διαμόρφωση WPA3 SAE H2E, στη σελίδα 2
- Επαλήθευση υποστήριξης WPA3 SAE H2E σε WLAN, στη σελίδα 4
Hash-to-Element (H2E)
Το Hash-to-Element (H2E) είναι μια νέα μέθοδος SAE Password Element (PWE). Σε αυτή τη μέθοδο, το μυστικό PWE που χρησιμοποιείται στο πρωτόκολλο SAE δημιουργείται από έναν κωδικό πρόσβασης.
Όταν ένα STA που υποστηρίζει H2E εκκινεί το SAE με ένα AP, ελέγχει εάν το AP υποστηρίζει H2E. Εάν ναι, το AP χρησιμοποιεί το H2E για να εξάγει το PWE χρησιμοποιώντας μια πρόσφατα καθορισμένη τιμή Κωδικού κατάστασης στο μήνυμα δέσμευσης SAE.
Εάν το STA χρησιμοποιεί Hunting-and-Pecking, ολόκληρη η ανταλλαγή SAE παραμένει αμετάβλητη.
Κατά τη χρήση του H2E, η παράγωγη PWE χωρίζεται στα ακόλουθα στοιχεία:
- Παραγωγή ενός μυστικού ενδιάμεσου στοιχείου PT από τον κωδικό πρόσβασης. Αυτό μπορεί να εκτελεστεί εκτός σύνδεσης όταν ο κωδικός πρόσβασης έχει αρχικά διαμορφωθεί στη συσκευή για κάθε υποστηριζόμενη ομάδα.
- Παραγωγή του PWE από το αποθηκευμένο PT. Αυτό εξαρτάται από την ομάδα διαπραγματεύσεων και τις διευθύνσεις MAC των ομοτίμων. Αυτό εκτελείται σε πραγματικό χρόνο κατά τη διάρκεια της ανταλλαγής SAE.
Σημείωμα
- Η μέθοδος H2E ενσωματώνει επίσης προστασία από τις επιθέσεις «man-in-the-middle» του Group Downgrade. Κατά τη διάρκεια της ανταλλαγής SAE, οι λίστες ομότιμων ανταλλάσσουν απορριφθέντων ομάδων που εντάσσονται στην παραγωγή PMK. Κάθε ομότιμος συγκρίνει τη λίστα που έλαβε με τη λίστα των υποστηριζόμενων ομάδων, οποιαδήποτε ασυμφωνία εντοπίζει μια επίθεση υποβάθμισης και τερματίζει τον έλεγχο ταυτότητας.
YANG (μοντέλο RPC)
Για να δημιουργήσετε ένα RPC για λειτουργία SAE Password Element (PWE), χρησιμοποιήστε το ακόλουθο μοντέλο RPC:
Σημείωμα
Η λειτουργία διαγραφής εκτελεί μία ενέργεια τη φορά λόγω του τρέχοντος περιορισμού υπερύθρων. Δηλαδή, στη μονάδα YANG, η λειτουργία διαγραφής σε πολλούς κόμβους δεν υποστηρίζεται.
Διαμόρφωση WPA3 SAE H2E
| Διαδικασία | Εντολή ή Ενέργεια | Σκοπός |
| Βήμα 1 | διαμόρφωση τερματικού Example: Τερματικό διαμόρφωσης συσκευής# |
Εισέρχεται σε λειτουργία καθολικής διαμόρφωσης. |
| Βήμα 2 | wan wan-name εξασθενημένο όνομα SSID Π.χample: Συσκευή(config)# wan WPA3 1 WPA3 |
Εισέρχεται στον δευτερεύοντα τρόπο διαμόρφωσης WLAN. |
| Βήμα 3 | χωρίς ασφάλεια wpa akm dot1x Example: Συσκευή(config-wlan)# χωρίς ασφάλεια wpaakm dot1x |
Απενεργοποιεί το AKM ασφαλείας για dot1x. |
| Βήμα 4 | χωρίς ασφάλεια ft over-the-ds Example: Συσκευή(config-wlan)# χωρίς ασφάλεια ft over-the-ds |
Απενεργοποιεί τη γρήγορη μετάβαση μέσω της πηγής δεδομένων στο WLAN. |
| Βήμα 5 | χωρίς ασφάλεια ft Example: Συσκευή(config-wlan)# χωρίς ασφάλεια ft |
Απενεργοποιεί τη γρήγορη μετάβαση 802.11r στο WLAN. |
| Βήμα 6 | χωρίς ασφάλεια wpa wpa2 Π.χample: Συσκευή(config-wlan)# χωρίς ασφάλεια wpa wpa2 |
Απενεργοποιεί την ασφάλεια WPA2. Το PMF είναι απενεργοποιημένο τώρα. |
| Βήμα 7 | ασφάλεια wpa wpa2 ciphers aes Example: Συσκευή(config-wlan)# ασφάλεια wpa wpa2 ciphers aes |
Ρυθμίζει τον κρυπτογράφηση WPA2. Σημείωση Μπορείτε να ελέγξετε εάν η κρυπτογράφηση έχει ρυθμιστεί χρησιμοποιώντας την εντολή χωρίς ασφάλεια wpa wpa2 ciphers aes. Εάν δεν γίνει επαναφορά του κρυπτογράφησης, διαμορφώστε το κρυπτογράφημα. |
| Βήμα 8 | ασφάλεια wpa psk set-key ascii τιμή προκοινόχρηστο κλειδί Example: Συσκευή(config-wlan)# ασφάλεια wpa psk set-key ascii 0 Cisco123 |
Καθορίζει ένα προκαθορισμένο κλειδί. |
| Βήμα 9 | ασφάλεια wpa wpa3 Π.χample: Συσκευή(config-wlan)# ασφάλεια wpa wpa3 |
Ενεργοποιεί την υποστήριξη WPA3. |
| Βήμα 10 | ασφάλεια wpa akm sae Example: Συσκευή(config-wlan)# ασφάλεια wpa akm sae |
Ενεργοποιεί την υποστήριξη AKM SAE. |
| Βήμα 11 | ασφάλεια wpa akm sae pwe {h2e | hnp | τόσο-h2e-hnp} Example: Συσκευή(config-wlan)# ασφάλεια wpa akm sae pwe |
Ενεργοποιεί την υποστήριξη AKM SAE PWE. Το PWE υποστηρίζει τις ακόλουθες επιλογές: • h2e—Μόνο Hash-to-Element. απενεργοποιεί το Hnp. • hnp—Μόνο κυνήγι και ράμφισμα. απενεργοποιεί το H2E. • Both-h2e-hnp—Υποστήριξη Hash-to-Element και Hunting and Pecking (Είναι η προεπιλεγμένη επιλογή). |
| Βήμα 12 | χωρίς διακοπή λειτουργίας Π.χample: Συσκευή(config-wlan)# χωρίς τερματισμό |
Ενεργοποιεί το WLAN. |
| Βήμα 13 | τέλος Εξample: Συσκευή(config-wlan)# τέλος |
Επιστρέφει στην προνομιακή λειτουργία EXEC. |
Επαλήθευση υποστήριξης WPA3 SAE H2E σε WLAN
Να view τις ιδιότητες WLAN (μέθοδος PWE) με βάση το αναγνωριστικό WLAN, χρησιμοποιήστε την ακόλουθη εντολή:
Για να επαληθεύσετε τη συσχέτιση πελάτη που έχουν χρησιμοποιήσει τη μέθοδο PWE ως H2E ή Hnp, χρησιμοποιήστε την ακόλουθη εντολή:
Να view τον αριθμό των πιστοποιήσεων SAE χρησιμοποιώντας τα H2E και HnP, χρησιμοποιήστε την ακόλουθη εντολή:
Υποστήριξη για Hash-to-Element για Στοιχείο κωδικού πρόσβασης στον έλεγχο ταυτότητας SAE
Έγγραφα / Πόροι
 |
Σημεία πρόσβασης καταλύτη ενσωματωμένου ασύρματου ελεγκτή CISCO [pdf] Οδηγός χρήστη Ενσωματωμένος ασύρματος ελεγκτής Catalyst Access Points, Wireless Controller Catalyst Access Points, Controller Catalyst Access Points, Catalyst Access Points, Access Points, Points |