Puntos de acceso Catalyst de controlador inalámbrico integrado
Guía del usuario
Puntos de acceso Catalyst de controlador inalámbrico integrado
Compatibilidad con Hash-to-Element para el elemento de contraseña en la autenticación SAE
- Hash-to-Element (H2E), en la página 1
- YANG (modelo RPC), en la página 1
- Configuración de WPA3 SAE H2E, en la página 2
- Verificación de la compatibilidad con WPA3 SAE H2E en WLAN, en la página 4
Hash a elemento (H2E)
Hash-to-Element (H2E) es un nuevo método de elemento de contraseña SAE (PWE). En este método, el PWE secreto utilizado en el protocolo SAE se genera a partir de una contraseña.
Cuando una STA que admite H2E inicia SAE con un AP, verifica si el AP admite H2E. En caso afirmativo, el AP utiliza el H2E para derivar el PWE mediante el uso de un valor de código de estado recién definido en el mensaje de confirmación SAE.
Si STA utiliza Caza y picoteo, todo el intercambio SAE permanece sin cambios.
Al utilizar H2E, la derivación de PWE se divide en los siguientes componentes:
- Derivación de un elemento intermediario secreto PT a partir de la contraseña. Esto se puede realizar sin conexión cuando la contraseña se configura inicialmente en el dispositivo para cada grupo admitido.
- Derivación del PWE del PT almacenado. Esto depende del grupo negociado y de las direcciones MAC de los pares. Esto se realiza en tiempo real durante el intercambio SAE.
Nota
- El método H2E también incorpora protección contra los ataques de intermediario de Group Downgrade. Durante el intercambio SAE, los pares intercambian listas de grupos rechazados agrupados en la derivación PMK. Cada par compara la lista recibida con la lista de grupos admitidos; cualquier discrepancia detecta un ataque de degradación y finaliza la autenticación.
YANG (modelo RPC)
Para crear un RPC para el modo Elemento de contraseña SAE (PWE), utilice el siguiente modelo de RPC:
Nota
La operación de eliminación realiza una acción a la vez debido a la limitación de infraestructura actual. Es decir, en el módulo YANG, no se admite la operación de eliminación en varios nodos.
Configuración de WPA3 SAE H2E
| Procedimiento | Comando o Acción | Objetivo |
| Paso 1 | configurar terminal Exampen: Dispositivo# configurar terminal |
Ingresa al modo de configuración global. |
| Paso 2 | wan nombre-wan menguado nombre-SSID Exampen: Dispositivo(config)# wan WPA3 1 WPA3 |
Ingresa al submodo de configuración WLAN. |
| Paso 3 | sin seguridad wpa akm dot1x Exampen: Dispositivo (config-wlan) # sin seguridad wpaakm dot1x |
Desactiva la seguridad AKM para dot1x. |
| Paso 4 | sin seguridad ft over-the-ds Exampen: Dispositivo (config-wlan) # sin seguridad por encima del DS |
Desactiva la transición rápida a través de la fuente de datos en la WLAN. |
| Paso 5 | sin seguridad ft Exampen: Dispositivo (config-wlan)# sin seguridad ft |
Deshabilita la transición rápida 802.11r en la WLAN. |
| Paso 6 | sin seguridad wpa wpa2 Exampen: Dispositivo (config-wlan) # sin seguridad wpa wpa2 |
Desactiva la seguridad WPA2. PMF está deshabilitado ahora. |
| Paso 7 | seguridad wpa wpa2 cifrados aes Exampen: Dispositivo (config-wlan)# seguridad wpa wpa2 cifrados aes |
Configura el cifrado WPA2. Nota Puede verificar si el cifrado está configurado usando el comando no security wpa wpa2 ciphers aes. Si el cifrado no se restablece, configure el cifrado |
| Paso 8 | seguridad wpa psk set-key valor ascii preshared-key Exampen: Dispositivo (config-wlan)# seguridad wpa psk set-key ascii 0 Cisco123 |
Especifica una clave presagiada. |
| Paso 9 | seguridad wpa wpa3 Exampen: Dispositivo (config-wlan)# seguridad wpa wpa3 |
Habilita la compatibilidad con WPA3. |
| Paso 10 | seguridad wpa akm sae Exampen: Dispositivo (config-wlan) # seguridad wpa akm sae |
Habilita la compatibilidad con AKM SAE. |
| Paso 11 | seguridad wpa akm sae pwe {h2e | hnp | ambos-h2e-hnp} Exampen: Dispositivo (config-wlan) # seguridad wpa akm sae pwe |
Habilita la compatibilidad con AKM SAE PWE. PWE admite las siguientes opciones: • h2e: solo hash a elemento; desactiva Hnp. • hnp: cazar y picotear únicamente; desactiva H2E. • Both-h2e-hnp: admite Hash-to-Element y Hunting and Pecking (es la opción predeterminada). |
| Paso 12 | sin apagado Exampen: Dispositivo (config-wlan) # sin apagado |
Habilita la WLAN. |
| Paso 13 | fin exampen: Dispositivo (config-wlan) # fin |
Vuelve al modo EXEC privilegiado. |
Verificación de la compatibilidad con WPA3 SAE H2E en WLAN
A view las propiedades de WLAN (método PWE) basadas en el ID de WLAN, use el siguiente comando:
Para verificar la asociación de clientes que han utilizado el método PWE como H2E o Hnp, utilice el siguiente comando:
A view Para determinar el número de autenticaciones SAE utilizando H2E y HnP, utilice el siguiente comando:
Compatibilidad con Hash-to-Element para el elemento de contraseña en la autenticación SAE
Documentos / Recursos
 |
Puntos de acceso Catalyst del controlador inalámbrico integrado CISCO [pdf] Guía del usuario Puntos de acceso Catalyst de controlador inalámbrico integrado, Puntos de acceso Catalyst de controlador inalámbrico, Puntos de acceso Catalyst de controlador, Puntos de acceso Catalyst, Puntos de acceso, Puntos |