Points d'accès Catalyst de contrôleur sans fil intégré
Guide de l'utilisateur
Points d'accès Catalyst de contrôleur sans fil intégré
Prise en charge du hachage vers élément pour l'élément de mot de passe dans l'authentification SAE
- Hash-to-Element (H2E), à la page 1
- YANG (modèle RPC), à la page 1
- Configuration de WPA3 SAE H2E, à la page 2
- Vérification de la prise en charge WPA3 SAE H2E dans WLAN, à la page 4
Hachage vers élément (H2E)
Hash-to-Element (H2E) est une nouvelle méthode SAE Password Element (PWE). Dans cette méthode, le secret PWE utilisé dans le protocole SAE est généré à partir d'un mot de passe.
Lorsqu'une STA prenant en charge H2E lance SAE avec un AP, elle vérifie si AP prend en charge H2E. Si oui, l'AP utilise le H2E pour dériver le PWE en utilisant une valeur de code d'état nouvellement définie dans le message SAE Commit.
Si STA utilise Hunting-and-Pecking, l’ensemble de l’échange SAE reste inchangé.
Lors de l'utilisation du H2E, la dérivation PWE est divisée en les composants suivants :
- Dérivation d'un élément intermédiaire secret PT à partir du mot de passe. Cela peut être effectué hors ligne lorsque le mot de passe est initialement configuré sur l'appareil pour chaque groupe pris en charge.
- Dérivation du PWE à partir du PT stocké. Cela dépend du groupe négocié et des adresses MAC des pairs. Ceci est effectué en temps réel pendant l'échange SAE.
Note
- La méthode H2E intègre également une protection contre les attaques man-in-the-middle de Group Downgrade. Au cours de l'échange SAE, les pairs échangent des listes de groupes rejetés regroupés dans la dérivation PMK. Chaque homologue compare la liste reçue avec la liste des groupes pris en charge, toute divergence détecte une attaque de rétrogradation et met fin à l'authentification.
YANG (modèle RPC)
Pour créer un RPC pour le mode SAE Password Element (PWE), utilisez le modèle RPC suivant :
Note
L'opération de suppression effectue une action à la fois en raison de la limitation infra actuelle. Autrement dit, dans le module YANG, l'opération de suppression sur plusieurs nœuds n'est pas prise en charge.
Configuration de WPA3 SAE H2E
| Procédure | Commande ou action | But |
| Étape 1 | configurer le terminal Example: Appareil n° configurer le terminal |
Entre en mode de configuration globale. |
| Étape 2 | wan wan-name a diminué SSID-name Example: Appareil (config) # wan WPA3 1 WPA3 |
Entre dans le sous-mode de configuration WLAN. |
| Étape 3 | pas de sécurité wpa akm dot1x Example: Appareil (config-wlan)# pas de sécurité wpaakm dot1x |
Désactive l'AKM de sécurité pour dot1x. |
| Étape 4 | pas de sécurité ft over-the-ds Example: Appareil (config-wlan)# pas de sécurité via le ds |
Désactive la transition rapide sur la source de données sur le WLAN. |
| Étape 5 | pas de sécurité ft Example: Appareil (config-wlan)# pas de sécurité ft |
Désactive la transition rapide 802.11r sur le WLAN. |
| Étape 6 | pas de sécurité wpa wpa2 Example: Appareil (config-wlan)# pas de sécurité wpa wpa2 |
Désactive la sécurité WPA2. PMF est maintenant désactivé. |
| Étape 7 | sécurité wpa wpa2 chiffrements aes Example: Appareil (config-wlan)# sécurité wpa wpa2 chiffrements aes |
Configure le chiffrement WPA2. Remarque Vous pouvez vérifier si le chiffrement est configuré à l'aide de la commande no security wpa wpa2 ciphers aes. Si le chiffre n'est pas réinitialisé, configurez le chiffrer. |
| Étape 8 | sécurité wpa psk set-key valeur ascii clé pré-partagée Example: Périphérique (config-wlan) # sécurité wpa psk set-key ascii 0 Cisco123 |
Spécifie une clé prédéfinie. |
| Étape 9 | sécurité wpa wpa3 Example: Appareil (config-wlan)# sécurité wpa wpa3 |
Active la prise en charge de WPA3. |
| Étape 10 | sécurité wpa akm sae Example: Appareil (config-wlan)# sécurité wpa akm sae |
Active la prise en charge d'AKM SAE. |
| Étape 11 | sécurité wpa akm sae pwe {h2e | hnp | les deux-h2e-hnp} Example: Appareil (config-wlan)# sécurité wpa akm sae pwe |
Active la prise en charge AKM SAE PWE. PWE prend en charge les options suivantes : • h2e : hachage vers élément uniquement ; désactive Hnp. • hnp : chasse et picage uniquement ; désactive H2E. • Both-h2e-hnp : prise en charge du hachage vers l'élément et de la chasse et du picage (option par défaut). |
| Étape 12 | pas d'arrêt Example: Appareil (config-wlan)# pas d'arrêt |
Active le WLAN. |
| Étape 13 | fin Example: Appareil (config-wlan)# fin |
Revient au mode d'exécution privilégié. |
Vérification de la prise en charge de WPA3 SAE H2E dans WLAN
À view les propriétés WLAN (méthode PWE) en fonction de l'ID WLAN, utilisez la commande suivante :
Pour vérifier l'association des clients ayant utilisé la méthode PWE comme H2E ou Hnp, utilisez la commande suivante :
À view le nombre d'authentifications SAE utilisant le H2E et le HnP, utilisez la commande suivante :
Prise en charge du hachage vers élément pour l'élément de mot de passe dans l'authentification SAE
Documents / Ressources
 |
Points d'accès Catalyst de contrôleur sans fil intégré CISCO [pdf] Guide de l'utilisateur Points d'accès Catalyst de contrôleur sans fil intégrés, points d'accès Catalyst de contrôleur sans fil, points d'accès Catalyst de contrôleur, points d'accès Catalyst, points d'accès, points |