Puntos de acceso Catalyst de controlador sen fíos integrado
Guía de usuario
Puntos de acceso Catalyst de controlador sen fíos integrado
Compatibilidade con Hash-to-Element para o elemento de contrasinal na autenticación SAE
- Hash-to-Element (H2E), na páxina 1
- YANG (modelo RPC), na páxina 1
- Configuración de WPA3 SAE H2E, na páxina 2
- Verificación do soporte WPA3 SAE H2E na WLAN, na páxina 4
Hash-to-element (H2E)
Hash-to-Element (H2E) é un novo método SAE Password Element (PWE). Neste método, o PWE secreto usado no protocolo SAE xérase a partir dun contrasinal.
Cando un STA que admite H2E inicia SAE cun AP, comproba se o AP é compatible con H2E. En caso afirmativo, o AP usa o H2E para derivar o PWE utilizando un valor de código de estado recentemente definido na mensaxe de confirmación SAE.
Se STA usa Hunting-and-Pecking, todo o intercambio SAE permanece sen cambios.
Mentres se usa o H2E, a derivación PWE divídese nos seguintes compoñentes:
- Derivación dun elemento intermediario secreto PT a partir do contrasinal. Isto pódese realizar sen conexión cando o contrasinal está configurado inicialmente no dispositivo para cada grupo compatible.
- Derivación do PWE a partir do PT almacenado. Isto depende do grupo negociado e dos enderezos MAC dos pares. Isto realízase en tempo real durante o intercambio SAE.
Nota
- O método H2E tamén incorpora protección contra os ataques de grupo de downgrade man-in-the-middle. Durante o intercambio SAE, os pares intercambian listas de grupos rexeitados agrupados na derivación PMK. Cada par compara a lista recibida coa lista de grupos admitidos, calquera discrepancia detecta un ataque de downgrade e finaliza a autenticación.
YANG (modelo RPC)
Para crear un RPC para o modo SAE Password Element (PWE), use o seguinte modelo RPC:
Nota
A operación de eliminación realiza unha acción á vez debido á limitación de infracción actual. É dicir, no módulo YANG, a operación de eliminación en varios nodos non é compatible.
Configuración de WPA3 SAE H2E
| Procedemento | Comando ou Acción | Finalidade |
| Paso 1 | configurar o terminal ExampLe: Dispositivo # configurar terminal |
Entra no modo de configuración global. |
| Paso 2 | wan wan-nome diminuído SSID-nome ExampLe: Dispositivo (configuración) # wan WPA3 1 WPA3 |
Entra no submodo de configuración WLAN. |
| Paso 3 | sen seguridade wpa akm dot1x ExampLe: Dispositivo (config-wlan) # sen seguridade wpaakm dot1x |
Desactiva AKM de seguridade para dot1x. |
| Paso 4 | sen seguridade ft over-the-ds ExampLe: Dispositivo(config-wlan)# sen seguridade con over-the-ds |
Desactiva a transición rápida sobre a fonte de datos na WLAN. |
| Paso 5 | sen seguridade ft ExampLe: Dispositivo (config-wlan) # sen seguridade ft |
Desactiva a transición rápida 802.11r na WLAN. |
| Paso 6 | sen seguridade wpa wpa2 ExampLe: Dispositivo (config-wlan) # sen seguridade wpa wpa2 |
Desactiva a seguridade WPA2. PMF está desactivado agora. |
| Paso 7 | seguridade wpa wpa2 cifrados aes ExampLe: Dispositivo (config-wlan) # seguridade wpa wpa2 cifrados aes |
Configura o cifrado WPA2. Nota Pode comprobar se o cifrado está configurado usando o comando non security wpa wpa2 ciphers aes. Se o cifrado non se restablece, configure o cifrado. |
| Paso 8 | seguridade wpa psk set-key valor ascii clave precompartida ExampLe: Dispositivo (config-wlan) # seguridade wpa psk set-key ascii 0 Cisco123 |
Especifica unha clave anunciada. |
| Paso 9 | seguridade wpa wpa3 ExampLe: Dispositivo (config-wlan) # seguridade wpa wpa3 |
Activa o soporte WPA3. |
| Paso 10 | seguridade wpa akm sae ExampLe: Dispositivo (config-wlan) # seguridade wpa akm sae |
Activa o soporte AKM SAE. |
| Paso 11 | seguridade wpa akm sae pwe {h2e | hnp | ambos-h2e-hnp} ExampLe: Dispositivo (config-wlan) # seguridade wpa akm sae pwe |
Activa o soporte AKM SAE PWE. PWE admite as seguintes opcións: • h2e: só Hash-to-Element; desactiva Hnp. • hnp: só caza e picoteo; desactiva H2E. • Both-h2e-hnp: soporte tanto de Hash-to-Element como de caza e picoteo (é a opción predeterminada). |
| Paso 12 | sen parada ExampLe: Dispositivo (config-wlan) # sen apagado |
Activa a WLAN. |
| Paso 13 | final ExampLe: Dispositivo (config-wlan)# fin |
Volve ao modo EXEC privilexiado. |
Verificando a compatibilidade con WPA3 SAE H2E na WLAN
Para view as propiedades da WLAN (método PWE) baseadas no ID WLAN, use o seguinte comando:
Para verificar a asociación de clientes que utilizaron o método PWE como H2E ou Hnp, use o seguinte comando:
Para view o número de autenticacións SAE usando H2E e HnP, use o seguinte comando:
Compatibilidade con Hash-to-Element para o elemento de contrasinal na autenticación SAE
Documentos/Recursos
 |
Puntos de acceso Catalyst de controlador sen fíos integrado CISCO [pdfGuía do usuario Puntos de acceso Catalyst para controlador sen fíos integrados, Puntos de acceso Catalyst para controladores sen fíos, Puntos de acceso Catalyst para controladores, Puntos de acceso Catalyst, puntos de acceso, puntos |