Punti di accesso Catalyst per controller wireless integrato
Guida per l'utente
Punti di accesso Catalyst per controller wireless integrato
Supporto per Hash-to-Element per l'elemento Password nell'autenticazione SAE
- Hash-to-Element (H2E), a pagina 1
- YANG (modello RPC), a pagina 1
- Configurazione WPA3 SAE H2E, a pagina 2
- Verifica del supporto WPA3 SAE H2E nella WLAN, a pagina 4
Da hash a elemento (H2E)
Hash-to-Element (H2E) è un nuovo metodo SAE Password Element (PWE). In questo metodo, la PWE segreta utilizzata nel protocollo SAE viene generata da una password.
Quando una STA che supporta H2E avvia SAE con un AP, controlla se AP supporta H2E. In caso affermativo, l'AP utilizza l'H2E per derivare il PWE utilizzando un valore del codice di stato appena definito nel messaggio SAE Commit.
Se STA utilizza Hunting-and-Pecking, l'intero scambio SAE rimane invariato.
Durante l'utilizzo di H2E, la derivazione PWE è suddivisa nei seguenti componenti:
- Derivazione di un elemento intermedio segreto PT dalla password. Questa operazione può essere eseguita offline quando la password viene inizialmente configurata sul dispositivo per ciascun gruppo supportato.
- Derivazione della PWE dal PT memorizzato. Dipende dal gruppo negoziato e dagli indirizzi MAC dei peer. Questa operazione viene eseguita in tempo reale durante lo scambio SAE.
Nota
- Il metodo H2E incorpora anche la protezione contro gli attacchi man-in-the-middle di Group Downgrade. Durante lo scambio SAE, i peer scambiano gli elenchi dei gruppi rifiutati inseriti nella derivazione PMK. Ogni peer confronta l'elenco ricevuto con l'elenco dei gruppi supportati, qualsiasi discrepanza rileva un attacco di downgrade e termina l'autenticazione.
YANG (modello RPC)
Per creare una RPC per la modalità SAE Password Element (PWE), utilizzare il seguente modello RPC:
Nota
L'operazione di eliminazione esegue un'azione alla volta a causa dell'attuale limitazione delle infrastrutture. Cioè, nel modulo YANG, l'operazione di eliminazione su più nodi non è supportata.
Configurazione WPA3 SAE H2E
| Procedura | Comando o azione | Scopo |
| Passo 1 | configurare il terminale Exampon: Dispositivo# configura terminale |
Accede alla modalità di configurazione globale. |
| Passo 2 | wan nome-wan waned nome SSID Esampon: Dispositivo (config)# wan WPA3 1 WPA3 |
Accede alla sottomodalità di configurazione WLAN. |
| Passo 3 | nessuna sicurezza wpa akm dot1x Exampon: Dispositivo (config-wlan)# nessuna sicurezza wpaakm dot1x |
Disabilita AKM di sicurezza per dot1x. |
| Passo 4 | nessuna sicurezza ft over-the-ds Exampon: Dispositivo (config-wlan)# nessuna sicurezza ft over-the-ds |
Disabilita la transizione rapida sull'origine dati sulla WLAN. |
| Passo 5 | nessuna sicurezza ft Exampon: Dispositivo (config-wlan)# nessuna sicurezza ft |
Disabilita la transizione rapida 802.11r sulla WLAN. |
| Passo 6 | nessuna sicurezza wpa wpa2 Exampon: Dispositivo (config-wlan)# nessuna sicurezza wpa wpa2 |
Disabilita la sicurezza WPA2. PMF è ora disabilitato. |
| Passo 7 | sicurezza wpa wpa2 cifrari aes Exampon: Dispositivo (config-wlan)# sicurezza wpa wpa2 cifrari aes |
Configura la crittografia WPA2. Nota: puoi verificare se la crittografia è configurata utilizzando il comando no security wpa wpa2 ciphers aes. Se la crittografia non viene reimpostata, configurare il file cifra. |
| Passo 8 | sicurezza wpa psk set-key valore ascii chiave precondivisa Esampon: Dispositivo (config-wlan)# sicurezza wpa psk set-key ascii 0 Cisco123 |
Specifica una chiave presagita. |
| Passo 9 | sicurezza wpa wpa3 esampon: Dispositivo (config-wlan)# sicurezza wpa wpa3 |
Abilita il supporto WPA3. |
| Passo 10 | sicurezza wpa akm sae Exampon: Dispositivo (config-wlan)# sicurezza wpa akm sae |
Abilita il supporto AKM SAE. |
| Passo 11 | sicurezza wpa akm sae pwe {h2e | hnp | entrambi-h2e-hnp} Exampon: Dispositivo (config-wlan)# sicurezza wpa akm sae pwe |
Abilita il supporto AKM SAE PWE. PWE supporta le seguenti opzioni: • h2e: solo da hash a elemento; disabilita Hnp. • hnp: solo caccia e beccata; disabilita H2E. • Both-h2e-hnp: supporto sia per Hash-to-Element che per Hunting e Pecking (è l'opzione predefinita). |
| Passo 12 | nessun arresto Esampon: Dispositivo (config-wlan)# nessun arresto |
Abilita la WLAN. |
| Passo 13 | fine Esampon: Dispositivo(config-wlan)# fine |
Ritorna alla modalità EXEC privilegiata. |
Verifica del supporto WPA3 SAE H2E nella WLAN
A view le proprietà WLAN (metodo PWE) in base all'ID WLAN, utilizzare il seguente comando:
Per verificare l'associazione dei client che hanno utilizzato il metodo PWE come H2E o Hnp, utilizzare il seguente comando:
A view il numero di autenticazioni SAE utilizzando H2E e HnP, utilizzare il seguente comando:
Supporto per Hash-to-Element per l'elemento Password nell'autenticazione SAE
Documenti / Risorse
 |
Punti di accesso Catalyst per controller wireless integrato CISCO [pdf] Guida utente Punti di accesso Catalyst per controller wireless integrato, Punti di accesso Catalyst per controller wireless, Punti di accesso Catalyst per controller, Punti di accesso Catalyst, Punti di accesso, Punti |