Geïntegreerde draadloze controller Catalyst Access Points
Gebruikershandleiding
Geïntegreerde draadloze controller Catalyst Access Points
Ondersteuning voor Hash-to-Element voor wachtwoordelement in SAE-authenticatie
- Hash-naar-Element (H2E), op pagina 1
- YANG (RPC-model), op pagina 1
- WPA3 SAE H2E configureren, op pagina 2
- WPA3 SAE H2E-ondersteuning in WLAN verifiëren, op pagina 4
Hash-naar-element (H2E)
Hash-to-Element (H2E) is een nieuwe SAE-wachtwoordelementmethode (PWE). Bij deze methode wordt de geheime PWE die in het SAE-protocol wordt gebruikt, gegenereerd op basis van een wachtwoord.
Wanneer een STA die H2E ondersteunt SAE initieert met een AP, controleert deze of AP H2E ondersteunt. Zo ja, dan gebruikt de AP de H2E om de PWE af te leiden door een nieuw gedefinieerde statuscodewaarde te gebruiken in het SAE Commit-bericht.
Als STA gebruik maakt van Hunting-and-Pecking, blijft de gehele SAE-uitwisseling ongewijzigd.
Bij gebruik van de H2E is de PWE-afleiding verdeeld in de volgende componenten:
- Afleiding van een geheim tussenelement PT uit het wachtwoord. Dit kan offline worden uitgevoerd wanneer het wachtwoord voor elke ondersteunde groep in eerste instantie op het apparaat is geconfigureerd.
- Afleiding van de PWE uit de opgeslagen PT. Dit is afhankelijk van de onderhandelde groep en MAC-adressen van peers. Dit gebeurt in realtime tijdens de SAE-uitwisseling.
Opmerking
- De H2E-methode omvat ook bescherming tegen de Group Downgrade man-in-the-middle-aanvallen. Tijdens de SAE-uitwisseling wisselen de peers lijsten uit van afgewezen groepen, ingedeeld in de PMK-afleiding. Elke peer vergelijkt de ontvangen lijst met de lijst met ondersteunde groepen; elke discrepantie detecteert een downgrade-aanval en beëindigt de authenticatie.
YANG (RPC-model)
Gebruik het volgende RPC-model om een RPC voor de SAE-wachtwoordelement (PWE)-modus te maken:
Opmerking
De verwijderbewerking voert één actie tegelijk uit vanwege de huidige infrastructuurbeperking. Dat wil zeggen dat in de YANG-module de verwijderbewerking op meerdere knooppunten niet wordt ondersteund.
WPA3 SAE H2E configureren
| Procedure | Commando of actie | Doel |
| Stap 1 | terminal configureren: Exampon: Apparaat# terminal configureren |
Gaat naar de globale configuratiemodus. |
| Stap 2 | wan wan-naam afgenomen SSID-naam Vbampon: Apparaat(config)# wan WPA3 1 WPA3 |
Opent de submodus WLAN-configuratie. |
| Stap 3 | geen beveiliging wpa akm dot1x Exampon: Apparaat (config-wlan) # geen beveiliging wpakm dot1x |
Schakelt beveiligings-AKM uit voor dot1x. |
| Stap 4 | geen beveiliging over de ds Vbampon: Device(config-wlan)# geen beveiliging ft over-the-ds |
Schakelt snelle overgang via de gegevensbron op het WLAN uit. |
| Stap 5 | geen beveiliging ft Vbampon: Apparaat (config-wlan) # geen beveiliging ft |
Schakelt de snelle 802.11r-overgang op het WLAN uit. |
| Stap 6 | geen beveiliging wpa wpa2 Bijvampon: Apparaat (config-wlan) # geen beveiliging wpa wpa2 |
Schakelt WPA2-beveiliging uit. PMF is nu uitgeschakeld. |
| Stap 7 | beveiliging wpa wpa2-cijfers aes Exampon: Apparaat (config-wlan) # beveiliging wpa wpa2-cijfers aes |
Configureert WPA2-codering. Opmerking U kunt controleren of de codering is geconfigureerd met de opdracht no security wpa wpa2 ciphers aes. Als de codering niet opnieuw wordt ingesteld, configureert u de cijfer. |
| Stap 8 | beveiliging wpa psk set-key ascii-waarde preshared-key Exampon: Apparaat (config-wlan) # beveiliging wpa psk set-key ascii 0 Cisco123 |
Specificeert een vooraf ingestelde sleutel. |
| Stap 9 | beveiliging wpa wpa3 Bijvampon: Apparaat (config-wlan) # beveiliging wpa wpa3 |
Maakt WPA3-ondersteuning mogelijk. |
| Stap 10 | beveiliging wpa akm sae Bijvampon: Apparaat (config-wlan) # beveiliging wpa akm sae |
Schakelt AKM SAE-ondersteuning in. |
| Stap 11 | beveiliging wpa akm sae pwe {h2e | hnp | beide-h2e-hnp} Exampon: Apparaat (config-wlan) # beveiliging wpa akm sae pwe |
Schakelt AKM SAE PWE-ondersteuning in. PWE ondersteunt de volgende opties: • h2e: alleen hash-naar-element; schakelt Hnp uit. • HNP: alleen jagen en pikken; schakelt H2E uit. • Both-h2e-hnp: ondersteuning voor zowel Hash-to-Element als Hunting en Pecking (is de standaardoptie). |
| Stap 12 | geen uitschakeling bijvampon: Apparaat (config-wlan) # geen afsluiting |
Schakelt het WLAN in. |
| Stap 13 | einde bijvampon: Apparaat (config-wlan) # einde |
Keert terug naar de geprivilegieerde EXEC-modus. |
WPA3 SAE H2E-ondersteuning in WLAN verifiëren
Naar view de WLAN-eigenschappen (PWE-methode) op basis van de WLAN-ID, gebruikt u de volgende opdracht:
Om de klantenvereniging te verifiëren die de PWE-methode als H2E of Hnp heeft gebruikt, gebruikt u de volgende opdracht:
Naar view het aantal SAE-authenticaties met behulp van de H2E en HnP, gebruikt u de volgende opdracht:
Ondersteuning voor Hash-to-Element voor wachtwoordelement in SAE-authenticatie
Documenten / Bronnen
 |
CISCO ingebedde draadloze controller katalysatortoegangspunten [pdf] Gebruikershandleiding Ingebouwde draadloze controller Katalysatortoegangspunten, Draadloze controller Katalysatortoegangspunten, Controller Katalysatortoegangspunten, Katalysatortoegangspunten, Toegangspunten, Punten |