Wbudowane punkty dostępowe kontrolera bezprzewodowego Catalyst
Instrukcja użytkownika
Wbudowane punkty dostępowe kontrolera bezprzewodowego Catalyst
Obsługa funkcji Hash-to-Element dla elementu hasła w uwierzytelnianiu SAE
- Hash-to-Element (H2E), na stronie 1
- YANG (model RPC), na stronie 1
- Konfigurowanie WPA3 SAE H2E, na stronie 2
- Sprawdzanie obsługi WPA3 SAE H2E w sieci WLAN, na stronie 4
Hash-to-element (H2E)
Hash-to-Element (H2E) to nowa metoda SAE Password Element (PWE). W tej metodzie z hasła generowany jest tajny PWE używany w protokole SAE.
Kiedy stacja STA obsługująca H2E inicjuje SAE z punktem dostępowym AP, sprawdza, czy punkt dostępowy AP obsługuje H2E. Jeśli tak, punkt dostępowy AP wykorzystuje H2E do uzyskania PWE przy użyciu nowo zdefiniowanej wartości kodu stanu w komunikacie zatwierdzenia SAE.
Jeśli STA korzysta z Hunting-and-Pecking, cała wymiana SAE pozostaje niezmieniona.
Podczas korzystania z H2E wyprowadzenie PWE jest podzielone na następujące elementy:
- Wyprowadzenie tajnego elementu pośredniczącego PT z hasła. Można to wykonać w trybie offline, gdy hasło jest początkowo skonfigurowane na urządzeniu dla każdej obsługiwanej grupy.
- Wyprowadzenie PWE z zapisanego PT. Zależy to od wynegocjowanej grupy i adresów MAC urządzeń równorzędnych. Odbywa się to w czasie rzeczywistym podczas wymiany SAE.
Notatka
- Metoda H2E obejmuje również ochronę przed atakami typu man-in-the-middle Group Downgrade. Podczas wymiany SAE partnerzy wymieniają listy odrzuconych grup pogrupowanych w wyprowadzenie PMK. Każdy peer porównuje otrzymaną listę z listą obsługiwanych grup, każda rozbieżność wykrywa atak na obniżenie wersji i kończy uwierzytelnianie.
YANG (model RPC)
Aby utworzyć RPC dla trybu elementu hasła SAE (PWE), użyj następującego modelu RPC:
Notatka
Operacja usuwania wykonuje jedną akcję na raz ze względu na bieżące ograniczenia infrastruktury. Oznacza to, że w module YANG operacja usuwania na wielu węzłach nie jest obsługiwana.
Konfiguracja WPA3 SAE H2E
| Procedura | Polecenie lub działanie | Zamiar |
| Krok 1 | skonfiguruj terminal Exampna: Urządzenie# skonfiguruj terminal |
Przechodzi do trybu konfiguracji globalnej. |
| Krok 2 | wan wan-name wan nazwa SSID Exampna: Urządzenie(konfiguracja)# wan WPA3 1 WPA3 |
Wejście do podtrybu konfiguracji WLAN. |
| Krok 3 | brak zabezpieczeń wpa akm dot1x Exampna: Urządzenie (config-wlan) # brak zabezpieczeń wpaakm dot1x |
Wyłącza zabezpieczenia AKM dla dot1x. |
| Krok 4 | brak zabezpieczeń ft over-the-ds Exampna: Urządzenie (config-wlan) # bez zabezpieczeń ft over-the-ds |
Wyłącza szybkie przejście przez źródło danych w sieci WLAN. |
| Krok 5 | bez zabezpieczeń ft Exampna: Urządzenie (config-wlan) # bez zabezpieczeń ft |
Wyłącza szybkie przejście do standardu 802.11r w sieci WLAN. |
| Krok 6 | brak zabezpieczeń wpa wpa2 Npampna: Urządzenie (config-wlan) # brak zabezpieczeń wpa wpa2 |
Wyłącza zabezpieczenia WPA2. PMF jest teraz wyłączony. |
| Krok 7 | bezpieczeństwo wpa wpa2 szyfry aes Exampna: Urządzenie(config-wlan)# bezpieczeństwo wpa wpa2 ciphers aes |
Konfiguruje szyfr WPA2. Uwaga Możesz sprawdzić, czy szyfrowanie jest skonfigurowane, za pomocą polecenia no security wpa wpa2 ciphers aes. Jeśli szyfr nie zostanie zresetowany, skonfiguruj szyfr. |
| Krok 8 | bezpieczeństwo wpa psk set-key wartość ascii klucz-wspólny Npampna: Urządzenie(config-wlan)# bezpieczeństwo wpa psk set-key ascii 0 Cisco123 |
Określa klucz wstępnie przygotowany. |
| Krok 9 | bezpieczeństwo wpa wpa3 Npampna: Urządzenie(config-wlan)# bezpieczeństwo wpa wpa3 |
Włącza obsługę WPA3. |
| Krok 10 | bezpieczeństwo wpa akm sae Exampna: Urządzenie(config-wlan)# bezpieczeństwo wpa akm sae |
Włącza obsługę AKM SAE. |
| Krok 11 | bezpieczeństwo wpa akm sae pwe {h2e | hnp | oba-h2e-hnp} Exampna: Urządzenie(config-wlan)# security wpa akm sae pwe |
Włącza obsługę AKM SAE PWE. PWE obsługuje następujące opcje: • h2e – tylko skrót do elementu; wyłącza Hnp. • hnp – tylko polowanie i dziobanie; wyłącza H2E. • Both-h2e-hnp — obsługa funkcji Hash-to-Element oraz Hunting and Pecking (jest to opcja domyślna). |
| Krok 12 | brak wyłączenia Npampna: Urządzenie (config-wlan) # brak wyłączenia |
Włącza sieć WLAN. |
| Krok 13 | zakończ npampna: Urządzenie(config-wlan)# koniec |
Powraca do uprzywilejowanego trybu EXEC. |
Sprawdzanie obsługi WPA3 SAE H2E w sieci WLAN
Do view właściwości sieci WLAN (metoda PWE) w oparciu o identyfikator WLAN, użyj następującego polecenia:
Aby zweryfikować powiązanie klienta, który użył metody PWE jako H2E lub Hnp, użyj następującego polecenia:
Do view liczbę uwierzytelnień SAE przy użyciu H2E i HnP, użyj następującego polecenia:
Obsługa funkcji Hash-to-Element dla elementu hasła w uwierzytelnianiu SAE
Dokumenty / Zasoby
 |
Punkty dostępowe Catalyst z wbudowanym kontrolerem bezprzewodowym CISCO [plik PDF] Instrukcja użytkownika Punkty dostępowe z wbudowanym kontrolerem bezprzewodowym Catalyst, Punkty dostępowe z kontrolerem bezprzewodowym Catalyst, Punkty dostępowe z kontrolerem Catalyst, Punkty dostępowe Catalyst, Punkty dostępowe, Punkty |