Logotipo da CISCO

Pontos de acesso Catalyst de controlador sem fio integrado
Guia do usuário

Conteúdo esconder
1 Pontos de acesso Catalyst de controlador sem fio integrado
2 Hash para elemento (H2E)
3 YANG (modelo RPC)
4 Configurando WPA3 SAE H2E
5 Verificando o suporte WPA3 SAE H2E em WLAN
6 Documentos / Recursos
6.1 Referências

Pontos de acesso Catalyst de controlador sem fio integrado

Pontos de acesso incorporados do Catalyst do controlador sem fio CISCOPontos de acesso Catalyst do controlador sem fio integrado CISCO - fig.Suporte para Hash-to-Element para elemento de senha na autenticação SAE

 

  • Hash para elemento (H2E), na página 1
  • YANG (modelo RPC), na página 1
  • Configurando WPA3 SAE H2E, na página 2
  • Verificando o suporte WPA3 SAE H2E em WLAN, na página 4

Hash para elemento (H2E)

Hash-to-Element (H2E) é um novo método SAE Password Element (PWE). Neste método, o PWE secreto utilizado no protocolo SAE é gerado a partir de uma senha.
Quando uma STA que suporta H2E inicia SAE com um AP, ela verifica se o AP suporta H2E. Se sim, o AP usa o H2E para derivar o PWE usando um valor de código de status recentemente definido na mensagem SAE Commit.
Se o STA usar Hunting-and-Pecking, toda a troca SAE permanecerá inalterada.
Ao usar o H2E, a derivação do PWE é dividida nos seguintes componentes:

  • Derivação de um elemento intermediário secreto PT da senha. Isso pode ser feito off-line quando a senha é inicialmente configurada no dispositivo para cada grupo compatível.
  • Derivação do PWE do PT armazenado. Isso depende do grupo negociado e dos endereços MAC dos pares. Isso é realizado em tempo real durante a troca SAE.

Pontos de acesso Catalyst do controlador sem fio integrado CISCO - ícone Observação

  • O método H2E também incorpora proteção contra ataques man-in-the-middle de downgrade de grupo. Durante a troca SAE, os pares trocam listas de grupos rejeitados agrupados na derivação PMK. Cada ponto compara a lista recebida com a lista de grupos suportados. Qualquer discrepância detecta um ataque de downgrade e encerra a autenticação.

YANG (modelo RPC)

Para criar um RPC para o modo SAE Password Element (PWE), use o seguinte modelo de RPC:Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig1
Pontos de acesso Catalyst do controlador sem fio integrado CISCO - ícone Observação

A operação de exclusão executa uma ação por vez devido à limitação de infra-estrutura atual. Ou seja, no módulo YANG, a operação de exclusão em vários nós não é suportada.

Configurando WPA3 SAE H2E

Procedimento Comando ou Ação Propósito
Passo 1 configurar terminal
Exampem:
Dispositivo# configurar terminal		 Entra no modo de configuração global.
Passo 2 wan wan-name diminuiu SSID-name Exampem:
Dispositivo(config)#wan WPA3 1 WPA3		 Entra no submodo de configuração WLAN.
Passo 3 sem segurança wpa akm dot1x
Exampem:
Dispositivo (config-wlan)# sem segurança wpaakm dot1x		 Desativa o AKM de segurança para dot1x.
Passo 4 sem segurança sobre o ds Exampem:
Dispositivo (config-wlan) # sem segurança sobre o ds		 Desativa a transição rápida pela fonte de dados na WLAN.
Passo 5 sem segurança ft Exampem:
Dispositivo (config-wlan)# sem segurança		 Desativa a transição rápida 802.11r na WLAN.
Passo 6 sem segurança wpa wpa2 Exampem:
Dispositivo(config-wlan)# sem segurança wpa wpa2		 Desativa a segurança WPA2. PMF está desativado agora.
Passo 7 segurança wpa wpa2 cifras aes
Exampem:
Dispositivo (config-wlan)# segurança wpa wpa2 cifras aes		 Configura a cifra WPA2.
Observação Você pode verificar se a cifra está configurada usando o comando no security  wpa wpa2 ciphers aes. Se a cifra não for redefinida, configure o
cifra.
Passo 8 segurança wpa psk set-key valor ascii chave pré-compartilhada Exampem:
Dispositivo (config-wlan)# segurança wpa psk set-key ascii 0 Cisco123		 Especifica uma chave pré-prefigurada.
Passo 9 segurança wpa wpa3 Exampem:
Dispositivo(config-wlan)# segurança wpa wpa3		 Ativa o suporte WPA3.
Passo 10 segurança wpa akm sae Exampem:
Dispositivo(config-wlan)# segurança wpa akm sae		 Ativa o suporte AKM SAE.
Passo 11 segurança wpa akm sae pwe {h2e | hnp | ambos-h2e-hnp}
Exampem:
Dispositivo (config-wlan)# segurança wpa akm sae pwe		 Ativa o suporte AKM SAE PWE.
PWE oferece suporte às seguintes opções:
• h2e — somente hash para elemento; desativa Hnp.
• hnp—somente caça e bicadas; desativa H2E.
• Both-h2e-hnp: suporte para Hash-to-Element e Hunting and Pecking (é a opção padrão).
Passo 12 sem desligamento Exampem:
Dispositivo(config-wlan)# sem desligamento		 Ativa a WLAN.
Passo 13 fim Exampem:
Dispositivo(config-wlan)# fim		 Retorna ao modo EXEC privilegiado.

Verificando o suporte WPA3 SAE H2E em WLAN

Para view as propriedades WLAN (método PWE) com base no ID WLAN, use o seguinte comando:

Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig2

Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig3
Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig4

Para verificar a associação do cliente que utilizou o método PWE como H2E ou Hnp, utilize o seguinte comando:
Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig5
Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig6

Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig7
Para view o número de autenticações SAE usando H2E e HnP, use o seguinte comando:

Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig8Pontos de acesso Catalyst do controlador sem fio integrado CISCO - fig9

Suporte para Hash-to-Element para elemento de senha na autenticação SAELogotipo da CISCO

Documentos / Recursos

Pontos de acesso incorporados do Catalyst do controlador sem fio CISCO [pdf] Guia do Usuário
Pontos de acesso Catalyst de controlador sem fio integrado, Pontos de acesso Catalyst de controlador sem fio, Pontos de acesso Catalyst de controlador, Pontos de acesso Catalyst, Pontos de acesso, Pontos

Referências

Deixe um comentário

Seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *