Zabudovaný bezdrôtový ovládač Catalyst Access Points
Používateľská príručka
Zabudovaný bezdrôtový ovládač Catalyst Access Points
Podpora pre hash-to-Element pre prvok hesla v autentifikácii SAE
- Hash-to-Element (H2E), na strane 1
- YANG (model RPC), na strane 1
- Konfigurácia WPA3 SAE H2E, na strane 2
- Overenie podpory WPA3 SAE H2E v sieti WLAN, na strane 4
Hash-to-Element (H2E)
Hash-to-Element (H2E) je nová metóda SAE Password Element (PWE). Pri tejto metóde sa tajné PWE používané v protokole SAE generuje z hesla.
Keď STA, ktorá podporuje H2E, spustí SAE s AP, skontroluje, či AP podporuje H2E. Ak áno, AP použije H2E na odvodenie PWE pomocou novo definovanej hodnoty stavového kódu v správe SAE Commit.
Ak STA používa Hunting-and-Pecking, celá burza SAE zostáva nezmenená.
Pri použití H2E je derivácia PWE rozdelená do nasledujúcich komponentov:
- Odvodenie tajného sprostredkovateľského prvku PT od hesla. Toto je možné vykonať v režime offline, keď je heslo pôvodne nakonfigurované na zariadení pre každú podporovanú skupinu.
- Odvodenie PWE z uloženého PT. Závisí to od dohodnutej skupiny a MAC adries partnerov. Toto sa vykonáva v reálnom čase počas výmeny SAE.
Poznámka
- Metóda H2E zahŕňa aj ochranu proti skupinovým downgrade útokom typu man-in-the-middle. Počas výmeny SAE si partneri vymenili zoznamy odmietnutých skupín združených do odvodenia PMK. Každý partner porovnáva prijatý zoznam so zoznamom podporovaných skupín, každá nezrovnalosť deteguje útok downgrade a ukončí autentifikáciu.
YANG (model RPC)
Ak chcete vytvoriť RPC pre režim SAE Password Element (PWE), použite nasledujúci model RPC:
Poznámka
Operácia vymazania vykonáva jednu akciu naraz kvôli aktuálnemu obmedzeniu infra. To znamená, že v module YANG nie sú podporované operácie odstránenia na viacerých uzloch.
Konfigurácia WPA3 SAE H2E
| Postup | Príkaz alebo akcia | Účel |
| Krok 1 | konfigurovať terminál Example: Konfiguračný terminál Device# |
Vstúpi do režimu globálnej konfigurácie. |
| Krok 2 | wan wan-name waned SSID-name Prample: Zariadenie(konfigurácia)# wan WPA3 1 WPA3 |
Vstúpi do podrežimu konfigurácie WLAN. |
| Krok 3 | bez zabezpečenia wpa akm dot1x Example: Zariadenie(config-wlan)# bez zabezpečenia wpaakm dot1x |
Zakáže zabezpečenie AKM pre dot1x. |
| Krok 4 | bez zabezpečenia ft over-the-ds Example: Device(config-wlan)# bez zabezpečenia ft over-the-ds |
Zakáže rýchly prechod cez zdroj údajov v sieti WLAN. |
| Krok 5 | bez zabezpečenia ft Naprample: Device(config-wlan)# bez zabezpečenia ft |
Zakáže rýchly prechod 802.11r v sieti WLAN. |
| Krok 6 | žiadne zabezpečenie wpa wpa2 Naprample: Zariadenie (config-wlan)# bez zabezpečenia wpa wpa2 |
Vypne zabezpečenie WPA2. PMF je teraz vypnutý. |
| Krok 7 | zabezpečenie wpa wpa2 šifry aes Example: Device(config-wlan)# security wpa wpa2 šifry aes |
Konfiguruje šifru WPA2. Poznámka Môžete skontrolovať, či je šifra nakonfigurovaná pomocou príkazu no security wpa wpa2 ciphers aes. Ak sa šifra nevynuluje, nakonfigurujte šifra. |
| Krok 8 | security wpa psk set-key ascii value preshared-key Prample: Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123 |
Určuje prednastavený kľúč. |
| Krok 9 | zabezpečenie wpa wpa3 Naprample: Zariadenie(config-wlan)# zabezpečenie wpa wpa3 |
Umožňuje podporu WPA3. |
| Krok 10 | zabezpečenie wpa akm sae Prample: Device(config-wlan)# security wpa akm sae |
Umožňuje podporu AKM SAE. |
| Krok 11 | bezpečnosť wpa akm sae pwe {h2e | hnp | both-h2e-hnp} Example: Device(config-wlan)# security wpa akm sae pwe |
Umožňuje podporu AKM SAE PWE. PWE podporuje nasledujúce možnosti: • h2e – len hash-to-Element; zakáže Hnp. • hnp – len lov a klovanie; zakáže H2E. • Both-h2e-hnp – podpora Hash-to-Element aj Hunting a Pecking (je predvolená možnosť). |
| Krok 12 | žiadne vypnutie naprample: Zariadenie(config-wlan)# bez vypnutia |
Povolí WLAN. |
| Krok 13 | koniec Prample: Device(config-wlan)# end |
Vráti sa do privilegovaného režimu EXEC. |
Overenie podpory WPA3 SAE H2E v sieti WLAN
Komu view vlastnosti WLAN (metóda PWE) na základe WLAN ID, použite nasledujúci príkaz:
Ak chcete overiť priradenie klientov, ktorí použili metódu PWE ako H2E alebo Hnp, použite nasledujúci príkaz:
Komu view počet overení SAE pomocou H2E a HnP, použite nasledujúci príkaz:
Podpora pre hash-to-Element pre prvok hesla v autentifikácii SAE
Dokumenty / zdroje
 |
CISCO Embedded Wireless Controller Catalyst Access Points [pdf] Používateľská príručka Zabudovaný bezdrôtový ovládač Catalyst Access Points, Wireless Controller Catalyst Access Points, Controller Catalyst Access Points, Catalyst Access Points, Access Points, Points |