Вбудовані точки доступу Catalyst бездротового контролера
Посібник користувача
Вбудовані точки доступу Catalyst бездротового контролера
Підтримка Hash-to-Element для Password Element в автентифікації SAE
- Хеш-елемент (H2E), на сторінці 1
- YANG (модель RPC), на сторінці 1
- Налаштування WPA3 SAE H2E, на сторінці 2
- Перевірка підтримки WPA3 SAE H2E у WLAN, на сторінці 4
Хеш-елемент (H2E)
Hash-to-Element (H2E) — це новий метод SAE Password Element (PWE). У цьому методі секретний PWE, який використовується в протоколі SAE, генерується з пароля.
Коли STA, що підтримує H2E, ініціює SAE за допомогою точки доступу, вона перевіряє, чи підтримує точка доступу H2E. Якщо так, точка доступу використовує H2E для отримання PWE за допомогою нещодавно визначеного значення коду стану в повідомленні SAE Commit.
Якщо STA використовує Hunting-and-Pecking, весь обмін SAE залишається незмінним.
При використанні H2E виведення PWE поділяється на наступні компоненти:
- Виведення секретного посередницького елемента PT з пароля. Це можна виконати в режимі офлайн, коли на пристрої спочатку налаштовано пароль для кожної підтримуваної групи.
- Виведення PWE із збереженого PT. Це залежить від узгодженої групи та MAC-адрес партнерів. Це виконується в режимі реального часу під час обміну SAE.
Примітка
- Метод H2E також включає захист від атак типу Man-in-the-Middle Group Downgrade. Під час обміну SAE партнери обмінюються списками відхилених груп, об’єднаних у похідну PMK. Кожен вузол порівнює отриманий список зі списком підтримуваних груп, будь-яка розбіжність виявляє атаку зниження версії та припиняє автентифікацію.
YANG (модель RPC)
Щоб створити RPC для режиму SAE Password Element (PWE), використовуйте таку модель RPC:
Примітка
Операція видалення виконує одну дію за раз через поточне обмеження інфраструктури. Тобто в модулі YANG операція видалення на кількох вузлах не підтримується.
Налаштування WPA3 SAE H2E
| Процедура | Команда або дія | призначення |
| Крок 1 | налаштувати термінал Exampле: Термінал конфігурації пристрою № |
Перехід у режим глобальної конфігурації. |
| Крок 2 | wan wan-name waned SSID-name Прampле: Пристрій (конфігурація) # wan WPA3 1 WPA3 |
Вхід у підрежим налаштування WLAN. |
| Крок 3 | відсутність безпеки wpa akm dot1x Exampле: Пристрій (config-wlan)# немає безпеки wpaakm dot1x |
Відключає безпеку AKM для dot1x. |
| Крок 4 | немає безпеки ft over-the-ds Прampле: Пристрій (config-wlan)# без безпеки ft over-the-ds |
Вимикає швидкий перехід через джерело даних у WLAN. |
| Крок 5 | немає безпеки ft Exampле: Пристрій (config-wlan)# немає безпеки ft |
Вимикає швидкий перехід 802.11r у WLAN. |
| Крок 6 | відсутність безпеки wpa wpa2 Прampле: Пристрій (config-wlan)# немає безпеки wpa wpa2 |
Вимикає захист WPA2. PMF зараз вимкнено. |
| Крок 7 | безпека wpa wpa2 шифри aes Exampле: Device(config-wlan)# security wpa wpa2 ciphers aes |
Налаштовує шифр WPA2. Примітка Ви можете перевірити, чи налаштовано шифр за допомогою команди no security wpa wpa2 ciphers aes. Якщо шифр не скинуто, налаштуйте шифр. |
| Крок 8 | security wpa psk set-key ascii value preshared-key Прampле: Device(config-wlan)# security wpa psk set-key ascii 0 Cisco123 |
Визначає заздалегідь заданий ключ. |
| Крок 9 | безпека wpa wpa3 Прampле: Device(config-wlan)# security wpa wpa3 |
Вмикає підтримку WPA3. |
| Крок 10 | безпека wpa akm sae Прampле: Device(config-wlan)# security wpa akm sae |
Вмикає підтримку AKM SAE. |
| Крок 11 | безпека wpa akm sae pwe {h2e | hnp | both-h2e-hnp} Exampле: Device(config-wlan)# security wpa akm sae pwe |
Вмикає підтримку AKM SAE PWE. PWE підтримує такі параметри: • h2e — лише хеш-елемент; вимикає Hnp. • hnp — лише полювання та клювання; вимикає H2E. • Both-h2e-hnp — підтримка як Hash-to-Element, так і Hunting and Pecking (параметр за замовчуванням). |
| Крок 12 | немає вимкнення Прampле: Пристрій (config-wlan)# не вимикається |
Вмикає WLAN. |
| Крок 13 | кінець Прampле: Пристрій (config-wlan)# кінець |
Повернення до привілейованого режиму EXEC. |
Перевірка підтримки WPA3 SAE H2E у WLAN
до view властивості WLAN (метод PWE) на основі ідентифікатора WLAN, скористайтеся такою командою:
Щоб перевірити асоціацію клієнта, який використовував метод PWE як H2E або Hnp, скористайтеся такою командою:
до view кількість автентифікацій SAE за допомогою H2E та HnP, скористайтеся такою командою:
Підтримка Hash-to-Element для Password Element в автентифікації SAE
Документи / Ресурси
 |
Точки доступу Catalyst із вбудованим бездротовим контролером CISCO [pdfПосібник користувача Вбудовані точки доступу Catalyst бездротового контролера, точки доступу Catalyst бездротового контролера, точки доступу Catalyst контролера, точки доступу Catalyst, точки доступу, точки |