In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie Enhanced Open mit dem Übergangsmodus auf dem Catalyst 9800 Wireless LAN-Controller (9800 WLC) konfigurieren und Fehler bei diesem beheben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Enhanced Open ist eine Zertifizierung, die von der WiFi Alliance als Teil des Wireless-Sicherheitsstandards WPA3 bereitgestellt wird. Es verwendet Opportunistic Wireless Encryption (OWE) in offenen (nicht authentifizierten) Netzwerken, um passives Sniffing zu verhindern und einfache Angriffe im Vergleich zu einem öffentlichen PSK-Wireless-Netzwerk zu verhindern.
Bei Enhanced Open führen Clients und der WLC (bei Central Authentication) bzw. der AP (bei FlexConnect Local Authentication) während des Zuordnungsprozesses einen Diffie-Hellman-Schlüsselaustausch durch und verwenden mit dem 4-Wege-Handshake den paarweisen Master Key Secret (PMK).
Opportunistic Wireless Encryption (OWE) ist eine Erweiterung von IEEE 802.11 zur Verschlüsselung des Wireless-Mediums (IETF RFC 8110). Der Zweck der OWE-basierten Authentifizierung besteht in der Vermeidung offener, ungesicherter Wireless-Verbindungen zwischen den APs und Clients. Der OWE verwendet die auf dem Diffie-Hellman-Algorithmus basierende Verschlüsselung, um die Wireless-Verschlüsselung einzurichten. Mit OWE führen der Client und AP während des Zugriffsvorgangs einen Diffie-Hellman-Schlüsselaustausch durch und verwenden den resultierenden paarweisen Master Key (PMK)-Schlüssel mit dem 4-Wege-Handshake. Die Verwendung von OWE erhöht die Sicherheit von Wireless-Netzwerken in Bereitstellungen, in denen offene oder gemeinsam genutzte PSK-basierte Netzwerke bereitgestellt werden.
In der Regel verfügen Unternehmensnetzwerke nur über eine unverschlüsselte Gast-SSID und bevorzugen beide älteren Clients, die keine erweiterten offenen und neueren Clients mit erweiterter Open-to-Co-Existenz unterstützen. Der Übergangsmodus wird speziell für dieses Szenario eingeführt.
Dies erfordert die Konfiguration von zwei SSIDs - einer verborgenen SSID zur Unterstützung von OWE und einer zweiten SSID, die offen ist und übertragen wird.
Der OWE-Übergangsmodus (Opportunistic Wireless Encryption) ermöglicht OWE- und Nicht-OWE-STAs die gleichzeitige Verbindung mit derselben SSID. Wenn alle OWE-STAs eine SSID im OWE-Übergangsmodus sehen, stellen sie eine Verbindung mit dem OWE her.
Sowohl das offene WLAN als auch das OWE WLAN übertragen Beacon-Frames. Beacon- und Probe-Response-Frames aus dem OWE-WLAN beinhalten den Wi-Fi Alliance-Anbieter IE zur Kapselung der BSSID und SSID des offenen WLAN. Entsprechend umfasst das offene WLAN auch das OWE-WLAN.
Ein OWE-STA zeigt dem Benutzer in der Liste der verfügbaren Netzwerke nur die SSID des offenen BSS eines im OWE-Übergangsmodus betriebenen OWE-AP an und unterdrückt die Anzeige der OWE-BSS-SSID dieses OWE-AP.
Ein typischer Anwendungsfall, bei dem der Administrator Enhanced Open konfigurieren möchte, aber dennoch älteren Clients die Verbindung mit der Gast-SSID ermöglicht.
Erstellen Sie die erste SSID mit der Bezeichnung "OWE_Transition". In diesem Beispiel WLAN-ID 3. Stellen Sie sicher, dass die Option "Broadcast SSID" deaktiviert ist.
Schritt 1 Wählen Sie Configuration > Tags & Profiles > WLANs, um die Seite WLANs zu öffnen.
Schritt 2 Klicken Sie auf Hinzufügen, um ein neues WLAN hinzuzufügen > fügen Sie den WLAN-Namen "OWE_Transition" hinzu > ändern Sie den Status zu Aktivieren > stellen Sie sicher, dass die SSID für Broadcast deaktiviert ist.
Schritt 3 Wählen Sie die Registerkarte Security > Layer 2 > Select WPA3 aus.
Schritt 4 Setzen Sie Protected Management Frame (PMF) auf Erforderlich.
Schritt 5 Unter WPA-Parameter > Überprüfen Sie die WPA3-Richtlinie. Wählen Sie AES (CCMP128) Encryption und OWE Auth Key Management aus.
Schritt 6 Hinzufügen der WLAN-ID 4 (WLAN öffnen) zum Feld "Transition Mode WLAN ID".
Schritt 7 Klicken Sie auf Auf Gerät anwenden.
Erstellen Sie eine zweite SSID, nennen Sie sie in diesem Beispiel "open" (offen), WLAN-ID 4, und stellen Sie sicher, dass Sie die "Broadcast-SSID" aktivieren:
Schritt 1 Wählen Sie Configuration > Tags & Profiles > WLANs, um die Seite WLANs zu öffnen.
Schritt 2 Klicken Sie auf Hinzufügen, um ein neues WLAN hinzuzufügen > fügen Sie den WLAN-Namen "open" hinzu > ändern Sie den Status zu Enable > stellen Sie sicher, dass Broadcast-SSID aktiviert ist.
Schritt 3 Wählen Sie die Registerkarte Security > Layer 2 > Choose None.
Schritt 4 Hinzufügen der WLAN-ID 4 (OWE_Transition) zum Feld "Transition Mode WLAN ID".
Schritt 5 Klicken Sie auf Auf Gerät anwenden.
Vorsicht: Falls Sie bereits ein WLAN mit der gleichen SSID wie das OWE-WLAN geöffnet hatten, hängen Windows-Clients "2" an den SSID-Namen an. Um dies zu vermeiden, navigieren Sie zu "Netzwerk & Internet > Wi-Fi > Bekannte Netzwerke verwalten" und löschen Sie die alte Verbindung.
Dieser Screenshot zeigt das Endergebnis: ein WLAN ist gesichert und für WPA3+OWE+WPA3 mit dem Namen "OWE_Transition" konfiguriert, das andere ist eine vollständig offene SSID mit dem Namen "open". Nur die vollständig geöffnete SSID mit der Bezeichnung "open" wird in den Beacons ausgestrahlt, während "OWE_Transition" ausgeblendet wird.
Schritt 6 Ordnen Sie die erstellten WLANs den gewünschten Richtlinienprofilen im Policy Tag zu und wenden Sie sie auf die APs an.
Erweiterte offene SSID:
Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown
Offene SSID:
Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown
Richtlinienprofil:
Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile
Dies ist der Verifizierungsabschnitt.
Überprüfen der WLAN-Konfiguration in der CLI:
Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description :
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description :
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
Im WLC können Sie die AP-Konfiguration aufrufen und überprüfen, ob beide WLANs auf dem AP aktiv sind:
Wenn diese Funktion aktiviert ist, verfügt der Access Point nur über Beacons mit Open SSID, jedoch mit einem OWE Transition Mode Information Element (IE). Wenn sich ein Client, der eine erweiterte offene Verbindung herstellen kann, mit dieser SSID verbindet, verwendet er automatisch OWE, um die gesamte Datenverkehrszuordnung nach der Zuweisung zu verschlüsseln.
Hier ist, was Sie über die Luft beobachten können (OTA):
Das mit SSID "open" gesendete Beacon enthält den OWE Transition Mode IE mit den erweiterten offenen SSID-Details, wie BSSID und SSID-Name "OWE_Transition".
Es gibt auch Beacons OTA mit der SSID versteckt und wenn wir nach bssid filtern, werden die Frames an die BSSID 00:df:1d:dd:7d:3e gesendet, die die BSSID innerhalb des OWE-Übergangsmodus IE ist:
Sie können sehen, dass auch das versteckte OWE-Beacon den OWE-Übergangsmodus IE mit dem offenen SSID BSSID und dem SSID-Namen "open" enthält.
Diese Screenshots zeigen ein Android-Telefon, das Enhanced Open unterstützt: Es wird nur die offene SSID ohne Sperrsymbol angezeigt (ein Sperrsymbol lässt den Benutzer glauben, dass eine Verbindung mit einem Kennwort hergestellt werden muss). Sobald die Verbindung jedoch hergestellt ist, zeigt das Sicherheitssymbol an, dass Enhanced Open Security verwendet wird.
Über die Funkverbindung können wir die vollständige Verbindungsreihenfolge sehen:
Nach dem Abhören der Beacons überprüft der Client die OWE-SSID, und der AP antwortet.
Anschließend erfolgt der normale OWE-Frame-Austausch: Authentifizierungsanforderung und -antwort, Zuordnungsanforderung und -antwort mit dem DH IE und dann dem 4-Wege-Handshake von EAPOL.
Auf dem WLC können Sie die Client-Verbindung überprüfen. Der Client, der OWE unterstützt, kann sich mit dem Enhanced Open WLAN verbinden. In diesem Beispiel ist dies die WLAN-ID 3:
Device#show wireless client mac-address 286b.3598.580f detail
Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable
Dasselbe können wir in der WLC-GUI beobachten:
Clients, die Enhanced Open nicht unterstützen, sehen und verbinden sich nur mit der offenen SSID, ohne Verschlüsselung.
Wie hier dargestellt, sind dies Clients, die Enhanced Open nicht unterstützen (bzw. ein iPhone unter IOS 15 und ein MacBook unter Mac OS 12) und nur die offene Gast-SSID sehen und keine Verschlüsselung verwenden.
Hier ein weiteres Beispiel für einen USB-Wireless-Adapter, der OWE nicht unterstützt:
Der Client unterstützt keine Verbindung zwischen OWE und Open WLAN. In diesem Beispiel ist dies die WLAN-ID 4:
#show wireless client mac-address b44b.d623.a199 detail
Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable
Es gibt auch Beacons OTA mit der SSID versteckt und wenn wir nach bssid filtern, werden die Frames an die BSSID 00:df:1d:dd:7d:3e gesendet, die die BSSID innerhalb des OWE-Übergangsmodus IE ist:
Sie können sehen, dass auch das versteckte OWE-Beacon den OWE-Übergangsmodus IE mit dem offenen SSID BSSID und dem SSID-Namen "open" enthält.
2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3
2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
Referenzen
Was ist Wi-Fi 6 im Vergleich zu Wi-Fi 6E?
Wi-Fi 6E - Informationen auf einen Blick
Wi-Fi 6E: Whitepaper - Das nächste große Kapitel im Wi-Fi-Bereich
Software-Konfigurationsleitfaden für Cisco Catalyst Wireless Controller der Serie 9800 17.9.x
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
26-Jun-2023 |
Neue WLC Versionen und neue AP Modelle. Netzwerkdiagramm und OWE-Frame-Fluss hinzugefügt. |
1.0 |
15-Mar-2022 |
Erstveröffentlichung |