Configuración de SSID abierto mejorado con modo de transición - OWE

Introducción

Este documento describe cómo configurar y resolver problemas de Enhanced Open con el modo de transición en el controlador de LAN inalámbrica Catalyst 9800 (WLC 9800).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Controladores de LAN inalámbrica de Cisco (WLC) 9800.
• Puntos de acceso (AP) de Cisco compatibles con Wi-Fi 6E. 
• Estándar IEEE 802.11ax.
• Wireshark.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• WLC 9800-CL con IOS® XE 17.9.3
• AP C9130, C9136, CW9162, CW9164 y CW9166.
• Wi-Fi 6 clientes: 
  • iPhone SE de 3ª generación en IOS 16
  • MacBook en Mac OS 12.
• Clientes Wi-Fi 6E:
  • Lenovo X1 Carbon Gen11 con adaptador Intel AX211 Wi-Fi 6 y 6E con controlador versión 22.200.2(1).
  • Adaptador Wi-Fi 6 y 6E Netgear A8000 con controlador v1(0.0.108);
  • Teléfono móvil Pixel 6a con Android 13;
  • Teléfono móvil Samsung S23 con Android 13.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

El Abierto mejorado es una certificación proporcionada por WiFi Alliance como parte del estándar de seguridad inalámbrica WPA3. Utiliza el cifrado inalámbrico oportunista (OWE) en redes abiertas (no autenticadas) para evitar el rastreo pasivo y los ataques simples en comparación con una red inalámbrica PSK pública. 

Con Enhanced Open, los clientes y el WLC (en el caso de la autenticación central) o el AP (en el caso de la autenticación local de FlexConnect) realizan un intercambio de claves Diffie-Hellman durante el proceso de asociación y utilizan el secreto de clave maestra en pares (PMK) con el protocolo de enlace de 4 vías. 

DEBER

El cifrado inalámbrico oportunista (OWE) es una extensión de IEEE 802.11 que proporciona cifrado del medio inalámbrico (IETF RFC 8110). El propósito de la autenticación basada en OWE es evitar la conectividad inalámbrica abierta no segura entre los AP y los clientes. La OWE utiliza la criptografía basada en los algoritmos Diffie-Hellman para configurar el cifrado inalámbrico. Con OWE, el cliente y el AP realizan un intercambio de claves Diffie-Hellman durante el procedimiento de acceso y utilizan el secreto de clave maestra en pares (PMK) resultante con el protocolo de enlace de 4 vías. El uso de OWE mejora la seguridad de la red inalámbrica en aquellas implementaciones en las que se implementan redes abiertas o compartidas basadas en PSK.

intercambio de tramas OWE

Modo de transición

Normalmente, las redes empresariales solo tienen un SSID de invitado sin cifrar y prefieren tener tanto clientes antiguos que no admiten clientes abiertos mejorados como clientes nuevos con abiertos mejorados para coexistir. El modo de transición se introduce específicamente para atender a este escenario.

Esto requiere la configuración de dos SSID: un SSID oculto para admitir OWE y un segundo SSID abierto y transmitido.

El modo de transición del cifrado inalámbrico oportunista (OWE) permite que los STA OWE y los que no son OWE se conecten al mismo SSID simultáneamente. Cuando todos los STA OWE ven un SSID en modo de transición OWE, se conectan con el OWE.

Tanto la WLAN abierta como la WLAN OWE transmiten tramas de baliza. Las tramas de respuesta de baliza y sondeo de la WLAN OWE incluyen el IE del proveedor de Wi-Fi Alliance para encapsular el BSSID y SSID de la WLAN abierta, y de manera similar, la WLAN abierta también incluye para la WLAN OWE.

Un OWE STA solo mostrará al usuario en la lista de redes disponibles el SSID del Open BSS de un OWE AP que opera en el modo de transición OWE, y suprimirá la visualización del OWE BSS SSID de ese OWE AP.

Directrices y restricciones:

• La apertura mejorada requiere una política de solo WPA3. WPA3 no es compatible con los puntos de acceso Cisco Wave 1 (basados en Cisco IOS®).
• Protected Management Frame (PMF) se debe establecer en Required (Obligatorio). Esta opción se establece de forma predeterminada con la seguridad de capa 2 sólo de WPA3.
• La opción de apertura mejorada sólo funciona en los clientes finales que ejecutan las versiones más recientes que admiten la función de apertura mejorada.

Configurar

Caso práctico típico en el que el administrador desea configurar Enhanced Open pero aún así permitir que los clientes más antiguos puedan conectarse al SSID de invitado.

Diagrama de la red

Topología de red

Pasos de configuración para la GUI:

Cree el primer SSID, denominado "OWE_Transition". En este ejemplo, ID WLAN 3, y asegúrese de que esté oculto con la opción "Broadcast SSID" (Difusión de SSID) desactivada:

Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.

Paso 2 Haga clic en Add para agregar nueva WLAN > add WLAN name "OWE_Transition" > change Status to Enable > sure Broadcast SSID is (Activar).

SSID abierto mejorado de transición OWE oculto

Paso 3 Elija la pestaña Security > Layer 2 > Select WPA3.

Paso 4 Establezca Protected Management Frame (PMF) en Required (Obligatorio).

Paso 5 Bajo Parámetros WPA > Verifique la Política WPA3. Seleccione AES(CCMP128) Encryption (Encriptación) y OWE Auth Key Management (Administración de claves de autenticación).

Paso 6 Agregue el ID de WLAN 4 (WLAN abierta) al cuadro "ID de WLAN de modo de transición".

Paso 7 Haga clic en Apply to Device.

Modo de transición de OWE: OWE SSID

Cree un segundo SSID, llámelo "open" en este ejemplo de WLAN ID 4, y asegúrese de habilitar "Broadcast SSID":

Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.

Paso 2 Haga clic en Agregar para agregar nueva WLAN > agregar nombre WLAN "abierto" > cambiar Estado a Habilitar > asegúrese de que Broadcast SSID esté Habilitado.

SSID abierto de transición OWE

Paso 3 Elija la pestaña Security > Layer 2 > Choose None.

Paso 4 Agregue el ID de WLAN 4 (OWE_Transition) al cuadro "ID de WLAN de modo de transición".

Paso 5 Haga clic en Apply to Device.

Modo de transición OWE Seguridad WLAN abierta

Esta captura de pantalla muestra el resultado final: una WLAN está protegida y configurada para WPA3+OWE+WPA3 denominada "OWE_Transition" y la otra es un SSID totalmente abierto denominado "open". Sólo el SSID completamente abierto llamado "open" tiene su SSID transmitido en las balizas mientras que "OWE_Transition" está oculto.

WLANs de modo de transición OWE

Paso 6 Asigne las WLANs creadas a los Perfiles de Política deseados en la Etiqueta de Política y aplíquelo a los AP.

Etiqueta de política

Configurar para CLI:

SSID abierto mejorado:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

SSID abierto:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

Perfil de política:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

Verificación

Esta es la sección de verificación.

Verifique la configuración de las WLAN en la CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

En el WLC usted puede ir a la configuración del AP y verificar que ambas WLAN estén activas en el AP:

OWE Transition Mode AP Operational Configuration Viewer

Cuando está habilitado, el AP solo baliza con Open SSID pero lleva un OWE Transition Mode Information Element (IE). Cuando un cliente capaz de abrir mejorado se conecta a este SSID, utiliza automáticamente OWE para cifrar toda la asociación posterior al tráfico.

Esto es lo que se puede observar en el aire (OTA):

Indicador SSID abierto de transición OWE

El envío de baliza con SSID "abierto" contiene el IE de modo de transición de OWE con los detalles SSID abiertos mejorados dentro, como BSSID y el nombre SSID "OWE_Transition".

También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:

Baliza OWE

Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".

Estas capturas de pantalla muestran un teléfono Android compatible con la función de apertura mejorada: solo muestra el SSID abierto sin icono de candado (un icono de candado haría creer al usuario que necesita una contraseña para conectarse), pero una vez conectado, la seguridad muestra que se utiliza la seguridad de apertura mejorada.

lista OWE SSIDCliente OWE con compatibilidad mejorada con Open

En el aire, podemos ver la secuencia de conexión completa:

OWE Transición conexión completa

Después de escuchar las balizas, el cliente sondea el SSID OWE y el AP responde.

Luego ocurre el intercambio de tramas OWE normal: solicitud y respuesta de autenticación, solicitud y respuesta de asociación que contiene el IE DH y, a continuación, el protocolo de enlace EAPOL de 4 vías. 

En el WLC usted puede verificar la conexión del cliente. El cliente que soporta OWE puede conectarse a Enhanced OpenWLAN en este ejemplo es WLAN ID 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

Y podemos observar lo mismo en la GUI del WLC:

En el caso de los clientes que no sean compatibles con la función de apertura mejorada, solo verán el SSID abierto y se conectarán a él, sin cifrado.

Como se ilustra aquí, estos son clientes que no admiten Enhanced Open (respectivamente un iPhone en IOS 15 y un MacBook en Mac OS 12) y solo ven el SSID de invitado abierto y no utilizan cifrado.

Dispositivo que no admite OWEFigura 4: MacBook en Mac OS 12 no es compatible con Enhanced Open

A continuación se muestra otro ejemplo de adaptador inalámbrico USB que no admite OWE:

Cliente que no admite la función de apertura mejorada

El cliente no admite que OWE pueda conectarse a Open WLAN en este ejemplo, es WLAN ID 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

Troubleshoot

1. Asegúrese de que el cliente es compatible con OWE, ya que no todos los clientes lo son. Consulte la documentación del proveedor del cliente; por ejemplo, Apple documentó el soporte para sus dispositivos aquí.
   
2. Es posible que algunos clientes más antiguos ni siquiera acepten las balizas ssid Open debido a la presencia del IE de modo de transición OWE y no presenten el SSID en las redes dentro del alcance. Si su cliente no puede ver el SSID abierto, quite la VLAN de transición (establecida en 0) de la configuración WLAN y compruebe si ve la WLAN.
3. Si los clientes ven un SSID abierto, admiten OWE, pero aún se conectan sin WPA3, verifique si el ID de VLAN de transición es correcto y se transmite en las balizas de ambas WLAN. Puede utilizar el AP en el modo del sabueso para capturar el tráfico de OTA. Ejecute estos pasos para configurar un AP en modo sniffer: AP Catalyst 91xx en modo Sniffer .
   • La baliza se envía con SSID "open" contiene el IE de modo de transición de OWE con los detalles SSID abiertos mejorados en su interior, como BSSID y el nombre SSID "OWE_Transition":Indicador SSID abierto de transición OWE

   • También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:

     Baliza OWE

     Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".

   • También puede ver la información de AKM y verificar que MFP se anuncia como Obligatorio y Capaz:
   • AKM de baliza OWE
4. Recopilar seguimientos de RadioActive basados en la dirección mac del cliente yVerá registros similares como este:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

Referencias

¿Qué es Wi-Fi 6E?

¿Qué es Wi-Fi 6 frente a Wi-Fi 6E?

Guía rápida de Wi-Fi 6E

Wi-Fi 6E: El siguiente gran capítulo del informe técnico sobre Wi-Fi

Guía de configuración del software del controlador inalámbrico Cisco Catalyst serie 9800 17.9.x 

Guía de implementación de WPA3