El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y resolver problemas de Enhanced Open con el modo de transición en el controlador de LAN inalámbrica Catalyst 9800 (WLC 9800).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El Abierto mejorado es una certificación proporcionada por WiFi Alliance como parte del estándar de seguridad inalámbrica WPA3. Utiliza el cifrado inalámbrico oportunista (OWE) en redes abiertas (no autenticadas) para evitar el rastreo pasivo y los ataques simples en comparación con una red inalámbrica PSK pública.
Con Enhanced Open, los clientes y el WLC (en el caso de la autenticación central) o el AP (en el caso de la autenticación local de FlexConnect) realizan un intercambio de claves Diffie-Hellman durante el proceso de asociación y utilizan el secreto de clave maestra en pares (PMK) con el protocolo de enlace de 4 vías.
El cifrado inalámbrico oportunista (OWE) es una extensión de IEEE 802.11 que proporciona cifrado del medio inalámbrico (IETF RFC 8110). El propósito de la autenticación basada en OWE es evitar la conectividad inalámbrica abierta no segura entre los AP y los clientes. La OWE utiliza la criptografía basada en los algoritmos Diffie-Hellman para configurar el cifrado inalámbrico. Con OWE, el cliente y el AP realizan un intercambio de claves Diffie-Hellman durante el procedimiento de acceso y utilizan el secreto de clave maestra en pares (PMK) resultante con el protocolo de enlace de 4 vías. El uso de OWE mejora la seguridad de la red inalámbrica en aquellas implementaciones en las que se implementan redes abiertas o compartidas basadas en PSK.
Normalmente, las redes empresariales solo tienen un SSID de invitado sin cifrar y prefieren tener tanto clientes antiguos que no admiten clientes abiertos mejorados como clientes nuevos con abiertos mejorados para coexistir. El modo de transición se introduce específicamente para atender a este escenario.
Esto requiere la configuración de dos SSID: un SSID oculto para admitir OWE y un segundo SSID abierto y transmitido.
El modo de transición del cifrado inalámbrico oportunista (OWE) permite que los STA OWE y los que no son OWE se conecten al mismo SSID simultáneamente. Cuando todos los STA OWE ven un SSID en modo de transición OWE, se conectan con el OWE.
Tanto la WLAN abierta como la WLAN OWE transmiten tramas de baliza. Las tramas de respuesta de baliza y sondeo de la WLAN OWE incluyen el IE del proveedor de Wi-Fi Alliance para encapsular el BSSID y SSID de la WLAN abierta, y de manera similar, la WLAN abierta también incluye para la WLAN OWE.
Un OWE STA solo mostrará al usuario en la lista de redes disponibles el SSID del Open BSS de un OWE AP que opera en el modo de transición OWE, y suprimirá la visualización del OWE BSS SSID de ese OWE AP.
Caso práctico típico en el que el administrador desea configurar Enhanced Open pero aún así permitir que los clientes más antiguos puedan conectarse al SSID de invitado.
Cree el primer SSID, denominado "OWE_Transition". En este ejemplo, ID WLAN 3, y asegúrese de que esté oculto con la opción "Broadcast SSID" (Difusión de SSID) desactivada:
Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.
Paso 2 Haga clic en Add para agregar nueva WLAN > add WLAN name "OWE_Transition" > change Status to Enable > sure Broadcast SSID is (Activar).
Paso 3 Elija la pestaña Security > Layer 2 > Select WPA3.
Paso 4 Establezca Protected Management Frame (PMF) en Required (Obligatorio).
Paso 5 Bajo Parámetros WPA > Verifique la Política WPA3. Seleccione AES(CCMP128) Encryption (Encriptación) y OWE Auth Key Management (Administración de claves de autenticación).
Paso 6 Agregue el ID de WLAN 4 (WLAN abierta) al cuadro "ID de WLAN de modo de transición".
Paso 7 Haga clic en Apply to Device.
Cree un segundo SSID, llámelo "open" en este ejemplo de WLAN ID 4, y asegúrese de habilitar "Broadcast SSID":
Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.
Paso 2 Haga clic en Agregar para agregar nueva WLAN > agregar nombre WLAN "abierto" > cambiar Estado a Habilitar > asegúrese de que Broadcast SSID esté Habilitado.
Paso 3 Elija la pestaña Security > Layer 2 > Choose None.
Paso 4 Agregue el ID de WLAN 4 (OWE_Transition) al cuadro "ID de WLAN de modo de transición".
Paso 5 Haga clic en Apply to Device.
Precaución: En caso de que haya tenido una WLAN abierta previamente utilizando el mismo SSID de la WLAN OWE, los clientes de Windows añaden "2" al nombre SSID. Para solucionar este problema, vaya a "Red e Internet > Wi-Fi > Gestionar redes conocidas" y elimine la conexión antigua.
Esta captura de pantalla muestra el resultado final: una WLAN está protegida y configurada para WPA3+OWE+WPA3 denominada "OWE_Transition" y la otra es un SSID totalmente abierto denominado "open". Sólo el SSID completamente abierto llamado "open" tiene su SSID transmitido en las balizas mientras que "OWE_Transition" está oculto.
Paso 6 Asigne las WLANs creadas a los Perfiles de Política deseados en la Etiqueta de Política y aplíquelo a los AP.
SSID abierto mejorado:
Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown
SSID abierto:
Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown
Perfil de política:
Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile
Esta es la sección de verificación.
Verifique la configuración de las WLAN en la CLI:
Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description :
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description :
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
En el WLC usted puede ir a la configuración del AP y verificar que ambas WLAN estén activas en el AP:
Cuando está habilitado, el AP solo baliza con Open SSID pero lleva un OWE Transition Mode Information Element (IE). Cuando un cliente capaz de abrir mejorado se conecta a este SSID, utiliza automáticamente OWE para cifrar toda la asociación posterior al tráfico.
Esto es lo que se puede observar en el aire (OTA):
El envío de baliza con SSID "abierto" contiene el IE de modo de transición de OWE con los detalles SSID abiertos mejorados dentro, como BSSID y el nombre SSID "OWE_Transition".
También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:
Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".
Estas capturas de pantalla muestran un teléfono Android compatible con la función de apertura mejorada: solo muestra el SSID abierto sin icono de candado (un icono de candado haría creer al usuario que necesita una contraseña para conectarse), pero una vez conectado, la seguridad muestra que se utiliza la seguridad de apertura mejorada.
En el aire, podemos ver la secuencia de conexión completa:
Después de escuchar las balizas, el cliente sondea el SSID OWE y el AP responde.
Luego ocurre el intercambio de tramas OWE normal: solicitud y respuesta de autenticación, solicitud y respuesta de asociación que contiene el IE DH y, a continuación, el protocolo de enlace EAPOL de 4 vías.
En el WLC usted puede verificar la conexión del cliente. El cliente que soporta OWE puede conectarse a Enhanced OpenWLAN en este ejemplo es WLAN ID 3:
Device#show wireless client mac-address 286b.3598.580f detail
Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable
Y podemos observar lo mismo en la GUI del WLC:
En el caso de los clientes que no sean compatibles con la función de apertura mejorada, solo verán el SSID abierto y se conectarán a él, sin cifrado.
Como se ilustra aquí, estos son clientes que no admiten Enhanced Open (respectivamente un iPhone en IOS 15 y un MacBook en Mac OS 12) y solo ven el SSID de invitado abierto y no utilizan cifrado.
A continuación se muestra otro ejemplo de adaptador inalámbrico USB que no admite OWE:
El cliente no admite que OWE pueda conectarse a Open WLAN en este ejemplo, es WLAN ID 4:
#show wireless client mac-address b44b.d623.a199 detail
Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable
También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:
Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".
2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3
2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN
Referencias
¿Qué es Wi-Fi 6 frente a Wi-Fi 6E?
Wi-Fi 6E: El siguiente gran capítulo del informe técnico sobre Wi-Fi
Guía de configuración del software del controlador inalámbrico Cisco Catalyst serie 9800 17.9.x
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
26-Jun-2023 |
Nuevas versiones de WLC y nuevos modelos de AP. Se añadió diagrama de red y flujo de tramas OWE. |
1.0 |
15-Mar-2022 |
Versión inicial |