Configuración de SSID abierto mejorado con modo de transición - OWE

Opciones de descarga

  • PDF     (1.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:26 de junio de 2023
ID del documento:217737

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y resolver problemas de Enhanced Open con el modo de transición en el controlador de LAN inalámbrica Catalyst 9800 (WLC 9800).

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Controladores de LAN inalámbrica de Cisco (WLC) 9800.
    • Puntos de acceso (AP) de Cisco compatibles con Wi-Fi 6E. 
    • Estándar IEEE 802.11ax.
    • Wireshark.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • WLC 9800-CL con IOS® XE 17.9.3
    • AP C9130, C9136, CW9162, CW9164 y CW9166.
    • Wi-Fi 6 clientes: 
      • iPhone SE de 3ª generación en IOS 16
      • MacBook en Mac OS 12.
    • Clientes Wi-Fi 6E:
      • Lenovo X1 Carbon Gen11 con adaptador Intel AX211 Wi-Fi 6 y 6E con controlador versión 22.200.2(1).
      • Adaptador Wi-Fi 6 y 6E Netgear A8000 con controlador v1(0.0.108);
      • Teléfono móvil Pixel 6a con Android 13;
      • Teléfono móvil Samsung S23 con Android 13.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    El Abierto mejorado es una certificación proporcionada por WiFi Alliance como parte del estándar de seguridad inalámbrica WPA3. Utiliza el cifrado inalámbrico oportunista (OWE) en redes abiertas (no autenticadas) para evitar el rastreo pasivo y los ataques simples en comparación con una red inalámbrica PSK pública. 

    Con Enhanced Open, los clientes y el WLC (en el caso de la autenticación central) o el AP (en el caso de la autenticación local de FlexConnect) realizan un intercambio de claves Diffie-Hellman durante el proceso de asociación y utilizan el secreto de clave maestra en pares (PMK) con el protocolo de enlace de 4 vías. 

    DEBER

    El cifrado inalámbrico oportunista (OWE) es una extensión de IEEE 802.11 que proporciona cifrado del medio inalámbrico (IETF RFC 8110). El propósito de la autenticación basada en OWE es evitar la conectividad inalámbrica abierta no segura entre los AP y los clientes. La OWE utiliza la criptografía basada en los algoritmos Diffie-Hellman para configurar el cifrado inalámbrico. Con OWE, el cliente y el AP realizan un intercambio de claves Diffie-Hellman durante el procedimiento de acceso y utilizan el secreto de clave maestra en pares (PMK) resultante con el protocolo de enlace de 4 vías. El uso de OWE mejora la seguridad de la red inalámbrica en aquellas implementaciones en las que se implementan redes abiertas o compartidas basadas en PSK.

    intercambio de tramas OWEintercambio de tramas OWE

    Modo de transición

    Normalmente, las redes empresariales solo tienen un SSID de invitado sin cifrar y prefieren tener tanto clientes antiguos que no admiten clientes abiertos mejorados como clientes nuevos con abiertos mejorados para coexistir. El modo de transición se introduce específicamente para atender a este escenario.

    Esto requiere la configuración de dos SSID: un SSID oculto para admitir OWE y un segundo SSID abierto y transmitido.

    El modo de transición del cifrado inalámbrico oportunista (OWE) permite que los STA OWE y los que no son OWE se conecten al mismo SSID simultáneamente. Cuando todos los STA OWE ven un SSID en modo de transición OWE, se conectan con el OWE.

    Tanto la WLAN abierta como la WLAN OWE transmiten tramas de baliza. Las tramas de respuesta de baliza y sondeo de la WLAN OWE incluyen el IE del proveedor de Wi-Fi Alliance para encapsular el BSSID y SSID de la WLAN abierta, y de manera similar, la WLAN abierta también incluye para la WLAN OWE.

    Un OWE STA solo mostrará al usuario en la lista de redes disponibles el SSID del Open BSS de un OWE AP que opera en el modo de transición OWE, y suprimirá la visualización del OWE BSS SSID de ese OWE AP.

    Directrices y restricciones:

    • La apertura mejorada requiere una política de solo WPA3. WPA3 no es compatible con los puntos de acceso Cisco Wave 1 (basados en Cisco IOS®).
    • Protected Management Frame (PMF) se debe establecer en Required (Obligatorio). Esta opción se establece de forma predeterminada con la seguridad de capa 2 sólo de WPA3.
    • La opción de apertura mejorada sólo funciona en los clientes finales que ejecutan las versiones más recientes que admiten la función de apertura mejorada.

    Configurar

    Caso práctico típico en el que el administrador desea configurar Enhanced Open pero aún así permitir que los clientes más antiguos puedan conectarse al SSID de invitado.

    Diagrama de la red

    Topología de redTopología de red

    Pasos de configuración para la GUI:

    Cree el primer SSID, denominado "OWE_Transition". En este ejemplo, ID WLAN 3, y asegúrese de que esté oculto con la opción "Broadcast SSID" (Difusión de SSID) desactivada:

    Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.

    Paso 2 Haga clic en Add para agregar nueva WLAN > add WLAN name "OWE_Transition" > change Status to Enable > sure Broadcast SSID is (Activar).

    SSID abierto mejorado de transición OWE ocultoSSID abierto mejorado de transición OWE oculto

    Paso 3 Elija la pestaña Security > Layer 2 > Select WPA3.

    Paso 4 Establezca Protected Management Frame (PMF) en Required (Obligatorio).

    Paso 5 Bajo Parámetros WPA > Verifique la Política WPA3. Seleccione AES(CCMP128) Encryption (Encriptación) y OWE Auth Key Management (Administración de claves de autenticación).

    Paso 6 Agregue el ID de WLAN 4 (WLAN abierta) al cuadro "ID de WLAN de modo de transición".

    Paso 7 Haga clic en Apply to Device.

    Modo de transición de OWE: OWE SSIDModo de transición de OWE: OWE SSID

    Cree un segundo SSID, llámelo "open" en este ejemplo de WLAN ID 4, y asegúrese de habilitar "Broadcast SSID":

    Paso 1 Elija Configuration > Tags & Profiles > WLANs para abrir la página WLANs.

    Paso 2 Haga clic en Agregar para agregar nueva WLAN > agregar nombre WLAN "abierto" > cambiar Estado a Habilitar > asegúrese de que Broadcast SSID esté Habilitado.

    SSID abierto de transición OWESSID abierto de transición OWE

    Paso 3 Elija la pestaña Security > Layer 2 > Choose None.

    Paso 4 Agregue el ID de WLAN 4 (OWE_Transition) al cuadro "ID de WLAN de modo de transición".

    Paso 5 Haga clic en Apply to Device.

    Modo de transición OWE Seguridad WLAN abiertaModo de transición OWE Seguridad WLAN abierta

    icono de precaución

    Precaución: En caso de que haya tenido una WLAN abierta previamente utilizando el mismo SSID de la WLAN OWE, los clientes de Windows agregarán "2" al nombre SSID. Para solucionar este problema, vaya a "Red e Internet > Wi-Fi > Gestionar redes conocidas" y elimine la conexión antigua.

    Esta captura de pantalla muestra el resultado final: una WLAN está protegida y configurada para WPA3+OWE+WPA3 denominada "OWE_Transition" y la otra es un SSID completamente abierto denominado "open". Sólo el SSID completamente abierto llamado "open" tiene su SSID transmitido en las balizas mientras que "OWE_Transition" está oculto.

    WLANs de modo de transición OWEWLANs de modo de transición OWE

    Paso 6 Asigne las WLANs creadas a los Perfiles de Política deseados en la Etiqueta de Política y aplíquelo a los AP.

    Etiqueta de políticaEtiqueta de política

    Configurar para CLI:

    SSID abierto mejorado:

    Device# conf t
    Device(config)# wlan OWE_Transition 3 OWE_Transition
    Device(config)# no broadcast-ssid
    Device(config)# no security ft adaptive
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa akm owe
    Device(config)# security wpa transition-mode-wlan-id 4
    Device(config)# security wpa wpa3
    Device(config)# security pmf mandatory
    Device(config)# no shutdown

    SSID abierto:

    Device# conf t
    Device(config)# wlan open 4 open
    Device(config)# no security ft adaptive
    Device(config)# no security wpa
    Device(config)# no security wpa wpa2
    Device(config)# no security wpa wpa2 ciphers aes
    Device(config)# no security wpa akm dot1x
    Device(config)# security wpa transition-mode-wlan-id 3
    Device(config)# no shutdown

    Perfil de política:

    Device(config)# wireless tag policy Wifi6E_TestPolicy
    Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
    Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

    Verificación

    Esta es la sección de verificación.

    Verifique la configuración de las WLAN en la CLI:

    Device#show wlan id 3
    WLAN Profile Name : OWE_Transition
    ================================================
    Identifier : 3
    Description : 
    Network Name (SSID) : OWE_Transition
    Status : Enabled
    Broadcast SSID : Disabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
    WPA (SSN IE) : Disabled
    WPA2 (RSN IE) : Disabled
    WPA3 (WPA3 IE) : Enabled
    AES Cipher : Enabled
    CCMP256 Cipher : Disabled
    GCMP128 Cipher : Disabled
    GCMP256 Cipher : Disabled
    Auth Key Management
    802.1x : Disabled
    PSK : Disabled
    CCKM : Disabled
    FT dot1x : Disabled
    FT PSK : Disabled
    FT SAE : Disabled
    Dot1x-SHA256 : Disabled
    PSK-SHA256 : Disabled
    SAE : Disabled
    OWE : Enabled
    SUITEB-1X : Disabled
    SUITEB192-1X : Disabled
    SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
    Transition Disable : Disabled
    CCKM TSF Tolerance (msecs) : 1000
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 4
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Required
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]
    #show wlan id 4
    WLAN Profile Name : open
    ================================================
    Identifier : 4
    Description : 
    Network Name (SSID) : open
    Status : Enabled
    Broadcast SSID : Enabled
    [...]
    Security
    802.11 Authentication : Open System
    Static WEP Keys : Disabled
    Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
    OWE Transition Mode : Enabled
    OWE Transition Mode WLAN ID : 3
    OSEN : Disabled
    FT Support : Disabled
    FT Reassociation Timeout (secs) : 20
    FT Over-The-DS mode : Disabled
    PMF Support : Disabled
    PMF Association Comeback Timeout (secs): 1
    PMF SA Query Time (msecs) : 200
    [...]

    En el WLC usted puede ir a la configuración del AP y verificar que ambas WLAN estén activas en el AP:

    OWE Transition Mode AP Operational Configuration ViewerOWE Transition Mode AP Operational Configuration Viewer

    Cuando está habilitado, el AP solo baliza con Open SSID pero lleva un OWE Transition Mode Information Element (IE). Cuando un cliente capaz de abrir mejorado se conecta a este SSID, utiliza automáticamente OWE para cifrar toda la asociación posterior al tráfico.

    Esto es lo que se puede observar en el aire (OTA):

    Indicador SSID abierto de transición OWEIndicador SSID abierto de transición OWE

    El envío de baliza con SSID "abierto" contiene el IE de modo de transición de OWE con los detalles SSID abiertos mejorados dentro, como BSSID y el nombre SSID "OWE_Transition".

    También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:

    Baliza OWEBaliza OWE

    Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".

    Estas capturas de pantalla muestran un teléfono Android que admite la función de apertura mejorada: solo muestra el SSID abierto sin icono de candado (un icono de candado haría creer al usuario que necesita una contraseña para conectarse), pero una vez conectado, la seguridad muestra que se utiliza la seguridad de apertura mejorada.

    lista OWE SSIDOWE SSID Cliente OWE con compatibilidad mejorada con OpenlistOWE Client con soporte de apertura mejorada

    En el aire, podemos ver la secuencia de conexión completa:

    OWE Transición conexión completaOWE Transición conexión completa

    Después de escuchar las balizas, el cliente sondea el SSID OWE y el AP responde.

    Luego ocurre el intercambio de tramas OWE normal: solicitud y respuesta de autenticación, solicitud y respuesta de asociación que contiene el IE DH y luego el intercambio de señales EAPOL de 4 vías. 

    En el WLC usted puede verificar la conexión del cliente. El cliente que soporta OWE puede conectarse a Enhanced OpenWLAN en este ejemplo es WLAN ID 3:

    Device#show wireless client mac-address 286b.3598.580f detail

    Client MAC Address : 286b.3598.580f
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 3
    WLAN Profile Name: OWE_Transition
    Wireless LAN Network Name (SSID): OWE_Transition
    BSSID : 00df.1ddd.7d3e
    Connected For : 682 seconds 
    Protocol : 802.11ax - 5 GHz
    Channel : 64
    Client IIF-ID : 0xa0000003
    Association Id : 2
    Authentication Algorithm : Open System
    Idle state timeout : N/A
    [...]
    Policy Type : WPA3
    Encryption Cipher : CCMP (AES)
    Authentication Key Management : OWE
    Transition Disable Bitmap : None
    User Defined (Private) Network : Disabled
    User Defined (Private) Network Drop Unicast : Disabled
    Encrypted Traffic Analytics : No
    Protected Management Frame - 802.11w : Yes
    EAP Type : Not Applicable

    Y podemos observar lo mismo en la GUI del WLC:

    Detalles del cliente de transición OWE

    Seguridad del cliente de transición OWE

    En el caso de los clientes que no sean compatibles con la función de apertura mejorada, solo verán el SSID abierto y se conectarán a él, sin cifrado.

    Como se ilustra aquí, estos son clientes que no admiten Enhanced Open (respectivamente un iPhone en IOS 15 y un MacBook en Mac OS 12) y solo ven el SSID de invitado abierto y no utilizan cifrado.

    Dispositivo que no admite OWEDispositivo que no admite Macbook en Mac OS 12 no admite la función de apertura mejoradaOWEFigure 4: MacBook en Mac OS 12 no admite Enhanced Open

    A continuación se muestra otro ejemplo de adaptador inalámbrico USB que no admite OWE:

    Cliente que no admite la función de apertura mejoradaCliente que no admite la función de apertura mejorada

    El cliente no admite que OWE pueda conectarse a Open WLAN en este ejemplo, es WLAN ID 4:

    #show wireless client mac-address b44b.d623.a199 detail

    Client MAC Address : b44b.d623.a199
    [...]
    AP Name: AP9136_5C.F524
    AP slot : 1
    Client State : Associated
    Policy Profile : CentralSwPolicyProfile
    Flex Profile : N/A
    Wireless LAN Id: 4
    WLAN Profile Name: open
    Wireless LAN Network Name (SSID): open
    BSSID : 00df.1ddd.7d3f
    [...]
    Authentication Algorithm : Open System
    [...]
    Protected Management Frame - 802.11w : No
    EAP Type : Not Applicable

    Troubleshoot

    1. Asegúrese de que el cliente es compatible con OWE, ya que no todos los clientes lo son. Consulte la documentación del proveedor del cliente; por ejemplo, Apple documentó el soporte para sus dispositivos aquí.
    2. Es posible que algunos clientes más antiguos ni siquiera acepten las balizas ssid Open debido a la presencia del IE de modo de transición OWE y no presenten el SSID en las redes dentro del alcance. Si su cliente no puede ver el SSID abierto, quite la VLAN de transición (establecida en 0) de la configuración WLAN y compruebe si ve la WLAN.
    3. Si los clientes ven un SSID abierto, admiten OWE, pero aún se conectan sin WPA3, verifique si el ID de VLAN de transición es correcto y se transmite en las balizas de ambas WLAN. Puede utilizar el AP en el modo del sabueso para capturar el tráfico de OTA. Ejecute estos pasos para configurar un AP en modo sniffer: AP Catalyst 91xx en modo Sniffer .
      • La baliza se envía con SSID "abierto" contiene el IE de modo de transición de OWE con los detalles SSID abiertos mejorados dentro, como BSSID y el nombre SSID "OWE_Transition":Indicador SSID abierto de transición OWEBaliza SSID abierta de transición de OWE

      • También hay balizas OTA con el SSID oculto y si filtramos por bssid, las tramas se envían al BSSID 00:df:1d:dd:7d:3e que es el BSSID dentro del IE del modo de transición OWE:

        Baliza OWEBaliza OWE

        Puede ver que también la baliza oculta OWE contiene el IE de modo de transición OWE con el BSSID de SSID de SSID abierto y el nombre de SSID "abierto".

      • También puede ver la información de AKM y verificar que MFP se anuncia como Obligatorio y Capaz:
      • AKM de baliza OWEAKM de baliza OWE
    4. Recopile los seguimientos de RadioActive basados en la dirección mac del cliente y verá registros similares como este:

    2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

    2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

    Referencias

    ¿Qué es Wi-Fi 6E?

    ¿Qué es Wi-Fi 6 frente a Wi-Fi 6E?

    Guía rápida de Wi-Fi 6E

    Wi-Fi 6E: el siguiente gran capítulo del informe técnico sobre Wi-Fi

    Guía de configuración del software del controlador inalámbrico Cisco Catalyst serie 9800 17.9.x

    Guía de implementación de WPA3

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    26-Jun-2023
    Nuevas versiones de WLC y nuevos modelos de AP. Se añadió diagrama de red y flujo de tramas OWE.
    1.0
    15-Mar-2022
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Razan Alomoush
      Cisco TAC
    • Tiago Antunes
      CX Technical Leader

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos