Wi-Fi 6E WLANレイヤ2セキュリティの設定と確認
内容
はじめに
このドキュメントでは、Wi-Fi 6E WLANレイヤ2セキュリティを設定する方法と、さまざまなクライアントで想定される動作について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- CiscoワイヤレスLanコントローラ(WLC)9800
- Wi-Fi 6Eをサポートするシスコアクセスポイント(AP)
- IEEE標準802.11ax。
- ツール:Wireshark v4.0.6
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- IOS® XE 17.9.3を搭載したWLC 9800-CL。
- AP C9136、CW9162、CW9164、およびCW9166。
- Wi-Fi 6Eクライアント:
- Lenovo X1 Carbon Gen11(Intel AX211 Wi-Fi 6および6Eアダプタ、ドライババージョン22.200.2(1)搭載)
- Netgear A8000 Wi-Fi 6および6Eアダプタ、ドライバv1(0.0.108)、
- Android 13搭載の携帯電話Pixel 6a、
- 携帯電話Samsung S23とAndroid 13。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ここで重要なのは、Wi-Fi 6Eは完全に新しい標準ではなく、拡張であるということです。 Wi-Fi 6Eは、Wi-Fi 6(802.11ax)無線規格を6 GHz無線周波数帯域に拡張したものです。
Wi-Fi 6Eは、最新世代のWi-Fi規格であるWi-Fi 6に基づいて構築されていますが、6 GHz帯域で動作できるのはWi-Fi 6Eデバイスとアプリケーションだけです。
Wi-Fi 6Eセキュリティ
Wi-Fi 6Eは、Wi-Fi Protected Access 3(WPA3)およびOpportunistic Wireless Encryption(LEAN)を使用してセキュリティを強化し、オープンおよびWPA2セキュリティとの下位互換性はありません。
WPA3とEnhanced Open Securityは現在、Wi-Fi 6E認定に必須であり、Wi-Fi 6EにはAPとクライアントの両方でProtected Management Frame(PMF)も必要です。
6 GHz SSIDを設定する場合、満たす必要がある特定のセキュリティ要件があります。
- LEAN、SAEまたは802.1x-SHA256を使用したWPA3 L2セキュリティ
- 保護された管理フレームが有効。
- 他のL2セキュリティ方式は許可されていません。つまり、混合モードは使用できません。
WPA3
WPA3は、WPA2での認証を向上させ、強力な暗号化機能を提供し、重要なネットワークの復元力を高めることで、Wi-Fiセキュリティを向上させるように設計されています。
WPA3の主な機能は次のとおりです。
- Protected Management Frame(PMF)は、ユニキャストおよびブロードキャスト管理フレームを保護し、ユニキャスト管理フレームを暗号化します。つまり、ワイヤレス侵入検知システムとワイヤレス侵入防御システムでは、クライアントポリシーを適用するための総当たり的な方法が少なくなっています。
- SAE(Simultaneous Authentication of Equals):パスワードベースの認証とキー承諾メカニズムを有効にします。これにより、総当たり攻撃から保護されます。
- 遷移モードは、WPA2を使用してWPA3をサポートしないクライアントに接続できるようにする混合モードです。
WPA3は、継続的なセキュリティの開発と準拠、および相互運用性に関するものです。
WPA3(WPA2と同じ)を指定する情報要素(IE)はありません。WPA3は、AKM/暗号スイート/PMFの組み合わせによって定義されます。
9800 WLANの設定では、4つの異なるWPA3暗号化アルゴリズムを使用できます。
これらのプロトコルは、Galois/Counter Mode Protocol(GCMP)およびCounter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP):AES(CCMP128)、CCMP256、GCMP128、GCMP256をベースにしています。
WPA2/3暗号化オプション
PMF
PMFを有効にすると、WLAN上でPMFがアクティブになります。
デフォルトでは、802.11管理フレームは認証されないため、スプーフィングから保護されません。Infrastructure Management Protection Frame(MFP)および802.11wで保護された管理フレーム(PMF)は、このような攻撃に対する保護を提供します。
PMFオプション
認証キー管理
17.9.xバージョンで使用可能なAKMオプションは次のとおりです。
AKMオプション
負担
Opportunistic Wireless Encryption(LEAN)は、ワイヤレスメディアの暗号化を提供するIEEE 802.11の拡張です(IETF RFC 8110)。LEADベースの認証の目的は、APとクライアント間のオープンでセキュリティ保護されていないワイヤレス接続を回避することです。LEANは、暗号化に基づくDiffie-Hellmanアルゴリズムを使用して、無線暗号化を設定します。LEANを使用すると、クライアントとAPはアクセス処理中にDiffie-Hellman(DH)鍵交換を実行し、その結果得られたPairwise Master Key(PMK)秘密を4ウェイハンドシェイクで使用します。LEANを使用すると、オープンまたは共有PSKベースのネットワークが展開される環境でワイヤレスネットワークセキュリティが強化されます。
LEANフレーム交換
SAE
WPA3では、Simultaneous Authentication of Equalsと呼ばれる新しい認証およびキー管理メカニズムを使用します。このメカニズムは、SAE Hash-to-Element(H2E)を使用することでさらに強化されます。
H2Eを使用したSAEは、WPA3とWi-Fi 6Eに必須です。
SAEは、オフライン辞書攻撃に対する耐性が高いと考えられるパスワードを使用して相互認証を実行する方法で効率的な交換を実行するために、離散対数暗号化を採用しています。
オフライン辞書攻撃とは、攻撃者がネットワークとのやり取りを行わずに可能なパスワードを試みることによってネットワークパスワードを決定しようとする攻撃です。
クライアントがアクセスポイントに接続すると、SAE交換が実行されます。成功した場合は、それぞれが暗号強度の高いキーを作成し、そこからセッションキーが取得されます。基本的に、クライアントとアクセスポイントはコミットのフェーズに入り、確認します。
確約が行われると、生成されるセッションキーがあるたびに、クライアントとアクセスポイントはconfirm状態になります。この方法では、侵入者が単一のキーをクラックする可能性がありますが、他のすべてのキーをクラックする可能性はありません。
SAEフレーム交換
ハッシュから要素(H2E)
ハッシュから要素(H2E)は、新しいSAEパスワード要素(PWE)方式です。この方法では、SAEプロトコルで使用される秘密PWEがパスワードから生成されます。
H2Eをサポートするステーション(STA)は、APでSAEを開始するときに、APがH2Eをサポートしているかどうかを確認します。そうである場合、APはH2Eを使用し、SAEコミットメッセージで新しく定義されたステータスコード(SC)値を使用してPWEを取得します。
STAがハンティングアンドペッキング(HnP)を使用する場合、SAE交換全体は変更されません。
H2Eを使用する場合、PWE派生は次のコンポーネントに分割されます。
-
パスワードから秘密中間要素(PT)を派生させます。この操作は、サポートされている各グループのデバイスでパスワードが最初に設定されたときにオフラインで実行できます。
-
保管されたPTからのPWEの導出これは、ピアのネゴシエートされたグループとMACアドレスによって異なります。これは、SAE交換中にリアルタイムで実行されます。
注:6 GHzは、ハッシュから要素へのSAE PWE方式のみをサポートしています。
WPA – エンタープライズ(別名802.1x)
WPA3-Enterpriseは、WPA3の最も安全なバージョンであり、802.1Xとユーザ名およびパスワードの組み合わせを使用して、RADIUSサーバによるユーザ認証を行います。デフォルトでは、WPA3は128ビットの暗号化を使用しますが、オプションで設定可能な192ビットの暗号強度の暗号化も導入されています。これにより、機密データを送信するすべてのネットワークに対する保護が強化されます。
WPA3 Enterpriseの図のフロー
レベルセット:WPA3モード
- WPA3パーソナル
- WPA3 – パーソナル専用モード
- PMFが必要
- WPA3-Personal移行モード
- 設定ルール:APでは、WPA2-Personalが有効になっている場合は常に、管理者が明示的に上書きしてWPA2-Personal専用モードで動作しない限り、WPA3-Personal移行モードもデフォルトで有効にする必要があります
- WPA3 – パーソナル専用モード
- WPA3 – エンタープライズ
- WPA3-Enterprise専用モード
- すべてのWPA3接続でPMFがネゴシエートされます
- WPA3-Enterprise移行モード
- WPA3接続ではPMFがネゴシエートされます
- WPA2接続用のPMFオプション
- Commercial National Security Algorithm(CNSA)に準拠したWPA3-Enterprise suite-B「192ビット」モード
- 単なる連邦政府のためだけではない
- 設定ミスを回避するための一貫性のある暗号暗号スイート
- 暗号化やより良いハッシュ関数のためのGCMPとECCPの追加(SHA384)
- PMFが必要
-
WPA3 192ビットセキュリティは、サプリカントとRADIUSサーバの両方で証明書を必要とするEAP-TLSにのみ適用されます。
-
WPA3 192ビットエンタープライズを使用するには、RADIUSサーバは許可されたEAP暗号のいずれかを使用する必要があります。
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
- WPA3-Enterprise専用モード
クライアントセキュリティの互換性マトリクスを含む、Cisco WLANでのWPA3の実装に関する詳細については、WPA3導入ガイドを参照してください。
Cisco Catalyst Wi-Fi 6E AP
Wi-Fi 6Eアクセスポイント
クライアントでサポートされるセキュリティ設定
WPA3-Enterpriseをサポートしている製品は、WiFi Alliance Webページの製品ファインダを使用して確認できます。
Windowsデバイスでは、コマンド「netsh wlan show drivers」を使用して、アダプタによってサポートされているセキュリティ設定を確認できます。
Intel AX211の出力を次に示します。
クライアントAX211用の_netsh wlan show driver_のWindows出力
Netgear A8000:
クライアントNetgear A8000sでの_netsh wlan show driver_のWindows出力
Androidピクセル6a:
Android Pixel6aでサポートされているセキュリティ設定
サムスンS23:
Android S23でサポートされるセキュリティ設定
上記の出力に基づいて、次の表を完成できます。
各クライアントでサポートされるセキュリティプロトコル
設定
このセクションでは、基本的なWLAN設定を示します。使用されるポリシープロファイルは、中央関連付け/認証/DHCP/スイッチングを使用して常に同じです。
このドキュメントの後半で、各Wi-Fi 6Eレイヤ2セキュリティの組み合わせを設定する方法と、設定と予想される動作を確認する方法を示します。
ネットワーク図
ネットワーク図
コンフィギュレーション
Wi-Fi 6EにはWPA3が必要であり、WLAN無線ポリシーには次の制限事項があることに注意してください。
-
WLANはすべての無線にプッシュされますが、これは設定の組み合わせの1つが使用されている場合に限られます。
-
WPA3 + AES暗号+ 802.1x-SHA256(FT)AKM
-
WPA3 + AES暗号+ LEAN AKM
-
WPA3 + AES暗号+ SAE(FT)AKM
-
WPA3 + CCMP256暗号+ SUITEB192-1X AKM
-
WPA3 + GCMP128暗号+ SUITEB-1X AKM
-
WPA3 + GCMP256暗号+ SUITEB192-1X AKM
-
基本設定
WLANは、6GHzのみの無線ポリシーとUPR(Broadcast Probe Response)検出方式で設定されました。
WLAN Baseの設定
6GHz RFプロファイルの設定
確認
セキュリティの検証
このセクションでは、次のWPA3プロトコルの組み合わせを使用したセキュリティ設定とクライアントアソシエーションのフェーズについて説明します。
- WPA3- AES(CCMP128) +借用額
- 借入の移行モード
- WPA3パーソナル
- AES(CCMP128) + SAE
- WPA3 – エンタープライズ
- AES(CCMP128) + 802.1x-SHA256
- AES(CCMP128) + 802.1x-SHA256 +フィート
- GCMP128暗号+ SUITEB-1X
- GCMP256暗号+ SUITEB192-1X
注:このドキュメントの作成時点でGCMP128暗号+ SUITEB-1Xをサポートしているクライアントは存在しませんが、ブロードキャストされていることを確認し、ビーコンのRSN情報を確認するためにテストされました。
WPA3 - AES(CCPM128) +借方
WLANセキュリティの設定を次に示します。
BOREDセキュリティ設定
WLCのGUIでWLANセキュリティ設定を表示します。
WLC GUIのWLANセキュリティ設定
ここでは、Wi-Fi 6Eクライアントの接続プロセスを確認できます。
インテルAX211
このスライドでは、クライアントIntel AX211の接続プロセス全体を示しています。
LEADディスカバリ
ここにビーコンOTAを見ることができます。 APは、RSN情報要素の下でLEANのAKMスイートセレクタを使用してLEANのサポートをアドバタイズします。
LAREサポートを示すAKMスイートタイプ値18(00-0F-AC:18)を確認できます。
LEANビーコンフレーム
RSN機能のフィールドを見ると、APが管理フレーム保護(MFP)機能とMFP必須ビットの両方を1に設定してアドバタイズしていることがわかります。
借用関連付け
UPRがブロードキャストモードで送信され、その後アソシエーション自体が送信されるのを確認できます。
LEANはOPEN認証の要求と応答で始まります。
次に、LEANを実行するクライアントは、関連付け要求フレームのRSN IEでLEAN AKMを示し、Diffie Helman(DH)パラメータ要素を含める必要があります。
LEAN関連付け応答
アソシエーション応答の後、4ウェイハンドシェイクが行われ、クライアントが接続状態に移行します。
WLC GUIでクライアントの詳細を確認できます。
NetGear A8000
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
WPA3 - AES(CCPM128) +移行モード付きLEAN
LEAD移行モードの詳細な設定とトラブルシューティングについては、このドキュメントの「移行モードを使用した拡張オープンSSIDの設定:LEAD」を参照してください。
WPA3 – パーソナル – AES(CCMP128) + SAE
WLANセキュリティ設定:
WPA3 SAEの設定
注:6 GHz無線ポリシーでは、ハンティングとペッキングは許可されないことに注意してください。6 GHzのみのWLANを設定する場合は、H2E SAE Password Elementを選択する必要があります。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 SAEビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
NetGear A8000
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
WPA3 – パーソナル – AES(CCMP128) + SAE + FT
WLANセキュリティ設定:
注意:認証キー管理では、SAEをイネーブルにせずにFT+SAEを選択することはWLCで許可されていますが、クライアントは接続できないことが確認されています。高速移行でSAEを使用する場合は、必ずSAEとFT+SAEの両方のチェックボックスをオンにしてください。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 SAE + FTビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
PMKIDを確認できるローミングイベント:
WPA3 SAE + FTの再関連付け要求
WLCでのクライアントの詳細:
NetGear A8000
クライアントからのRSN情報に重点を置いた接続OTA。初期接続:
ssss
WLCでのクライアントの詳細:
ピクセル6a
FTが有効になっているときにデバイスがローミングできませんでした。
サムスンS23
FTが有効になっているときにデバイスがローミングできませんでした。
WPA3 – エンタープライズ+ AES(CCMP128) + 802.1x-SHA256 + FT
WLANセキュリティ設定:
WPA3 Enterprise 802.1x-SHA256 + FTWLANセキュリティ設定
WLCのGUIでWLANセキュリティ設定を表示します。
次に、各デバイスからの認証を示すISEライブログを示します。
ISE ライブログ
ビーコンOTAは次のようになります。
WPA3 Enterprise 802.1x +FTビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
ローミングイベントのクライアントからのRSN情報に焦点を当てた接続OTA:
WPA3 Enterprise 802.1x + FTローミングイベント
WLANから(WLC GUIなどから)クライアントを手動で削除すると、興味深い動作が発生します。クライアントは関連付け解除フレームを受信しますが、同じAPへの再接続を試行し、クライアントの詳細がAP/WLCから削除されているため、再アソシエーションフレームを使用した後に完全なEAP交換を実行します。
これは基本的に、新しいアソシエーションプロセスでのフレーム交換と同じです。次に、フレーム交換を示します。
WPA3 Enterprise 802.1x + FT Ax211接続フロー
WLCでのクライアントの詳細:
WPA3 Enterprise 802.1x + FTクライアントの詳細
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
FT over DSによるAX211のローミング
また、FTローミングイベントも確認できます。
FTによるWPA3 Enterprise
およびwlcからのクライアントraトレース:
NetGear A8000
このクライアントでは、WPA3-Enterpriseはサポートされていません。
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WPA3 Enterprise 802.1x + FT Pixel6aアソシエーション
WLCでのクライアントの詳細:
WPA3 Enterprise 802.1x + FT Pixel6aクライアントの詳細
ローミングタイプOver the Airに注目してください。ここで、ローミングタイプ802.11Rを確認できます。
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
S23 FToTAローミングイベント
WLCでのクライアントの詳細:
S23クライアントプロパティ
ローミングタイプOver the Airに注目してください。ここで、ローミングタイプ802.11Rを確認できます。
S23ローミングタイプ802.11R
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
S23ローミングFToDSパケット
WPA3-Enterprise + GCMP128暗号+ SUITEB-1X
WLANセキュリティ設定:
WPA3 Enterprise SuiteB-1Xのセキュリティ設定
注:FTはSUITEB-1Xではサポートされていません。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
WPA3 Enterprise SuiteB-1Xビーコン
テスト対象のクライアントは、SuiteB-1Xを使用してWLANに接続できず、このセキュリティ方式がサポートされていないことが確認されました。
WPA3-Enterprise + GCMP256暗号+ SUITEB192-1X
WLANセキュリティ設定:
WPA3 Enterprise SUITEB192-1xのセキュリティ設定
注:FTはGCMP256+SUITEB192-1Xではサポートされていません。
WLCのWLAN GUIのWLANリスト:
テストに使用するWLAN
ビーコンOTAの検証:
WPA3 Enterprise SUITEB192-1xビーコン
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
WPA3 EnterpriseとIntel AX211クライアントおよびRSNとのEAP-TLSアソシエーションの情報
また、EAP-TLS交換は次のようになります。
WPA3 EnterpriseとIntel AX211クライアントとのEAP-TLSアソシエーションおよびEAP-TLSの焦点
WLCでのクライアントの詳細:
EAP-TLSクライアントを使用するWPA3 Enterpriseの詳細
NetGear A8000
このクライアントでは、WPA3-Enterpriseはサポートされていません。
ピクセル6a
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在作業中です。問題が解決され次第、このドキュメントは更新されます。
サムスンS23
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在作業中です。問題が解決され次第、このドキュメントは更新されます。
セキュリティ結論
前のすべてのテストの結果は次のようになります。
| プロトコル |
暗号化 |
AKM |
AKM暗号 |
EAP方式 |
FT-OverTA |
FT-OverDS |
インテルAX211 |
Samsung/Google Android |
NetGear A8000 |
| 負担 |
AES-CCMP128 |
負担 |
適用外. |
適用外. |
適用外 |
適用外 |
サポート |
サポート |
サポート |
| SAE |
AES-CCMP128 |
SAE(H2Eのみ) |
SHA256 |
適用外. |
サポート |
サポート |
サポート:H2Eのみ、およびFT-oTA |
サポート:H2Eのみ。 |
サポート: |
| エンタープライズ |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
サポート |
サポート |
サポート:SHA256およびFT-oTA/oDS |
サポート:SHA256およびFT-oTA、FT-oDS(S23) |
サポート:SHA256およびFT-oTA |
| エンタープライズ |
GCMP128 |
スイートB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
| エンタープライズ |
GCMP256 |
スイートB-192 |
SHA384-SuiteB |
[TLS] |
サポート対象外 |
サポート対象外 |
該当なし/未定 |
該当なし/未定 |
サポート対象外 |
トラブルシュート
このドキュメントで使用するトラブルシューティングは、次のオンラインドキュメントに基づいています。
トラブルシューティングの一般的なガイドラインは、クライアントがランダム化されたMACアドレスではなくデバイスMACを使用して接続していることを確認するために、クライアントMACアドレスを使用してWLCからデバッグモードでRAトレースを収集することです。
Over-the-Airのトラブルシューティングでは、APにサービスを提供しているクライアントのチャネルでトラフィックをキャプチャするAPをスニファモードで使用することを推奨します。
注:debugコマンドを使用する前に、『debugコマンドの重要な情報』を参照してください。
関連情報
Wi-Fi 6E:Wi-Fiに関するホワイトペーパーの次の章
Cisco Live - Catalyst Wi-Fi 6Eアクセスポイントによる次世代ワイヤレスネットワークの設計
Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアコンフィギュレーションガイド17.9.x
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
08-Aug-2023 |
初版 |
フィードバック