この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Wi-Fi 6E WLANレイヤ2セキュリティを設定する方法と、さまざまなクライアントで想定される動作について説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ここで重要なのは、Wi-Fi 6Eは完全に新しい標準ではなく、拡張であるということです。 Wi-Fi 6Eは、Wi-Fi 6(802.11ax)無線規格を6 GHz無線周波数帯域に拡張したものです。
Wi-Fi 6Eは、最新世代のWi-Fi規格であるWi-Fi 6に基づいて構築されていますが、6 GHz帯域で動作できるのはWi-Fi 6Eデバイスとアプリケーションだけです。
Wi-Fi 6Eは、Wi-Fi Protected Access 3(WPA3)およびOpportunistic Wireless Encryption(LEAN)を使用してセキュリティを強化し、オープンおよびWPA2セキュリティとの下位互換性はありません。
WPA3とEnhanced Open Securityは現在、Wi-Fi 6E認定に必須であり、Wi-Fi 6EにはAPとクライアントの両方でProtected Management Frame(PMF)も必要です。
6 GHz SSIDを設定する場合、満たす必要がある特定のセキュリティ要件があります。
WPA3は、WPA2での認証を向上させ、強力な暗号化機能を提供し、重要なネットワークの復元力を高めることで、Wi-Fiセキュリティを向上させるように設計されています。
WPA3の主な機能は次のとおりです。
WPA3は、継続的なセキュリティの開発と準拠、および相互運用性に関するものです。
WPA3(WPA2と同じ)を指定する情報要素(IE)はありません。WPA3は、AKM/暗号スイート/PMFの組み合わせによって定義されます。
9800 WLANの設定では、4つの異なるWPA3暗号化アルゴリズムを使用できます。
これらのプロトコルは、Galois/Counter Mode Protocol(GCMP)およびCounter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP):AES(CCMP128)、CCMP256、GCMP128、GCMP256をベースにしています。
PMF
PMFを有効にすると、WLAN上でPMFがアクティブになります。
デフォルトでは、802.11管理フレームは認証されないため、スプーフィングから保護されません。Infrastructure Management Protection Frame(MFP)および802.11wで保護された管理フレーム(PMF)は、このような攻撃に対する保護を提供します。
認証キー管理
17.9.xバージョンで使用可能なAKMオプションは次のとおりです。
負担
Opportunistic Wireless Encryption(LEAN)は、ワイヤレスメディアの暗号化を提供するIEEE 802.11の拡張です(IETF RFC 8110)。LEADベースの認証の目的は、APとクライアント間のオープンでセキュリティ保護されていないワイヤレス接続を回避することです。LEANは、暗号化に基づくDiffie-Hellmanアルゴリズムを使用して、無線暗号化を設定します。LEANを使用すると、クライアントとAPはアクセス処理中にDiffie-Hellman(DH)鍵交換を実行し、その結果得られたPairwise Master Key(PMK)秘密を4ウェイハンドシェイクで使用します。LEANを使用すると、オープンまたは共有PSKベースのネットワークが展開される環境でワイヤレスネットワークセキュリティが強化されます。
SAE
WPA3では、Simultaneous Authentication of Equalsと呼ばれる新しい認証およびキー管理メカニズムを使用します。このメカニズムは、SAE Hash-to-Element(H2E)を使用することでさらに強化されます。
H2Eを使用したSAEは、WPA3とWi-Fi 6Eに必須です。
SAEは、オフライン辞書攻撃に対する耐性が高いと考えられるパスワードを使用して相互認証を実行する方法で効率的な交換を実行するために、離散対数暗号化を採用しています。
オフライン辞書攻撃とは、攻撃者がネットワークとのやり取りを行わずに可能なパスワードを試みることによってネットワークパスワードを決定しようとする攻撃です。
クライアントがアクセスポイントに接続すると、SAE交換が実行されます。成功した場合は、それぞれが暗号強度の高いキーを作成し、そこからセッションキーが取得されます。基本的に、クライアントとアクセスポイントはコミットのフェーズに入り、確認します。
確約が行われると、生成されるセッションキーがあるたびに、クライアントとアクセスポイントはconfirm状態になります。この方法では、侵入者が単一のキーをクラックする可能性がありますが、他のすべてのキーをクラックする可能性はありません。
ハッシュから要素(H2E)
ハッシュから要素(H2E)は、新しいSAEパスワード要素(PWE)方式です。この方法では、SAEプロトコルで使用される秘密PWEがパスワードから生成されます。
H2Eをサポートするステーション(STA)は、APでSAEを開始するときに、APがH2Eをサポートしているかどうかを確認します。そうである場合、APはH2Eを使用し、SAEコミットメッセージで新しく定義されたステータスコード(SC)値を使用してPWEを取得します。
STAがハンティングアンドペッキング(HnP)を使用する場合、SAE交換全体は変更されません。
H2Eを使用する場合、PWE派生は次のコンポーネントに分割されます。
パスワードから秘密中間要素(PT)を派生させます。この操作は、サポートされている各グループのデバイスでパスワードが最初に設定されたときにオフラインで実行できます。
保管されたPTからのPWEの導出これは、ピアのネゴシエートされたグループとMACアドレスによって異なります。これは、SAE交換中にリアルタイムで実行されます。
注:6 GHzは、ハッシュから要素へのSAE PWE方式のみをサポートしています。
WPA – エンタープライズ(別名802.1x)
WPA3-Enterpriseは、WPA3の最も安全なバージョンであり、802.1Xとユーザ名およびパスワードの組み合わせを使用して、RADIUSサーバによるユーザ認証を行います。デフォルトでは、WPA3は128ビットの暗号化を使用しますが、オプションで設定可能な192ビットの暗号強度の暗号化も導入されています。これにより、機密データを送信するすべてのネットワークに対する保護が強化されます。
WPA3 192ビットセキュリティは、サプリカントとRADIUSサーバの両方で証明書を必要とするEAP-TLSにのみ適用されます。
WPA3 192ビットエンタープライズを使用するには、RADIUSサーバは許可されたEAP暗号のいずれかを使用する必要があります。
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
クライアントセキュリティの互換性マトリクスを含む、Cisco WLANでのWPA3の実装に関する詳細については、WPA3導入ガイドを参照してください。
WPA3-Enterpriseをサポートしている製品は、WiFi Alliance Webページの製品ファインダを使用して確認できます。
Windowsデバイスでは、コマンド「netsh wlan show drivers」を使用して、アダプタによってサポートされているセキュリティ設定を確認できます。
Intel AX211の出力を次に示します。
Netgear A8000:
Androidピクセル6a:
サムスンS23:
上記の出力に基づいて、次の表を完成できます。
このセクションでは、基本的なWLAN設定を示します。使用されるポリシープロファイルは、中央関連付け/認証/DHCP/スイッチングを使用して常に同じです。
このドキュメントの後半で、各Wi-Fi 6Eレイヤ2セキュリティの組み合わせを設定する方法と、設定と予想される動作を確認する方法を示します。
Wi-Fi 6EにはWPA3が必要であり、WLAN無線ポリシーには次の制限事項があることに注意してください。
WLANはすべての無線にプッシュされますが、これは設定の組み合わせの1つが使用されている場合に限られます。
WPA3 + AES暗号+ 802.1x-SHA256(FT)AKM
WPA3 + AES暗号+ LEAN AKM
WPA3 + AES暗号+ SAE(FT)AKM
WPA3 + CCMP256暗号+ SUITEB192-1X AKM
WPA3 + GCMP128暗号+ SUITEB-1X AKM
WPA3 + GCMP256暗号+ SUITEB192-1X AKM
WLANは、6GHzのみの無線ポリシーとUPR(Broadcast Probe Response)検出方式で設定されました。
このセクションでは、次のWPA3プロトコルの組み合わせを使用したセキュリティ設定とクライアントアソシエーションのフェーズについて説明します。
注:このドキュメントの作成時点でGCMP128暗号+ SUITEB-1Xをサポートしているクライアントは存在しませんが、ブロードキャストされていることを確認し、ビーコンのRSN情報を確認するためにテストされました。
WLANセキュリティの設定を次に示します。
WLCのGUIでWLANセキュリティ設定を表示します。
ここでは、Wi-Fi 6Eクライアントの接続プロセスを確認できます。
インテルAX211
このスライドでは、クライアントIntel AX211の接続プロセス全体を示しています。
LEADディスカバリ
ここにビーコンOTAを見ることができます。 APは、RSN情報要素の下でLEANのAKMスイートセレクタを使用してLEANのサポートをアドバタイズします。
LAREサポートを示すAKMスイートタイプ値18(00-0F-AC:18)を確認できます。
RSN機能のフィールドを見ると、APが管理フレーム保護(MFP)機能とMFP必須ビットの両方を1に設定してアドバタイズしていることがわかります。
借用関連付け
UPRがブロードキャストモードで送信され、その後アソシエーション自体が送信されるのを確認できます。
LEANはOPEN認証の要求と応答で始まります。
次に、LEANを実行するクライアントは、関連付け要求フレームのRSN IEでLEAN AKMを示し、Diffie Helman(DH)パラメータ要素を含める必要があります。
アソシエーション応答の後、4ウェイハンドシェイクが行われ、クライアントが接続状態に移行します。
WLC GUIでクライアントの詳細を確認できます。
NetGear A8000
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
LEAD移行モードの詳細な設定とトラブルシューティングについては、このドキュメントの「移行モードを使用した拡張オープンSSIDの設定:LEAD」を参照してください。
WLANセキュリティ設定:
注:6 GHz無線ポリシーでは、ハンティングとペッキングは許可されないことに注意してください。6 GHzのみのWLANを設定する場合は、H2E SAE Password Elementを選択する必要があります。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
NetGear A8000
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
WLANセキュリティ設定:
注意:認証キー管理では、SAEをイネーブルにせずにFT+SAEを選択することはWLCで許可されていますが、クライアントは接続できないことが確認されています。高速移行でSAEを使用する場合は、必ずSAEとFT+SAEの両方のチェックボックスをオンにしてください。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
PMKIDを確認できるローミングイベント:
WLCでのクライアントの詳細:
NetGear A8000
クライアントからのRSN情報に重点を置いた接続OTA。初期接続:
WLCでのクライアントの詳細:
ピクセル6a
FTが有効になっているときにデバイスがローミングできませんでした。
サムスンS23
FTが有効になっているときにデバイスがローミングできませんでした。
WLANセキュリティ設定:
WLCのGUIでWLANセキュリティ設定を表示します。
次に、各デバイスからの認証を示すISEライブログを示します。
ビーコンOTAは次のようになります。
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
ローミングイベントのクライアントからのRSN情報に焦点を当てた接続OTA:
WLANから(WLC GUIなどから)クライアントを手動で削除すると、興味深い動作が発生します。クライアントは関連付け解除フレームを受信しますが、同じAPへの再接続を試行し、クライアントの詳細がAP/WLCから削除されているため、再アソシエーションフレームを使用した後に完全なEAP交換を実行します。
これは基本的に、新しいアソシエーションプロセスでのフレーム交換と同じです。次に、フレーム交換を示します。
WLCでのクライアントの詳細:
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
また、FTローミングイベントも確認できます。
およびwlcからのクライアントraトレース:
NetGear A8000
このクライアントでは、WPA3-Enterpriseはサポートされていません。
ピクセル6a
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ローミングタイプOver the Airに注目してください。ここで、ローミングタイプ802.11Rを確認できます。
サムスンS23
クライアントからのRSN情報に重点を置いたConnection OTA:
WLCでのクライアントの詳細:
ローミングタイプOver the Airに注目してください。ここで、ローミングタイプ802.11Rを確認できます。
このクライアントは、DS上でFTを使用してテストされ、802.11rを使用してローミングできました。
WLANセキュリティ設定:
注:FTはSUITEB-1Xではサポートされていません。
WLCのGUIでWLANセキュリティ設定を表示します。
ビーコンOTAの検証:
テスト対象のクライアントは、SuiteB-1Xを使用してWLANに接続できず、このセキュリティ方式がサポートされていないことが確認されました。
WLANセキュリティ設定:
注:FTはGCMP256+SUITEB192-1Xではサポートされていません。
WLCのWLAN GUIのWLANリスト:
ビーコンOTAの検証:
ここでは、Wi-Fi 6Eクライアントの関連付けを確認できます。
インテルAX211
クライアントからのRSN情報に重点を置いたConnection OTA:
また、EAP-TLS交換は次のようになります。
WLCでのクライアントの詳細:
NetGear A8000
このクライアントでは、WPA3-Enterpriseはサポートされていません。
ピクセル6a
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在作業中です。問題が解決され次第、このドキュメントは更新されます。
サムスンS23
このドキュメントの作成時点では、このクライアントはEAP-TLSを使用してWPA3 Enterpriseに接続できませんでした。
これはクライアント側の問題であり、現在作業中です。問題が解決され次第、このドキュメントは更新されます。
前のすべてのテストの結果は次のようになります。
プロトコル |
暗号化 |
AKM |
AKM暗号 |
EAP方式 |
FT-OverTA |
FT-OverDS |
インテルAX211 |
Samsung/Google Android |
NetGear A8000 |
負担 |
AES-CCMP128 |
負担 |
適用外. |
適用外. |
適用外 |
適用外 |
サポート |
サポート |
サポート |
SAE |
AES-CCMP128 |
SAE(H2Eのみ) |
SHA256 |
適用外. |
サポート |
サポート |
サポート:H2Eのみ、およびFT-oTA |
サポート:H2Eのみ。 |
サポート: |
エンタープライズ |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
サポート |
サポート |
サポート:SHA256およびFT-oTA/oDS |
サポート:SHA256およびFT-oTA、FT-oDS(S23) |
サポート:SHA256およびFT-oTA |
エンタープライズ |
GCMP128 |
スイートB-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
サポート対象外 |
エンタープライズ |
GCMP256 |
スイートB-192 |
SHA384-SuiteB |
[TLS] |
サポート対象外 |
サポート対象外 |
該当なし/未定 |
該当なし/未定 |
サポート対象外 |
このドキュメントで使用するトラブルシューティングは、次のオンラインドキュメントに基づいています。
トラブルシューティングの一般的なガイドラインは、クライアントがランダム化されたMACアドレスではなくデバイスMACを使用して接続していることを確認するために、クライアントMACアドレスを使用してWLCからデバッグモードでRAトレースを収集することです。
Over-the-Airのトラブルシューティングでは、APにサービスを提供しているクライアントのチャネルでトラフィックをキャプチャするAPをスニファモードで使用することを推奨します。
注:debugコマンドを使用する前に、『debugコマンドの重要な情報』を参照してください。
Wi-Fi 6E:Wi-Fiに関するホワイトペーパーの次の章
Cisco Live - Catalyst Wi-Fi 6Eアクセスポイントによる次世代ワイヤレスネットワークの設計
Cisco Catalyst 9800シリーズワイヤレスコントローラソフトウェアコンフィギュレーションガイド17.9.x
改定 | 発行日 | コメント |
---|---|---|
1.0 |
08-Aug-2023 |
初版 |