본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Wi-Fi 6E WLAN Layer 2 보안을 구성하는 방법 및 여러 클라이언트에서 예상되는 사항에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
Wi-Fi 6E는 완전히 새로운 표준이 아니라 확장형이라는 것을 알아야 합니다. Wi-Fi 6E는 기본적으로 Wi-Fi 6(802.11ax) 무선 표준을 6GHz 무선 주파수 대역으로 확장한 것입니다.
Wi-Fi 6E는 최신 Wi-Fi 표준인 Wi-Fi 6를 기반으로 구축되지만, Wi-Fi 6E 장치 및 애플리케이션만 6GHz 대역에서 작동할 수 있습니다.
Wi-Fi 6E는 Wi-Fi Protected Access 3(WPA3) 및 Opportunistic Wireless Encryption(WISE)으로 보안을 제공하며 개방형 및 WPA2 보안과 역호환성이 없습니다.
이제 Wi-Fi 6E 인증에 WPA3 및 향상된 개방 보안이 필수이며 Wi-Fi 6E에도 AP 및 클라이언트에서 PMF(Protected Management Frame)가 필요합니다.
6GHz SSID를 구성할 때 다음과 같은 특정 보안 요구 사항을 충족해야 합니다.
WPA3은 WPA2보다 우수한 인증을 활성화하여 Wi-Fi 보안을 개선하고 암호화 강도를 높이며 중요 네트워크의 복원력을 향상시킵니다.
WPA3의 주요 기능은 다음과 같습니다.
WPA3은 지속적인 보안 개발 및 적합성과 상호 운용성에 관한 것입니다.
WPA3(WPA2와 동일)을 지정하는 정보 요소가 없습니다. WPA3은 AKM/암호 그룹/PMF 조합으로 정의됩니다.
9800 WLAN 컨피그레이션에서는 4개의 서로 다른 WPA3 암호화 알고리즘을 사용할 수 있습니다.
이는 GCMP(Galois/Counter Mode Protocol) 및 CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)를 기반으로 합니다. AES(CCMP128), CCMP256, GCMP128 및 GCMP256:
PMF
PMF를 활성화하면 WLAN에서 PMF가 활성화됩니다.
기본적으로 802.11 관리 프레임은 인증되지 않으므로 스푸핑으로부터 보호되지 않습니다. MFP(Infrastructure Management Protection Frame) 및 802.11w PMF(Protected Management Frame)는 이러한 공격을 차단합니다.
인증 키 관리
다음은 17.9.x 버전에서 사용할 수 있는 AKM 옵션입니다.
빌린 돈
OWE(Opportunistic Wireless Encryption)는 무선 미디어(IETF RFC 8110)의 암호화를 제공하는 IEEE 802.11의 확장입니다. OWE 기반 인증의 목적은 AP와 클라이언트 간의 개방적이고 안전하지 않은 무선 연결을 피하는 것입니다. OWE는 Cryptography 기반의 Diffie-Hellman 알고리즘을 사용하여 무선 암호화를 설정합니다. OWE를 사용하면 클라이언트와 AP는 액세스 절차 중에 Diffie-Hellman 키 교환을 수행하고 4-way 핸드셰이크로 결과 PMK(pairwise master key) 암호를 사용합니다. OWE를 사용하면 개방형 또는 공유 PSK 기반 네트워크가 구축된 구축에서 무선 네트워크 보안이 향상됩니다.
새우
WPA3은 Simultaneous Authentication of Equals라는 새로운 인증 및 키 관리 메커니즘을 사용합니다. 이 메커니즘은 SAE H2E(Hash-to-Element)를 사용하여 더욱 향상됩니다.
WPA3 및 Wi-Fi 6E에서는 H2E를 사용하는 SAE가 필수입니다.
SAE는 이산 로그 암호화를 사용하여 오프라인 사전 공격에 강할 수 있는 비밀번호를 사용하여 상호 인증을 수행하는 방식으로 효율적인 교환을 수행합니다.
오프라인 사전 공격은 공격자가 추가 네트워크 상호작용 없이 가능한 비밀번호를 시도하여 네트워크 비밀번호를 확인하려고 시도하는 것입니다.
클라이언트가 액세스 포인트에 연결할 때 SAE 교환을 수행합니다. 성공하면 세션 키가 파생되는 암호화 방식의 강력한 키가 각각 생성됩니다. 기본적으로 클라이언트와 액세스 포인트는 커밋(commit) 및 확인 단계로 진행됩니다.
일단 약속이 있으면 클라이언트와 액세스 포인트는 생성할 세션 키가 있을 때마다 확인 상태로 이동할 수 있습니다. 이 방법은 순방향 비밀성을 사용합니다. 즉 침입자가 하나의 키를 해독할 수 있지만 다른 모든 키를 해독할 수는 없습니다.
Hash-to-Element(H2E)
H2E(Hash-to-Element)는 새로운 PWE(SAE Password Element) 메서드입니다. 이 방법에서, SAE 프로토콜에서 사용되는 비밀 PWE는 비밀번호로부터 생성된다.
H2E를 지원하는 스테이션(STA)이 AP와 SAE를 시작할 때 AP가 H2E를 지원하는지 확인한다. 대답이 "예"인 경우 AP는 H2E를 사용하여 SAE Commit 메시지에 새로 정의된 상태 코드 값을 사용하여 PWE를 파생시킵니다.
STA가 HnP(Hunting-and-Pecking)를 사용하면 전체 SAE exchange는 변경되지 않습니다.
H2E를 사용하는 동안 PWE 파생은 다음 구성 요소로 나뉩니다.
비밀번호에서 PT(Secret Intermediate Element) 파생입니다. 이 작업은 지원되는 각 그룹에 대해 디바이스에서 비밀번호가 처음 구성된 경우 오프라인으로 수행할 수 있습니다.
저장된 PT에서 PWE 유도. 이는 협상된 그룹 및 피어의 MAC 주소에 따라 다릅니다. 이 작업은 SAE 교환 중에 실시간으로 수행됩니다.
참고: 6GHz는 Hash-to-Element SAE PWE 메서드만 지원합니다.
802.1x라고도 하는 WPA-엔터프라이즈
WPA3-Enterprise는 가장 안전한 WPA3 버전으로, RADIUS 서버와의 사용자 인증을 위해 사용자 이름과 비밀번호를 802.1X와 함께 사용합니다. 기본적으로 WPA3은 128비트 암호화를 사용하지만 선택적으로 구성할 수 있는 192비트 암호화 강도 암호화를 도입하여 민감한 데이터를 전송하는 모든 네트워크를 추가로 보호합니다.
WPA3 192비트 보안은 EAP-TLS에 배타적이어야 합니다. EAP-TLS에서는 신청자 및 RADIUS 서버 모두에 인증서가 필요합니다.
WPA3 192비트 엔터프라이즈를 사용하려면 RADIUS 서버가 다음 중 하나의 허용된 EAP 암호를 사용해야 합니다.
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
클라이언트 보안 호환성 매트릭스를 포함하여 Cisco WLAN의 WPA3 구현에 대한 자세한 내용은 WPA3 구축 가이드를 참조하십시오.
WiFi Alliance 웹 페이지 제품 찾기를 사용하여 WPA3-Enterprise를 지원하는 제품을 찾을 수 있습니다.
Windows 디바이스에서는 "netsh wlan show drivers" 명령을 사용하여 어댑터에서 지원하는 보안 설정이 무엇인지 확인할 수 있습니다.
다음은 인텔 AX211의 출력입니다.
넷기어 A8000:
Android 픽셀 6a:
삼성 S23:
이전 결과를 바탕으로 이 테이블을 마무리할 수 있습니다.
이 섹션에는 기본 WLAN 컨피그레이션이 표시됩니다. 사용되는 정책 프로필은 중앙 연결/인증/DHCP/스위칭을 사용하여 항상 동일합니다.
이 문서에서는 각 Wi-Fi 6E Layer 2 보안 조합을 구성하는 방법과 컨피그레이션 및 예상 동작을 확인하는 방법을 다룹니다.
Wi-Fi 6E에는 WPA3가 필요하며 WLAN Radio Policy에 대한 제한 사항은 다음과 같습니다.
컨피그레이션 조합 중 하나를 사용하는 경우에만 WLAN이 모든 무선 장치에 푸시됩니다.
WPA3 + AES 암호 + 802.1x-SHA256(FT) AKM
WPA3 + AES 암호 + OWE AKM
WPA3 + AES 암호 + SAE(FT) AKM
WPA3 + CCMP256 암호 + SUITEB192-1X AKM
WPA3 + GCMP128 암호 + SUITEB-1X AKM
WPA3 + GCMP256 암호 + SUITEB192-1X AKM
WLAN은 6GHz 전용 무선 정책 및 UPR(Broadcast Probe Response) 검색 방법으로 구성되었습니다.
이 섹션에서는 다음 WPA3 프로토콜 조합을 사용하는 보안 컨피그레이션 및 클라이언트 연결 단계에 대해 설명합니다.
참고: 이 문서를 작성할 때 GCMP128 암호 + SUITEB-1X를 지원하는 클라이언트가 없더라도 브로드캐스트되는 것을 관찰하고 신호에서 RSN 정보를 확인하기 위해 테스트되었습니다.
다음은 WLAN 보안 컨피그레이션입니다.
WLAN Security(WLAN 보안) 설정의 WLC GUI에서 보기:
여기서는 Wi-Fi 6E 클라이언트 연결 프로세스를 관찰할 수 있습니다.
인텔 AX211
여기에서는 클라이언트 Intel AX211의 전체 연결 프로세스를 보여줍니다.
OWE 디스커버리
여기 비콘 OTA가 있습니다. AP는 RSN 정보 요소에서 OWE에 대한 AKM 제품군 선택기를 사용하여 OWE에 대한 지원을 광고합니다.
OWE 지원을 나타내는 AKM 제품군 유형 값 18(00-0F-AC:18)을 볼 수 있습니다.
RSN 기능 필드를 보면 AP가 MFP(Management Frame Protection) 기능과 MFP 필수 비트를 1로 설정한 것을 모두 광고하고 있음을 알 수 있습니다.
OWE 연결
브로드캐스트 모드로 전송된 UPR을 확인한 다음 연결 자체를 확인할 수 있습니다.
OWE는 OPEN 인증 요청 및 응답으로 시작합니다.
그런 다음, OWE를 수행하려는 클라이언트는 연결 요청 프레임의 RSN IE에 OWE AKM을 표시하고 DH(Diffie Helman) 매개변수 요소를 포함해야 합니다.
연결 응답 후 4방향 핸드셰이크와 클라이언트가 연결된 상태로 이동하는 것을 볼 수 있습니다.
여기서 WLC GUI의 클라이언트 세부사항을 볼 수 있습니다.
넷기어 A8000
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
픽셀 6a
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
삼성 S23
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
이 문서에서 사용할 수 있는 OWE 전환 모드의 자세한 컨피그레이션 및 문제 해결: 전환 모드로 Enhanced Open SSID 구성 - OWE.
WLAN 보안 구성:
참고: 6GHz 무선 정책에서는 Hunting 및 Pecking이 허용되지 않습니다. 6GHz 전용 WLAN을 구성하는 경우 H2E SAE Password Element(H2E SAE 비밀번호 요소)를 선택해야 합니다.
WLAN Security(WLAN 보안) 설정의 WLC GUI에서 보기:
비콘 OTA 확인:
여기서는 Wi-Fi 6E 클라이언트가 다음과 연결된 것을 관찰할 수 있습니다.
인텔 AX211
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
넷기어 A8000
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
픽셀 6a
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
삼성 S23
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
WLAN 보안 구성:
주의: Authentication Key Management(인증 키 관리)에서 WLC는 SAE를 활성화하지 않은 채 FT+SAE를 선택할 수 있지만 클라이언트가 연결할 수 없는 것으로 관찰되었습니다. 빠른 전환과 함께 SAE를 사용하려는 경우 항상 SAE 및 FT+SAE 확인란을 모두 활성화합니다.
WLAN Security(WLAN 보안) 설정의 WLC GUI에서 보기:
비콘 OTA 확인:
여기서는 Wi-Fi 6E 클라이언트가 다음과 연결된 것을 관찰할 수 있습니다.
인텔 AX211
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
PMKID를 볼 수 있는 로밍 이벤트:
WLC의 클라이언트 세부사항:
넷기어 A8000
클라이언트의 RSN 정보에 초점을 맞추어 OTA를 연결합니다. 초기 연결:
WLC의 클라이언트 세부사항:
픽셀 6a
FT가 사용하도록 설정된 경우 디바이스에서 로밍할 수 없습니다.
삼성 S23
FT가 사용하도록 설정된 경우 디바이스에서 로밍할 수 없습니다.
WLAN 보안 구성:
WLAN Security(WLAN 보안) 설정의 WLC GUI에서 보기:
여기서는 각 디바이스에서 오는 인증을 보여주는 ISE 라이브 로그를 확인할 수 있습니다.
Beacon OTA는 다음과 같습니다.
여기서는 Wi-Fi 6E 클라이언트가 다음과 연결된 것을 관찰할 수 있습니다.
인텔 AX211
로밍 이벤트에 대한 클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLAN에서(예: WLC GUI에서) 클라이언트를 수동으로 삭제하면 흥미로운 동작이 발생합니다. 클라이언트는 연결 해제 프레임을 수신하지만 동일한 AP에 다시 연결하려고 시도하며 재연결 프레임을 사용하고 클라이언트 세부사항이 AP/WLC에서 삭제되었기 때문에 완전한 EAP 교환이 이루어집니다.
이는 기본적으로 새로운 Association(연결) 프로세스와 동일한 프레임 교환입니다. 여기에서 프레임 교환을 볼 수 있습니다.
WLC의 클라이언트 세부사항:
이 클라이언트는 DS를 통해 FT를 사용하여 테스트되었으며 802.11r을 사용하여 로밍할 수 있었습니다.
FT 로밍 이벤트도 볼 수 있습니다.
그리고 wlc의 클라이언트 ra 추적:
넷기어 A8000
이 클라이언트에서는 WPA3-Enterprise가 지원되지 않습니다.
픽셀 6a
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
roam type 802.11R을 확인할 수 있는 Over the Air에 roam 유형을 집중 조명합니다.
삼성 S23
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
WLC의 클라이언트 세부사항:
roam type 802.11R을 확인할 수 있는 Over the Air에 roam 유형을 집중 조명합니다.
이 클라이언트는 DS를 통해 FT를 사용하여 테스트되었으며 802.11r을 사용하여 로밍할 수 있었습니다.
WLAN 보안 구성:
참고: FT는 SUITEB-1X에서 지원되지 않습니다.
WLAN Security(WLAN 보안) 설정의 WLC GUI에서 보기:
비콘 OTA 확인:
테스트한 클라이언트 중 SuiteB-1X를 사용하여 WLAN에 연결할 수 있는 클라이언트가 없었으므로 이 보안 방법을 지원하는 클라이언트가 없었습니다.
WLAN 보안 구성:
참고: FT는 GCMP256+SUITEB192-1X에서 지원되지 않습니다.
WLC GUI WLAN 목록의 WLAN:
비콘 OTA 확인:
여기서는 Wi-Fi 6E 클라이언트가 다음과 연결된 것을 관찰할 수 있습니다.
인텔 AX211
클라이언트의 RSN 정보에 중점을 둔 연결 OTA:
EAP-TLS 교환:
WLC의 클라이언트 세부사항:
넷기어 A8000
이 클라이언트에서는 WPA3-Enterprise가 지원되지 않습니다.
픽셀 6a
이 문서를 작성한 날짜에는 이 클라이언트가 EAP-TLS를 사용하여 WPA3 Enterprise에 연결할 수 없습니다.
이 문제는 현재 작업 중인 고객 측 문제였으며, 해결되는 대로 이 문서를 업데이트해야 합니다.
삼성 S23
이 문서를 작성한 날짜에는 이 클라이언트가 EAP-TLS를 사용하여 WPA3 Enterprise에 연결할 수 없습니다.
이 문제는 현재 작업 중인 고객 측 문제였으며, 해결되는 대로 이 문서를 업데이트해야 합니다.
이전의 모든 테스트 결과, 다음과 같은 결론이 도출되었습니다.
프로토콜 |
암호화 |
AKM |
AKM 암호 |
EAP 방법 |
FT-오버타 |
FT-OverDS |
인텔 AX211 |
삼성/구글 안드로이드 |
넷기어 A8000 |
빌린 돈 |
AES-CCMP128 |
빌린 돈 |
나. |
나. |
해당 없음 |
해당 없음 |
지원됨 |
지원됨 |
지원됨 |
새우 |
AES-CCMP128 |
SAE(H2E만 해당) |
SHA256 |
나. |
지원됨 |
지원됨 |
지원됨: H2E 전용 및 FT-oTA |
지원됨: H2E 전용. |
지원되는 항목: |
엔터프라이즈 |
AES-CCMP128 |
802.1x-SHA256 |
SHA256 |
PEAP/FAST/TLS |
지원됨 |
지원됨 |
지원됨: SHA256 및 FT-oTA/oDS |
지원됨: SHA256 및 FT-oTA, FT-oDS(S23) |
지원됨: SHA256 및 FT-oTA |
엔터프라이즈 |
GCMP128 |
제품군B-1x |
SHA256-SuiteB |
PEAP/FAST/TLS |
지원되지 않음 |
지원되지 않음 |
지원되지 않음 |
지원되지 않음 |
지원되지 않음 |
엔터프라이즈 |
GCMP256 |
스위트B-192 |
SHA384-SuiteB |
TLS |
지원되지 않음 |
지원되지 않음 |
해당 없음/미정 |
해당 없음/미정 |
지원되지 않음 |
이 문서에서 사용된 문제 해결은 온라인 문서를 기반으로 합니다.
트러블슈팅에 대한 일반적인 지침은 클라이언트가 임의 MAC 주소가 아닌 장치 MAC을 사용하여 연결하는지 확인하기 위해 클라이언트 MAC 주소를 사용하여 WLC에서 디버그 모드에서 RA 추적을 수집하는 것입니다.
무선 문제 해결의 경우 클라이언트 서비스 AP의 채널에서 트래픽을 캡처하는 스니퍼 모드에서 AP를 사용하는 것이 좋습니다.
참고: debug 명령을 사용하기 전에 Debug 명령에 대한 중요 정보를 참조하십시오.
Cisco Live - Catalyst Wi-Fi 6E 액세스 포인트를 사용한 차세대 무선 네트워크 아키텍처
Cisco Catalyst 9800 Series Wireless Controller 소프트웨어 컨피그레이션 가이드 17.9.x
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
08-Aug-2023 |
최초 릴리스 |