تكوين SSID المفتوح المحسن مع وضع الانتقال - OWE

المقدمة

يصف هذا وثيقة كيف أن يشكل واستكشاف أخطاء محسن فتح مع انتقال أسلوب على مادة حفازة 9800 لاسلكي lan جهاز تحكم (9800 WLC).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• وحدات التحكم في شبكة LAN اللاسلكية (WLC) 9800 من Cisco.
• نقاط الوصول (APs) من Cisco التي تدعم Wi-Fi 6E. 
• معيار IEEE 802. 11ax.
• Wireshark.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• WLC 9800-CL مع IOS® XE 17.9.3.
• APs C9130 و C9136 و CW9162 و CW9164 و CW9166.
• عملاء Wi-Fi 6: 
  • IPhone SE3rd gen على IOS 16
  • ماك بوك في Mac OS 12.
• عملاء Wi-Fi 6e:
  • Lenovo X1 Carbon Gen11 مع محول AX211 Wi-Fi 6 و 6E من Intel مع برنامج تشغيل إصدار 22.200.2(1).
  • مهايئ NetGear A8000 Wi-Fi 6 و 6E مع برنامج تشغيل v1(0.0.108)؛
  • Mobile Pixel 6a مع نظام التشغيل Android 13؛
  • الهاتف المحمول Samsung S23 مع نظام التشغيل Android 13.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

Enhanced Open (الفتح المحسن) هو شهادة مقدمة من تحالف WiFi كجزء من معيار الأمان اللاسلكي WPA3. وهو يستخدم التشفير اللاسلكي الانتهازي (OWE) على الشبكات المفتوحة (غير المصدق عليها) لمنع التطفل السلبي ومنع الهجمات البسيطة مقارنة بشبكة PSK اللاسلكية العامة. 

باستخدام Enhanced Open، يقوم العملاء و WLC (في حالة المصادقة المركزية) أو نقطة الوصول (في حالة المصادقة المحلية ل FlexConnect) بإجراء تبادل مفاتيح Diffie-Hellman أثناء عملية الاقتران واستخدام سر المفتاح الرئيسي (PMK) الخاص بالحركة مع المصافحة رباعية الإتجاه. 

تستدانن

التشفير اللاسلكي الانتهازي (OWE) هو امتداد لمعيار IEEE 802. 11 الذي يوفر تشفير الوسيط اللاسلكي (IETF RFC 8110). إن الغرض من المصادقة المستندة إلى OWE هو تجنب فتح اتصال لاسلكي غير آمن بين نقاط الوصول والعملاء. يستخدم OWE تشفير قائم على خوارزميات Diffie-Hellman لإعداد التشفير اللاسلكي. من خلال OWE، يقوم العميل ونقطة الوصول بتبادل مفاتيح Diffie-Hellman أثناء إجراء الوصول واستخدام المفتاح الرئيسي للحكمة (PMK) الناتج عن ذلك مع المصافحة الرباعية الإتجاه. يؤدي إستخدام OWE إلى تحسين أمان الشبكة اللاسلكية لعمليات النشر التي يتم فيها نشر الشبكات المفتوحة أو المشتركة المستندة إلى PSK.

تبادل إطارات الديون

الوضع الانتقالي

وعادة ما يكون لشبكات المؤسسات معرف SSID ضيف واحد غير مشفر وهي تفضل أن يكون لها كلا العملاء الأقدم الذين لا يدعمون العملاء المحددين المفتوحين والجدد مع عميل محسن مفتوح إلى الوجود. تم إدخال "وضع الانتقال" بشكل خاص للوفاء بهذا السيناريو.

وهذا يتطلب تكوين إثنين من SSID - أحدهما SSID مخفي لدعم OWE والآخر SSID مفتوح ويتم بثه.

يتيح وضع الانتقال للتشفير اللاسلكي الانتهازي (OWE) إمكانية توصيل محركات أقراص STA المدينة وغير المدينة بنفس SSID في نفس الوقت. عندما ترى جميع أنظمة STA المدينة SSID في وضع انتقال الديون، فإنها تتصل مع OWE.

كلا من شبكة WLAN المفتوحة وشبكة WLAN الخاصة بإرسال إشارات الإرسال. تتضمن إطارات الاستجابة باستخدام المنارة والمسبار من شبكة WLAN الخاصة ب OWE محول Wi-Fi IE لتضمين BSSID و SSID لشبكة WLAN المفتوحة، وبالمثل، تتضمن شبكة WLAN المفتوحة أيضا لشبكة WLAN المدينة.

يجب على STA OWE عرض SSID الخاص بنقطة الوصول Open BSS الخاصة بنقطة الوصول Owe Ap العاملة في وضع انتقال Owe، للمستخدم في قائمة الشبكات المتاحة فقط، كما يجب عليها منع عرض BSS SSID BSS الخاصة بنقطة الوصول AP OWE.

الإرشادات والقيود:

• يتطلب الفتح المحسن نهج WPA3 فقط. لا يساند WPA3 في cisco موجة 1 (cisco ios ®-based) APs.
• يجب تعيين إطار الإدارة المحمية (PMF) إلى "مطلوب". يتم ضبط هذا بشكل افتراضي مع تأمين WPA3 فقط الطبقة 2.
• يعمل Enhanced Open فقط على العملاء النهائيين الذين يقومون بتشغيل الإصدارات الأحدث التي تدعم Enhanced Open.

التكوين

حالة إستخدام نموذجي حيث يريد المسؤول تكوين Enhanced Open ولكن مع ذلك يسمح للعملاء الأقدم بالتوصيل ب SSID الضيف.

الرسم التخطيطي للشبكة

طوبولوجيا الشبكة

خطوات التكوين لواجهة المستخدم الرسومية:

قم بإنشاء SSID الأول، ويطلق عليه هنا "OWE_TRANSITION". في هذا المثال، معرف WLAN 3، وتأكد من إخفائه مع تعطيل خيار "بث SSID":

الخطوة 1 أختر تكوين > علامات تمييز وتوصيفات > شبكات WLAN لفتح صفحة شبكات WLAN.

الخطوة 2 انقر فوق إضافة لإضافة شبكة WLAN جديدة > إضافة اسم شبكة WLAN "OWE_Transition" > تغيير الحالة إلى Enable > التأكد من تعطيل Broadcast SSID.

Owe Transfer Enhanced Open SSID Hidden

الخطوة 3 أختر التأمين > طبقة 2 علامة تبويب > تحديد WPA3.

الخطوة 4 قم بتعيين إطار الإدارة المحمية (PMF) إلى المطلوب.

الخطوة 5 تحت معلمات WPA > التحقق من سياسة WPA3. حدد تشفير AES(CCMP128) وإدارة مفتاح المصادقة المدينة.

الخطوة 6 أضف معرف WLAN 4 (فتح WLAN) إلى مربع معرف WLAN لوضع الانتقال".

الخطوة 7 انقر فوق تطبيق على الجهاز.

وضع انتقال OWE - SSID OWE

قم بإنشاء SSID ثان، واسمه "مفتوح" في هذا المثال على معرف WLAN رقم 4، وتأكد من تمكين "Broadcast SSID":

الخطوة 1 أختر تكوين > علامات تمييز وتوصيفات > شبكات WLAN لفتح صفحة شبكات WLAN.

الخطوة 2 انقر فوق إضافة لإضافة شبكة WLAN جديدة > إضافة اسم شبكة WLAN "فتح" > تغيير الحالة إلى تمكين>التأكد من تمكين بث SSID.

SSID مفتوح لنقل OWE

الخطوة 3 أختر التأمين > طبقة 2 جدولة > أختر لا شيء.

الخطوة 4 أضف معرف WLAN رقم 4 (OWE_TRANSITION) إلى مربع معرف WLAN لوضع الانتقال".

الخطوة 5 انقر فوق تطبيق على الجهاز.

أمان WLAN المفتوح لوضع انتقال OWE

توضح لقطة الشاشة هذه النتيجة النهائية: تم تأمين شبكة WLAN واحدة وتكوينها ل WPA3+OWE+WPA3 باسم "OWE_TRANSITION"، بينما تم تكوين شبكة SSID مفتوحة بالكامل باسم "مفتوحة". يتم بث SSID المفتوح بالكامل والمدعو "مفتوح" فقط في المنارات بينما يتم إخفاء OWE_TRANSITION.

شبكات WLAN الخاصة بوضع انتقال OWE

الخطوة 6 قم بتعيين شبكات WLAN التي تم إنشاؤها إلى ملفات تعريف النهج المطلوبة في علامة النهج وتطبيقها على نقاط الوصول.

علامة النهج

التكوين ل CLI:

SSID المفتوح المحسن:

Device# conf t
Device(config)# wlan OWE_Transition 3 OWE_Transition
Device(config)# no broadcast-ssid
Device(config)# no security ft adaptive
Device(config)# no security wpa wpa2
Device(config)# no security wpa akm dot1x
Device(config)# security wpa akm owe
Device(config)# security wpa transition-mode-wlan-id 4
Device(config)# security wpa wpa3
Device(config)# security pmf mandatory
Device(config)# no shutdown

فتح SSID:

Device# conf t
Device(config)# wlan open 4 open
Device(config)# no security ft adaptive
Device(config)# no security wpa
Device(config)# no security wpa wpa2
Device(config)# no security wpa wpa2 ciphers aes
Device(config)# no security wpa akm dot1x
Device(config)# security wpa transition-mode-wlan-id 3
Device(config)# no shutdown

ملف تعريف النهج:

Device(config)# wireless tag policy Wifi6E_TestPolicy
Device(config-policy-tag)# wlan open policy CentralSwPolicyProfile
Device(config-policy-tag)# wlan OWE_Transition policy CentralSwPolicyProfile

التحقق من الصحة

هذا هو قسم التحقق.

تحقق من تكوين شبكات WLAN على CLI:

Device#show wlan id 3
WLAN Profile Name : OWE_Transition
================================================
Identifier : 3
Description : 
Network Name (SSID) : OWE_Transition
Status : Enabled
Broadcast SSID : Disabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : Disabled
WPA2 (RSN IE) : Disabled
WPA3 (WPA3 IE) : Enabled
AES Cipher : Enabled
CCMP256 Cipher : Disabled
GCMP128 Cipher : Disabled
GCMP256 Cipher : Disabled
Auth Key Management
802.1x : Disabled
PSK : Disabled
CCKM : Disabled
FT dot1x : Disabled
FT PSK : Disabled
FT SAE : Disabled
Dot1x-SHA256 : Disabled
PSK-SHA256 : Disabled
SAE : Disabled
OWE : Enabled
SUITEB-1X : Disabled
SUITEB192-1X : Disabled
SAE PWE Method : Hash to Element, Hunting and Pecking(H2E-HNP)
Transition Disable : Disabled
CCKM TSF Tolerance (msecs) : 1000
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 4
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Required
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]
#show wlan id 4
WLAN Profile Name : open
================================================
Identifier : 4
Description : 
Network Name (SSID) : open
Status : Enabled
Broadcast SSID : Enabled
[...]
Security
802.11 Authentication : Open System
Static WEP Keys : Disabled
Wi-Fi Protected Access (WPA/WPA2/WPA3) : Disabled
OWE Transition Mode : Enabled
OWE Transition Mode WLAN ID : 3
OSEN : Disabled
FT Support : Disabled
FT Reassociation Timeout (secs) : 20
FT Over-The-DS mode : Disabled
PMF Support : Disabled
PMF Association Comeback Timeout (secs): 1
PMF SA Query Time (msecs) : 200
[...]

في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكنك الانتقال إلى تكوين نقطة الوصول والتحقق من أن كلا شبكتي WLAN نشطة على نقطة الوصول:

عارض التكوين التشغيلي لنقطة الوصول في وضع الانتقال AP

في حالة التمكين، تكون نقطة الوصول مزودة فقط بمعرف SSID مفتوح لكنها تحمل عنصر معلومات وضع انتقال OWE (IE). عندما يتصل عميل قادر على إجراء اتصال مفتوح محسن ب SSID هذا، فإنه يستخدم OWE تلقائيا لتشفير اقتران مادة نشر حركة المرور.

هذا ما يمكنك ملاحظته على الهواء (OTA):

إطار SSID مفتوح لتحويل OWE

يحتوي المنارة المرسلة مع SSID "open" على وضع انتقال OWE IE مع تفاصيل SSID المفتوحة المحسنة بالداخل، مثل اسم BSSID و SSID "OWE_TRANSITION".

كما أن هناك إشارات OTA مع وجود SSID مخفي وإذا تم تصفيتها بواسطة BSSID، يتم إرسال الإطارات إلى BSSID 00:df:1d:dd:7d:3e وهو BSSID داخل وضع انتقال OWE IE:

منارة OWE

كما يمكنك ملاحظة أن منارة OWE المخفية تحتوي أيضا على وضع انتقال OWE IE مع اسم BSSID المفتوح واسم SSID "open".

تظهر لقطات الشاشة هذه هاتف Android يدعم Enhanced Open: يعرض فقط SSID المفتوح بدون رمز قفل (تجعل أيقونة القفل المستخدم يعتقد أنه يتطلب كلمة مرور للاتصال)، ولكن بمجرد التوصيل يظهر التأمين تأمين Enhanced Open.

عميل SSID ListOwe مع دعم Enhanced Open

فوق الهواء، يمكننا أن نرى تسلسل الاتصال الكامل:

الاتصال الكامل لعملية انتقال OWE

بعد الاستماع إلى أجهزة التوجيه، يتحقق العميل من SSID OWE وتجيب نقطة الوصول.

ويحدث بعد ذلك تبادل إطار OWE العادي: طلب المصادقة والاستجابة، طلب الاقتران والرد الذي يحتوي على DH IE، ثم مصافحة EAPOL الرباعية الإتجاه. 

على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يمكنك التحقق من اتصال العميل. يمكن للعميل الذي يدعم OWE الاتصال بشبكة WLAN المفتوحة المحسنة في هذا المثال هو معرف WLAN رقم 3:

Device#show wireless client mac-address 286b.3598.580f detail

Client MAC Address : 286b.3598.580f
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 3
WLAN Profile Name: OWE_Transition
Wireless LAN Network Name (SSID): OWE_Transition
BSSID : 00df.1ddd.7d3e
Connected For : 682 seconds 
Protocol : 802.11ax - 5 GHz
Channel : 64
Client IIF-ID : 0xa0000003
Association Id : 2
Authentication Algorithm : Open System
Idle state timeout : N/A
[...]
Policy Type : WPA3
Encryption Cipher : CCMP (AES)
Authentication Key Management : OWE
Transition Disable Bitmap : None
User Defined (Private) Network : Disabled
User Defined (Private) Network Drop Unicast : Disabled
Encrypted Traffic Analytics : No
Protected Management Frame - 802.11w : Yes
EAP Type : Not Applicable

ويمكننا ملاحظة نفس الشيء في واجهة المستخدم الرسومية (GUI) الخاصة بلجنة الاتصال اللاسلكية (WLC):

وبالنسبة للعملاء الذين لا يؤيدون تقنية Enhanced Open (الفتح المحسن)، فإنهم لا يرون سوى معرف SSID المفتوح ويتصلون به دون تشفير.

كما هو موضح هنا، هذه هي العملاء الذين لا يدعمون Enhanced Open (على التوالي iPhone على برنامج IOS 15 و MacBook على نظام التشغيل Mac OS 12) ولا يرون إلا Open Guest SSID ولا يستخدمون التشفير.

جهاز لا يدعم OWEFegure 4: لا يدعم MacBook الموجود على Mac OS 12 الفتح المحسن

فيما يلي مثال آخر لمهايئ USB لاسلكي لا يدعم OWE:

العميل الذي لا يدعم Enhanced Open

لا يعتمد العميل OWE ويمكنه الاتصال بشبكة WLAN المفتوحة في هذا المثال هو معرف WLAN رقم 4:

#show wireless client mac-address b44b.d623.a199 detail

Client MAC Address : b44b.d623.a199
[...]
AP Name: AP9136_5C.F524
AP slot : 1
Client State : Associated
Policy Profile : CentralSwPolicyProfile
Flex Profile : N/A
Wireless LAN Id: 4
WLAN Profile Name: open
Wireless LAN Network Name (SSID): open
BSSID : 00df.1ddd.7d3f
[...]
Authentication Algorithm : Open System
[...]
Protected Management Frame - 802.11w : No
EAP Type : Not Applicable

استكشاف الأخطاء وإصلاحها

1. تأكد من أن العميل يدعم OWE، حيث لا يدعمه جميع العملاء. تحقق من وثائق مورد العميل، على سبيل المثال، قامت Apple بتوثيق الدعم لأجهزتهم هنا.
   
2. قد لا يقبل بعض العملاء الأقدم حتى إخطارات SSID المفتوحة بسبب وجود وضع انتقال OWE IE ولا يقدمون SSID في الشبكات الموجودة في النطاق. إذا لم يتمكن العميل من رؤية SSID المفتوح، فقم بإزالة شبكة VLAN الانتقالية (المعينة على 0) من تكوين شبكة WLAN وتحقق مما إذا كان يرى شبكة WLAN آنذاك.
3. إذا رأى العملاء معرف SSID المفتوح، فإن الدعم واجب، ولكنهم مازالوا متصلين بدون WPA3، فتحقق مما إذا كان معرف VLAN الانتقالي صحيحا ويتم بثه في منارات كل من شبكات WLAN. أنت يستطيع استعملت ap في sniffer أسلوب أن على قبض OTA حركة مرور. رجاء طبقت هذا steps أن يشكل ap في sniffer أسلوب: APs مادة حفازة 91xx في أسلوب sniffer .
   • يتم إرسال المنارة مع SSID "Open" التي تحتوي على وضع انتقال OWE IE مع تفاصيل SSID المفتوحة المحسنة بالداخل، مثل BSSID واسم SSID "OWE_Transition":OWE Transfer Open SSID

   • كما أن هناك إشارات OTA مع وجود SSID مخفي وإذا تم تصفيتها بواسطة BSSID، يتم إرسال الإطارات إلى BSSID 00:df:1d:dd:7d:3e وهو BSSID داخل وضع انتقال OWE IE:

     منارة OWE

     كما يمكنك ملاحظة أن منارة OWE المخفية تحتوي أيضا على وضع انتقال OWE IE مع اسم BSSID المفتوح واسم SSID "open".

   • يمكنك كذلك الاطلاع على معلومات AKM والتحقق من الإعلان عن MFP كما هو مطلوب وقادر:
   • OWE Beacon AKM
4. تجمع عمليات تتبع RadioActive استنادا إلى عنوان MAC للعميل وتشاهد سجلات مماثلة كما يلي:

2023/06/23 15:08:58.567933 {wncd_x_R0-0}{1}: [client-keymgmt] [14854]: (note): MAC: xxxx.xxxx.xxxx EAP Key management successful. AKM:OWE Cipher:CCMP WPA Version: WPA3

2023/06/23 15:10:06.971651 {wncd_x_R0-0}{1}: [client-orch-state] [14854]: (note): MAC: xxxx.xxxx.xxxx Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN

المراجع

ما هو Wi-Fi 6E؟

ما هو Wi-Fi 6 مقابل Wi-Fi 6e؟

نظرة سريعة على Wi-Fi 6e

Wi-Fi 6e: الفصل الرائع التالي في تقرير Wi-Fi الأبيض

دليل تكوين برنامج Cisco Catalyst 9800 Series Wireless Controller Software، الإصدار 17.9.x

دليل نشر WPA3