Wi-Fi Protected Access 3...コマンドまたはアクション 目的...
Transcript of Wi-Fi Protected Access 3...コマンドまたはアクション 目的...
Wi-Fi Protected Access 3
• Simultaneous Authentication of Equals(1ページ)• Opportunistic Wireless Encryption(2ページ)• WPA3 SAEの設定(2ページ)• SAEの設定(WPA3+WPA2混合モード)(4ページ)• WPA3 Enterpriseの設定(5ページ)• WPA3 OWEの設定(6ページ)• WPA3 OWE移行モードの設定(8ページ)•クロッギング対策および SAE再送信の設定(10ページ)• WPA3 SAEおよび OWEの確認(11ページ)
Simultaneous Authentication of EqualsWPA3は、Wi-Fi Protected Access(WPA)の最新バージョンです。これは、Wi-Fiネットワークの認証と暗号化を提供するプロトコルとテクノロジーのスイートです。
WPA3は、Simultaneous Authentication of Equals(SAE)を活用することで、第三者によるパスワード推測の試みに対抗するためのユーザの保護を強化します。SAEでは離散対数の暗号方式が利用され、オフライン辞書攻撃への耐性が高いと考えられるパスワードを使用して相互認証
を実行するという形で、効率的な交換を実行します。オフライン辞書攻撃では、攻撃者は、そ
れ以上ネットワークのやり取りを行わずにパスワードの候補を試すことで、ネットワークパス
ワードの判別を試みます。
WPA3-Personalは、パスワードベースの堅牢な認証を提供することによって個人ユーザに対する保護を強化します。これにより、ブルートフォース辞書攻撃がはるかに困難になり、時間が
かかるようになります。一方、WPA3-Enterpriseは、機密データネットワークを対象とした、より優秀なセキュリティプロトコルを提供します。
クライアントがアクセスポイントに接続すると、両者は SAE交換を実行します。交換が成功すると、それぞれが強度に暗号化されたキーを作成し、そこからセッションキーが導出されま
す。基本的には、クライアントとアクセスポイントはコミットのフェーズに入り、その後確認
を行います。コミットメントが行われると、以後クライアントとアクセスポイントは、生成を
必要とするセッションキーが生じるたびに確認状態に移行できます。この方法では転送秘密が
Wi-Fi Protected Access 31
使用されます。この場合、侵入者は1つのキーを解読できる可能性がありますが、他のキーをすべて解読できるとは限りません。
Opportunistic Wireless EncryptionOpportunistic Wireless Encryption(OWE)は、ワイヤレスメディアの暗号化を提供する IEEE802.11の拡張です。OWEベース認証の目的は、APとクライアントの間で、保護されていないオープンなワイヤレス接続を回避することです。OWEは、Diffie-Hellmanアルゴリズムをベースとする暗号化を使用してワイヤレス暗号化を設定します。OWEでは、クライアントと APがアクセス手順中にDiffie-Hellmanキーの交換を実行し、その結果として作成された一対のシークレットを 4ウェイハンドシェイクで使用します。OWEを使用することで、オープンまたは共有の PSKベースネットワークが導入されている導入環境において、ワイヤレスネットワークのセキュリティが強化されます。
WPA3 SAEの設定WPA3 SAEを設定するには、次の手順を実行します。
始める前に
PMFを内部的に設定します。関連付けられた暗号設定では、WPA2暗号化を使用できます。
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan WPA3 1 WPA3
dot1xに対するセキュリティのAKMをディセーブルにします。
no security wpa akm dot1x
例:
ステップ 3
Device(config-wlan)# no security wpaakm dot1x
WLANのデータソース経由の高速移行を無効にします。
no security ft over-the-ds
例:
ステップ 4
Device(config-wlan)# no security ftover-the-ds
Wi-Fi Protected Access 32
Wi-Fi Protected Access 3Opportunistic Wireless Encryption
目的コマンドまたはアクション
WLANの 802.11r高速移行を無効にします。
no security ft
例:
ステップ 5
Device(config-wlan)# no security ft
WPA2セキュリティを無効にします。これで PMFは無効になります。
no security wpa wpa2
例:
ステップ 6
Device(config-wlan)# no security wpawpa2
WPA2暗号化を設定します。security wpa wpa2 ciphers aes
例:
ステップ 7
no security wpa wpa2 ciphersaesコマンドを使用して、暗号が設定されているかどうか
を確認できます。暗号がリ
セットされない場合は、暗号
を設定します。
(注)
Device(config-wlan)# security wpa wpa2ciphers aes
事前共有キーを指定します。security wpa psk set-key ascii valuepreshared-key
ステップ 8
例:
Device(config-wlan)# security wpa pskset-key ascii 0 Cisco123
WPA3のサポートを有効にします。security wpa wpa3
例:
ステップ 9
WPA2とWPA3の両方がサポートされている場合(SAEとPSKの組み合わせ)、PMFの設定は任意です。ただし、
PMFを無効にすることはできません。WPA3の場合、PMFは必須です。
(注)
Device(config-wlan)# security wpa wpa3
AKMSAEのサポートを有効にします。security wpa akm sae
例:
ステップ 10
Device(config-wlan)# security wpa akmsae
WLANをイネーブルにします。no shutdown
例:
ステップ 11
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 12
Wi-Fi Protected Access 33
Wi-Fi Protected Access 3
WPA3 SAEの設定
目的コマンドまたはアクション
Device(config-wlan)# end
SAEの設定(WPA3+WPA2混合モード)SAE用にWPA3+WPA2混合モードを設定するには、次の手順を実行します。
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan WPA3 1 WPA3
dot1xに対するセキュリティのAKMをディセーブルにします。
no security wpa akm dot1x
例:
ステップ 3
Device(config-wlan)# no security wpaakm dot1x
WLANのデータソース経由の高速移行を無効にします。
no security ft over-the-ds
例:
ステップ 4
Device(config-wlan)# no security ftover-the-ds
WLANの 802.11r高速移行を無効にします。
no security ft
例:
ステップ 5
Device(config-wlan)# no security ft
WPA2暗号化を設定します。security wpa wpa2 ciphers aes
例:
ステップ 6
no security wpa wpa2 ciphersaesコマンドを使用して、暗号が設定されているかどうか
を確認できます。暗号がリ
セットされない場合は、暗号
を設定します。
(注)
Device(config-wlan)# security wpa wpa2ciphers aes
事前共有キーを指定します。security wpa psk set-key ascii valuepreshared-key
ステップ 7
例:
Wi-Fi Protected Access 34
Wi-Fi Protected Access 3
SAEの設定(WPA3+WPA2混合モード)
目的コマンドまたはアクション
Device(config-wlan)# security wpa pskset-key ascii 0 Cisco123
WPA3のサポートを有効にします。security wpa wpa3
例:
ステップ 8
WPA2とWPA3の両方がサポートされている場合(SAEとPSKの組み合わせ)、PMFの設定は任意です。ただし、
PMFを無効にすることはできません。WPA3の場合、PMFは必須です。
(注)
Device(config-wlan)# security wpa wpa3
AKMSAEのサポートを有効にします。security wpa akm sae
例:
ステップ 9
Device(config-wlan)# security wpa akmsae
AKMPSKのサポートを有効にします。security wpa akm psk
例:
ステップ 10
Device(config-wlan)# security wpa akmpsk
WLANをイネーブルにします。no shutdown
例:
ステップ 11
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 12
Device(config-wlan)# end
WPA3 Enterpriseの設定WPA3 Enterpriseを設定するには、次の手順を実行します。
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
Wi-Fi Protected Access 35
Wi-Fi Protected Access 3
WPA3 Enterpriseの設定
目的コマンドまたはアクション
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan wl-dot1x 4wl-dot1x
dot1xに対するセキュリティの AKMをディセーブルにします。
no security wpa akm dot1x
例:
ステップ 3
Device(config-wlan)# no security wpaakm dot1x
WPA2セキュリティを無効にします。no security wpa wpa2
例:
ステップ 4
Device(config-wlan)# no security wpawpa2
802.1xのサポートを設定します。security wpa akm dot1x-sha256
例:
ステップ 5
Device(config-wlan)# security wpa akmdot1x-sha256
WPA3のサポートを有効にします。security wpa wpa3
例:
ステップ 6
Device(config-wlan)# security wpa wpa3
dot1xセキュリティ用のセキュリティ認証リストを設定します。
security dot1x authentication-list list-name
例:
ステップ 7
Device(config-wlan)# security dot1xauthentication-list ipv6_ircm_aaa_list
WLANをイネーブルにします。no shutdown
例:
ステップ 8
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 9
Device(config-wlan)# end
WPA3 OWEの設定WPA3 OWEを設定するには、次の手順を実行します。
Wi-Fi Protected Access 36
Wi-Fi Protected Access 3
WPA3 OWEの設定
始める前に
PMFを内部的に設定します。関連付けられた暗号設定では、WPA2暗号化を使用できます。
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan WPA3 1 WPA3
WLANのデータソース経由の高速移行を無効にします。
no security ft over-the-ds
例:
ステップ 3
Device(config-wlan)# no security ftover-the-ds
WLANの 802.11r高速移行を無効にします。
no security ft
例:
ステップ 4
Device(config-wlan)# no security ft
dot1xに対するセキュリティのAKMをディセーブルにします。
no security wpa akm dot1x
例:
ステップ 5
Device(config-wlan)# no security wpaakm dot1x
WPA2セキュリティを無効にします。これで PMFは無効になります。
no security wpa wpa2
例:
ステップ 6
Device(config-wlan)# no security wpawpa2
AESのWPA2暗号化を有効にします。security wpa wpa2 ciphers aes
例:
ステップ 7
WPA2とWPA3の暗号化は共通です。
(注)
Device(config-wlan)# security wpa wpa2ciphers aes
WPA3のサポートを有効にします。security wpa wpa3
例:
ステップ 8
Device(config-wlan)# security wpa wpa3
WPA3 OWEのサポートを有効にします。
security wpa akm owe
例:
ステップ 9
Device(config-wlan)# security wpa akmowe
Wi-Fi Protected Access 37
Wi-Fi Protected Access 3
WPA3 OWEの設定
目的コマンドまたはアクション
WLANをイネーブルにします。no shutdown
例:
ステップ 10
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 11
Device(config-wlan)# end
WPA3 OWE移行モードの設定WPA3 OWE移行ードを設定するには、次の手順を実行します。
オープンWLANと OWEWLAN間では、ポリシーの検証は行われません。オペレータが適切に設定することが想定されています。
(注)
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan WPA3 1 WPA3
dot1xに対するセキュリティのAKMをディセーブルにします。
no security wpa akm dot1x
例:
ステップ 3
Device(config-wlan)# no security wpaakm dot1x
WLANのデータソース経由の高速移行を無効にします。
no security ft over-the-ds
例:
ステップ 4
Device(config-wlan)# no security ftover-the-ds
WLANの 802.11r高速移行を無効にします。
no security ft
例:
ステップ 5
Device(config-wlan)# no security ft
Wi-Fi Protected Access 38
Wi-Fi Protected Access 3
WPA3 OWE移行モードの設定
目的コマンドまたはアクション
WPA2セキュリティを無効にします。これで PMFは無効になります。
no security wpa wpa2
例:
ステップ 6
Device(config-wlan)# no security wpawpa2
AESのWPA2暗号化を有効にします。security wpa wpa2 ciphers aes
例:
ステップ 7
Device(config-wlan)# security wpa wpa2ciphers aes
WPA3のサポートを有効にします。security wpa wpa3
例:
ステップ 8
Device(config-wlan)# security wpa wpa3
WPA3 OWEのサポートを有効にします。
security wpa akm owe
例:
ステップ 9
Device(config-wlan)# security wpa akmowe
オープンまたは OWEの移行モードのWLAN IDを設定します。
security wpa transition-mode-wlan-idwlan-id
例:
ステップ 10
移行モードのWLANでは、検証は行われません。オペ
レータが、OWEWLANにオープンWLAN IDを正しく設定し、逆についても正しく
設定することが想定されてい
ます。
OWEWLAN IDをオープンWLANで移行モードWLANとして設定する必要がありま
す。同様に、オープンWLANを OWEWLAN設定で移行モードWLANとして設定する必要があります。
(注)Device(config-wlan)# security wpatransition-mode-wlan-id 1
WLANをイネーブルにします。no shutdown
例:
ステップ 11
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 12
Device(config-wlan)# end
Wi-Fi Protected Access 39
Wi-Fi Protected Access 3
WPA3 OWE移行モードの設定
クロッギング対策および SAE再送信の設定クロッギング対策および SAEの再送信を設定するには、次の手順を実行します。
進行中の同時 SAEセッションが、設定されているクロッギング対策のしきい値を超えると、クロッギング対策メカニズムがトリガーされます。
(注)
始める前に
SAE WLANの設定が適切であることを確認します。下記に示すステップはその性質上、SAEWLANの設定に加えて増えます。
手順
目的コマンドまたはアクション
グローバルコンフィギュレーション
モードを開始します。
configure terminal
例:
ステップ 1
Device# configure terminal
WLANコンフィギュレーションサブモードを開始します。
wlan wlan-name wlan-id SSID-name
例:
ステップ 2
Device(config)# wlan WPA3 1 WPA3
WLANをディセーブルにします。shutdown
例:
ステップ 3
Device(config-wlan)# no shutdown
セキュリティプロトコルとして同時性同
時認証を有効にします。
security wpa akm sae
例:
ステップ 4
Device(config-wlan)# security wpa akmsae
新しいセッションのクロッギング対策の
手順をトリガーするオープンセッション
数のしきい値を設定します。
security wpa akm saeanti-clogging-threshold threshold
例:
ステップ 5
Device(config-wlan)# security wpa akmsae anti-clogging-threshold 2000
最大再送信回数を設定します。security wpa akm sae max-retriesretry-limit
ステップ 6
例:
Device(config-wlan)# security wpa akmsae max-retries 10
Wi-Fi Protected Access 310
Wi-Fi Protected Access 3
クロッギング対策および SAE再送信の設定
目的コマンドまたはアクション
SAEメッセージの再送信タイムアウト値を設定します。
security wpa akm sae retransmit-timeoutretransmit-timeout-limit
例:
ステップ 7
Device(config-wlan)# security wpa akmsae retransmit-timeout 500
WLANをイネーブルにします。no shutdown
例:
ステップ 8
Device(config-wlan)# no shutdown
特権 EXECモードに戻ります。end
例:
ステップ 9
Device(config-wlan)# end
WPA3 SAEおよび OWEの確認SAE認証の成功、SAE認証の失敗、SAEの進行中のセッション、SAEのコミット、およびメッセージ交換の確認を済ませたクライアントのシステムレベルの統計情報を表示するには、次の
showコマンドを使用します。Device# show wireless stats client detail
Total Number of Clients : 0
client global statistics:-----------------------------------------------------------------------------Total association requests received : 0Total association attempts : 0Total FT/LocalAuth requests : 0Total association failures : 0Total association response accepts : 0Total association response rejects : 0Total association response errors : 0Total association failures due to blacklist : 0Total association drops due to multicast mac : 0Total association drops due to throttling : 0Total association drops due to unknown bssid : 0Total association drops due to parse failure : 0Total association drops due to other reasons : 0Total association requests wired clients : 0Total association drops wired clients : 0Total association success wired clients : 0Total peer association requests wired clients : 0Total peer association drops wired clients : 0Total peer association success wired clients : 0Total 11r ft authentication requests received : 0Total 11r ft authentication response success : 0Total 11r ft authentication response failure : 0Total 11r ft action requests received : 0Total 11r ft action response success : 0Total 11r ft action response failure : 0Total AID allocation failures : 0
Wi-Fi Protected Access 311
Wi-Fi Protected Access 3
WPA3 SAEおよび OWEの確認
Total AID free failures : 0Total roam attempts : 0Total CCKM roam attempts : 0Total 11r roam attempts : 0Total 11i fast roam attempts : 0Total 11i slow roam attempts : 0Total other roam type attempts : 0
Total roam failures in dot11 : 0
Total WPA3 SAE attempts : 0Total WPA3 SAE successful authentications : 0Total WPA3 SAE authentication failures : 0Total incomplete protocol failures : 0
Total WPA3 SAE commit messages received : 0Total WPA3 SAE commit messages rejected : 0Total unsupported group rejections : 0
Total WPA3 SAE commit messages sent : 0Total WPA3 SAE confirm messages received : 0Total WPA3 SAE confirm messages rejected : 0Total WPA3 SAE confirm messgae field mismatch : 0Total WPA3 SAE confirm message invalid length : 0
Total WPA3 SAE confirm messages sent : 0Total WPA3 SAE Open Sessions : 0Total SAE Message drops due to throttling : 0
Total Flexconnect local-auth roam attempts : 0Total AP 11i fast roam attempts : 0Total 11i slow roam attempts : 0
Total client state starts : 0Total client state associated : 0Total client state l2auth success : 0Total client state l2auth failures : 0Total blacklisted clients on dot1xauth failure : 0Total client state mab attempts : 0Total client state mab failed : 0Total client state ip learn attempts : 0Total client state ip learn failed : 0Total client state l3 auth attempts : 0Total client state l3 auth failed : 0Total client state session push attempts : 0Total client state session push failed : 0Total client state run : 0Total client deleted : 0
WLANのサマリーの詳細を表示するには、次のコマンドを使用します。Device# show wlan summary
Number of WLANs: 3
ID Profile Name SSID Status Security
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------1 wlan-demo ssid-demo DOWN[WPA3][SAE][AES]
3 CR1_SSID_mab-ext-radius CR1_SSID_mab-ext-radius DOWN[WPA2][802.1x][AES]
109 guest-wlan1 docssid DOWN[WPA2][802.1x][AES],[Web Auth]
Wi-Fi Protected Access 312
Wi-Fi Protected Access 3
WPA3 SAEおよび OWEの確認
WLAN IDに基づいてWLANプロパティ(WPA2およびWPA3モード)を表示するには、次のコマンドを使用します。
Device# show wlan id 1
WLAN Profile Name : wlan-demo================================================Identifier : 1
!!!Security
802.11 Authentication : Open SystemStatic WEP Keys : DisabledWi-Fi Protected Access (WPA/WPA2/WPA3) : Enabled
WPA (SSN IE) : DisabledWPA2 (RSN IE) : DisabledWPA3 (WPA3 IE) : Enabled
AES Cipher : EnabledCCMP256 Cipher : DisabledGCMP128 Cipher : DisabledGCMP256 Cipher : Disabled
Auth Key Management802.1x : DisabledPSK : DisabledCCKM : DisabledFT dot1x : DisabledFT PSK : DisabledDot1x-SHA256 : DisabledPSK-SHA256 : DisabledSAE : EnabledOWE : DisabledSUITEB-1X : DisabledSUITEB192-1X : Disabled
CCKM TSF Tolerance : 1000OSEN : DisabledFT Support : Adaptive
FT Reassociation Timeout : 20FT Over-The-DS mode : Enabled
PMF Support : RequiredPMF Association Comeback Timeout : 1PMF SA Query Time : 200
Web Based Authentication : DisabledConditional Web Redirect : DisabledSplash-Page Web Redirect : DisabledWebauth On-mac-filter Failure : DisabledWebauth Authentication List Name : DisabledWebauth Authorization List Name : DisabledWebauth Parameter Map : Disabled
!!!
SAE認証を済ませたクライアントの正しい AKMを表示するには、次のコマンドを使用します。
Device# show wireless client mac-address <e0ca.94c9.6be0> detail
Client MAC Address : e0ca.94c9.6be0
Wi-Fi Protected Access 313
Wi-Fi Protected Access 3
WPA3 SAEおよび OWEの確認
!!!Wireless LAN Name: WPA3
!!!Policy Type : WPA3Encryption Cipher : CCMP (AES)Authentication Key Management : SAE!!!
OWE認証を済ませたクライアントの正しい AKMを表示するには、次のコマンドを使用します。
Device# show wireless client mac-address <e0ca.94c9.6be0> detail
Client MAC Address : e0ca.94c9.6be0!!!Wireless LAN Name: WPA3
!!!Policy Type : WPA3Encryption Cipher : CCMP (AES)Authentication Key Management : OWE!!!
ローカルに保存されたPMKキャッシュのリストを表示するには、次のコマンドを使用します。Device# show wireless pmk-cache
Number of PMK caches in total : 0
Type Station Entry Lifetime VLAN Override IP OverrideAudit-Session-Id Username--------------------------------------------------------------------------------------------------------------------------------------
Wi-Fi Protected Access 314
Wi-Fi Protected Access 3
WPA3 SAEおよび OWEの確認