Cisco ME 8.10

WPA3 en el controlador Cisco AireOS ME

Last updated on junio 6th, 2020 at 08:21 pm

En esta publicación voy a hablar de como configurar seguridad WPA3 en los controladores Cisco ME, incorporado recientemente con la versión AireOS 8.10.

Configuración

En mi configuración actual, cuento con un equipo Cisco AP3800 con código AireOS 8.5.161 y controlador Mobility Express, utilizo WPA2-Enterprise para conectarme a la WLAN, pero también existe otro SSID configurado con WPA2-Personal para dispositivos con suplicantes más básicos. Es por esto que me interesa probar las nuevas opciones disponibles con WPA3 y comprobar el soporte de cada uno de los dispositivos con los que trabajo habitualmente.

El primer paso es configurar el SSID en modo WPA3 transición, en el cual se configuran las suites WPA2-PSK y WPA3-SAE en modo mixto. Para habilitarlo, la configuración a través del GUI es bastante sencilla, y basta con activar el tipo de seguridad en Personal, lo cual activa WPA2 por defecto, y activar el deslizador correspondiente a WPA3.

Si, por el contrario, se quiere configurar el SSID a través de la consola, como es mi caso, los comandos serían los siguientes:

config wlan create 1 _Transit-SSID _Transit-SSID
## disable some auto-configured wpa parameters
config wlan security wpa akm 802.1x disable 1
config wlan security ft disable 1
!
config wlan security wpa wpa2 ciphers aes enable 1
config wlan security wpa akm psk enable 1
config wlan security wpa akm sae enable 1
config wlan security wpa akm psk set-key ascii 12345678 1
config wlan security wpa wpa2 enable 1
config wlan security wpa wpa3 enable 1
config wlan security pmf optional 1


Tras esto, las opciones de seguridad del nuevo SSID quedan de la siguiente forma:

El siguiente SSID a configurar es en modo WPA3-Personal nativo. En la modalidad de configuración del GUI, bastaría con desactivar WPA2 en la configuración de Seguridad del SSID y salvar. En el CLI, estos son los comandos:

config wlan create 1 _Transit-SSID _Transit-SSID
## disable some auto-configured wpa parameters
config wlan security wpa akm 802.1x disable 1
config wlan security ft disable 1
!
config wlan security wpa wpa2 ciphers aes enable 1
config wlan security wpa akm psk enable 1
config wlan security wpa akm sae enable 1
config wlan security wpa akm psk set-key ascii 12345678 1
config wlan security wpa wpa2 enable 1
config wlan security wpa wpa3 enable 1
config wlan security pmf optional 1

Cuando llegamos a la hora de configurar un SSID con seguridad WPA3-Enterprise, lo primero que nos damos cuenta es de que no es posible llevar a cabo dicha configuración en el interface GUI del controlador Cisco ME. Sin embargo, a través de la consola CLI tenemos todas las opciones disponibles para poder configurar dicho SSID. Estos serían los comandos necesarios:

config wlan create 3 _WPA3-E-SSID _WPA3-E-SSID
## disable some auto-configured wpa parameters
config wlan security wpa wpa2 disable 3
config wlan security wpa akm 802.1x disable 3
config wlan security ft disable 3
!
config wlan local-auth enable gbl_eap_profile 3
config wlan security wpa akm pmf 802.1x enable 3
config wlan security wpa wpa3 enable 3
config wlan security pmf required 3
config wlan enable 3
!

IMPORTANTE:

Una vez creado el nuevo SSID con seguridad WPA3-Enterprise, si se accede al GUI del controlador, la configuración de seguridad que se muestra es “Open”. Esto es debido a que Cisco no ha implementado el soporte para WPA3-Enteprise en dicho interface gráfico.

IMPORTANTE:

Cualquier modificación que se realice a través del GUI en cualquier parámetro de este SSID con seguridad WPA3-Enterprise (VLAN, Radios, QoS) provocará un resultado extraño en su comportamiento y configuración. Por un lado, la salida del comando “show wlan <id>” en el CLI nos dice que el perfil no tiene seguridad, que se trata de un SSID abierto. Si queremos solucionar su configuración sin borrarlo, al desactivarlo e intentar introducir de nuevo los comandos necesarios, el sistema nos dice que la WLAN ya tiene esos parámetros definidos y que no los puede aplicar de nuevo, lo cual es a la vez cierto y falso según lo que nos muestra. Si observamos el SSID en cuestión con cualquier dispositivo, también vemos que el SSID aparece como abierto, sin embargo, no es posible asociarse a este.

IMPORTANTE:

Cuando el adaptador utilizado en los equipos Windows 10 no soporta la suite de seguridad de un SSID, lo identifican como no válido y aparecen al final de la lista de redes disponibles:

Pruebas de Conexión

Para las pruebas se han utilizado los siguientes dispositivos:

  • Laptop con Windows 10 1909:
    • Un adaptador 802.11n con chipset Atheros AR9107
    • Un adaptador 802.11ac con chipset Realtek 8812au
    • Un adaptador 802.11ax con chipset Intel AX200
  • Dispositivo móvil Samsung S9 con Android 10 (procesador Exynos 9810)
  • Dispositivo móvil Xiaomi Mi8 con Android 10 (procesador Snapdragon 845)
  • Dispositivo móvil Wiko U Feel Prime con Android 7.1 (procesador Snapdragon 430)
  • iPad con iPadOS 13.4.1

Respecto al soporte de los diferentes fabricantes de los sistemas operativos a la suite de seguridad WPA3:

  • Microsoft Windows soporta WPA3 a partir de la versión Windows 10 1903 (Mayo 2019 Update)
    • Intel soporta WPA3 a partir de los drivers PROSet/Wireless 21.10, y solamente para adaptadores AC9xxx y AX2xx.
  • Google en su versión Android 10 ha incorporado el soporte de WPA3
    • Samsung Exynos 9810 solamente soporta WPA3-Enterprise
    • Qualcomm Snapdragon 845 soporta WPA3 (dependiente del integrador)
    • Qualcomm Snapdragon 430 no soporta WPA3
  • Apple añade el soporte WPA3 en iOS 13, iPadOS 13 y macOS Catalina
  • Linux soporta WPA3 a partir de la versión 2.7 del suplicante “wpa_supplicant” (Febrero 2019)

Con los anteriores datos, es de esperar que haya ciertos dispositivos que no puedan utilizar todos los nuevos SSID con seguridad WPA3.

Así pues, las pruebas con WPA2 arrojan los siguientes resultados (NOTA: el uso de PMF no estaba activado).

En la prueba anterior se aprecia que el dispositivo Mi8 con Android 10 no es capaz de conectarse debido a un problema de compatibilidad que tratamos en el siguiente post.

La segunda prueba es con el SSID en modo WPA3 transición. De nuevo, se ve como el dispositivo Mi8 con Android 10 no es capaz de conectarse.

La siguiente imagen muestra los dispositivos asociados y sus capacidades. Como era de esperar, solamente el equipo W10 con wNIC Intel AX200 y el iPad son capaces de utilizar WPA3-SAE, mientras que los equipos W10 con wNIC Atheros y Wiko utilizan WPA2-PSK (SHA1) y el resto utilizan el gestor de claves SHA256. Aunque AireOS 8.10 muestra a estos últimos equipos utilizando la política de seguridad WPA3, no es cierto, y se trata únicamente de un defecto estético al identificar la suite en uso.

Para el SSID configurado con WPA3-SAE, solamente el equipo W10 con wNIC Intel y el iPad con iOS 13.4 con soporte WPA3 consiguen conectarse. Ni el Mi8 ni el Samsung S9 se conectan, dado que no está implementada esa suite por parte de los integradores.

La siguiente prueba es con el SSID con seguridad WPA3-Enterprise, al cual consiguen conectarse los equipos W10 con wNIC Realtek e Intel, el Samsung S9 y el Mi8 con Android 10, y el iPAD con iOS 13.4.

Y por fin la última prueba sobre el SSID configurado con OWE. Esta vez los resultados resultan ser bastante decepcionantes, ya que solamente el dispositivo Mi8 con Android 10 es capaz de conectarse a dicha red.

Mientras tanto, el dispositivo Samsung S9 no muestra el SSID en el listado de redes, el dispositivo Wiko con Android 7.1 ni siquiera trata de asociarse a la red, los dispositivos W10 y el iPad muestran el SSID en la lista de redes como seguro, lo cual indica al sistema operativo la necesidad de introducir algún tipo de credencial, y así es, ya que tras seleccionarla se muestra una ventana que solicita proporcionar la clave de acceso al SSID en ambos casos, la cual no existe.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.