MacBookだけでなくiPhoneでも、WPA3 CNSAのSSIDに対してPEAP認証で接続できてしまうことが分かりましたので、Role Assignment Ruleは設定すべきだなと改めて思いました。
Original Message:
Sent: Jun 21, 2023 03:35 AM
From: kshimono
Subject: wpa3-cnsaについて
ご確認、アップデート情報ありがとうございます。
少し気になったのですが、端末はWindowsでも同様の動作でしょうか。
こちらで確認する限り、APのBeaconでAdvertiseしてる情報に問題などは無さそうなので、
もしかすると端末側の動きでそのような動作になっている可能性もあるかなと思いました。
既にコメントいただいています通り、Role Assignment Rule をご活用頂ければ幸いです。
認証サーバがClearPassの場合は、ClearPassでもこの辺りの制御は柔軟にすることが可能です。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
Original Message:
Sent: Jun 18, 2023 08:47 PM
From: tishigaki
Subject: wpa3-cnsaについて
立て続けですみません。
RADIUSサーバをFreeRADIUSで立てて、WPA3 CNSAのSSIDが使う認証サーバとして設定をしてみました。
EAP-TLSで認証できて、暗号スイートはTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、楕円曲線はsecp384r1を使ってTLSセッションを確立していました。
各証明書の公開鍵・秘密鍵はすべて、RSA3072ビットなので、Wi-Fi AllianceのWPA3-Enterprise 192-bit modeの仕様は満たせていると思われる状態でした。
しかし、この状態でもFreeRADIUSに登録してあるPEAP用ユーザで認証ができてしまいました。
なので、教えていただいたRole Assignment Ruleと組み合わせて設定をしていこうと思います。
Original Message:
Sent: Jun 16, 2023 10:30 PM
From: tishigaki
Subject: wpa3-cnsaについて
WPA3-CNSAはInternal Serverでは利用できないのですね、承知しました。
WebUIでは、WPA3-Enterpriseを選択すると、RADIUSサーバとしてInternal Serverを選択することができず、CLIから(無理やり?)Internal Serverを使うように設定していましたので、やはり・・・という感想を持ちました。
Internal Serverを使ったEAP-TLSのパケットキャプチャをしていたのですが、暗号スイートがWPA3-CNSA(192-bit mode)に対応してなさそうでしたので、あやしいとは思っていました。このあたりは、バージョンが上がっていくごとにクリアになっていくことを期待したいなと思いました。
ご提案いただきました、Role Assignment Ruleでの設定は全く発想にありませんでした。まだ別のRADIUSサーバが用意できていませんので、opmode=wpa2-aes(RADIUS: Internal Server)でRole Assignment Ruleを設定してみると、EAP-TLS認証のユーザーだけが通信ができる状態となりました。これをWPA3でもできるようにすれば、6GHz帯も思った通りに使っていけそうだなと思いました。ご教示いただきまして、誠にありがとうございました。
Original Message:
Sent: Jun 16, 2023 03:22 AM
From: kshimono
Subject: wpa3-cnsaについて
直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに(もしくはPEAPの時だけDenyなど)といった設定はできると思います。
Security Log のLog Level を Debuggingにすると確認することができます。
MyAP# show log security | include dot1x-authentication-typeJun 16 15:53:50 stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901] dot1x-authentication-type: EAP-PEAP
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
Original Message:
Sent: Jun 05, 2023 07:24 PM
From: tishigaki
Subject: wpa3-cnsaについて
ご返信いただきありがとうございます。
ご確認をしていただけますと大変助かります。
※現状、AP-505を小規模なネットワーク(WPA2-Enterprise:PEAP・EAP-TLS併用)で使っておりまして、
この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、
6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは?と思っていた次第です。
Original Message:
Sent: Jun 05, 2023 04:12 AM
From: kshimono
Subject: wpa3-cnsaについて
お問い合わせありがとうございます。
想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。
接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
Original Message:
Sent: May 31, 2023 10:59 PM
From: tishigaki
Subject: wpa3-cnsaについて
IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか?
ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」
EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
===
AP-615# show clients debug advanced
Client List
-----------
Name IP Address MAC Address Connect Status 802.11r 802.11k 802.11v unicast_encr_alg mac_auth_done
---- ---------- ----------- -------------- ------- ------- ------- ---------------- -------------
TEST 172.31.98.151 a*:**:**:**:**:** 1(151) 0 0 1 WPA3 CNSA 0
===
※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook(Wi-Fi 6対応)
以上、よろしくお願いいたします。