日本語フォーラム

 View Only
Expand all | Collapse all

wpa3-cnsaについて

This thread has been viewed 33 times
  • 1.  wpa3-cnsaについて

    Posted Jun 01, 2023 11:07 AM

    IAPで opmode=wpa3-cnsa のSSIDを作成して、IAPの内部RADIUSサーバを認証サーバとして使っています。
    EAP-TLS認証で接続はできるのですが、PEAP認証でも接続できてしまいます。通信に問題はありません。この状態は、正しく設定できている状態といえるでしょうか?
    ユーザーガイド( https://www.arubanetworks.com/techdocs/Instant_811_WebHelp/Content/instant-ug/authentication/wpa3.htm )をみると下のような記述があり、EAP-TLSでのみ接続できると思っていたのですが・・・
    「The WPA3-Enterprise CSNA (192-bit) mode requires a compatible EAP server (such as Aruba ClearPass Policy Manager 6.8 or later versions) and requires EAP-TLS. 」

    EAP-TLS・PEAPともに、unicast_encr_alg=WPA3 CNSA と表示されます。
    ===
    AP-615# show clients debug advanced 

    Client List
    -----------
    Name     IP Address     MAC Address        Connect Status  802.11r  802.11k  802.11v  unicast_encr_alg  mac_auth_done  
    ----     ----------     -----------        --------------  -------  -------  -------  ----------------  -------------  
    TEST     172.31.98.151  a*:**:**:**:**:**  1(151)          0        0        1        WPA3 CNSA         0
    ===

    ※アクセスポイント: AP-615(Aruba Instant 8.11.1.0_86591 SSR)、無線クライアント: MacBook(Wi-Fi 6対応)

    以上、よろしくお願いいたします。



  • 2.  RE: wpa3-cnsaについて

    Posted Jun 05, 2023 04:12 AM

    お問い合わせありがとうございます。
    想定動作では無いと思うので確認中ですが、少し時間がかかると思うので、お急ぎの場合はサポートにもご相談頂ければ幸いです。

    接続できないことが想定動作にはなりますので、WPA3-CNSAの場合はRADIUS ServerとしてInternal Server を利用しない設定をご利用下さい。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 3.  RE: wpa3-cnsaについて

    Posted Jun 05, 2023 07:24 PM

    ご返信いただきありがとうございます。

    ご確認をしていただけますと大変助かります。

    ※現状、AP-505を小規模なネットワーク(WPA2-Enterprise:PEAP・EAP-TLS併用)で使っておりまして、

     この度AP-615を新しく購入でき、5GHz帯ではPEAPでもEAP-TLSでも接続できるSSID(1)、6GHz帯ではEAP-TLSを強制するSSID(2)を設定する方法があるといいなと考えて、

     6GHz帯のSSID(2)では、wpa3-cnsaを使えばいいのでは?と思っていた次第です。




  • 4.  RE: wpa3-cnsaについて

    Posted Jun 16, 2023 03:22 AM

    直接の回答はまだ無いのですが、仕様的にはWPA3-CNSAではInternal Serverをサポートはしておりませんので、他の方法でご検討頂ければ幸いです。
    その前提で、IAPのRole Assignment Rule で dot1x-authentication-typeというのがあります。
    こちら、Debugしてみると、PEAPの場合はEAP-PEAPとなっているので、この設定でTLSの時だけ特定のRoleに(もしくはPEAPの時だけDenyなど)といった設定はできると思います。



    Security Log のLog Level を Debuggingにすると確認することができます。

    MyAP# show log security | include dot1x-authentication-type
    Jun 16 15:53:50   stm[5340]: <121031> <DBUG> |AP xxx@192.168.x.x stm| |aaa| [rc_aal.c:2901]  dot1x-authentication-type: EAP-PEAP





    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 5.  RE: wpa3-cnsaについて

    Posted Jun 16, 2023 10:30 PM

    WPA3-CNSAはInternal Serverでは利用できないのですね、承知しました。

    WebUIでは、WPA3-Enterpriseを選択すると、RADIUSサーバとしてInternal Serverを選択することができず、CLIから(無理やり?)Internal Serverを使うように設定していましたので、やはり・・・という感想を持ちました。

    Internal Serverを使ったEAP-TLSのパケットキャプチャをしていたのですが、暗号スイートがWPA3-CNSA(192-bit mode)に対応してなさそうでしたので、あやしいとは思っていました。このあたりは、バージョンが上がっていくごとにクリアになっていくことを期待したいなと思いました。

    ご提案いただきました、Role Assignment Ruleでの設定は全く発想にありませんでした。まだ別のRADIUSサーバが用意できていませんので、opmode=wpa2-aes(RADIUS: Internal Server)でRole Assignment Ruleを設定してみると、EAP-TLS認証のユーザーだけが通信ができる状態となりました。これをWPA3でもできるようにすれば、6GHz帯も思った通りに使っていけそうだなと思いました。ご教示いただきまして、誠にありがとうございました。




  • 6.  RE: wpa3-cnsaについて

    Posted Jun 18, 2023 08:48 PM

    立て続けですみません。

    RADIUSサーバをFreeRADIUSで立てて、WPA3 CNSAのSSIDが使う認証サーバとして設定をしてみました。

    EAP-TLSで認証できて、暗号スイートはTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、楕円曲線はsecp384r1を使ってTLSセッションを確立していました。

    各証明書の公開鍵・秘密鍵はすべて、RSA3072ビットなので、Wi-Fi AllianceのWPA3-Enterprise 192-bit modeの仕様は満たせていると思われる状態でした。

    しかし、この状態でもFreeRADIUSに登録してあるPEAP用ユーザで認証ができてしまいました。

    なので、教えていただいたRole Assignment Ruleと組み合わせて設定をしていこうと思います。




  • 7.  RE: wpa3-cnsaについて

    Posted Jun 21, 2023 03:35 AM

    ご確認、アップデート情報ありがとうございます。

    少し気になったのですが、端末はWindowsでも同様の動作でしょうか。
    こちらで確認する限り、APのBeaconでAdvertiseしてる情報に問題などは無さそうなので、
    もしかすると端末側の動きでそのような動作になっている可能性もあるかなと思いました。

    既にコメントいただいています通り、Role Assignment Rule をご活用頂ければ幸いです。
    認証サーバがClearPassの場合は、ClearPassでもこの辺りの制御は柔軟にすることが可能です。



    ------------------------------
    Keita Shimono,
    Aruba Japan SE Manager & Airheads Leader
    ------------------------------



  • 8.  RE: wpa3-cnsaについて

    Posted Jun 23, 2023 02:38 AM

    Windows端末で試してみるとEAP-TLSでしか接続できず、PEAPで接続しようとすると「互換性がない」と表示され接続できず、思っていた通りの動作でした。

    せっかくなので、iPhone(Wi-Fi 6対応)でも試してみたところ、 MacBookと同様にPEAPでも接続できてしまいました。

    ※RADIUSサーバではデフォルトEAPメソッドをEAP-TLSに設定していまして、Windows端末でPEAP認証を試みたときのパケットを確認すると、

    1. RADIUSサーバがEAP-TLS認証を提案
    2. Windows端末がDesired Auth Type = Unknown(0)を返す
    3. EAP認証失敗

    となっていました。一方、MacBook・iPhoneは、

    1. RADIUSサーバがEAP-TLS認証を提案
    2. MacBook(or iPhone)がDesired Auth Type = PEAP(25)を返す
    3. RADIUSサーバがPEAP認証を提案 →EAP認証成功へ

    でした。なので、IEEE 802.1Xでいうところの Supplicant の挙動によってEAP-TLS認証以外でも認証が通ってしまっているように感じました。

    MacBookだけでなくiPhoneでも、WPA3 CNSAのSSIDに対してPEAP認証で接続できてしまうことが分かりましたので、Role Assignment Ruleは設定すべきだなと改めて思いました。