SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

WPA3ブログ 第六回~設定やクライアント接続結果の紹介 aruba編~

ネットワーク
2024.04.16

はじめに

WPA3ブログの第6回となる本ブログではarubaの設定や各SSIDにWindowsパソコンとiPhoneを接続した際の状態を紹介させていただきます。

下図は第三回のブログで紹介した無線機器のサポート状況の図ですが、arubaがサポートしているWPA3の規格の再確認のために再掲します。

図1_サポート規格.jpg

※本ブログで紹介する内容は2022年8月時点の独自の検証結果に基づくものです。
記事の作成については万全を期しておりますが、掲載された情報の正確性について、これを保証するものではない点ご注意ください

2024年4月追記

AOSバージョン8.11にて、WPA3-EnterpriseのOnlyモードでCCMP-128での設定、及びWPA3-EnterpriseのTransitionモードに対応しました。
8.11では以下の表の通り全て「○」となります。

図1.png

 目次 
1. 検証機器の紹介
2. WPA3-Personal Only mode
 2.1 アクセスポイントの設定内容
 2.2 クライアントの接続ステータス
3. WPA3-Personal Transition mode
 3.1 アクセスポイントの設定内容
 3.2 クライアントの接続ステータス
4. WPA3-Enterprise only mode
 4.1 アクセスポイントの設定内容
 4.2 クライアントの接続ステータス
5. WPA3-Enterprise Transition mode
 5.1 アクセスポイントの設定内容
 5.2 クライアントの接続ステータス
6. WPA3-Enterprise 192-bit mode
 6.1 アクセスポイントの設定内容
 6.2 クライアントの接続ステータス
7. Enhanced Open Only mode
 7.1 アクセスポイントの設定内容
 7.2 クライアントの接続ステータス
8. Enhanced Open Transition mode
 8.1 アクセスポイントの設定内容
 8.2 クライアントの接続ステータス
9. まとめ


1. 検証機器の紹介

今回の検証で使用した機器は以下の通りです。
クライアントやRadiusサーバは前回、前々回のMeraki/Ciscoと同様となります。

【無線AP】
<aruba モビリティコントローラー>
・Mobility Conductor(Virtual) [ArubaOS 8.6.0.6]
・7005-JP

<aruba アクセスポイント>
・AP-335

【クライアント】
<Windows パソコン>
・HP Spectre x360 convertible 13-ap0xxx [Windows 10 Pro , OSビルド:19044.1766 , Intel AX200]

<iPhone>
iPhone 12 [iOS 15.6]

【Radiusサーバー】
Netattest EPS [OSバージョン:4.10.4]
※WPA3-Enterpriseの検証に使用(EAP-TLSを使用)
※基本セットアップと"EAP-TLS"で認証を行うための設定を実行


2. WPA3-Personal Only mode

arubaのドキュメントでは動作モードを「opmode」と記しており、このモードはopmodeが「wpa3-sae-aes」となります。

2.1 アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
[Security] > "Personal"を選択
[Key management:] > "WPA3-Personal"を選択
[Enable backward compatibility] > チェックを"入れない"

【設定画面イメージ】

図2_Per-Only-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-sae-aes
[opmode-transition] > "no"(無効)

図3_Per-Only-CLI.jpg

2.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図4_Per-Only-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図5_Per-Only-Win-GUI.jpg

・Windows(CLI)

図6_Per-Only-Win-CLI.jpg

・iPhone(GUI)

図2-6_Per-Only-iPn-GUI.jpg

・iPhone(CLI)

図8_Per-Only-iPn-CLI.jpg

【Windowsで取得した接続情報】

図9_Per-Only-Win.jpg

【iPhoneで取得した接続情報】
iPhoneでは接続しているセキュリティ規格の確認はできません。

図10_Per-Only-iPn.jpg


3. WPA3-Personal Transition mode

このモードはopmodeが「wpa3-sae-aes」の「Transition(が有効)」となります。

3.1 アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
WPA3-Personal Only modeとの違いは[Enable backward compatibility]へのチェックを入れる部分です。
[Security] > "Personal"を選択
[Key management:] > "WPA3-Personal"を選択
[Enable backward compatibility] > チェックを"入れる"

【設定画面イメージ】

図3-1_Per-Tran-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-sae-aes
[opmode-transition] > 表示なし(有効)

図3-2_Per-Tran-CLI.jpg

3.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図3-3_Per-Tran-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図3-4_Per-Tran-Win-GUI.jpg

・Windows(CLI)

図3-5_Per-Tran-Win-CLI.jpg

・iPhone(GUI)

図3-6_Per-Tran-iPn-GUI.jpg

・iPhone(CLI)

図3-7_Per-Tran-iPn-CLI.jpg

【Windowsで取得した接続情報】

図3-8_Per-Tran-Win.jpg

【iPhoneで取得した接続情報】

図3-9_Per-Tran-iPn.jpg


4. WPA3-Enterprise Only mode

このモードはopmodeが「wpa3-aes-gcm-256」となります。
WPA3ブログの第二回でも紹介させていただきましたが、Cipher Suiteが最低要件のCCMP-128ではなく、GCMP-256を採用しています。

4.1 アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
[Security] > "Enterprise"を選択
[Key management:] > "WPA3-Enterprise"を選択
[Use CNSA suite:] > チェックを"入れない"
[Key size:] > "256 bits"を選択

【設定画面イメージ】

図4-1_Ent-Only-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-aes-gcm-256

図4-2_Ent-Only-CLI.jpg

4.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図4-3_Ent-Only-結果.jpg

【Windowsで取得した接続情報】
Windows側ではPSKと認識され接続できませんでした。

図4-4_Ent-Only-iPn.jpg

【iPhoneで取得した接続情報】
iPhone側でも接続不可でした。

図4-5_Ent-Only-iPn.jpg

2024年4月追記

AOSバージョン8.11にて、WPA3-EnterpriseのOnlyモードでCCMP-128での設定に対応しましたので確認しました。

アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
[Security] > "Enterprise"を選択
[Key management:] > "WPA3-Enterprise"を選択
[Use CNSA suite:] > チェックを"入れない"
[Key size:] > "128 bits"を選択

【設定画面イメージ】

図4-1.png

SSIDプロファイルでは[opmode transition]を無効化(チェックを"入れない")

図4-2.png

設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-aes-ccm-128
[opmode-transition] > no

図4-3.png

ビーコンをキャプチャした内容が以下となり、①Group Cipher Suite type/②Pairwise Cipher Suite type共にWPA3 Enterpriseの最小要件の「CCMP-128」となっています。

図4-4.png

クライアントの接続ステータス

【クライアントを接続した際の状態】

Windowsのクライアントのみで確認していますが、接続可能なことが確認できました。

図4-5.png

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図4-6.png

・Windows(CLI)

図4-7.png

【Windowsで取得した接続情報】

図4-8.png

5. WPA3-Enterprise Transition mode

このモードはopmodeが「wpa3-aes-ccm-128」となります。
arubaではWPA3-Enterprise Transition modeには対応しておらず、WPA2-EnterpriseでPMFを有効化(MFPC:1)したのがこのモードとなります。
ビーコンをキャプチャしたのが下記となります。
WPA3ブログの第二回のciscoのWPA3-Enterprise Transition modeのキャプチャと比較していただくと、AKMが「WPA」の1つのみとなっているのがわかるかと思います。
ciscoの場合は「WPA」と「WPA(5)」の2つが存在します。

図5-0_Ent-Tran-Cap.jpg

「Transition」の有効化はできませんが、WPA2クライアントも接続可能なモードとなります。
Wi-Fi Allianceの定義するWPA3-Enterprise Transition modeには準拠していないのでご注意ください。
便宜上WPA3-Enterprise Transition modeの項で説明させていただきます。

5.1 アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
WPA3-Enterprise Only modeとの違いは[Key size:]が"128 bits"となる点です。
[Security] > "Enterprise"を選択
[Key management:] > "WPA3-Enterprise"を選択
[Use CNSA suite:] > チェックを"入れない"
[Key size:] > "128 bits"を選択

【設定画面イメージ】

図5-1_Ent-Tran-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-aes-ccm-128

図5-2_Ent-Tran-CLI.jpg

5.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図5-3_Ent-Tran-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図5-4_Ent-Tran-Win-GUI.jpg

・Windows(CLI)

図5-5_Ent-Tran-Win-CLI.jpg

・iPhone(GUI)

図5-6_Ent-Tran-iPn-GUI.jpg

・iPhone(CLI)

図5-7_Ent-Tran-iPn-CLI.jpg

【Windowsで取得した接続情報】

図5-8_Ent-Tran-Win.jpg

【iPhoneで取得した接続情報】

図5-9_Ent-Tran-iPn.jpg

2024年4月追記

AOSバージョン8.11にて、Wi-Fi AllianceのWPA3に準拠したWPA3-EnterpriseのTransitionモードの設定に対応しましたので確認しました。

アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
[Security] > "Enterprise"を選択
[Key management:] > "WPA3-Enterprise"を選択
[Enable backward compatibility:] > チェックを"入れる"
[Key size:] > "128 bits"を選択

【設定画面イメージ】

図5-1.png

SSIDプロファイルでは[opmode transition]を有効化(チェックを"入れる")

図5-2.png

設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-aes-ccm-128
[opmode-transition] > 表示なし(有効)

図5-3.png

ビーコンをキャプチャした内容が以下となり、③Auth Key Management(AKM) typeにWPA2用に「IEEE Std 802.1X」、WPA3用に「IEEE Std 802.1X,SHA-256」がセットされています。
また④MFPR:0/⑤MFPC:1となっていることからPMFが必須となっていません。

図5-4.png

クライアントの接続ステータス

【クライアントを接続した際の状態】

Windowsのクライアントのみで確認していますが、接続可能なことが確認できました。

図5-5.png

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図5-6.png

・Windows(CLI)

図5-7.png

【Windowsで取得した接続情報】

図5-8.png

6. WPA3-Enterprise 192-bit mode

このモードはopmodeが「wpa3-cnsa」となります。

6.1 アクセスポイントの設定内容

【設定ポイント】
WPA3に関連する部分のみの説明となります。
[Security] > "Enterprise"を選択
[Key management:] > "WPA3-Enterprise"を選択
[Use CNSA suite:] > チェックを"入れる"

【設定画面イメージ】

図6-1_Ent-192-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > wpa3-cnsa

図6-2_Ent-192-CLI.jpg

6.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図6-3_Ent-192-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図6-4_Ent-192-Win-GUI.jpg

・Windows(CLI)

図6-5_Ent-192-Win-CLI.jpg

・iPhone(GUI)

図6-6_Ent-192-iPn-GUI.jpg

・iPhone(CLI)

図6-7_Ent-192-iPn-CLI.jpg

【Windowsで取得した接続情報】

図6-8_Ent-192-Win.jpg

【iPhoneで取得した接続情報】

図6-9_Ent-192-iPn.jpg


7. Enhanced Open Only mode

このモードはopmodeが「enhanced-open」となります。

7.1 アクセスポイントの設定内容

【設定ポイント】
Enhanced Openに関連する部分のみの説明となります。
[Security] > "Open"を選択
[Key management:] > "Enhanced Open"を選択
[Enable backward compatibility] > チェックを"入れない"

【設定画面イメージ】

図7-1_OWE-Only-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > enhanced-open
[opmode-transition] > "no"(無効)

図7-2_OWE-Only-CLI.jpg

7.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図7-3_OWE-Only-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図7-4_OWE-Only-Win-GUI.jpg

・Windows(CLI)
WPA3と同様のコマンドでは確認不可のため「show ap association」で確認しています。

図7-5_OWE-Only-Win-CLI.jpg

【Windowsで取得した接続情報】

図7-8_OWE-Only-Win.jpg

【iPhoneで取得した接続情報】
iPhone側では接続不可でした。

図7-9_OWE-Only-iPn.jpg


8. Enhanced Open Transition mode

このモードはopmodeが「enhanced-open」の「Transition(が有効)」となります。

8.1 アクセスポイントの設定内容

【設定ポイント】
Enhanced Openに関連する部分のみの説明となります。
[Security] > "Open"を選択
[Key management:] > "Enhanced Open"を選択
[Enable backward compatibility] > チェックを"入れる"

【設定画面イメージ】

図8-1_OWE-Tran-GUI.jpg

また設定内容をCLIで確認するとSSID-Profileは以下のようになります。
[opmode] > enhanced-open
[opmode-transition] > 表示なし(有効)

図8-2_OWE-Tran-CLI.jpg

8.2 クライアントの接続ステータス

【クライアントを接続した際の状態】

図8-3_OWE-Tran-結果.jpg

【モビリティコントローラ上でのクライアント情報】

・Windows(GUI)

図8-4_OWE-Tran-Win-GUI.jpg

・Windows(CLI)

図8-5_OWE-Tran-Win-CLI.jpg

・iPhone(GUI)

図8-6_OWE-Tran-iPn-GUI.jpg

・iPhone(CLI)

図8-7_OWE-Tran-iPn-CLI.jpg

【Windowsで取得した接続情報】

図8-8_OWE-Tran-Win.jpg

【iPhoneで取得した接続情報】

図8-9_OWE-Tran-iPn.jpg


9. まとめ

今回のWindowsとiPhoneの検証結果を、考察も含めてまとめた表が下図です。

図9_まとめ.jpg

今回はarubaに関するWPA3のSSID設定やクライアントの接続ステータスを紹介しました。
次回はMistのSSID設定やクライアント接続ステータスを紹介する予定ですので、引き続きWPA3ブログにお付き合いくださいますようお願いいたします。

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術本部 技術統括部 第2技術部 1課
藤ノ木 俊