Sem fio/Mobilidade : Segurança de WLAN

Proteção do quadro do Gerenciamento da infraestrutura (MFP) com exemplo de configuração WLC e de REGAÇO

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento introduz uma nova característica de segurança em tecnologia wireless chamada Management Frame Protection (MFP). Este documento também descreve como configurar a MFP em dispositivos de infraestrutura, como Lightweight Access Points (LAPs) e Controllers de LAN Wireless (WLCs).

Pré-requisitos

Requisitos

  • Conhecimento de como configurar o WLC e DOBRÁ-LO para a operação básica

  • Conhecimento básico de quadros do Gerenciamento do IEEE 802.11

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco 2000 Series WLC que executa a versão de firmware 4.1

  • REGAÇO de Cisco 1131AG

  • Adaptador cliente do Cisco Aironet 802.11a/b/g que executa a versão de firmware 3.6

  • Versão de utilitário de desktop 3.6 do Cisco Aironet

Nota: MFP é apoiado da versão 4.0.155.5 WLC e mais tarde, embora a versão 4.0.206.0 forneça o desempenho ótimo o MFP. O cliente MFP é apoiado na versão 4.1.171.0 e acima.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

No 802.11, os quadros do Gerenciamento tais como a autenticação (de), a associação (dis), as balizas, e as pontas de prova são sempre não-autenticados e unencrypted. Ou seja os quadros do Gerenciamento do 802.11 são enviados sempre em uma maneira inseguro, ao contrário do tráfego de dados, que são cifrados com protocolos tais como o WPA, o WPA2, ou, pelo menos, o WEP, e assim por diante.

Isto permite que a um atacante ao spoof um quadro do Gerenciamento do AP ataque um cliente que seja associado a um AP. Com os quadros falsificado do Gerenciamento, um atacante pode executar estas ações:

  • Execute uma recusa de serviço (DOS) no WLAN

  • Tente um homem no ataque médio no cliente quando reconecta

  • Execute um ataque do dicionário autônomo

MFP supera estas armadilhas quando autentica os quadros do Gerenciamento do 802.11 trocados na infraestrutura de rede Wireless.

Nota: Este documento focaliza na infraestrutura e no cliente MFP.

Nota: Há determinadas limitações para que alguns clientes Wireless comuniquem-se com os dispositivos de infraestrutura MFP-permitidos. MFP adiciona um grupo longo de elementos de informação a cada pedido da ponta de prova ou a baliza SSID. Alguns clientes Wireless tais como PDA, smartphones, varredores do código de barras, e assim por diante limitaram a memória e o CPU. Assim você não pode processar estas pedidos ou balizas. Em consequência, você não vê o SSID inteiramente, ou você não pode associar com estes dispositivos de infraestrutura, devido ao mal-entendido de capacidades SSID. Esta edição não é específica a MFP. Isto igualmente ocorre com todo o SSID que tiver os elementos de informação múltiplos (IE). É sempre aconselhável testar SSID permitidos MFP no ambiente com todos seus tipos de cliente disponíveis antes que você o distribua no tempo real.

Nota: 

Estes são os componentes da infraestrutura MFP:

  • Proteção do quadro do Gerenciamento — Quando a proteção do quadro do Gerenciamento é permitida, o AP adiciona o elemento de informação do Message Integrity Check (MIC IE) a cada quadro que do Gerenciamento transmite. Toda a tentativa de copiar, altera-se, ou a repetição o quadro invalida o MIC. Um AP, que seja configurado para validar quadros MFP recebe um quadro com MIC inválido, relata-o ao WLC.

  • Validação do quadro do Gerenciamento — Quando a validação do quadro do Gerenciamento é permitida, o AP valida cada quadro do Gerenciamento que recebe de outros AP na rede. Assegura-se de que o MIC IE este presente (quando o autor é configurado para transmitir quadros MFP) e combina-se o índice do quadro do Gerenciamento. Se recebe qualquer quadro que não contiver um MIC válido IE de um BSSID que pertença a um AP, que seja configurado para transmitir quadros MFP, relata a discrepância ao sistema de gerenciamento de rede.

    Nota: Para que os timestamps operem-se corretamente, todos os WLC devem ser Network Time Protocol (NTP) sincronizado.

  • Relatório do evento — O Access point notifica o WLC quando detecta uma anomalia. O WLC agrega os eventos anômalos e relata-os com o SNMP traps à gerente de rede.

Funcionalidade da infraestrutura MFP

Com MFP, todos os quadros do Gerenciamento são picados criptograficamente para criar um Message Integrity Check (MIC). O MIC é adicionado à extremidade do quadro (antes da sequência de verificação de frame (FCS)).

  • Em uma arquitetura wireless centralizada, a infraestrutura MFP é permitida/desabilitada no WLC (config global). A proteção pode seletivamente ser desabilitada pelo WLAN, e a validação pode seletivamente ser desabilitada pelo AP.

  • A proteção pode ser desabilitada nos WLAN que são usados pelos dispositivos que não podem lidar com os IE extra.

  • A validação deve ser desabilitada nos AP que são sobrecarregados ou derrubados.

Quando MFP é permitido em uns ou vários WLAN configurados no WLC, o WLC envia uma chave original a cada rádio em cada AP registrado. Os quadros do Gerenciamento são enviados pelo AP sobre os WLAN MFP-permitidos. Estes AP são etiquetados com uma proteção MIC IE do quadro. Toda a tentativa de alterar o quadro invalida a mensagem, que causa o AP de recepção que é configurado para detectar quadros MFP para relatar a discrepância ao controlador de WLAN.

Este é um processo passo a passo de MFP quando executado em um ambiente vagueando:

  1. Com o MFP permitido globalmente, o WLC gerencie uma chave original para cada AP/WLAN que é configurado para MFP. Os WLC comunicam-se dentro dse de modo que todos os WLC conheçam as chaves para todos os AP/BSSs em um domínio da mobilidade.

    Nota: Todos os controladores em um grupo mobility/RF devem ter MFP configurado identicamente.

  2. Quando um AP recebe um quadro protegido MFP para um BSS que não conheça aproximadamente, protege uma cópia do quadro e pergunta o WLC para obter a chave.

  3. Se o BSSID não é sabido no WLC, retorna a mensagem “BSSID desconhecido” ao AP, e o AP deixa cair os quadros do Gerenciamento recebidos daquele BSSID.

  4. Se o BSSID está sabido no WLC, mas MFP está desabilitado naquele BSSID, o WLC retorna “um BSSID deficiente.” O AP supõe então que todos os quadros do Gerenciamento recebidos daquele BSSID não têm um MFP MIC.

  5. Se o BSSID é sabido e tem MFP permitido, o WLC retorna a chave MFP ao AP de pedido (sobre o túnel cifrado AES do Gerenciamento LWAPP).

  6. O AP põe em esconderijo as chaves recebidas desta maneira. Esta chave é usada para validar ou adicionar MIC IE.

Funcionalidade do cliente MFP

O cliente MFP protege clientes autenticados dos quadros falsificado, que impede a eficácia de muitos dos ataques comuns contra o Sem fio LAN. A maioria de ataques, tais como ataques do deauthentication, revertem simplesmente ao desempenho degradado quando afirmam com clientes válidos.

Especificamente, o cliente MFP cifra os quadros do Gerenciamento enviados entre clientes Access point e CCXv5 de modo que os Access point e os clientes possam tomar a ação preventiva e deixar cair a classe falsificado 3 quadros do Gerenciamento (isto é, quadros do Gerenciamento passados entre um Access point e um cliente que seja autenticado e associado). O cliente MFP leverages os mecanismos de segurança definidos pela IEEE 802.11i para proteger estes tipos de quadros do Gerenciamento do unicast da classe 3: desassociação, deauthentication, e ação de QoS (WMM). O cliente MFP pode proteger uma sessão do ponto de acesso do cliente da maioria de tipo comum de ataque de recusa de serviço. Protege quadros do Gerenciamento da classe 3 com o mesmo método de criptografia usado para os frames de dados da sessão. Se um quadro recebido pelo Access point ou pelo cliente falha a descriptografia, está deixado cair, e o evento é relatado ao controlador.

A fim usar o cliente MFP, os clientes devem apoiar CCXv5 MFP e devem negociar o WPA2 com o TKIP ou o AES-CCMP. O EAP ou o PSK podem ser usados para obter o PMK. O CCKM e o Gerenciamento de mobilidade do controlador são usados para distribuir chaves de sessão entre Access point ou para mergulhar 2 e mergulhar vaguear 3 rápido.

A fim impedir ataques contra frames de transmissão, os Access point que apoiam CCXv5 não se emitem nenhuns quadros do Gerenciamento da classe 3 da transmissão (tal como a desassociação, o deauthentication, ou a ação). Os clientes CCXv5 e os Access point devem rejeitar quadros do Gerenciamento da classe 3 da transmissão.

O cliente MFP suplementa a infraestrutura MFP um pouco do que substitui porque a infraestrutura MFP continua a detectar e relatar os frames de unicast inválidos enviados aos clientes que não são cliente-MFP capaz, assim como aos quadros inválidos do Gerenciamento da classe 1 e 2. A infraestrutura MFP é aplicada somente aos quadros do Gerenciamento que não são protegidos pelo cliente MFP.

Componentes do cliente MFP

O cliente MFP consiste nestes componentes:

  • Geração chave e distribuição

  • Proteção e validação de quadros do Gerenciamento

  • Relatórios de erro

Geração chave e distribuição

O cliente MFP não usa a geração chave e os mecanismos de distribuição que foram derivados para a infraestrutura MFP. Em lugar de, o cliente MFP leverages os mecanismos de segurança definidos pela IEEE 802.11i para proteger igualmente quadros do Gerenciamento do unicast da classe 3. As estações devem apoiar CCXv5 e devem negociar o TKIP ou o AES-CCMP para usar MFP cient. O EAP ou o PSK podem ser usados para obter o PMK.

Proteção de quadros do Gerenciamento

Os quadros do Gerenciamento da classe 3 do unicast são protegidos com o aplicativo de AES-CCMP ou de TKIP de forma semelhante àquele já usado para frames de dados. As partes do cabeçalho de frame são copiadas no componente cifrado do payload de cada quadro para a proteção adicionada, como discutido nas próximas seções.

Estes tipos de frame são protegidos:

  • Desassociação

  • Deauthentication

  • Quadros de ação de QoS (WMM)

Os frames de dados AES-CCMP- e TKIP-protegida incluem um contador de sequência nos campos IV, que seja usado para impedir a detecção da repetição. A corrente transmite é usada contra para dados e quadros do Gerenciamento, mas um novo recebe é usado contra para quadros do Gerenciamento. Os contadores da recepção são testados para assegurar-se de que cada quadro têm um número mais alto do que o último frame recebido (para se assegurar de que os quadros sejam originais e para ter sido replayed), assim que não importa que este esquema faça com que os valores recebidos sejam NON-sequenciais.

Relatórios de erro

Os mecanismos de relatório MFP-1 são usados para relatar os erros do de-encapsulamento do quadro do Gerenciamento detectados por Access point. Isto é, o WLC recolhe estatísticas do erro de validação MFP e a informação periodicamente para a frente ordenada ao WCS.

Os erros de violação MFP detectados por estações do cliente são segurados pelo CCXv5 que vagueiam e pela característica de diagnósticos do tempo real e não são no âmbito deste documento.

Proteção do quadro do Gerenciamento da transmissão

A fim impedir os ataques que usam frames de transmissão, os AP que apoiam CCXv5 não transmitem nenhuns quadros do Gerenciamento da classe 3 da transmissão (isto é, disassoc, deauth ou ação) à exceção dos quadros desonestos do deauthentication/desassociação da retenção. As estações do cliente CCXv5 capazes devem rejeitar quadros do Gerenciamento da classe 3 da transmissão. As sessões MFP são supostas para estar corretamente em uma rede assegurada (autenticação forte mais o TKIP ou o CCMP) assim que a negligência para transmissões desonestos da retenção não é uma edição.

Similarmente, os AP rejeitam quadros do Gerenciamento da transmissão de entrada. Nenhum quadro do Gerenciamento da transmissão de entrada é apoiado atualmente, assim que nenhuma mudança do código é exigida para esta.

Plataformas suportadas

Estas Plataformas são apoiadas:

  • Controladores de WLAN

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 com o controlador 440x encaixado

    • Roteadores 26/28/37/38xx

  • Access point LWAPP

    • AP 1000

    • AP1100, 1130

    • AP1200, 1240, 1250

    • AP 1310

  • Software do cliente

    • ADU 3.6.4 e acima

  • Sistemas de Gerenciamento de Rede

    • WCS

1500 a malha LWAPP AP não é apoiada nesta liberação.

Modos apoiados

os Access point LWAPP-baseados que se operam nestes modos apoiam o cliente MFP:

Modos de ponto de acesso apoiados
Modo Apoio do cliente MFP
Local Sim
Monitor Não
Sniffer Não
Detector desonesto Não
O híbrido COLHE Sim
COLHA Não
Raiz da ponte Sim
WGB Não

Apoio misturado da pilha

As estações do cliente que não são CCXv5 capazes podem associar com um MFP-2 WLAN. Os Access point mantêm-se a par do que clientes são MFP-2 capazes e de quais não são a fim determinar se as medidas de segurança MFP-2 estão aplicadas aos quadros de partida do Gerenciamento do unicast e esperadas em quadros de entrada do Gerenciamento do unicast.

Configurar

Configurar MFP em um controlador

Você pode globalmente configurar MFP em um controlador. Quando você faz assim, a proteção e a validação do quadro do Gerenciamento estão permitidas à revelia para cada Access point juntado, e a autenticação do Access point é desabilitada automaticamente.

Execute estas etapas para configurar globalmente MFP em um controlador.

  1. Na interface gráfica do usuário, clique em Security. Na tela resultante, clique AP Authentication/MFP sob políticas wireless da proteção.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp14.gif

  2. Na política de autenticação AP, escolha a proteção do quadro do Gerenciamento do menu suspenso do tipo de proteção e o clique aplica-se.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp15.gif

Configurar MFP no WLAN

Você pode igualmente permitir/a proteção infraestrutura MFP do desabilitação e o cliente MFP em cada WLAN configurado no WLC. Ambos são permitidos à revelia embora a proteção da infraestrutura MFP, que é somente ativa se permitida globalmente, e o cliente MFP são somente ativos se o WLAN é configurado com Segurança WPA2. Siga estas etapas a fim permitir MFP em um WLAN::

  1. Do WLC GUI, clique WLAN e clique-os novo a fim criar um WLAN novo.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp11.gif

  2. Nos WLAN edite a página, vá ao guia avançada e verifique a caixa de verificação da proteção da infraestrutura MFP para permitir a infraestrutura MFP neste WLAN. A fim desabilitar o proection da infraestrutura MFP para este WLAN, desmarcar esta caixa de verificação. A fim permitir o cliente MFP, escolha a opção exigida ou opcional do menu suspenso. Se você escolhe o cliente MFP= exigido, certifique-se de que todos seus clientes têm o apoio para MFP-2 ou não podem conectar. Se você escolhe opcional, MFP e os clientes permitidos NON-MFP podem conectar no mesmo WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp18.gif

Verificar

A fim verificar as configurações MFP do GUI, clique a proteção do quadro do Gerenciamento sob políticas wireless da proteção da página da Segurança. Isto toma-o à página dos ajustes MFP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp13.gif

Nos ajustes página MFP, você pode ver a configuração MFP no WLC, no REGAÇO, e no WLAN. Este é um exemplo.

  • O campo da proteção do quadro do Gerenciamento mostra se MFP é permitido globalmente para o WLC.

  • O campo válido do origem de tempo do controlador indica se o tempo WLC está ajustado localmente (pela entrada manual do tempo) ou com um origem externa (tal como um servidor de NTP). Se a hora é ajustada por um origem externa, o valor deste campo é “retifica.” Se a hora é ajustada localmente, o valor é “falso.” O origem de tempo é usado para validar quadros do Gerenciamento entre Access point dos WLC diferentes que igualmente têm a mobilidade configurada.

    Nota: Se MFP é permitido em todos os WLC em um grupo mobility/RF, recomenda-se sempre que você usa um servidor de NTP para ajustar o tempo WLC em um grupo da mobilidade.

  • O campo da proteção MFP mostra se MFP é permitido para WLAN individuais.

  • O campo da validação MFP mostra se MFP é permitido para pontos de acesso individual.

Estes comandos show podem ser úteis:

  • mostre o sumário dos wps — Use este comando a fim ver um sumário das políticas wireless atuais da proteção (que inclui MFP) do WLC.

  • mostre o sumário do mfp dos wps — A fim ver o ajuste global atual MFP do WLC, incorpore este comando.

  • mostre o general AP_name da configuração ap — A fim ver o estado atual MFP para um Access point particular, incorpore este comando.

Este é um exemplo da saída do comando do general AP_name da configuração ap da mostra:

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




Este é um exemplo da saída do comando summary do mfp dos wps da mostra:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Estes comandos debug podem ser úteis;

  • debugar o lwapp do mfp dos wps — As mostras debugam a informação para mensagens MFP.

  • debugar o detalhe do mfp dos wps — As mostras detalhadas debugam a informação para mensagens MFP.

  • debugar o relatório do mfp dos wps — As mostras debugam a informação para o relatório MFP.

  • debugar o mfp milímetro dos wps — As mostras debugam a informação para mensagens da mobilidade MFP (inter-controlador).

Nota: Há igualmente diversos rastreamentos de pacote wireless livres disponíveis do Internet, que pode ser usado para capturar e analisar os quadros do Gerenciamento do 802.11. Alguns rastreamentos de pacote do exemplo são Omnipeek e Wireshark.


Informações Relacionadas


Document ID: 82196