Communication sans fil/mobilité : Sécurité WLAN

Exemple de configuration de la protection des trames de gestion (MFP) d'infrastructure avec WLC et LAP

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document présente une nouvelle fonctionnalité de sécurité dans le sans fil appelé Management Frame Protection (MFP). Ce document décrit également comment configurer MFP dans des périphériques d'infrastructure, tels que des points d'accès léger (LAP) et des contrôleurs de réseau local sans fil (WLC).

Conditions préalables

Conditions requises

  • La connaissance de la façon configurer le WLC et ENROULER pour le fonctionnement de base

  • Connaissance de base des trames de Gestion d'IEEE 802.11

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme Cisco 2000 WLC qui exécute la version de microprogramme 4.1

  • RECOUVREMENT de Cisco 1131AG

  • Adaptateur de client de Cisco Aironet 802.11a/b/g qui exécute la version de microprogramme 3.6

  • Version 3.6 de Cisco Aironet Desktop Utility

Remarque: MFP est pris en charge de la version 4.0.155.5 WLC et plus tard, bien que la version 4.0.206.0 fournisse aux performances optimales MFP. Le client MFP est pris en charge sur la version 4.1.171.0 et en haut.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Dans le 802.11, les trames de Gestion telles que l'authentification (De), l'association (de dis), les balises, et les sondes sont toujours unauthenticated et décryptées. En d'autres termes, des trames de Gestion de 802.11 sont toujours introduites une manière sans garantie, à la différence du trafic de données, qui sont chiffrées avec des protocoles tels que le WPA, le WPA2, ou, au moins, le WEP, et ainsi de suite.

Ceci permet à un attaquant pour charrier une trame de Gestion d'AP pour attaquer un client qui est associé à AP. Avec les trames charriées de Gestion, un attaquant peut exécuter ces actions :

  • Exécutez un Déni de service (DOS) sur le WLAN

  • Tentez un homme dans l'attaque moyenne sur le client quand elle rebranche

  • Exécutez une attaque par dictionnaire hors ligne

MFP surmonte ces pièges quand il authentifie des trames de Gestion de 802.11 permutées dans l'infrastructure réseau Sans fil.

Remarque: Ce document se concentre sur l'infrastructure et le client MFP.

Remarque: Il y a certaines restrictions pour que quelques clients sans fil communiquent avec les périphériques d'infrastructure MFP-activés. MFP ajoute un long ensemble d'éléments d'information à chaque demande de sonde ou à balise SSID. Certains clients sans fil tels que des PDA, des smartphones, des scanners de code barre, et ainsi de suite ont limité la mémoire et la CPU. Ainsi vous ne pouvez pas traiter ces demandes ou balises. En conséquence, vous ne voyez pas le SSID entièrement, ou vous ne pouvez pas s'associer avec ces périphériques d'infrastructure, dus au malentendu des capacités SSID. Cette question n'est pas spécifique à MFP. Ceci se produit également avec n'importe quel SSID qui a les plusieurs éléments d'information (IES). Il est toujours recommandé de tester le SSID activé par MFP sur l'environnement avec tous vos types disponibles de client avant que vous le déployiez en temps réel.

Remarque: 

Ce sont les composants de l'infrastructure MFP :

  • Protection de trame de Gestion — Quand la protection de trame de Gestion est activée, AP ajoute l'élément d'information de contrôle d'intégrité des messages (IE MIC) à chaque trame de Gestion qu'il transmet. N'importe quelle tentative de copier, modifier, ou rejouer la trame infirme la MIC. AP, qui est configuré pour valider des trames MFP reçoit une trame avec la MIC non valide, la signale au WLC.

  • Validation de trame de Gestion — Quand la validation de trame de Gestion est activée, AP valide chaque trame de Gestion qu'il reçoit d'autres aps dans le réseau. Il s'assure que l'IE MIC est présent (quand le créateur est configuré pour transmettre des trames MFP) et apparie le contenu de la trame de Gestion. S'il reçoit n'importe quelle trame qui ne contient pas un IE MIC valide d'un BSSID qui appartient à AP, qui est configuré pour transmettre des trames MFP, il signale l'anomalie au système d'administration de réseaux.

    Remarque: Pour que les horodateurs fonctionnent correctement, tout le WLCs doit être Protocole NTP (Network Time Protocol) synchronisé.

  • Enregistrement d'événement — Le Point d'accès informe le WLC quand il détecte une anomalie. WLC agrège les événements anormaux et les signale par des déroutements SNMP au gestionnaire de réseau.

Fonctionnalité de l'infrastructure MFP

Avec MFP, toutes les trames de Gestion sont cryptographiquement hachées pour créer un Message Integrity Check (MIC). La MIC est ajoutée à l'extrémité de la trame (avant le Frame Check Sequence (FCS)).

  • En architecture Sans fil centralisée, l'infrastructure MFP est activer/sur le WLC (configuration globale). La protection peut être sélectivement désactivée par WLAN, et la validation peut être sélectivement désactivée par AP.

  • La protection peut être désactivée sur les WLAN qui sont utilisés par les périphériques qui ne peuvent pas faire face à l'IES supplémentaire.

  • La validation doit être désactivée sur les aps qui sont surchargés ou maîtrisés.

Quand MFP est activé sur un ou plusieurs WLAN configurés dans le WLC, le WLC envoie une seule clé à chaque radio sur chaque AP enregistré. Des trames de Gestion sont envoyées par AP au-dessus des WLAN MFP-activés. Ces aps sont étiquetés avec un IE de la protection MIC de trame. N'importe quelle tentative de modifier la trame infirme le message, qui entraîne AP de réception qui est configuré pour détecter des trames MFP pour signaler l'anomalie au contrôleur WLAN.

C'est un processus pas à pas de MFP tandis que mis en application dans un environnement errant :

  1. Le MFP globalement étant activé, le WLC génère une seule clé pour chaque AP/WLAN qui est configuré pour MFP. WLCs communiquent dans eux-mêmes de sorte que tout le WLCs connaissent les clés pour tous les aps/BSS dans un domaine de mobilité.

    Remarque: Tous les contrôleurs dans un groupe mobility/RF doivent avoir MFP configuré identiquement.

  2. Quand AP reçoit une trame protégée par MFP pour un BSS qu'elle ne connaît pas, elle met en mémoire tampon une copie de la trame et questionne le WLC pour obtenir la clé.

  3. Si le BSSID n'est pas connu sur le WLC, il renvoie le message « BSSID inconnu » à AP, et AP relâche les trames de Gestion reçues de ce BSSID.

  4. Si le BSSID est connu sur le WLC, mais MFP est désactivé sur ce BSSID, le WLC renvoie « un BSSID handicapé. » AP suppose alors que toutes les trames de Gestion reçues de ce BSSID n'ont pas un MFP MIC.

  5. Si le BSSID est connu et a MFP activé, le WLC renvoie la clé MFP à AP de demande (au-dessus du tunnel de Gestion LWAPP chiffré par AES).

  6. AP cache des clés reçues de cette façon. Cette clé est utilisée pour valider ou ajouter l'IE MIC.

Fonctionnalité du client MFP

Le client MFP protège les clients authentifiés des trames charriées, qui empêche l'efficacité de plusieurs des attaques communes contre des réseaux locaux Sans fil. La plupart des attaques, telles que des attaques de deauthentication, retournent à la représentation simplement dégradée quand elles font face aux clients valides.

Spécifiquement, le client MFP chiffre des trames de Gestion envoyées entre des clients Points d'accès et CCXv5 de sorte que les Points d'accès et les clients puissent prendre une mesure préventive et la classe charriée par baisse 3 trames de Gestion (c'est-à-dire, trames de Gestion passées entre un Point d'accès et un client qui est authentifié et associé). Le client MFP accroît les mécanismes de sécurité définis par IEEE 802.11i pour protéger ces types de trames de Gestion d'unicast de la classe 3 : dissassociation, deauthentication, et action de QoS (WMM). Le client MFP peut protéger une session de point d'accès client contre le type le plus commun d'attaque par déni de service. Il protège des trames de Gestion de la classe 3 avec la même méthode de cryptage utilisée pour les trames de données de la session. Si une trame reçue par le Point d'accès ou le client échoue déchiffrement, elle est lâchée, et l'événement est signalé au contrôleur.

Afin d'utiliser le client MFP, les clients doivent prendre en charge CCXv5 MFP et doivent être en pourparlers le WPA2 avec le TKIP ou l'AES-CCMP. L'EAP ou le PSK peut être utilisé pour obtenir le PMK. CCKM et gestion de la mobilité de contrôleur sont utilisés pour distribuer des clés de session entre les Points d'accès ou l'itinérance rapide de la couche 2 et de la couche 3.

Afin d'empêcher des attaques contre des trames d'émission, les Points d'accès qui prennent en charge CCXv5 n'émettent aucune trame de Gestion de la classe 3 d'émission (telle que la dissassociation, le deauthentication, ou l'action). Les clients CCXv5 et les Points d'accès doivent jeter des trames de Gestion de la classe 3 d'émission.

Le client MFP complète l'infrastructure MFP plutôt que la remplace parce que l'infrastructure MFP continue à détecter et signaler les trames de monodiffusion non valides envoyées aux clients qui ne sont pas client-MFP capable, aussi bien qu'aux trames non valides de Gestion de la classe 1 et 2. L'infrastructure MFP est appliquée seulement aux trames de Gestion qui ne sont pas protégées par le client MFP.

Composants du client MFP

Le client MFP se compose de ces composants :

  • Génération de clés et distribution

  • Protection et validation des trames de Gestion

  • États d'erreur

Génération de clés et distribution

Le client MFP n'utilise pas les mécanismes de génération de clés et de distribution qui ont été dérivés pour l'infrastructure MFP. Au lieu de cela, le client MFP accroît les mécanismes de sécurité définis par IEEE 802.11i pour protéger également des trames de Gestion d'unicast de la classe 3. Les stations doivent prendre en charge CCXv5 et doivent négocier le TKIP ou l'AES-CCMP pour utiliser MFP cient. L'EAP ou le PSK peut être utilisé pour obtenir le PMK.

Protection des trames de Gestion

Des trames de Gestion de la classe 3 d'Unicast sont protégées avec l'application d'AES-CCMP ou de TKIP d'une manière semblable à cela déjà utilisé pour des trames de données. Des parties de l'en-tête de trame sont copiées dans le composant chiffré de charge utile de chaque trame pour la protection ajoutée, comme évoqué dans les sections suivantes.

Ces types de trame sont protégés :

  • Dissassociation

  • Deauthentication

  • Vidéotex de QoS (WMM)

Les trames de données AES-CCMP- et TKIP-protégée incluent un compteur d'ordre dans les domaines IV, qui est utilisé pour empêcher la détection de rediffusion. Le courant transmettent le compteur est utilisé pour des données et des trames de Gestion, mais un nouveau reçoit le compteur est utilisé des trames de Gestion. Les compteurs de réception sont testés pour s'assurer que chaque trame a un nombre supérieur que la dernière trame reçue (pour s'assurer que les trames sont seules et avoir été rejoué), ainsi elle n'importe pas que ce schéma rende les valeurs reçues non séquentielles.

États d'erreur

Des mécanismes de l'enregistrement MFP-1 sont utilisés pour signaler des erreurs de De-encapsulation de trame de Gestion détectées par des Points d'accès. C'est-à-dire, le WLC collecte des statistiques sur les erreurs de validation MFP et des informations périodiquement en avant assemblées au WCS.

Des erreurs de violation MFP détectées par des stations client sont manipulées par l'itinérance CCXv5 et la caractéristique de diagnostics en temps réel et ne sont pas à portée de ce document.

Management Frame Protection d'émission

Afin d'empêcher les attaques qui utilisent des trames d'émission, les aps qui prennent en charge CCXv5 ne transmettent aucune trame de Gestion de la classe 3 d'émission (c'est-à-dire, disassoc, deauth ou action) excepté les trames escrocs de deauthentication/dissassociation de retenue. Les stations client CCXv5 capables doivent jeter des trames de Gestion de la classe 3 d'émission. On assume que des sessions MFP sont dans un réseau correctement sécurisé (authentification poussée plus le TKIP ou le CCMP) ainsi la négligence pour des émissions escrocs de retenue n'est pas une question.

De même, trames de Gestion de diffusion en entrée d'écart aps. Aucune trame de Gestion de diffusion en entrée n'est actuellement prise en charge, ainsi aucune modification du code n'est exigée pour ceci.

Plates-formes prises en charge

Ces Plateformes sont prises en charge :

  • Contrôleurs WLAN

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 avec le contrôleur 440x encastré

    • Routeurs 26/28/37/38xx

  • Points d'accès LWAPP

    • AP 1000

    • AP 1100, 1130

    • AP 1200, 1240, 1250

    • AP 1310

  • Logiciel client

    • ADU 3.6.4 et en haut

  • Systèmes de gestion de réseaux

    • WCS

1500 la maille LWAPP AP n'est pas prise en charge dans cette release.

Modes pris en charge

les Points d'accès basés sur LWAPP qui fonctionnent en ces modes prennent en charge le client MFP :

Modes de Point d'accès pris en charge
Mode Support du client MFP
Gens du pays Oui
Moniteur Non
Renifleur Non
Détecteur escroc Non
Hybride REAP Oui
REAP Non
Racine de passerelle Oui
WGB Non

Support mélangé de cellules

Les stations client qui ne sont pas CCXv5 capables peuvent s'associer avec un MFP-2 WLAN. Les Points d'accès maintiennent quels clients sont MFP-2 capables et ce qui ne sont pas afin de déterminer si des mesures de sécurité MFP-2 sont appliquées aux trames sortantes de Gestion d'unicast et prévues sur les trames d'arrivée de Gestion d'unicast.

Configurez

Configurez MFP sur un contrôleur

Vous pouvez globalement configurer MFP sur un contrôleur. Quand vous faites ainsi, la protection et la validation de trame de Gestion sont activées par défaut pour chaque Point d'accès joint, et l'authentification de Point d'accès est automatiquement désactivée.

Exécutez ces étapes pour configurer MFP globalement sur un contrôleur.

  1. Dans l'interface graphique du contrôleur, cliquez sur Security. Dans l'écran résultant, clic AP Authentication/MFP dans le cadre des stratégies de protection sans fil.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp14.gif

  2. Dans la stratégie d'authentification AP, choisissez le Management Frame Protection du menu déroulant de type de protection et cliquez sur Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp15.gif

Configurez MFP sur le WLAN

Vous pouvez également activer/la protection de l'infrastructure MFP et le client MFP sur chaque WLAN configuré sur le WLC. Chacun des deux sont activés par défaut bien que la protection de l'infrastructure MFP, qui est seulement en activité si globalement activée, et le client MFP soit seulement en activité si le WLAN est configuré avec la Sécurité WPA2. Suivez ces étapes afin d'activer MFP sur un WLAN : :

  1. Du GUI WLC, le clic WLAN et cliquent sur New afin de créer un nouveau WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp11.gif

  2. Sur les WLAN éditez la page, allez à l'onglet Avancé et cochez la case de protection de l'infrastructure MFP pour activer l'infrastructure MFP sur ce WLAN. Afin de désactiver le proection de l'infrastructure MFP pour ce WLAN, décochez cette case. Afin d'activer le client MFP, choisissez l'option requise ou facultative du menu déroulant. Si vous choisissez le client MFP= prié, assurez-vous que tous vos clients ont le soutien de MFP-2 ou ils ne peuvent pas se connecter. Si vous choisissez facultatif, MFP et clients activés par non-MFP peuvent se connecter sur le même WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp18.gif

Vérifiez

Afin de vérifier les configurations MFP du GUI, Management Frame Protection de clic dans le cadre des stratégies de protection sans fil de la page de Sécurité. Ceci vous porte à la page Settings MFP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp13.gif

Dans la page Settings MFP, vous pouvez voir la configuration MFP sur le WLC, le RECOUVREMENT, et le WLAN. Voici un exemple :

  • Le champ de Management Frame Protection affiche si MFP est activé globalement pour le WLC.

  • Le champ valide de source temporelle de contrôleur indique si le temps WLC est placé localement (par la saisie manuelle du temps) ou par une source externe (telle qu'un serveur de NTP). Si l'heure est placée par une source externe, la valeur de ce champ est « rectifient. » Si l'heure est placée localement, la valeur est « fausse. » La source temporelle est utilisée pour valider des trames de Gestion entre les Points d'accès de WLCs différent qui ont également la mobilité configurée.

    Remarque: Si MFP est activé sur tout le WLCs dans un groupe mobility/RF, on le recommande toujours que vous utilisiez un serveur de NTP pour placer le temps WLC à un groupe de mobilité.

  • Le champ de protection MFP affiche si MFP est activé pour différents WLAN.

  • Le champ de validation MFP affiche si MFP est activé pour des points d'accès individuel.

Ces commandes show peuvent être utiles :

  • show wps summary — Employez cette commande afin de voir un résumé des stratégies en cours de protection sans fil (qui inclut MFP) du WLC.

  • résumé de show wps mfp — Afin de voir la configuration globale en cours MFP du WLC, sélectionnez cette commande.

  • show ap config general AP_name — Afin de voir l'état du courant MFP pour un Point d'accès particulier, sélectionnez cette commande.

C'est un exemple de la sortie de la commande d'AP_name de show ap config general :

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




C'est un exemple de la sortie de la commande récapitulative de show wps mfp :

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Ces commandes de débogage peuvent être utiles ;

  • lwapp de mfp de debug wps — Les expositions mettent au point les informations pour des messages MFP.

  • détail de mfp de debug wps — Les expositions détaillées mettent au point les informations pour des messages MFP.

  • état de mfp de debug wps — Les expositions mettent au point les informations pour l'enregistrement MFP.

  • mfp millimètres de debug wps — Les expositions mettent au point les informations pour des messages de mobilité MFP (inter-contrôleur).

Remarque: Il y a également plusieurs analyseurs de paquets Sans fil libres fournis par l'Internet, qui peut être utilisé pour capturer et analyser les trames de Gestion de 802.11. Quelques analyseurs de paquets d'exemple sont Omnipeek et Wireshark.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 82196