Tecnología inalámbrica / Movilidad : Seguridad de WLAN

Protección de la trama de la Administración de la infraestructura (MFP) con el ejemplo de configuración del WLC y del REVESTIMIENTO

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Mayo 2008) | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Este documento presenta una nueva función de seguridad inalámbrica llamada Management Frame Protection (MFP). Este documento también describe cómo configurar MFP en dispositivos de infraestructura como Lightweight Access Points (LAP) y Controladores de LAN inalámbricos (WLC).

prerrequisitos

Requisitos

  • Conocimiento de cómo configurar el WLC y TRASLAPAR para la operación básica

  • Conocimiento básico de los bastidores de la Administración del IEEE 802.11

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de las Cisco 2000 Series que funciona con la versión de firmware 4.1

  • REVESTIMIENTO de Cisco 1131AG

  • Adaptador del cliente del Cisco Aironet 802.11a/b/g que funciona con la versión de firmware 3.6

  • Versión utilidad de escritorio 3.6 del Cisco Aironet

Nota: MFP se soporta de la versión 4.0.155.5 del WLC y posterior, aunque la versión 4.0.206.0 proporcione el rendimiento óptimo con MFP. Soportan al cliente MFP en la versión 4.1.171.0 y arriba.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

En el 802.11, las tramas de la Administración tales como autenticación (de), la asociación (del dis), los faros, y las sondas son siempre unauthenticated y unencrypted. Es decir las tramas de la Administración del 802.11 se envían siempre de una manera sin garantía, a diferencia del tráfico de datos, que se cifran con los protocolos tales como WPA, WPA2, o, por lo menos, WEP, y así sucesivamente.

Esto permite que a atacante al spoof una trama de la Administración del AP ataque a un cliente que se asocie a un AP. Con las tramas de la Administración del spoofed, un atacante puede realizar estas acciones:

  • Funcione con una negación de servicio (DOS) en la red inalámbrica (WLAN)

  • Intente a un hombre en el ataque medio en el cliente cuando vuelve a conectar

  • Funcione con un establecimiento de diccionario offline

MFP supera estas trampas cuando autentica las tramas de la Administración del 802.11 intercambiadas en la infraestructura de red inalámbrica.

Nota: Este documento se centra en la infraestructura y el cliente MFP.

Nota: Hay ciertas restricciones para que algunos clientes de red inalámbrica comuniquen con los dispositivos de infraestructura MFP-habilitados. MFP agrega un conjunto largo de los elementos de información a cada petición de la sonda o al faro SSID. Algunos clientes de red inalámbrica tales como PDA, los smartphones, los escáneres del código de barras, y así sucesivamente han limitado la memoria y el CPU. Usted no puede tan procesar estas peticiones o faros. Como consecuencia, usted no puede ver el SSID totalmente, o usted no puede asociarse a estos dispositivos de infraestructura, debido al malentendido de las capacidades SSID. Este problema no es específico a MFP. Esto también ocurre con cualquier SSID que tenga elementos de información múltiples (IE). Es siempre recomendable probar los SSID habilitados MFP en el entorno con todos sus tipos de cliente disponibles antes de que usted lo despliegue en el tiempo real.

Nota: 

Éstos son los componentes de la infraestructura MFP:

  • Protección de la trama de la Administración — Cuando se habilita la protección de la trama de la Administración, el AP agrega el elemento de información del Message Integrity Check (MIC IE) a cada trama de la Administración que transmite. Cualquier tentativa de copiar, altera, o juega de nuevo la trama invalida el MIC. Un AP, que se configura para validar las tramas MFP recibe una trama con el MIC inválido, lo señala al WLC.

  • Validación de la trama de la Administración — Cuando se habilita la validación de la trama de la Administración, el AP valida cada trama de la Administración que reciba de otros AP en la red. Se asegura de que el MIC IE esté presente (cuando configuran al terminal original para transmitir las tramas MFP) y hace juego el contenido del bastidor de la Administración. Si recibe cualquier trama que no contenga un MIC válido IE de un BSSID que pertenezca a un AP, que se configura para transmitir las tramas MFP, señala la discrepancia al sistema de administración de red.

    Nota: Para que los grupos fecha/hora actúen correctamente, todo el WLCs debe ser Network Time Protocol (NTP) sincronizado.

  • Información del evento — El Punto de acceso notifica el WLC cuando detecta una anomalía. El WLC agrega los eventos anómalos y los señala con el SNMP traps al administrador de la red.

Funciones de la infraestructura MFP

Con MFP, todas las tramas de la Administración se desmenuzan criptográficamente para crear un Message Integrity Check (MIC). El MIC se agrega al final del bastidor (antes de la Secuencia de verificación de tramas (FCS)).

  • En una arquitectura inalámbrica centralizada, la infraestructura MFP se habilita/se inhabilita en el WLC (configuración global). La protección se puede inhabilitar selectivamente por la red inalámbrica (WLAN), y la validación se puede inhabilitar selectivamente por el AP.

  • La protección se puede inhabilitar en los WLAN que son utilizados por los dispositivos que no pueden hacer frente a los IE adicionales.

  • La validación se debe inhabilitar en los AP se sobrecargan o se dominan que.

Cuando MFP se habilita en uno o más WLAN configurados en el WLC, el WLC envía una clave única a cada radio en cada AP registrado. Las tramas de la Administración son enviadas por el AP sobre los WLAN MFP-habilitados. Estos AP se etiquetan con una protección MIC IE de la trama. Cualquier tentativa de alterar la trama invalida el mensaje, que causa el AP de recepción que se configura para detectar las tramas MFP para señalar la discrepancia al controlador de WLAN.

Éste es un proceso gradual de MFP mientras que está implementado en un entorno de itinerancia:

  1. Con MFP global habilitado, el WLC genera una clave única para cada AP/red inalámbrica (WLAN) que se configure para MFP. El WLCs comunica dentro de ellos mismos de modo que todo el WLCs conozca las claves para todos los AP/BSSs en un dominio de la movilidad.

    Nota: Todos los reguladores en un grupo mobility/RF deben tener MFP configurado idénticamente.

  2. Cuando un AP recibe una trama protegida MFP para un BSS que no conozca alrededor, mitiga una copia del bastidor y pregunta el WLC para conseguir la clave.

  3. Si el BSSID no se sabe en el WLC, vuelve el mensaje “BSSID desconocido” al AP, y el AP cae las tramas de la Administración recibidas de ésa BSSID.

  4. Si el BSSID se sabe en el WLC, pero MFP se inhabilita en ése BSSID, el WLC vuelve un “BSSID discapacitado.” El AP entonces asume que todas las tramas de la Administración recibidas de ésa BSSID no tienen un MFP MIC.

  5. Si el BSSID se sabe y tiene MFP habilitado, el WLC vuelve la clave MFP al AP solicitante (sobre el túnel cifrado AES de la Administración del LWAPP).

  6. El AP oculta las claves recibidas de esta manera. Esta clave se utiliza para validar o para agregar MIC IE.

Funciones del cliente MFP

El cliente MFP blinda a los clientes autenticados de las tramas del spoofed, que previene la eficacia de muchos de los ataques comunes contra la Tecnología inalámbrica LAN. La mayoría de los ataques, tales como ataques del deauthentication, invierten simplemente al rendimiento disminuido cuando afirman con los clientes válidos.

Específicamente, el cliente MFP cifra las tramas de la Administración enviadas entre los clientes Puntos de acceso y CCXv5 de modo que los Puntos de acceso y los clientes puedan tomar la clase del spoofed de la acción preventiva y del descenso 3 tramas de la Administración (es decir, tramas de la Administración pasajeras entre un Punto de acceso y un cliente se autentica y se asocia que). El cliente MFP leverages los mecanismos de seguridad definidos por IEEE 802.11i para proteger estos tipos de bastidores de la Administración del unicast de la clase 3: desasociación, deauthentication, y acción de QoS (WMM). El cliente MFP puede proteger una sesión de la punta de acceso al cliente contra la mayoría del tipo común de establecimiento de rechazo del servicio. Protege las tramas de la Administración de la clase 3 con el mismo método de encripción usado para los marcos de datos de la sesión. Si una trama recibida por el Punto de acceso o el cliente falla el desciframiento, se cae, y el evento está señalado al regulador.

Para utilizar al cliente MFP, los clientes deben soportar CCXv5 MFP y deben negociar el WPA2 con el TKIP o AES-CCMP. El EAP o el PSK se puede utilizar para obtener el PMK. Utilizan el CCKM y a la Administración de movilidad del regulador para distribuir las claves de la sesión entre los Puntos de acceso o la capa 2 y la capa 3 rápidamente que vaga por.

Para prevenir los ataques contra las tramas de broadcast, los Puntos de acceso que soportan CCXv5 no emiten ninguna tramas de la Administración de la clase 3 del broadcast (tales como desasociación, deauthentication, o acción). Los clientes CCXv5 y los Puntos de acceso deben desechar las tramas de la Administración de la clase 3 del broadcast.

El cliente MFP complementa la infraestructura MFP bastante que la porque la infraestructura MFP continúa detectando y señalando las tramas de unidifusión inválidas enviadas a los clientes que no son cliente-MFP capaz, así como a las tramas inválidas de la Administración de la clase 1 y 2. La infraestructura MFP se aplica solamente a las tramas de la Administración que no son protegidas por el cliente MFP.

Componentes del cliente MFP

El cliente MFP consiste en estos componentes:

  • Generación de claves y distribución

  • Protección y validación de los bastidores de la Administración

  • Informes de error

Generación de claves y distribución

El cliente MFP no utiliza la generación de claves y los mecanismos de distribución que fueron derivados para la infraestructura MFP. En lugar, el cliente MFP leverages los mecanismos de seguridad definidos por IEEE 802.11i también para proteger las tramas de la Administración del unicast de la clase 3. Las estaciones deben soportar CCXv5 y deben negociar el TKIP o AES-CCMP utilizar MFP cient. El EAP o el PSK se puede utilizar para obtener el PMK.

Protección de los bastidores de la Administración

Las tramas de la Administración de la clase 3 del unicast se protegen con la aplicación de AES-CCMP o el TKIP de la misma manera a eso usado ya para los marcos de datos. Copian a las partes del encabezado de trama en el componente cifrado del payload de cada bastidor para la protección añadida, como se debate en las siguientes secciones.

Protegen a estos tipos de trama:

  • Desasociación

  • Deauthentication

  • Tramas de acción de QoS (WMM)

Los marcos de datos AES-CCMP- y TKIP-protegida incluyen un contador de secuencia en los campos IV, que se utiliza para prevenir la detección de la respuesta. La corriente transmite al revés se utiliza para los datos y las tramas de la Administración, pero un nuevo recibe al revés se utiliza para las tramas de la Administración. Los contadores de la recepción se prueban para asegurarse de que cada trama tienen un número más elevado que la trama recibida más reciente (asegurarse de que las tramas son únicas y haber sido jugado de nuevo), así que no importa que este esquema haga los valores recibidos ser no sequenciales.

Informes de error

Los mecanismos de generación de informes MFP-1 se utilizan para señalar los errores de la de-encapsulación de la trama de la Administración detectados por los Puntos de acceso. Es decir, el WLC recoge las estadísticas del error de validación MFP y la información periódicamente adelante clasificada al WCS.

Los errores de violación MFP detectados por las estaciones del cliente son manejados por la itinerancia CCXv5 y la característica de diagnósticos en tiempo real y no están en el ámbito de este documento.

Protección de la trama de la Administración del broadcast

Para prevenir los ataques que utilizan las tramas de broadcast, los AP que soportan CCXv5 no transmiten ninguna tramas de la Administración de la clase 3 del broadcast (es decir, disassoc, deauth o acción) a excepción de las tramas rogue del deauthentication/de la desasociación de la contención. Las estaciones del cliente capaces CCXv5 deben desechar las tramas de la Administración de la clase 3 del broadcast. Las sesiones MFP se asumen para estar en correctamente una red segura (autenticación robusta más el TKIP o el CCMP) así que la indiferencia para los broadcasts rogue de la contención no es un problema.

Semejantemente, los AP desechan las tramas de la Administración del broadcast entrante. No se soporta ningunas tramas de la Administración del broadcast entrante actualmente, así que no se requiere ningunos cambios del código para esto.

Plataformas Soportadas

Se soportan estas Plataformas:

  • Controladores de WLAN

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 con el regulador integrado 440x

    • Routers 26/28/37/38xx

  • Puntos de acceso del LWAPP

    • AP 1000

    • AP1100, 1130

    • AP1200, 1240, 1250

    • AP 1310

  • Software de cliente

    • ADU 3.6.4 y arriba

  • Sistemas de administración de la red

    • WCS

Los 1500 LWAPP AP de la malla no se soportan en esta versión.

Modos soportados

los Puntos de acceso Lwapp-basados que actúan en estos modos apoyan al cliente MFP:

Modos de punto de acceso soportados
Modo Soporte del cliente MFP
Local
Monitor No
Sniffer No
Detector rogue No
El híbrido COSECHA
COSECHE No
Raíz del Bridge
WGB No

Soporte mezclado de la célula

Las estaciones del cliente que no son CCXv5 capaces pueden asociarse a una red inalámbrica (WLAN) MFP-2. Los Puntos de acceso no pierden de vista qué clientes son MFP-2 capaces y cuáles no son para determinar si las medidas de seguridad MFP-2 están aplicadas a las tramas salientes de la Administración del unicast y esperadas en las tramas entrantes de la Administración del unicast.

Configurar

Configuración MFP en un regulador

Usted puede global configurar MFP en un regulador. Cuando usted lo hace así pues, la protección y la validación de la trama de la Administración se habilitan por abandono para cada Punto de acceso unido, y la autenticación del Punto de acceso se inhabilita automáticamente.

Realice estos pasos para configurar MFP global en un regulador.

  1. Del regulador GUI, haga clic la Seguridad. En la pantalla resultante, haga clic AP Authentication/MFP bajo directivas inalámbricas de la protección.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp14.gif

  2. En la política de autenticación AP, elija la protección del capítulo de la Administración contra el menú desplegable del tipo de protección y el tecleo se aplica.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp15.gif

Configuración MFP en la red inalámbrica (WLAN)

Usted puede también habilitar/la protección y el cliente MFP de la infraestructura MFP de la neutralización en cada red inalámbrica (WLAN) configurada en el WLC. Ambos se habilitan por abandono aunque la protección de la infraestructura MFP, que es solamente activa si global está habilitada, y el cliente MFP es solamente activos si la red inalámbrica (WLAN) se configura con la Seguridad WPA2. Siga los siguientes pasos para habilitar MFP en una red inalámbrica (WLAN)::

  1. Del WLC GUI, haga clic los WLAN y haga clic nuevo para crear una nueva red inalámbrica (WLAN).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp11.gif

  2. En los WLAN edite la página, vaya a la ficha Avanzadas y marque la casilla de verificación de la protección de la infraestructura MFP para habilitar la infraestructura MFP en esta red inalámbrica (WLAN). Para inhabilitar el proection de la infraestructura MFP para esta red inalámbrica (WLAN), desmarque esta casilla de verificación. Para habilitar al cliente MFP, elija la opción requerida u opcional del menú desplegable. Si usted elige al cliente MFP= requerido, aseegurese que todos sus clientes tienen soporte para MFP-2 o no pueden conectar. Si usted elige opcional, MFP y los clientes habilitados NON-MFP pueden conectar en la misma red inalámbrica (WLAN).

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp18.gif

Verificación

Para verificar las configuraciones MFP del GUI, haga clic la protección del capítulo de la Administración bajo directivas inalámbricas de la protección contra la página Seguridad. Esto le lleva a la página Configuración MFP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp13.gif

En la página Configuración MFP, usted puede ver la configuración MFP en el WLC, el REVESTIMIENTO, y la red inalámbrica (WLAN). Esto es un ejemplo.

  • El campo de la protección del capítulo de la Administración muestra si MFP se habilita global para el WLC.

  • El campo válido de la fuente horaria del regulador indica si el tiempo del WLC está fijado localmente (por la entrada manual del tiempo) o con una fuente externa (tal como un servidor NTP). Si la hora es fijada por una fuente externa, el valor de este campo es “verdad.” Si la hora se fija localmente, el valor es “falso.” La fuente horaria se utiliza para validar las tramas de la Administración entre los Puntos de acceso de diverso WLCs que también tienen movilidad configurada.

    Nota: Si MFP se habilita en todo el WLCs en un grupo mobility/RF, se recomienda siempre que usted utiliza a un servidor NTP para fijar el tiempo del WLC en un grupo de la movilidad.

  • El campo de la protección MFP muestra si MFP se habilita para los WLAN individuales.

  • El campo de la validación MFP muestra si MFP se habilita para los puntos de acceso individual.

Estos comandos show pueden ser útiles:

  • muestre el resumen de los wps — Utilice este comando para ver un resumen de las directivas inalámbricas actuales de la protección (que incluya MFP) del WLC.

  • muestre el resumen del mfp de los wps — Para ver la configuración global actual MFP del WLC, ingrese este comando.

  • muestre a general AP_name de los config ap — Para ver el estado actual MFP para un Punto de acceso determinado, ingrese este comando.

Éste es un ejemplo de la salida del comando de general AP_name de los config ap de la demostración:

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




Éste es un ejemplo de la salida del comando summary del mfp de los wps de la demostración:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Estos comandos debug pueden ser útiles;

  • lwapp del mfp de los wps del debug — Información del debug de las demostraciones para los mensajes MFP.

  • detalle del mfp de los wps del debug — Información detallada demostraciones del debug para los mensajes MFP.

  • informe del mfp de los wps del debug — Información del debug de las demostraciones para la información MFP.

  • mfp milímetros de los wps del debug — Información del debug de las demostraciones para los mensajes de la movilidad MFP (inter-regulador).

Nota: Hay también varios sabuesos de paquete inalámbricos libres disponible desde Internet, que se puede utilizar para capturar y para analizar las tramas de la Administración del 802.11. Algunos sabuesos de paquete del ejemplo son Omnipeek y Wireshark.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 82196