Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

Ejemplo de configuración de la protección de tramas de administración (MFP) de infraestructura con WLC y LAP

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (21 Enero 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Convenciones
Antecedentes
Funcionalidad de MFP
Configuración
      Configuración de MFP en un controlador
      Configuración de MFP en LAP
      Configuración de MFP en WLAN
Verificación
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento introduce una nueva característica de seguridad en la red inalámbrica llamada protección de tramas de administración (MFP). Este documento también describe cómo configurar la MFP en dispositivos de la infraestructura, tales como puntos de acceso ligeros (LAP) y controladores para redes LAN inalámbricas (WLC).

Requisitos previos

Requerimientos

  • Tener conocimiento de cómo configurar WLC y LAP para funcionamiento básico

  • Tener conocimiento básico de las tramas de administración IEEE 802.11

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de la serie 2000 de Cisco que utiliza ejecuta firmware versión 4.0

  • LAP 1131AG de Cisco

  • Adaptador de cliente 802.11a/b/g de Cisco Aironet que ejecuta firmware versión 2.5

  • Cisco Aironet Desktop Utility versión 2.5

Nota: MFP se admite en el controlador versión 4.0.155.5 y posteriores, aunque la versión 4.0.206.0 proporciona el mejor rendimiento con MFP.

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

El protocolo 802.11 incluye tramas de administración (como la autenticación y su anulación, la asociación y su anulación, señalizaciones, sondeos) que siempre están sin autenticar ni cifrar, incluso cuando se utilizan los niveles de seguridad de WLAN más altos (como WPA, WPA2 o VPN). Es decir, las tramas de administración 802.11 se envían siempre de manera no segura, a diferencia del tráfico de datos que se cifra con protocolos como WPA, WPA2 o WEP como mínimo, etc.

Esto permite al atacante simular una trama de administración desde el AP para atacar al cliente, que está asociado a un AP. Con las tramas de administración simuladas un atacante puede realizar las siguientes acciones:

  • Ejecutar una denegación de servicio (DOS) en la WLAN

  • Intentar un ataque por interceptación en al cliente cuando se vuelve a conectar

  • Ejecutar un ataque de diccionario fuera de línea

La MFP supera estas trampas de seguridad con la autenticación de las tramas de administración 802.11 intercambiadas en la infraestructura de la red inalámbrica.

Nota: El presente documento se centra en la MFP versión 1 actualmente disponible, denominada Infrastructure MFP, en la que los AP validan los paquetes de administración emitidos por otros AP.

Nota: La MFP sólo se puede activar en los dispositivos de la infraestructura, no en los clientes. Los clientes reciben las tramas de administración con un elemento informativo (IE) adicional que no entienden, por lo que descartan estos IE. Puesto que los clientes no pueden participar en la MFP y no están protegidos por ella, son vulnerables al ataque de simulación de las tramas de administración a las que están asociados los AP de los clientes. Aunque los clientes sigan siendo vulnerables, los AP que ejecutan tramas de administración de supervisor MFP y pueden detectar las tramas de administración simuladas enviadas al cliente, son capaces de generar inmediatamente una alerta IDS.

Nota: Existen ciertas restricciones para algunos clientes inalámbricos en cuanto a la comunicación con los dispositivos de la infraestructura que tienen activada la MFP.

  • Algunos clientes inalámbricos, como PDA, smartphones (teléfonos inteligentes), lectores de código de barras, etc., tienen memoria y CPU limitadas. Puesto que la MFP agrega un gran conjunto de elementos de información a cada solicitud de sondeo o señalización SSID, estos clientes no son capaces de procesar dichas solicitudes o señalizaciones. Como resultado, estos clientes no pueden ver el SSID completo, o bien no se pueden asociar a estos dispositivos de la infraestructura, debido al malentendido de las capacidades SSID. Este problema no es exclusivo de la MFP. Lo mismo ocurre con cualquier SSID que tiene múltiples IE.

  • Algunos clientes inalámbricos intentan analizar el elemento de información MFP, aunque la MFP no es una característica admitida en el lado del cliente. Esto puede provocar algunos problemas del lado del cliente.

Nota: Es aconsejable siempre que los clientes prueben los SSID activados para MFP en su entorno, con todos sus tipos de cliente disponibles antes de su implementación en el tiempo real.

La MFP cumple tres principales funciones:

  • Protección de tramas de administración: cuando está activada la protección de tramas de administración, el AP protege las tramas de administración que transmite agregando a cada trama un elemento de información de verificación de la integridad del mensaje (IE MIC). Cualquier intento de copiar, alterar, o reproducir la trama, invalida el MIC, lo que hace que cualquier punto de acceso de recepción configurado para detectar las tramas de MFP informe sobre la discrepancia.

  • Validación de tramas de administración: cuando está activada la validación de tramas de administración, el AP valida cada trama de administración que recibe desde otros AP de la red. Se asegura que el IE MIC está presente (cuando el originador está configurado para transmitir tramas de MFP) y coincide con el contenido de la trama de administración. Si recibe cualquier trama que no contenga un IE MIC válido desde un BSSID que pertenece a un AP configurado para transmitir tramas de MFP, informa de la discrepancia al sistema de administración de red.

    Nota: Para que la indicación de fecha y hora funcione correctamente, todos los controladores tienen que estar sincronizados según el protocolo de transferencia de red (NTP).

  • Informe de eventos: el punto de acceso notifica al controlador si detecta cualquier anomalía. Cuando el WLC recibe los eventos anómalos, agrega los eventos recibidos y puede informar de los resultados mediante trampas de SNMP para avisar al administrador de la red.

Funcionalidad de MFP

Con MFP, todas las tramas de administración se cifran criptográficamente para crear una verificación de la integridad del mensaje (MIC). La MIC se agrega al final de la trama (antes de la secuencia de verificación de tramas (FCS)).

En una arquitectura inalámbrica centralizada, el MFP puede estar activado o desactivado en los siguientes dispositivos inalámbricos:

  • WLC

  • LAP

  • WLAN individuales en el WLC

Cuando la MFP está activada en una o más WLAN configuradas en el WLC, el WLC envía una clave única a cada radio en cada AP registrado. Las tramas de administración enviadas por el AP sobre la MFP activan las WLAN. Estos AP se etiquetan con un IE MIC de protección de tramas. Cualquier intento de alterar la trama invalida el mensaje, lo que hace que el AP de recepción configurado para detectar las tramas de MFP informe al controlador para redes WLAN sobre la discrepancia.

El siguiente es un proceso paso a paso de MFP mientras de implementa en un entorno de roaming:

  1. Con la MFP activada globalmente, el WLC genera una clave única para cada Basic Service Set (BSS) de AP de cuya existencia tiene conocimiento. Los controladores se comunican entre ellos para que todos conozcan las claves para todos los AP/BSS en un dominio de movilidad.

    Nota: Todos los controladores en el grupo de movilidad/RF tienen que tener la MFP configurada de manera idéntica.

  2. Cuando un AP recibe una trama protegida por MFP para un BSS de cuya existencia no tiene conocimiento, almacena la trama en el búfer y consulta al controlador para obtener la clave.

  3. Si el controlador no conoce el BSSID, devuelve al AP el mensaje "Unknown BSSID" (BSSID desconocido) y el AP interrumpe las tramas de administración recibidas de ese BSSID.

  4. Si el BSSID se conoce en el controlador, pero la MFP está desactivada en este BSSID, el WLC devuelve un mensaje "Disabled BSSID" (BSSID desactivado). A continuación, el AP asume que todas las tramas de administración recibidas de ese BSSID no tienen un MIC MFP.

  5. Si el BSSID se conocido y tiene MFP activada, el controlador devuelve la clave de MFP al AP solicitante (por el túnel de administración LWAPP de cifrado AES).

  6. El AP almacena en caché las claves que recibe de esta forma. Esta clave se utiliza para validar o agregar IE MIC.

Configuración

Configuración de MFP en un controlador

Puede configurar la MFP de manera global en un controlador. Si lo hace de esta manera, la protección y validación de tramas de administración estarán activadas de manera predeterminada para cada punto de acceso conectado, y la autenticación de punto de acceso se desactiva automáticamente.

Siga estos pasos para configurar la MFP de manera global en un controlador.

  1. En la interfaz gráfica de usuario del controlador, haga clic en Security (Seguridad). En la pantalla resultante, haga clic en AP Authentication/MFP (Autenticación/MFP del AP) en Wireless Protection Policies (Políticas de protección inalámbrica).

    mfp1.gif

  2. En AP Authentication Policy (Política de autenticación de AP), elija Management Frame Protection (Protección de tramas de administración) en el menú desplegable Protection Type (Tipo de protección) y haga clic en Apply (Aplicar).

    mfp2.gif

Configuración de MFP en LAP

Una vez activada la MFP de manera global en el controlador, puede desactivarla y volverla a activar para cada WLAN y punto de acceso individuales.

Nota: Esta configuración de MFP local en el AP anula el parámetro global de MFP. Esto significa que cuando la MFP está activada de manera global en el controlador, pero desactivada de manera individual en el AP asociado a este controlador, el AP no puede proteger tramas de administración con el IE MIC o detectar tramas con MFP activada que procedan de otro AP.

Siga estos pasos para configurar la MFP en el LAP registrado con el controlador. Consulte el documento Registro de AP ligero (LAP) en un controlador para redes LAN inalámbricas (WLC) (en inglés) para saber cómo registrar el LAP con un WLC.

  1. Haga clic en Wireless (Inalámbrica) en la interfaz gráfica de usuario del WLC. En la pantalla resultante, haga clic en Acess Points (Puntos de acceso) en el menú de la izquierda. Esto muestra una lista de todos los AP registrados con este controlador. Ahora haga clic en el enlace Detail (Detalles) correspondiente a los AP deseados en los que desea configurar la MFP.

    mfp3.gif

  2. En la ventana de Details (Detalles) del AP, active la casilla MFP Frame Validation (Validación de tramas de MFP) para activar la MFP. Para desactivar la MFP, desactive la casilla MFP frame Validation (Validación de tramas de MFP).

    Nota: No se admite MFP en los modos de AP de detector de no autorizados y sabueso.

    mfp4.gif

Configuración de MFP en WLAN

Puede también activar y desactivar la MFP en cada WLAN configurada en el controlador. Siga estos pasos para activar la MFP en una WLAN:

  1. Haga clic en WLANs en la interfaz gráfica de usuario del WLC y, a continuación, haga clic en New (Nueva) para crear una WLAN nueva.

    mfp5.gif

  2. En la página de edición de las WLAN, active la casilla de verificación MFP Signature Generation (Generación de firmas de MFP) para activar la MFP en esta WLAN. Para desactivar la MFP para esta WLAN, desactive esta casilla de verificación.

    Nota: Cuando el AP recibe una trama protegida de MFP para esta WLAN, la almacena en el búfer y consulta al controlador para obtener la clave. El controlador verifica si la MFP está activada o desactivada para esta WLAN. SI la MFP está desactivada, el controlador devuelve un mensaje "Disabled BSSID" (BSSID desactivado). El AP asume entonces que ninguna de las tramas de administración recibidas de esta WLAN tiene un MIC MFP. Si la MFP está activada para esta WLAN en el controlador, el controlador devuelve la clave de MFP al AP solicitante (por el túnel de administración LWAPP de cifrado AES). El AP almacena en caché esa clave para su procesamiento MIC.

    mfp6.gif

    Nota: En este ejemplo se utiliza WEP como seguridad de capa 2. Si utiliza WEP con la autenticación previamente compartida, asegúrese de haber introducido la clave WEP y haber activado la autenticación de clave compartida para esta WLAN. Aquí tiene un ejemplo:

    mfp7.gif

Verificación

Para verificar las configuraciones de MFP en la interfaz gráfica de usuario, haga clic en Management Frame Protection (Protección de tramas de administración) debajo de Wireless Protection Policies (Políticas de protección inalámbrica) en la página Security (Seguridad). Accederá a la página de configuración de MFP.

mfp8.gif

En la página de configuración de MFP puede ver la configuración de MFP en el controlador, LAP y WLAN. Aquí tiene un ejemplo.

  • El campo Management Frame Protection (Protección de tramas de administración) muestra se ha activado MFP globalmente para el controlador.

  • El campo Controller Time Source Valid (Validación de origen de la hora del controlador) indica si la hora del controlador se establece localmente (mediante la entrada manual de la hora) o mediante un origen externo (como un servidor NTP). Si la hora está establecida por un origen externo, el valor de este campo es "True" ("Verdadero"). Si la hora está establecida localmente, el valor es "False" ("Falso"). El origen de la hora se utiliza para validar las tramas de administración entre puntos de acceso de controladores diferentes que también tienen configurada la movilidad.

    Nota: Si la MFP está activada en todos los controladores en un grupo de movilidad/RF, es recomendable el uso de un servidor NTP para establecer la hora del controlador en un grupo de movilidad.

  • El campo MFP Protection (Protección de MFP) muestra si la MFP está activada para las WLAN individuales.

  • El campo MFP Validation (Validación de MFP) muestra si la MFP está activada para los puntos de acceso individuales.

mfp10.gif

Estos comandos show pueden resultar útiles.

  • show wps summary: utilice este comando para ver un resumen de las políticas actuales de protección inalámbrica (que incluyen la MFP) del controlador.

  • show wps mfp summary: introduzca este comando para ver la actual configuración global de MFP del controlador.

  • show ap config general nombre_AP: introduzca este comando para ver el estado de MFP actual para un punto de acceso determinado.

Éste es un ejemplo del resultado del comando show wps summary:

(Cisco Controller) >show wps summary

Client Exclusion Policy
  Excessive 802.11-association failures.......... Enabled
  Excessive 802.11-authentication failures....... Enabled
  Excessive 802.1x-authentication................ Enabled
  IP-theft....................................... Enabled
  Excessive Web authentication failure........... Enabled

Trusted AP Policy
  Management Frame Protection.................... Enabled
  Mis-configured AP Action....................... Alarm Only
    Enforced encryption policy................... none
    Enforced preamble policy..................... none
    Enforced radio type policy................... none
    Validate SSID................................ Disabled
  Alert if Trusted AP is missing................. Disabled
  Trusted AP timeout............................. 120

Untrusted AP Policy
  Rogue Location Discovery Protocol.............. Disabled
    RLDP Action.................................. Alarm Only
  Rogue APs
    Rogues AP advertising my SSID................ Alarm O--More-- or (q)uit
nly
    Detect and report Ad-Hoc Networks............ Enabled
  Rogue Clients
    Validate rogue clients against AAA........... Disabled
    Detect trusted clients on rogue APs.......... Alarm Only
  Rogue AP timeout............................... 1200

Signature Policy
  Signature Processing........................... Enabled

Éste es un ejemplo del resultado del comando show wps mfp summary:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false

WLAN ID  WLAN Name               Status     MFP Protection
-------  ----------------------  ---------  --------------
1        NullAuthentication      Enabled    Enabled
2        StaticWEP               Enabled    Enabled
3        802.1x                  Enabled    Enabled
4        WEP+802.1x              Enabled    Enabled
5        WPA                     Enabled    Enabled
6        MFPenabled              Enabled    Enabled 
7        MFPdisabled             Enabled    Disabled

                      MFP                      Operational         MFP Capability
AP Name               Validation  Slot  Radio  State           Protection  Validation
--------------------  ----------  ----  -----  --------------  ----------  ----------
AP0015.63e5.0c7e      Enabled     0     b/g    Up              Full        Full  
                                  1     a      Up              Full        Full
ap:5b:fb:d0           Enabled     0     a      Up              Full        Full
                                  1     b/g    Up              Full        Full
ap:51:5a:e0           Enabled     0     a      Up              Full        Full
--More-- or (q)uit
                                  1     b/g    Up              Full        Full  

Éste es un ejemplo del resultado del comando show ap config general <nombre AP>:

(Cisco Controller) >show ap config general AP0015.63e5.0c7e

Cisco AP Identifier.............................. 0
Cisco AP Name.................................... AP0015.63e5.0c7e
AP Regulatory Domain............................. 80211bg: -A 80211a: -A
Switch Port Number .............................. 1
MAC Address...................................... 00:15:63:e5:0c:7e
IP Address Configuration......................... Static IP assigned
IP Address....................................... 10.77.244.201
IP NetMask....................................... 255.255.255.224
Gateway IP Addr.................................. 10.77.244.220
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. WLC-TSWEB
Secondary Cisco Switch...........................
Tertiary Cisco Switch............................
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.0.179.8
Boot  Version ................................... 12.3.2.4
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2
AP Model......................................... AIR-AP1232AG-A-K9
IOS Version...................................... 12.3(11)JA
Reset Button..................................... Enabled
AP Serial Number................................. FTX0948E21U
AP Certificate Type.............................. Manufacture Installed
Management Frame Protection Validation........... Enabled

Estos comandos debug pueden resultar útiles.

  • debug wps mfp lwapp: muestra información de depuración para mensajes de MFP.

  • debug wps mfp detail: muestra información detallada de depuración para mensajes de MFP.

  • debug wps mfp report: muestra información de depuración para informes de MFP.

  • debug wps mfp mm: muestra información de depuración para mensajes de movilidad de MFP (entre controladores).

Nota: Hay varios programas para capturar paquetes inalámbricos gratuitos disponibles en Internet, que se pueden utilizar para capturar y analizar las tramas de administración 802.11. Algunos ejemplos de sabuesos de paquetes son Omnipeek y Ethereal. Si utiliza Ethereal en Windows, puede que tenga que comprar otros productos como Airopeek para que Ethereal capture las tramas de administración 802.11.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82196