Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Пример настройки инфраструктуры защиты управляющих фреймов (MFP) с WLC и LAP

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 января 2008) | Отзыв


Содержание


Введение

В этом документе представлена новая функция защиты беспроводной сети — защита кадров управления (MFP). В этом документе также описывается способ настройки MFP в устройствах, относящихся к инфраструктуре, таких как облегченные точки доступа (LAP) и контроллеры беспроводных локальных сетей (WLC).

Предварительные условия

Требования

  • Знание того, как настроить WLC и LAP для главной операции

  • Базовые знания о кадрах управления IEEE 802.11

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • WLC Серии Cisco 2000, который выполняет релиз микропрограммы 4.1

  • LAP Cisco 1131AG

  • Cisco Aironet 802.11a/b/g Клиентский адаптер, который выполняет релиз микропрограммы 3.6

  • Версия утилиты Aeronet Desktop 3.6 Cisco Aironet

Примечание. MFP поддерживается от Версии 4.0.155.5 WLC и позже, невзирая на то, что Версия 4.0.206.0 предоставляет оптимальную производительность MFP. Клиентский MFP поддерживается на Версии 4.1.171.0 и выше.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Общие сведения

В 802.11, кадры управления, такие как (de) аутентификация, (скидка) ассоциация, маяки, и зонды являются всегда не прошедшими поверку подлинности и незашифрованными. Другими словами, 802.11 кадра управления всегда передаются необеспеченным способом, в отличие от трафика данных, которые зашифрованы с протоколами, такими как WPA, WPA2, или, по крайней мере, WEP, и т.д.

Это позволяет атакующему имитировать кадр управления от AP для нападения на клиент, который привязан к AP. С поддельными кадрами управления атакующий может выполнить эти действия:

  • Выполните отказ в обслуживании (DOS) на WLAN

  • Делайте попытку man в Средней атаке на клиент, когда она повторно соединяется

  • Выполните офлайновый подбор пароля по словарю

MFP преодолевает эти ловушки, когда он подтверждает подлинность 802.11 кадров управления, которыми обмениваются в инфраструктуре беспроводной сети.

Примечание. Этот документ фокусируется на Инфраструктуре и клиентском MFP.

Примечание. Существуют определенные ограничения для некоторых беспроводных клиентов для передачи с MFP-поддерживающими устройствами, относящимися к инфраструктуре. MFP добавляет длинный набор информационных элементов к каждому тестовому запросу или маяку SSID. Некоторые беспроводные клиенты, такие как PDA, смартфоны, сканнеры штрих-кода, и т.д ограничили память и ЦПУ. Таким образом, вы не в состоянии обработать эти запросы или маяки. В результате вы не в состоянии видеть SSID полностью, или вы не в состоянии связаться с этими устройствами, относящимися к инфраструктуре вследствие недоразумения возможностей SSID. Эта проблема не является определенной для MFP. Это также происходит с любым SSID, который имеет множественные информационные элементы (IE). Всегда желательно протестировать включенные SSID MFP на среде со всеми вашими доступными типами клиентской части перед развертыванием его в режиме реального времени.

Примечание. 

Они - компоненты Инфраструктуры MFP:

  • Защита кадра менеджмента — Когда защита кадра управления включена, AP, добавляет информационный элемент Message Integrity Check (IE MIC) к каждому кадру управления, который это передает. Любая попытка скопировать, изменитесь, или воспроизведите кадр, лишает законной силы MIC. AP, который настроен для проверки допустимости кадров MFP, принимает кадр с недопустимым MIC, сообщает это WLC.

  • Проверка кадра менеджмента — Когда проверка кадра управления включена, AP, проверяет каждого кадра управления, который это принимает от других AP в сети. Это гарантирует, что IE MIC присутствует (когда инициатор настроен для передачи кадров MFP), и совпадает с содержанием кадра управления. Если это принимает любой кадр, который не содержит допустимый IE MIC от BSSID, который принадлежит AP, который настроен для передачи кадров MFP, это сообщает о расхождении системе управления сетью.

    Примечание. Для меток времени для работы должным образом всеми WLC должен быть синхронизируемый Протокол сетевого времени (NTP).

  • Сообщающее событие — точка доступа уведомляет WLC, когда это обнаруживает аномалию. WLC объединяет аномальные события и сообщает о нем через SNMP-сообщения менеджеру сети.

Инфраструктура функциональность MFP

С MFP все кадры управления криптографически крошатся для создания Message Integrity Check (MIC). MIC добавлен до конца кадра (перед Контрольной суммой фрейма (FCS)).

  • В централизованной беспроводной архитектуре инфраструктура MFP включен/отключен на WLC (глобальная конфигурация). Защита может быть выборочно отключена за WLAN, и проверка может быть выборочно отключена за AP.

  • Защита может быть отключена на WLAN, которые используются устройствами, которые не могут справиться с дополнительными IE.

  • Проверка должна быть отключена на AP, которые перегружены или подавлены.

Когда MFP включен на одном или более WLAN, настроенных в WLC, WLC передает уникальный ключ каждому радио на каждом зарегистрированном AP. Кадры менеджмента переданы AP по MFP-поддерживающим WLAN. Эти AP маркированы IE MIC защиты кадра. Любая попытка изменить кадр лишает законной силы сообщение, которое вызывает AP получения, который настроен для обнаружения кадров MFP для сообщения о расхождении контроллеру WLAN.

Это - пошаговый процесс MFP в то время как внедрено в среде роуминга:

  1. С MFP, глобально включенным, WLC генерирует уникальный ключ для каждого AP / WLAN, который настроен для MFP. WLC связываются в них так, чтобы все WLC знали ключи для всего APs/BSSs в домене мобильности.

    Примечание. Все контроллеры в группе мобильности/RF должны иметь MFP, настроенный тождественно.

  2. То, когда AP получает MFP, защитило кадр для BSS, о котором это не знает, это буферизует копию кадра и делает запрос WLC для получения ключа.

  3. Если BSSID не известен на WLC, он возвращает сообщение “Неизвестный BSSID” к AP, и AP отбрасывает кадры управления, принятые от этого BSSID.

  4. Если BSSID известен на WLC, но MFP отключен на этом BSSID, WLC возвращает “Отключенный BSSID.” AP тогда предполагает, что все кадры управления, принятые от этого BSSID, не имеют MIC MFP.

  5. Если BSSID известен и имеет включенный MFP, WLC возвращается, Ключ MFP к AP запроса (по AES зашифровал туннель управления LWAPP).

  6. Ключи кэшей AP, полученные таким образом. Этот ключ используется, чтобы проверить или добавить IE MIC.

Клиентская функциональность MFP

Клиентский MFP экранирует заверенные клиенты от поддельных кадров, который предотвращает эффективность многих част встречающихся атака против беспроводных локальных сетей. Большинство атак, таких как атаки deauthentication, возвращается к просто ухудшенной производительности, когда они спорят с допустимыми клиентами.

В частности клиентский MFP шифрует кадры управления, переданные между точками доступа и клиентами CCXv5 так, чтобы и точки доступа и клиенты могли принять профилактические меры и отбросить имитировавшие кадры управления классом 3 (т.е. кадры управления прошли между точкой доступа и клиентом, который заверен и привязан). Клиентский MFP усиливает механизмы обеспечения безопасности, определенные IEEE 802.11i для защиты этих типов кадров управления индивидуальной рассылкой класса 3: разъединение, deauthentication, и QoS (WMM) действие. Клиентский MFP может защитить сеанс точки доступа клиента от наиболее распространенного типа атаки отказ в обслуживании. Это защищает кадры управления классом 3 с тем же методом шифрования, используемым для фреймов данных сеанса. Если кадр, принятый точкой доступа или клиентом, отказывает расшифровку, это отброшено, и о событии сообщают контроллеру.

Чтобы использовать клиентский MFP, клиенты должны поддержать CCXv5 MFP и должны выполнить согласование о WPA2 или с TKIP или с CCMP AES. EAP или PSK могут использоваться для получения PMK. CCKM и управление мобильностью контроллера используются для распределения ключей сеанса между точками доступа или Уровнем 2 и Уровнем 3 быстрый роуминг.

Чтобы предотвратить атаки на широковещательные кадры, точки доступа, которые поддерживают CCXv5, не испускают любые широковещательные кадры управления классом 3 (такие как разъединение, deauthentication, или действие). Клиенты CCXv5 и точки доступа должны сбросить от широковещательных кадров управления классом 3.

Клиентский MFP добавляет инфраструктуру MFP, а не заменяет его, потому что инфраструктура, MFP продолжает обнаруживать и сообщать о недопустимых одноадресных фреймах, передаваемых клиентам, которые не являются клиентскими-MFP способными, а также недопустимыми кадрами управления классом 1 и 2. MFP инфраструктуры применен только к кадрам управления, которые не защищены клиентским MFP.

Клиентские компоненты MFP

Клиентский MFP состоит из этих компонентов:

  • Генерация ключа и распределение

  • Защита и проверка кадров управления

  • Отчеты об ошибке

Генерация ключа и распределение

Клиентский MFP не использует генерацию ключа и механизмы распределения, которые были получены для Инфраструктуры MFP. Вместо этого клиентский MFP усиливает механизмы обеспечения безопасности, определенные IEEE 802.11i, чтобы также защитить кадры управления индивидуальной рассылкой класса 3. Станции должны поддержать CCXv5 и должны выполнить согласование или о TKIP или о CCMP AES для использования cient MFP. EAP или PSK могут использоваться для получения PMK.

Защита кадров менеджмента

Кадры управления классом 3 индивидуальной рассылки уже защищены с приложением или CCMP AES или TKIP подобным образом к тот используемый для фреймов данных. Части заголовка фрейма скопированы в зашифрованный компонент информационного наполнения каждого кадра для дополнительной защиты, как обсуждено в следующих разделах.

Эти типы фрейма защищены:

  • Разъединение

  • Deauthentication

  • QoS (WMM) кадры действия

CCMP AES - и кадры защищенных данных TKIP включает счетчик последовательности в поля IV, который используется для предотвращения обнаружения воспроизведения. Текущий счетчик передачи используется и для данных и для кадров управления, но новое получают счетчик, используется для кадров управления. Получить счетчики протестированы, чтобы гарантировать, что каждый кадр имеет более высокое количество, чем последний полученный фрейм (чтобы гарантировать, что кадры уникальны и не были воспроизведены), таким образом, не имеет значения, что эта схема заставляет полученные значения быть непоследовательными.

Отчеты об ошибке

Механизмы создания отчетов MFP-1 используются для сообщения о de-ошибках-инкапсуляции кадра управления, обнаруженных точками доступа. Т.е. WLC собирает статистические данные ошибки проверки MFP и периодически передает сопоставленную информацию к WCS.

Ошибки нарушения MFP, обнаруженные станциями клиента, обрабатываются функцией Диагностики Роуминга и Реального времени CCXv5 и не в пределах этого документа.

Широковещательная защита кадра менеджмента

Чтобы предотвратить атаки, которые используют широковещательные кадры, AP, которые поддерживают CCXv5, не передают любой широковещательный класс 3 (т.е. disassoc, deauth или действие) кадры управления за исключением постороннего включения deauthentication/disassociation кадры. CCXv5 способные станции клиента должен сбросить от широковещательных кадров управления классом 3. Сеансы MFP должны, предполагаемых быть в должным образом защищенная сеть (строгая проверка подлинности плюс TKIP или CCMP), таким образом, игнорирование посторонних широковещательных сообщений включения не является проблемой.

Точно так же AP сбрасывают от кадров управления входящим широковещанием. Никакие кадры управления входящим широковещанием в настоящее время не поддерживаются, таким образом, никакие замены кода не требуются для этого.

Поддерживаемые платформы

Эти платформы поддерживаются:

  • Контроллеры WLAN

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 со Встроенным 440x Контроллер

    • Маршрутизаторы 26/28/37/38xx

  • Точки доступа LWAPP

    • AP 1000

    • AP 1100, 1130

    • AP 1200, 1240, 1250

    • AP 1310

  • Клиентская программа

    • ADU 3.6.4 и выше

  • Системы управления сетями

    • WCS

AP LWAPP Петли 1500 года не поддерживается в этом выпуске.

Поддерживаемые режимы

Основанные на LWAPP Точки доступа, которые работают в этих режимах, действительно поддерживают Клиентский MFP:

Поддерживаемые режимы точки доступа
Режим Клиентская поддержка MFP
Local Да
Монитор Нет
Анализатор Нет
Посторонний детектор Нет
Гибридный REAP Да
ПОЖИНАТЬ Нет
Root моста Да
WGB Нет

Смешанная поддержка ячейки

Станции клиента, которые не являются CCXv5 способный, могут связаться с WLAN MFP-2. Точки доступа отслеживают, из которых клиенты MFP-2 способный и которые являются не для того, чтобы определить, применяются ли измерения безопасности MFP-2 к исходящим кадрам управления индивидуальной рассылкой и ожидаются на входящих кадрах управления индивидуальной рассылкой.

Настройка

Настройте MFP на контроллере

Можно глобально настроить MFP на контроллере. Когда вы делаете так, защита кадра управления и проверка включены по умолчанию для каждой точки доступа, к которой присоединяются, и аутентификация точки доступа автоматически отключена.

Выполните эти шаги для настройки MFP глобально на контроллере.

  1. В графическом интерфейсе контроллера выберите Security (Безопасность). В результирующем экране нажмите AP Authentication/MFP под беспроводной Политикой обеспечения защиты.

    mfp14.gif

  2. В Политике аутентификации AP выберите Management Frame Protection из раскрывающегося меню Типа защиты и нажмите Apply.

    /image/gif/paws/82196/mfp15.gif

Настройте инфраструктуру проверка MFP на LAP

Как только MFP глобально включен на контроллере, можно отключить и реактивировать его для отдельных WLAN и точек доступа.

Примечание. Эта локальная конфигурация MFP на AP отвергает глобальный параметр MFP. Это означает, что, когда MFP глобально включен на контроллере, но индивидуально отключен на AP, который привязан к этому контроллеру, AP не в состоянии защитить кадры управления с IE MIC или обнаружить включенные кадры MFP, которые прибывают из другого AP. Точно так же когда отключено на данном WLAN, никакие кадры управления для того WLAN не защищены.

Выполните эти шаги, чтобы настроить MFP в LAP, зарегистрированном в контроллере. Обратитесь к регистрации облегченных точек доступа к документу контроллера беспроводных LAN (WLC) для знания о том, как зарегистрировать LAP в WLC.

  1. Нажмите беспроводные сети от GUI WLC. В результирующем экране нажмите Access Points из меню левой стороны. Это перечисляет все AP, зарегистрированные в этом контроллере. Теперь щелкните по Подробной ссылке, которая соответствует требуемому AP, на котором вы хотите настроить MFP.

    /image/gif/paws/82196/mfp16.gif

  2. На окне AP Details установите флажок Проверки Кадра MFP для включения MFP. Чтобы отключить MFP, снимите флажок Проверки кадра MFP.

    Примечание. MFP не поддерживается в Режимах AP Постороннего детектора или Анализатора AP.

    /image/gif/paws/82196/mfp17.gif

Настройте MFP на WLAN

Можно также включить/отключить инфраструктуру защита MFP и клиентский MFP на каждом WLAN, настроенном на WLC. Обоим включают по умолчанию, хотя инфраструктура, защита MFP, которая только активна если глобально включено, и клиентский MFP, только активна, если WLAN настроен с безопасностью WPA2. Выполните эти действия, чтобы включить MFP на WLAN::

  1. От GUI WLC нажмите WLAN и нажмите New, чтобы создать новый WLAN.

    mfp11.gif

  2. На странице edit WLAN перейдите к Вкладке Дополнительно и проверьте флажок Infrastructure MFP Protection для включения инфраструктуры MFP на этом WLAN. Чтобы отключить инфраструктуру MFP proection для этого WLAN, снятие этот флажок. Чтобы включить Клиентский MFP, выберите требуемую или дополнительную опцию из раскрывающегося меню. При выборе Client MFP = Требуемый удостоверьтесь, что у всех клиентов есть поддержка MFP-2, или они не в состоянии соединиться. Если вы выбираете дополнительный, и MFP и включенные клиенты non-MFP могут соединиться на том же WLAN.

    /image/gif/paws/82196/mfp18.gif

Проверка

Чтобы проверить конфигурации MFP от GUI, нажмите Management Frame Protection под беспроводной Политикой обеспечения защиты от страницы Security. Это берет вас к странице MFP Settings.

/image/gif/paws/82196/mfp13.gif

На странице MFP Settings можно видеть конфигурацию MFP на WLC, LAP, и WLAN. Ниже представлен пример:

  • Поле Защиты Кадра менеджмента показывает, включен ли MFP глобально для WLC.

  • Допустимое поле Источника времени Контроллера указывает, установлено ли время WLC локально (ручным вводом времени) или через внешний источник (такой как сервер NTP). Если время установлено внешним источником, значение этого поля "Истинно". Если время установлено локально, значение является "Ложью". Источник времени используется для проверки допустимости кадров управления между точками доступа других WLC, которым также настроили мобильность.

    Примечание. Если MFP включен на всех WLC в группе мобильности/RF, всегда рекомендуется использовать сервер NTP для установки времени WLC в мобильной группе.

  • Поле Защиты MFP показывает, включен ли MFP для отдельных WLAN.

  • Поле Проверки MFP показывает, включен ли MFP для индивидуальных точек доступа.

Эти команды показа могут быть полезными:

  • show wps summary — Используйте эту команду, чтобы видеть сводку текущей беспроводной политики обеспечения защиты (который включает MFP) WLC.

  • сводка show wps mfp — Чтобы видеть, что текущий глобальный MFP устанавливает WLC, введите эту команду.

  • show ap config general AP_name — Чтобы видеть текущее состояние MFP для определенной точки доступа, введите эту команду.

Это - пример выходных данных команды AP_name show ap config general:

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




Это - пример выходных данных команды сводки show wps mfp:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Эти команды отладки могут быть полезными;

  • debug wps mfp lwapp — Показывает отладочную информацию для сообщений MFP.

  • debug wps mfp подробность — Показывает детализированную отладочную информацию для сообщений MFP.

  • debug wps mfp отчёт — Показывает отладочную информацию для сообщающего MFP.

  • debug wps mfp мм — Показывает отладочную информацию для мобильности MFP (межконтроллер) сообщения.

Примечание. Существует также несколько свободных беспроводных Анализаторов пакетов, доступных из Интернета, который может использоваться, чтобы перехватить и проанализировать 802.11 кадра управления. Некоторыми анализаторами пакетов в качестве примера является Omnipeek и Wireshark.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 82196