Беспроводные сети / Мобильные решения : Безопасность беспроводных сетей

Управленческая защита структуры (MFP) инфраструктуры с WLC и примером конфигурации LAP

20 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (15 сентября 2014) | Отзыв


Содержание


Введение

Этот документ вводит новый механизм безопасности в радио, названном Управленческой защитой структуры (MFP). Этот документ также описывает, как формировать MFP в устройствах инфраструктуры, таких как Легкие Точки доступа (LAPs) и Радио Диспетчеры LAN (WLCs).

Предпосылки

Требования

  • Знание того, как формировать WLC и LAP для основной операции

  • Элементарные знания управленческих IEEE 802.11 структур

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Серийный Cisco 2000 WLC, который управляет микропрограммным Выпуском 4.1

  • Cisco 1131AG LAP

  • Cisco Aironet 802.11a/b/g Адаптер Клиента, который управляет микропрограммным Выпуском 3.6

  • Сервисная версия 3.6 рабочего стола Cisco Aironet

Примечание: MFP поддержан от Версии 4.0.155.5 WLC и позже, хотя Версия 4.0.206.0 предоставляет оптимальной работе MFP. Клиент MFP поддержан на Версии 4.1.171.0 и выше.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Справочная информация

В 802.11, управленческие структуры, такие как (de) идентификация, (скидка) ассоциация, маяки и исследования всегда не заверяются и не шифруются. Другими словами, 802.11 управленческих структуры всегда посылают необеспеченным способом, в отличие от потока данных, которые зашифрованы с протоколами, такими как WPA, WPA2, или, по крайней мере, WEP, и т.д.

Это позволяет нападавшему высмеивать управленческую структуру от AP для нападения на клиента, который связан с AP. С высмеянными управленческими структурами нападавший может выполнить эти действия:

  • Управляйте отказом в обслуживании (DOS) на WLAN

  • Делайте попытку Человека в Среднем нападении на клиента, когда оно повторно соединится

  • Управляйте офлайновым нападением словаря

MFP преодолевает эти ловушки, когда он подтверждает подлинность 802.11 управленческих структур, обмененных в инфраструктуре беспроводной сети.

Примечание: Этот документ сосредотачивает на Инфраструктуре и клиенте MFP.

Примечание: существуют определенные ограничения для некоторых беспроводных клиентов для связи с MFP-позволенными устройствами инфраструктуры. MFP добавляет длинный набор информационных элементов к каждому запросу исследования или маяку SSID. Некоторые беспроводные клиенты, такие как PDAs, смартфоны, сканеры штрихкода, и т.д ограничили память и CPU. Таким образом, вы не в состоянии обработать эти запросы или маяки. В результате вы не видите SSID полностью, или вы не в состоянии связаться с этими устройствами инфраструктуры, из-за недоразумения возможностей SSID. Эта проблема не является определенной для MFP. Это также происходит с любым SSID, который имеет многократные информационные элементы (IEs). Всегда желательно проверить позволенный SSIDs MFP на окружающей среде со всеми вашими доступными типами клиента перед развертыванием его в режиме реального времени.

Примечание: 

Это компоненты Инфраструктуры MFP:

  • Управленческая защита структуры — Когда управленческая защита структуры позволена, AP, добавляет элемент информации о проверке целостности сообщения (MIC IE) к каждой управленческой структуре, которую это передает. Любая попытка скопировать, изменитесь или переиграйте структуру, лишает законной силы MIC. AP, который формируется для утверждения структур MFP, получает структуру с недействительным MIC, сообщает она WLC.

  • Управленческая проверка структуры — Когда управленческая проверка структуры позволена, AP, утверждает каждую управленческую структуру, которую это получает от другого APs в сети. Это гарантирует, что MIC, IE присутствует (когда создатель формируется для передачи структур MFP) и соответствует содержанию управленческой структуры. Если это получает какую-либо структуру, которая не содержит действительный MIC IE от BSSID, который принадлежит AP, который формируется для передачи структур MFP, это сообщает о несоответствии сетевой системе управления.

    Примечание: Для меток времени для работы должным образом весь WLCs должен быть синхронизированным Сетевым протоколом времени (NTP).

  • Сообщение событий — точка доступа регистрирует WLC, когда это обнаруживает аномалию. WLC соединяет аномальные события и сообщает о нем через ловушки SNMP сетевому менеджеру.

Инфраструктура функциональность MFP

С MFP все управленческие структуры шифровальным образом крошатся для создания Проверки целостности сообщения (MIC). MIC добавлен до конца структуры (перед Клетчатой последовательностью структуры (FCS)).

  • В централизованной беспроводной архитектуре инфраструктура MFP позволен/отключен на WLC (глобальный config). Защита может быть выборочно отключена за WLAN, и проверка может быть выборочно отключена за AP.

  • Защита может быть отключена на WLANs, которые используются устройствами, которые не могут справиться с дополнительным IEs.

  • Проверка должна быть отключена на APs, которые перегружены или подавлены.

То, когда MFP позволен на одном или более WLANs, формируемых в WLC, WLC посылает уникальный ключ к каждому радио на каждом, зарегистрировало AP. Управленческие структуры посылает AP по MFP-позволенному WLANs. Эти APs маркированы защитой структуры MIC IE. Любая попытка изменить структуру лишает законной силы сообщение, которое вызывает получение AP, который формируется для обнаружения структур MFP, чтобы сообщить о несоответствии диспетчеру WLAN.

Это - постепенный процесс MFP, в то время как осуществлено в бродящей окружающей среде:

  1. С MFP, глобально позволенным, WLC производит уникальный ключ для каждого AP / WLAN, который формируется для MFP. WLCs общаются в пределах себя так, чтобы все WLCs знали ключи для всего APs/BSSs в области подвижности.

    Примечание: у Всех диспетчеров в mobility/RF группе должен быть MFP, формируемый тождественно.

  2. Когда AP получает MFP защищенная структура для BSS, о котором она не знает, она буферизует копию структуры и подвергает сомнению WLC для получения ключа.

  3. Если BSSID не известен на WLC, он возвращает сообщение “Неизвестный BSSID” к AP, и AP пропускает управленческие структуры, полученные от этого BSSID.

  4. Если BSSID известен на WLC, но MFP отключен на этом BSSID, WLC возвращает “Отключенный BSSID”. AP тогда предполагает, что все управленческие структуры, полученные от этого BSSID, не имеют MIC MFP.

  5. Если BSSID известен и имеет позволенный MFP, WLC возвращается, Ключ MFP к требованию AP (по AES зашифровал управленческий тоннель LWAPP).

  6. Ключи тайников AP, полученные таким образом. Этот ключ используется, чтобы утвердить или добавить MIC IE.

Клиент функциональность MFP

MFP клиента ограждает заверенных клиентов от высмеянных структур, который предотвращает эффективность многих общих нападений на беспроводной LANs. Большинство нападений, таких как нападения deauthentication, возвращается только к ухудшенной работе, когда они спорят с действительными клиентами.

Определенно, клиент, MFP шифрует управленческие структуры, посланные между точками доступа и клиентами CCXv5 так, чтобы и точки доступа и клиенты могли принять превентивные меры и пропустить высмеянные управленческие структуры класса 3 (то есть, управленческие структуры прошли между точкой доступа и клиентом, который заверен и связан). Клиент MFP усиливает механизмы безопасности, определенные IEEE 802.11i для защиты этих типов класса 3 unicast управленческие структуры: разъединение, deauthentication, и QoS (WMM) действие. Клиент MFP может защитить сессию точки доступа клиента от наиболее распространенного типа нападения отказа в обслуживании. Это защищает управленческие структуры класса 3 с тем же самым методом шифрования, используемым для структур данных сессии. Если структура, полученная точкой доступа или клиентом, подводит декодирование, это пропущено, и о событии сообщают диспетчеру.

Для использования клиента MFP клиенты должны поддержать CCXv5 MFP и должны договориться о WPA2 или с TKIP или с AES-CCMP. EAP или PSK могут использоваться для получения PMK. CCKM и управление подвижностью диспетчера используются для распределения сеансовых ключей между точками доступа или Слоем 2 и Слоем 3 быстрого роуминга.

Для предотвращения нападений на структуры вещания точки доступа, которые поддерживают CCXv5, не испускают управленческих структур класса 3 вещания (таких как разъединение, deauthentication, или действие). Клиенты CCXv5 и точки доступа должны отказаться от управленческих структур класса 3 вещания.

Клиент MFP добавляет инфраструктуру MFP, а не заменяет его, потому что инфраструктура, MFP продолжает обнаруживать и сообщать о недействительных структурах unicast, посланных клиентам, которые не являются клиентом-MFP способные, а также недействительные управленческие структуры класса 1 и 2. MFP инфраструктуры применен только к управленческим структурам, которые не защищены клиентом MFP.

Клиент компоненты MFP

Клиент MFP состоит из этих компонентов:

  • Ключевое поколение и распределение

  • Защита и проверка управленческих структур

  • Сообщения об ошибке

Ключевое поколение и распределение

MFP клиента не использует ключевое поколение и механизмы распределения, которые были получены для Инфраструктуры MFP. Вместо этого клиент MFP усиливает механизмы безопасности, определенные IEEE 802.11i, чтобы также защитить класс 3 unicast управленческие структуры. Станции должны поддержать CCXv5 и должны договориться или о TKIP или о AES-CCMP для использования cient MFP. EAP или PSK могут использоваться для получения PMK.

Защита управленческих структур

Управленческие структуры класса 3 Unicast уже защищены с применением или AES-CCMP или TKIP подобным образом к тот используемый для структур данных. Части заголовка структуры скопированы в зашифрованный компонент полезного груза каждой структуры для дополнительной защиты, как обсуждено в следующих секциях.

Эти типы структуры защищены:

  • Разъединение

  • Deauthentication

  • QoS (WMM) структуры действия

AES-CCMP-и TKIP-защищенные структуры данных включают прилавок последовательности в эти IV областей, который используется для предотвращения обнаружения переигровки. Ток передает прилавок, используется и для данных и для управленческих структур, но новое получает прилавок, используется для управленческих структур. Получить прилавки проверены, чтобы гарантировать, что каждая структура имеет более высокое число, чем последняя полученная структура (чтобы гарантировать, что структуры уникальны и не были переиграны), таким образом, не имеет значения, что эта схема заставляет полученные ценности быть непоследовательными.

Сообщения об ошибке

MFP-1 сообщение о механизмах используются для сообщения об управленческих ошибках de-герметизации структуры, обнаруженных точками доступа. Таким образом, WLC собирает ошибочные статистические данные проверки MFP и периодически вперед сопоставленную информацию к WCS.

Ошибки нарушения MFP, обнаруженные станциями клиента, обработаны Роумингом CCXv5, и Оперативная Диагностика показывают и не в пределах этого документа.

Управленческая защита структуры вещания

Для предотвращения нападений, которые используют структуры вещания, APs, которые поддерживают CCXv5, не передают класса 3 вещания (то есть, disassoc, deauth или действие) управленческие структуры за исключением сдерживания жулика deauthentication/disassociation структуры. CCXv5 способные станции клиента должен отказаться от управленческих структур класса 3 вещания. Сессии MFP, как предполагается, находятся в должным образом обеспеченной сети (сильная идентификация плюс TKIP или CCMP), таким образом, игнорирование передач сдерживания жулика не является проблемой.

Точно так же APs отказываются от прибывающих управленческих структур вещания. Никакие прибывающие управленческие структуры вещания в настоящее время не поддерживаются, таким образом, никакие кодовые изменения не требуются для этого.

Поддержанные платформы

Эти платформы поддержаны:

  • Диспетчеры WLAN

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 с вложенным 440x диспетчер

    • Маршрутизаторы 26/28/37/38xx

  • Точки доступа LWAPP

    • AP 1000

    • AP 1100, 1130

    • AP 1200, 1240, 1250

    • AP 1310

  • Клиентское программное обеспечение

    • ADU 3.6.4 и выше

  • Сетевые системы управления

    • WCS

Петля 1500 года LWAPP AP не поддержана в этом выпуске.

Поддержанные способы

Основанные на LWAPP Точки доступа, которые работают в этих способах, действительно поддерживают Клиента MFP:

Поддержанные способы точки доступа
Способ Клиент поддержка MFP
Местный Да
Монитор Нет
Наркоман Нет
Датчик жулика Нет
Гибридный REAP Да
ПОЖИНАТЬ Нет
Корень моста Да
WGB Нет

Смешанная поддержка клетки

Станции клиента, которые не являются CCXv5 способный, могут связаться с MFP-2 WLAN. Точки доступа отслеживают, из которых клиенты MFP-2 способный и которые являются не для того, чтобы определить, применяются ли меры безопасности MFP-2 к unicast управленческим структурам за границу и ожидаются на прибывающих unicast управленческих структурах.

Формировать

Формируйте MFP на диспетчере

Можно глобально формировать MFP на диспетчере. Когда вы делаете так, управленческая защита структуры и проверка позволены по умолчанию для каждой точки доступа, к которой присоединяются, и идентификация точки доступа автоматически отключена.

Выполните эти шаги для формирования MFP глобально на диспетчере.

  1. От диспетчера GUI нажмите Security. В проистекающем экране нажмите AP Authentication/MFP под Беспроводной Политикой обеспечения защиты.

    mfp14.gif

  2. В политике Идентификации AP выберите управленческую Защиту Структуры от выпадающего меню Типа Защиты и нажмите Apply.

    /image/gif/paws/82196/mfp15.gif

Формируйте инфраструктуру проверка MFP на LAP

Как только MFP глобально позволен на диспетчере, можно отключить и повторно позволить его для отдельного WLANs и точек доступа.

Примечание: Эта местная конфигурация MFP на AP отвергает глобальный параметр MFP. Это означает, что, когда MFP глобально позволен на диспетчере, но индивидуально отключен на AP, который связан с этим диспетчером, AP не в состоянии защитить управленческие структуры с MIC, который IE или обнаружить MFP позволил структурам, которые прибывают из другого AP. Точно так же, когда отключено на данном WLAN, никакое управление не развивается, для которого защищены WLAN.

Выполните эти шаги для формирования MFP в LAP, зарегистрированном в диспетчере. Пошлите к Легкому весу AP (LAP) Регистрация к документу Радио диспетчера LAN (WLC) знать о том, как зарегистрировать LAP в WLC.

  1. Нажмите Wireless от WLC GUI. В проистекающем экране нажмите Access Points из левого меню стороны. Это перечисляет весь APs, зарегистрированный в этом диспетчере. Теперь нажмите на ссылку Детали, которая соответствует желаемому AP, на котором вы хотите формировать MFP.

    /image/gif/paws/82196/mfp16.gif

  2. На окне Деталей AP поставьте флажок Проверки Структуры MFP для предоставления возможности MFP. Для выведения из строя MFP снимите флажок с коробкой Проверки структуры MFP.

    Примечание: MFP не поддержан в Датчике жулика или Наркомане способы AP AP.

    /image/gif/paws/82196/mfp17.gif

Формируйте MFP на WLAN

Можно также позволить/отключить инфраструктуре защиту MFP и клиента MFP на каждом WLAN, формируемом на WLC. Обоим позволяют по умолчанию, хотя инфраструктура, защита MFP, которая только активна, если глобально позволено, и клиент MFP, только активна, если WLAN формируется с безопасностью WPA2. Выполните эти шаги для предоставления возможности MFP на WLAN::

  1. От WLC GUI, нажмите WLANs и нажмите New для создания нового WLAN.

    mfp11.gif

  2. На WLANs редактируют страницу, пойдите во Вкладку "Дополнительно" и проверьте флажок Infrastructure MFP Protection, чтобы позволить инфраструктуре MFP на этом WLAN. Для выведения из строя инфраструктуры MFP proection для этого WLAN, снимите флажок с этим флажком. Чтобы позволить Клиенту MFP, выберите необходимую или дополнительную опцию из выпадающего меню. При выборе Клиента MFP = Необходимый удостоверьтесь, что у всех клиентов есть поддержка MFP-2, или они не в состоянии соединиться. Если вы выбираете дополнительный, и MFP и позволенные клиенты non-MFP могут соединиться на том же самом WLAN.

    /image/gif/paws/82196/mfp18.gif

Проверить

Для подтверждения конфигураций MFP от GUI нажмите Management Frame Protection под Беспроводной Политикой обеспечения защиты от страницы безопасности. Это берет вас к Странице настроек MFP.

/image/gif/paws/82196/mfp13.gif

В Странице настроек MFP вы видите конфигурацию MFP на WLC, LAP и WLAN. Это - пример.

  • Управленческая область Защиты Структуры показывает, позволен ли MFP глобально для WLC.

  • Область диспетчера Тайма Соерса Вэлида указывает, установлено ли время WLC в местном масштабе (ручным входом времени) или через внешний источник (такой как сервер NTP). Если время установлено внешним источником, ценность этой области "Верна". Если время установлено в местном масштабе, стоимость является "Ложной". Источник времени используется для утверждения управленческих структур между точками доступа различных WLCs, которым также формировали подвижность.

    Примечание: Если MFP позволен на всем WLCs в mobility/RF группе, всегда рекомендуется использовать сервер NTP для урегулирования времени WLC в группе подвижности.

  • Область Защиты MFP показывает, позволен ли MFP для отдельного WLANs.

  • Область Проверки MFP показывает, позволен ли MFP для отдельных точек доступа.

Эти выставочные команды могут быть полезными:

  • покажите wps резюме — Использование эта команда для наблюдения резюме текущей беспроводной политики обеспечения защиты (который включает MFP) WLC.

  • покажите wps mfp резюме — Чтобы видеть, что текущий глобальный MFP устанавливает WLC, войти в эту команду.

  • покажите AP config общий AP_name — Чтобы видеть текущее состояние MFP для особой точки доступа, войти в эту команду.

Это - пример продукции шоу AP config общая команда AP_name:

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




Это - пример продукции шоу wps mfp итоговая команда:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Эти команды отладки могут быть полезными;

  • отладьте wps mfp lwapp — Показывает информацию об отладке для сообщений MFP.

  • отладьте wps mfp деталь — Шоу детализированная информация об отладке для сообщений MFP.

  • отладьте wps mfp, отчет — Показывает информацию об отладке для сообщения MFP.

  • отладьте wps mfp mm — Показывает информацию об отладке для подвижности MFP (междиспетчер) сообщения.

Примечание: существует также несколько свободных Беспроводных наркоманов Пакета, доступных из Интернета, который может использоваться, чтобы захватить и проанализировать 802.11 управленческих структуры. Некоторыми наркоманами пакета в качестве примера является Omnipeek и Wireshark.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 82196