Беспроводные сети / Мобильные решения : Безопасность беспроводных сетей

Пример настройки инфраструктуры защиты управляющих фреймов (MFP) с WLC и LAP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

В этом документе представлена новая функция защиты беспроводной сети — защита кадров управления (MFP). В этом документе также описывается способ настройки MFP в устройствах, относящихся к инфраструктуре, таких как облегченные точки доступа (LAP) и контроллеры беспроводных локальных сетей (WLC).

Предварительные условия

Требования

  • Знание того, как настроить WLC и LAP для главной операции

  • Базовые знания о кадрах управления IEEE 802.11

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco WLC серии 2000, который выполняет релиз микропрограммы 4.1

  • LAP Cisco 1131AG

  • Cisco Aironet 802.11a/b/g Клиентский адаптер, который выполняет релиз микропрограммы 3.6

  • Версия 3.6 утилиты Cisco Aironet Desktop Utility

Примечание: MFP поддерживается от Версии 4.0.155.5 WLC и позже, невзирая на то, что Версия 4.0.206.0 предоставляет оптимальную производительность MFP. Клиентский MFP поддерживается на Версии 4.1.171.0 и выше.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

В 802.11, кадры управления, такие как (de) аутентификация, (скидка) ассоциация, маяки и зонды являются всегда не прошедшими поверку подлинности и незашифрованными. Другими словами, кадры управления 802.11 всегда передаются необеспеченным способом, в отличие от трафика данных, которые зашифрованы с протоколами, такими как WPA, WPA2, или, по крайней мере, WEP, и т.д.

Это позволяет атакующему имитировать кадр управления от AP для нападения на клиент, который привязан к AP. С поддельными кадрами управления атакующий может выполнить эти действия:

  • Выполните отказ в обслуживании (DOS) на WLAN

  • Делайте попытку man в Средней атаке на клиент, когда она повторно соединится

  • Выполните офлайновый подбор пароля по словарю

MFP преодолевает эти ловушки, когда он подтверждает подлинность кадров управления 802.11, которыми обмениваются в инфраструктуре беспроводной сети.

Примечание: Этот документ фокусируется на Инфраструктуре и клиентском MFP.

Примечание: Существуют определенные ограничения для некоторых беспроводных клиентов для передачи с MFP-поддерживающими устройствами, относящимися к инфраструктуре. MFP добавляет длинный набор информационных элементов к каждому тестовому запросу или маяку SSID. У некоторых беспроводных клиентов, таких как PDA, смартфоны, сканнеры штрихкода, и т.д есть ограниченная память и ЦПУ. Таким образом, вы не в состоянии обработать эти запросы или маяки. В результате вы не в состоянии видеть SSID полностью, или вы не в состоянии связаться с этими устройствами, относящимися к инфраструктуре, из-за недоразумения возможностей SSID. Эта проблема не является определенной для MFP. Это также происходит с любым SSID, который имеет множественные информационные элементы (IE). Всегда желательно протестировать включенный SSIDs MFP на среде со всеми доступными типами клиентской части перед развертыванием его в режиме реального времени.

Примечание: 

Это компоненты Инфраструктуры MFP:

  • Защита кадра управления — Когда защита кадра управления включена, AP, добавляет информационный элемент Message Integrity Check (IE MIC) к каждому кадру управления, который это передает. Любая попытка скопировать, изменитесь или воспроизведите кадр, лишает законной силы MIC. AP, который настроен для проверки кадров MFP, принимает кадр с недопустимым MIC, сообщает это WLC.

  • Проверка кадра управления — Когда проверка кадра управления включена, AP, проверяет каждый кадр управления, который это получает от других AP в сети. Это гарантирует, что IE MIC присутствует (когда инициатор настроен для передачи кадров MFP), и совпадает с содержанием кадра управления. Если это принимает какой-либо кадр, который не содержит допустимый IE MIC от BSSID, который принадлежит AP, который настроен для передачи кадров MFP, это сообщает о несоответствии системе управления сетью.

    Примечание: Для меток времени для работы должным образом всеми WLC должен быть синхронизируемый Протокол NTP.

  • Создание отчетов события — точка доступа уведомляет WLC, когда это обнаруживает аномалию. WLC объединяет аномальные события и сообщает о нем через trap-сообщения SNMP менеджеру сети.

Инфраструктура функциональность MFP

С MFP все кадры управления криптографически крошатся для создания Message Integrity Check (MIC). MIC добавлен до конца кадра (перед Контрольной суммой фрейма (FCS)).

  • В централизованной беспроводной архитектуре инфраструктура MFP позволен/отключен на WLC (глобальная конфигурация). Защита может быть выборочно отключена на WLAN, и проверка может быть выборочно отключена на AP.

  • Защита может быть отключена на WLAN, которые используются устройствами, которые не могут справиться с дополнительными IE.

  • Проверка должна быть отключена на AP, которые перегружены или подавлены.

Когда MFP включен на одном или более WLAN, настроенных в WLC, WLC передает уникальный ключ к каждому радио на каждом зарегистрированном AP. Кадры управления передаются AP по MFP-поддерживающим WLAN. Эти AP маркированы IE MIC защиты кадра. Любая попытка изменить кадр лишает законной силы сообщение, которое вызывает AP получения, который настроен для обнаружения кадров MFP для создания отчетов о несоответствии контроллеру беспроводной локальной сети.

Это - пошаговый процесс MFP, в то время как внедрено в бродящей среде:

  1. С MFP, глобально включенным, WLC генерирует уникальный ключ для каждого AP / WLAN, который настроен для MFP. WLC связываются в себе так, чтобы все WLC знали ключи для всего APs/BSSs в домене мобильности.

    Примечание: Все контроллеры в группе мобильности/RF должны иметь MFP, настроенный тождественно.

  2. Когда AP получает MFP защищенный кадр для BSS, о котором это не знает, это буферизует копию кадра и делает запрос WLC для получения ключа.

  3. Если BSSID не известен на WLC, он возвращает сообщение “Неизвестный BSSID” к AP, и AP отбрасывает кадры управления, полученные от этого BSSID.

  4. Если BSSID известен на WLC, но MFP отключен на этом BSSID, WLC возвращает “Отключенный BSSID”. AP тогда предполагает, что все кадры управления, полученные от этого BSSID, не имеют MIC MFP.

  5. Если BSSID известен и имеет включенный MFP, WLC возвращается, Ключ MFP к AP запроса (по AES зашифровал туннель управления LWAPP).

  6. Ключи кэшей AP, полученные таким образом. Этот ключ используется, чтобы проверить или добавить IE MIC.

Клиентская функциональность MFP

Клиентский MFP экранирует аутентифицированные клиенты от поддельных кадров, который предотвращает эффективность многих част встречающихся атака против беспроводных локальных сетей. Большинство атак, таких как атаки deauthentication, возвращается только к ухудшенной производительности, когда они спорят с допустимыми клиентами.

В частности клиентский MFP шифрует кадры управления, передаваемые между точками доступа и клиентами CCXv5 так, чтобы и точки доступа и клиенты могли принять превентивные меры и отбросить имитировавшие кадры управления класса 3 (т.е. кадры управления прошли между точкой доступа и клиентом, который заверен и привязан). Клиентский MFP усиливает механизмы обеспечения безопасности, определенные IEEE 802.11i для защиты этих типов кадров управления индивидуальной рассылки класса 3: разъединение, deauthentication, и QoS (WMM) действие. Клиентский MFP может защитить сеанс точки доступа клиентов от наиболее распространенного типа атаки отказ в обслуживании. Это защищает кадры управления класса 3 с тем же методом шифрования, используемым для фреймов данных сеанса. Если кадр, принятый точкой доступа или клиентом, отказывает расшифровку, это отброшено, и о событии сообщают контроллеру.

Для использования клиентского MFP клиенты должны поддержать CCXv5 MFP и должны выполнить согласование о WPA2 или с TKIP или с CCMP AES. EAP или PSK могут использоваться для получения PMK. CCKM и управление мобильности контроллера используются для распределения ключей сеанса между точками доступа или Уровнем 2 и Уровнем 3, быстро бродящим.

Для предотвращения атак на широковещательные кадры точки доступа, которые поддерживают CCXv5, не испускают широковещательных кадров управления класса 3 (таких как разъединение, deauthentication, или действие). Клиенты CCXv5 и точки доступа должны сбросить от широковещательных кадров управления класса 3.

Клиентский MFP добавляет инфраструктуру MFP, а не замены это, потому что инфраструктура, MFP продолжает обнаруживать и сообщать о недопустимых одноадресных фреймах, передаваемых клиентам, которые не являются клиентскими-MFP способными, а также недопустимыми кадрами управления класса 1 и 2. MFP инфраструктуры применен только к кадрам управления, которые не защищены клиентским MFP.

Клиентские компоненты MFP

Клиентский MFP состоит из этих компонентов:

  • Генерация ключа и распределение

  • Защита и проверка кадров управления

  • Отчеты об ошибке

Генерация ключа и распределение

Клиентский MFP не использует генерацию ключа и механизмы распределения, которые были получены для Инфраструктуры MFP. Вместо этого клиентский MFP усиливает механизмы обеспечения безопасности, определенные IEEE 802.11i, чтобы также защитить кадры управления индивидуальной рассылки класса 3. Станции должны поддержать CCXv5 и должны выполнить согласование или о TKIP или о CCMP AES для использования cient MFP. EAP или PSK могут использоваться для получения PMK.

Защита кадров управления

Кадры управления класса 3 индивидуальной рассылки уже защищены с приложением или CCMP AES или TKIP подобным образом к тот используемый для фреймов данных. Части заголовка фрейма скопированы в зашифрованный компонент информационного наполнения каждого кадра для дополнительной защиты, как обсуждено в следующих разделах.

Эти типы фрейма защищены:

  • Разъединение

  • Deauthentication

  • QoS (WMM) кадры действия

CCMP AES - и кадры защищенных данных TKIP включает счетчик последовательности в поля IV, который используется для предотвращения обнаружения воспроизведения. Текущий счетчик передачи используется и для фреймов данных и для кадров управления, но новое получает счетчик, используется для кадров управления. Получить счетчики протестированы, чтобы гарантировать, что каждый кадр имеет более высокое количество, чем последний полученный фрейм (чтобы гарантировать, что кадры уникальны и не были воспроизведены), таким образом, не имеет значения, что эта схема заставляет полученные значения быть непоследовательными.

Отчеты об ошибке

Механизмы создания отчетов MFP-1 используются для создания отчетов о de-ошибках-инкапсуляции кадра управления, обнаруженных точками доступа. Т.е. WLC собирает статистические данные ошибки проверки MFP и периодически передает сопоставленную информацию к WCS.

Ошибки нарушения MFP, обнаруженные станциями клиента, обрабатываются Роумингом CCXv5 и Оперативной функцией Диагностики и не в пределах этого документа.

Широковещательная защита кадра управления

Для предотвращения атак, которые используют широковещательные кадры, AP, которые поддерживают CCXv5, не передают широковещательного класса 3 (т.е. disassoc, deauth или действие) кадры управления за исключением постороннего включения deauthentication/disassociation кадры. CCXv5 способные станции клиента должен сбросить от широковещательных кадров управления класса 3. Сеансы MFP, как предполагается, находятся в должным образом защищенная сеть (строгая проверка подлинности плюс TKIP или CCMP), таким образом, игнорирование посторонних широковещательных сообщений включения не является проблемой.

Точно так же AP сбрасывают от кадров управления входящего широковещания. Никакие кадры управления входящего широковещания в настоящее время не поддерживаются, таким образом, никакие изменения кода не требуются для этого.

Поддерживаемые платформы

Эти платформы поддерживаются:

  • Контроллеры беспроводной локальной сети

    • 2006

    • 2106

    • 4400

    • WiSM

    • 3750 со встроенным 440x контроллер

    • Маршрутизаторы 26/28/37/38xx

  • Точки доступа LWAPP

    • AP 1000

    • AP 1100, 1130

    • AP 1200, 1240, 1250

    • AP 1310

  • Клиентская программа

    • ADU 3.6.4 и выше

  • Системы управления сетями

    • WCS

AP LWAPP Сетки 1500 года не поддерживается в этом выпуске.

Поддерживаемые режимы

Основанные на LWAPP точки доступа, которые работают в этих режимах, действительно поддерживают Клиентский MFP:

Поддерживаемые режимы точки доступа
Режим Клиентская поддержка MFP
Локальный Да
Монитор Нет
Анализатор Нет
Посторонний детектор Нет
Гибридный REAP Да
ПОЖИНАТЬ Нет
Root моста Да
WGB Нет

Смешанная поддержка ячейки

Станции клиента, которые не являются CCXv5 способный, могут связаться с WLAN MFP-2. Точки доступа отслеживают, из которых клиенты MFP-2 способный и которые являются не для того, чтобы определить, применяются ли измерения безопасности MFP-2 к исходящим кадрам управления индивидуальной рассылки и ожидаются на входящих кадрах управления индивидуальной рассылки.

Настройка

Настройте MFP на контроллере

Можно глобально настроить MFP на контроллере. Когда вы делаете так, защита кадра управления и проверка включены по умолчанию для каждой точки доступа, к которой присоединяются, и проверка подлинности точки доступа автоматически отключена.

Выполните эти шаги для настройки MFP глобально на контроллере.

  1. В графическом интерфейсе контроллера выберите Security (Безопасность). На результирующем экране нажмите AP Authentication/MFP под беспроводной Политикой обеспечения защиты.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp14.gif

  2. В Политике аутентификации AP выберите Management Frame Protection из раскрывающегося меню Типа защиты и нажмите Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp15.gif

Настройте MFP на WLAN

Вы можете также инфраструктура позволить/запретить защита MFP и клиентский MFP на каждом WLAN, настроенном на WLC. Обоим включают по умолчанию, хотя инфраструктура, защита MFP, которая только активна, если глобально включено, и клиентский MFP, только активна, если WLAN настроен с безопасностью WPA2. Выполните эти действия для включения MFP на WLAN::

  1. От GUI WLC нажмите WLAN и нажмите New для создания нового WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp11.gif

  2. На странице edit WLAN перейдите к Вкладке Дополнительно и проверьте флажок Infrastructure MFP Protection, чтобы включить инфраструктуре MFP на этом WLAN. Для отключения инфраструктуры MFP proection для этого WLAN, снимите флажок с этим флажком. Для включения Клиентского MFP выберите требуемую или дополнительную опцию из раскрывающегося меню. При выборе Client MFP = Требуемый удостоверьтесь, что у всех клиентов есть поддержка MFP-2, или они не в состоянии соединиться. Если вы выбираете дополнительный, и MFP и включенные клиенты non-MFP могут соединиться на том же WLAN.

    http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp18.gif

Проверка.

Для подтверждения конфигураций MFP от GUI нажмите Management Frame Protection под беспроводной Политикой обеспечения защиты от страницы Security. Это берет вас к Странице настроек MFP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless-mobility/wlan-security/82196-mfp13.gif

В Странице настроек MFP вы видите конфигурацию MFP на WLC, LAP и WLAN. Ниже представлен пример.

  • Поле Management Frame Protection показывает, включен ли MFP глобально для WLC.

  • Поле Controller Time Source Valid указывает, установлено ли время WLC локально (ручным вводом времени) или через внешний источник (такой как NTP server). Если время установлено внешним источником, значение этого поля "Истинно". Если время установлено локально, значение является "Ложью". Источник времени используется для проверки кадров управления между точками доступа других WLC, которым также настроили мобильность.

    Примечание: Если MFP включен на всех WLC в группе мобильности/RF, всегда рекомендуется использовать NTP server для установки времени WLC в группе мобильности.

  • Поле MFP Protection показывает, включен ли MFP для отдельных WLAN.

  • Поле MFP Validation показывает, включен ли MFP для индивидуальных точек доступа.

Эти команды показа могут быть полезными:

  • show wps summary — Используйте эту команду для наблюдения сводки текущей беспроводной политики обеспечения защиты (который включает MFP) WLC.

  • show wps mfp summary — Чтобы видеть, что текущий глобальный MFP устанавливает WLC, введите эту команду.

  • show ap config general AP_name — для наблюдения текущего состояния MFP для определенной точки доступа, введите эту команду.

Это - пример выходных данных команды AP_name show ap config general:

(Cisco Controller) >show ap config general AP

Cisco AP Identifier.............................. 4
Cisco AP Name.................................... AP
Country code..................................... US  - United States
Regulatory Domain allowed by Country............. 802.11bg:-AB    802.11a:-AB
AP Country code.................................. US  - United States
AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A 
Switch Port Number .............................. 29
MAC Address...................................... 00:19:2f:7e:3a:30
IP Address Configuration......................... DHCP
IP Address....................................... 172.20.225.142
IP NetMask....................................... 255.255.255.248
Gateway IP Addr.................................. 172.20.225.137
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. 
Secondary Cisco Switch........................... 
Tertiary Cisco Switch............................ 
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... H-Reap
Public Safety ................................... Global: Disabled, Local: Disabled 
Remote AP Debug ................................. Disabled
S/W  Version .................................... 4.1.169.24
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Disabled
PoE Power Injector MAC Addr...................... Disabled
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1242AG-A-K9  
IOS Version...................................... 12.4(20070414:021809)
Reset Button..................................... Enabled
AP Serial Number................................. FTX1035B3QX
AP Certificate Type.............................. Manufacture Installed
H-REAP Vlan mode :............................... Disabled
Management Frame Protection Validation........... Enabled
Console Login Name............................... 
Console Login State.............................. Unknown
Ethernet Port Duplex............................. Auto
Ethernet Port Speed.............................. Auto




Это - пример выходных данных команды show wps mfp summary:

(Cisco Controller) >show wps mfp summary

Global MFP state................................. enabled
Controller Time Source Valid..................... false


                                    WLAN       Infra.      Client
WLAN ID  WLAN Name                  Status     Protection  Protection
-------  -------------------------  ---------  ----------  ----------
1        secure-1                   Enabled    Enabled     Optional
2        Guest                      Enabled    Enabled     Optional but inactive (WPA2 not configured)

                      Infra.             Operational     --Infra. Capability--
AP Name               Validation  Radio  State           Protection  Validation
--------------------  ----------  -----  --------------  ----------  ----------
AP                    Enabled     b/g    Up              Full        Full  
                                  

Эти команды отладки могут быть полезными;

  • debug wps mfp lwapp — Показывает отладочную информацию для сообщений MFP.

  • debug wps mfp подробность — Показывает детализированную отладочную информацию для сообщений MFP.

  • debug wps mfp отчёт — Показывает отладочную информацию для создания отчетов MFP.

  • debug wps mfp мм — Показывает отладочную информацию для мобильности MFP (межконтроллер) сообщения.

Примечание: Существует также несколько свободных беспроводных Анализаторов пакетов, доступных из Интернета, который может использоваться, чтобы перехватить и проанализировать кадры управления 802.11. Некоторыми анализаторами пакетов в качестве примера является Omnipeek и Wireshark.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 82196