تكوين حماية إطار الإدارة 802.11w على WLC

خيارات التنزيل

  • PDF     (1.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (890.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (671.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ مارس ٢٠٢٣
معرّف المستند:212576

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة تفاصيل حول IEEE 802.11w إدارة إطار حماية وتكوينه على ال cisco لاسلكي lan جهاز تحكم (WLC).

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة من cisco WLC أن يركض رمز 7.6 أو متأخر.

    المكونات المستخدمة

    أسست المعلومة في هذا وثيقة على WLC 5508 أن يركض رمز 7،6.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    يهدف معيار 802.11w إلى حماية إطارات التحكم والإدارة ومجموعة من إطارات الإدارة القوية ضد هجمات التزوير وإعادة التشغيل. أنواع الإطارات المحمية تتضمن إلغاء الاقتران، إلغاء المصادقة، وإطارات الإجراء القوية مثل:

    • إدارة الطيف
    • جودة الخدمة (QoS)
    • بلوك آك
    • قياس راديوي
    • انتقال مجموعة الخدمة الأساسية السريعة (BSS)

    لا يقوم الطراز 802.11w بتشفير الإطارات، ومع ذلك، فإنه يحمي إطارات الإدارة. وهو يضمن أن تأتي الرسائل من مصادر مشروعة. للقيام بذلك، يجب إضافة عنصر "التحقق من تكامل الرسائل" (MIC). قام الطراز 802.11w بإدخال مفتاح جديد يسمى Integrity Group Temporal Key (IGTK)، والذي يستخدم لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذا مشتق كجزء من عملية مصافحة المفاتيح رباعية الإتجاه المستخدمة مع الوصول المحمي اللاسلكي (WPA). وهذا يجعل من مفتاح dot1x/Pre-Shared (PSK) متطلبا عندما تحتاج إلى إستخدام 802.11w. لا يمكن إستخدامه مع معرف مجموعة الخدمة المفتوح/مصادقة الويب (SSID).

    عندما يتم التفاوض على حماية إطار الإدارة، تقوم نقطة الوصول (AP) بتشفير قيم GTK و IGTK في إطار EAPOL-Key الذي يتم تسليمه في الرسالة 3 من المصافحة رباعية الإتجاه. إذا قامت نقطة الوصول بتغيير GTK لاحقا، فإنها ترسل ال GTK و IGTK الجديدين إلى العميل باستخدام مصافحة مفتاح المجموعة. يضيف ميكروفون يتم حسابه باستخدام مفتاح IGTK.

    عنصر معلومات ميكروفون الإدارة (MMIE)

    يقدم الطراز 802.11w عنصرا جديدا للمعلومات يسمى عنصر معلومات ميكروفون الإدارة. يحتوي على تنسيق الرأس كما هو موضح في الصورة.

    Field format

    الحقول الرئيسية ذات الاهتمام هنا هي معرف العنصر و MIC. معرف العنصر ل MMIE هو  0x4c كما أنه يستخدم كتعريف مفيد عندما تقوم بتحليل لقطات الشبكة اللاسلكية.

    ملاحظة: MIC - يحتوي على رمز تكامل الرسالة الذي يتم حسابه عبر إطار الإدارة. من المهم أن نلاحظ أن هذا أضيف في نقطة الوصول. ثم يقوم عميل الوجهة بإعادة حساب الميكروفون للإطار ومقارنته بما تم إرساله بواسطة نقطة الوصول. إذا كانت القيم مختلفة، يتم رفض هذا كإطار غير صحيح.

    التغييرات على RSN IE

    يحدد Strong Security Network Information Element (RSN IE) معلمات الأمان التي تدعمها نقطة الوصول. يقدم الطراز 802.11w أداة تحديد مجموعة تشفير إدارة المجموعة إلى RSN IE الذي يحتوي على أداة تحديد مجموعة التشفير التي تستخدمها نقطة الوصول لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذه هي الطريقة الأفضل لمعرفة ما إذا كانت نقطة الوصول تقوم 802.11w أم لا. يمكن أيضا التحقق من هذا كما هو موضح في الصورة.

    PCAP: ciphersuite

    هنا، تجد حقل مجموعة شفرة إدارة المجموعة الذي يظهر أن 802.11w مستخدم.

    تم إجراء تغييرات أيضا في إمكانات RSN. يتم الآن إستخدام وحدات بت 6 و 7 للإشارة إلى معلمات مختلفة للطراز 802.11w.

    • بت 6: يلزم توفير حماية إطار الإدارة (MFPR) - يحدد STA هذا البت إلى 1 للإعلان عن أن حماية إطارات الإدارة القوية إلزامية.
    • بت 7: إمكانية حماية إطار الإدارة (MFPC) - يقوم STA بتعيين هذا البت إلى 1 للإعلان عن تمكين حماية إطارات الإدارة القوية. عندما تقوم نقطة الوصول بتعيين هذا، فإنها تعلم بأنها تدعم حماية إطار الإدارة.

    إذا قمت بضبط حماية إطار الإدارة كما هو مطلوب ضمن خيارات التكوين، فسيتم تعيين كل من وحدات بت 6 و 7. هذا كما هو موضح في صورة التقاط الحزمة هنا.

    PMF in RSN IE

    على أي حال، إذا قمت بضبط هذا على إختياري فإن البت 7 فقط يتم ضبطه، كما هو موضح في الصورة.

    PMF Optional

    ملاحظة: يضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هذا RSN IE المعدل في استجابات الاقتران/إعادة الاقتران وتضيف نقطة الوصول AP هذا RSN IE المعدل في استجابات الاستدلال والاستكشاف.

    فوائد حماية إطار الإدارة وفقا لمعيار 802.11w

    • حماية العملاء

    ويتحقق ذلك من خلال إضافة حماية التشفير إلى إطارات إلغاء المصادقة والتفكيك. وهذا يؤدي إلى منع مستخدم غير مصرح له من تشغيل هجوم رفض الخدمة (DOS) من خلال انتحال عنوان MAC الخاص بالمستخدمين الشرعيين وإرسال إطارات الإرسال/قطع الاتصال.

    • حماية نقطة الوصول (AP)

    تتم إضافة الحماية الجانبية للبنية الأساسية عن طريق إضافة آلية الحماية المؤقتة لاقتران الأمان (SA) التي تتكون من وقت إرجاع الاقتران وإجراء SA-Query. قبل 802.11w، إذا تلقت نقطة وصول طلبا إما اقتران أو مصادقة من عميل مقترن بالفعل، يقوم نقطة الوصول بإنهاء الاتصال الحالي ثم يبدأ اتصالا جديدا. عندما تستخدم ملف تخصيص 802.11w، إذا كان STA مقترنا ولديه حماية إطار إدارة متفاوض عليها، فإن نقطة الوصول ترفض طلب الاقتران برمز حالة الإرجاع 30  Association request rejected temporarily; Try again later للعميل.

    متضمن في "إستجابة الاقتران" عنصر معلومات وقت إرجاع الاقتران الذي يحدد وقت العودة عندما تكون نقطة الوصول جاهزة لقبول اقتران بهذا STA. بهذه الطريقة يمكنك التأكد من أن العملاء الشرعيين لا يتم فصلهم بسبب طلب اقتران منتحلا.

    ملاحظة: تتجاهل عنصر التحكم في الشبكة المحلية اللاسلكية (AireOS أو 9800) إطارات إلغاء الارتباط أو إلغاء المصادقة التي يرسلها العملاء إذا لم يستخدموا 802.11w PMF. لا يتم حذف إدخال العميل إلا عند إستلام مثل هذا الإطار في حالة إستخدام العميل ل PMF. ويهدف ذلك إلى تجنب حجب الخدمة عن طريق الأجهزة الضارة نظرا لعدم وجود أمان على هذه الإطارات دون وجود "قوات الحشد الشعبي".

    متطلبات تمكين 802.11w

    • يتطلب الطراز 802. 11w تهيئة SSID باستخدام dot1x أو PSK.
    • يتم دعم معيار 802. 11w على جميع نقاط الوصول التي تدعم شبكة 802. 11n. هذا يعني أن نقطة الوصول 1130 و 1240 لا تدعم معيار 802. 11w.
    • 802.11w غير مدعوم على نقطة الوصول FlexConnect و 7510 WLC في الإصدار 7.4. تمت إضافة الدعم منذ الإصدار 7.5.

    التكوين

    واجهة المستخدم الرسومية

    الخطوة 1. تحتاج إلى تمكين إطار الإدارة المحمي ضمن SSID المكون باستخدام 802.1x/PSK. لديك ثلاثة خيارات كما هو موضح في الصورة.

    PMF Required

    يحدد "مطلوب" عدم السماح للعميل الذي لا يدعم 802.11w بالاتصال. تحدد "إختياري" أنه يسمح حتى للعملاء الذين لا يدعمون معيار 802.11w بالاتصال.

    الخطوة 2. تحتاج بعد ذلك إلى تحديد مهلة مؤقت العودة واستعلام SA. يحدد مؤقت الإرجاع الوقت الذي يجب أن ينتظره العميل المقترن قبل أن يمكن محاولة الاقتران مرة أخرى عند الرفض لأول مرة مع رمز الحالة 30. تحدد مهلة استعلام SA مقدار الوقت الذي ينتظره عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للاستجابة من العميل لعملية الاستعلام. في حالة عدم وجود إستجابة من العميل، يتم حذف الاقتران الخاص به من وحدة التحكم. ويتم القيام بذلك كما هو موضح في الصورة.

    PMF Settings on the SSID

    الخطوة 3. يجب تمكين 'PMF 802.1x' إذا كنت تستخدم 802.1x كطريقة إدارة مفتاح المصادقة. في حالة إستخدام PSK، يجب عليك إختيار خانة الاختيار PMF PSK كما هو موضح في الصورة.

    Configure PMF dot1x

    CLI

    • in order to مكنت أو أعجزت ال 11w سمة، ركضت الأمر:

    config wlan security wpa akm pmf 802.1x enable/disable config wlan security wpa akm pmf psk enable/disable

    • لتمكين أو تعطيل إطارات الإدارة المحمية، قم بتشغيل الأمر:

    config wlan security pmf optional/required/disable

    • إعدادات وقت العودة للاقتران:

    config wlan security pmf 11w-association-comeback

    • إعدادات مهلة إعادة محاولة استعلام SA: 

    config wlan security pmf saquery-retry-time

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    يمكن التحقق من تكوين 802.11w. تحقق من تكوين شبكة WLAN:

    (wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

    استكشاف الأخطاء وإصلاحها

    يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    تتوفر أوامر تصحيح الأخطاء هذه لاستكشاف أخطاء 802.11w وإصلاحها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):

    • debug 11w-pmf events  enable/disable
    • debug 11w-pmf  keys enable/disable
    • debug 11w-pmf all enable 

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    20-Mar-2023
    تغييرات بسيطة في الصياغة
    1.0
    13-Dec-2017
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Ishaan Sanji
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات