PDF(1.1 MB) عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub(890.6 KB) العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle)(671.7 KB) عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ مارس ٢٠٢٣
معرّف المستند:212576
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا وثيقة تفاصيل حول IEEE 802.11w إدارة إطار حماية وتكوينه على ال cisco لاسلكي lan جهاز تحكم (WLC).
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من cisco WLC أن يركض رمز 7.6 أو متأخر.
المكونات المستخدمة
أسست المعلومة في هذا وثيقة على WLC 5508 أن يركض رمز 7،6.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يهدف معيار 802.11w إلى حماية إطارات التحكم والإدارة ومجموعة من إطارات الإدارة القوية ضد هجمات التزوير وإعادة التشغيل. أنواع الإطارات المحمية تتضمن إلغاء الاقتران، إلغاء المصادقة، وإطارات الإجراء القوية مثل:
إدارة الطيف
جودة الخدمة (QoS)
بلوك آك
قياس راديوي
انتقال مجموعة الخدمة الأساسية السريعة (BSS)
لا يقوم الطراز 802.11w بتشفير الإطارات، ومع ذلك، فإنه يحمي إطارات الإدارة. وهو يضمن أن تأتي الرسائل من مصادر مشروعة. للقيام بذلك، يجب إضافة عنصر "التحقق من تكامل الرسائل" (MIC). قام الطراز 802.11w بإدخال مفتاح جديد يسمى Integrity Group Temporal Key (IGTK)، والذي يستخدم لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذا مشتق كجزء من عملية مصافحة المفاتيح رباعية الإتجاه المستخدمة مع الوصول المحمي اللاسلكي (WPA). وهذا يجعل من مفتاح dot1x/Pre-Shared (PSK) متطلبا عندما تحتاج إلى إستخدام 802.11w. لا يمكن إستخدامه مع معرف مجموعة الخدمة المفتوح/مصادقة الويب (SSID).
عندما يتم التفاوض على حماية إطار الإدارة، تقوم نقطة الوصول (AP) بتشفير قيم GTK و IGTK في إطار EAPOL-Key الذي يتم تسليمه في الرسالة 3 من المصافحة رباعية الإتجاه. إذا قامت نقطة الوصول بتغيير GTK لاحقا، فإنها ترسل ال GTK و IGTK الجديدين إلى العميل باستخدام مصافحة مفتاح المجموعة. يضيف ميكروفون يتم حسابه باستخدام مفتاح IGTK.
عنصر معلومات ميكروفون الإدارة (MMIE)
يقدم الطراز 802.11w عنصرا جديدا للمعلومات يسمى عنصر معلومات ميكروفون الإدارة. يحتوي على تنسيق الرأس كما هو موضح في الصورة.
الحقول الرئيسية ذات الاهتمام هنا هي معرف العنصر و MIC. معرف العنصر ل MMIE هو 0x4c كما أنه يستخدم كتعريف مفيد عندما تقوم بتحليل لقطات الشبكة اللاسلكية.
ملاحظة: MIC - يحتوي على رمز تكامل الرسالة الذي يتم حسابه عبر إطار الإدارة. من المهم أن نلاحظ أن هذا أضيف في نقطة الوصول. ثم يقوم عميل الوجهة بإعادة حساب الميكروفون للإطار ومقارنته بما تم إرساله بواسطة نقطة الوصول. إذا كانت القيم مختلفة، يتم رفض هذا كإطار غير صحيح.
التغييرات على RSN IE
يحدد Strong Security Network Information Element (RSN IE) معلمات الأمان التي تدعمها نقطة الوصول. يقدم الطراز 802.11w أداة تحديد مجموعة تشفير إدارة المجموعة إلى RSN IE الذي يحتوي على أداة تحديد مجموعة التشفير التي تستخدمها نقطة الوصول لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذه هي الطريقة الأفضل لمعرفة ما إذا كانت نقطة الوصول تقوم 802.11w أم لا. يمكن أيضا التحقق من هذا كما هو موضح في الصورة.
هنا، تجد حقل مجموعة شفرة إدارة المجموعة الذي يظهر أن 802.11w مستخدم.
تم إجراء تغييرات أيضا في إمكانات RSN. يتم الآن إستخدام وحدات بت 6 و 7 للإشارة إلى معلمات مختلفة للطراز 802.11w.
بت 6: يلزم توفير حماية إطار الإدارة (MFPR) - يحدد STA هذا البت إلى 1 للإعلان عن أن حماية إطارات الإدارة القوية إلزامية.
بت 7: إمكانية حماية إطار الإدارة (MFPC) - يقوم STA بتعيين هذا البت إلى 1 للإعلان عن تمكين حماية إطارات الإدارة القوية. عندما تقوم نقطة الوصول بتعيين هذا، فإنها تعلم بأنها تدعم حماية إطار الإدارة.
إذا قمت بضبط حماية إطار الإدارة كما هو مطلوب ضمن خيارات التكوين، فسيتم تعيين كل من وحدات بت 6 و 7. هذا كما هو موضح في صورة التقاط الحزمة هنا.
على أي حال، إذا قمت بضبط هذا على إختياري فإن البت 7 فقط يتم ضبطه، كما هو موضح في الصورة.
ملاحظة: يضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هذا RSN IE المعدل في استجابات الاقتران/إعادة الاقتران وتضيف نقطة الوصول AP هذا RSN IE المعدل في استجابات الاستدلال والاستكشاف.
فوائد حماية إطار الإدارة وفقا لمعيار 802.11w
حماية العملاء
ويتحقق ذلك من خلال إضافة حماية التشفير إلى إطارات إلغاء المصادقة والتفكيك. وهذا يؤدي إلى منع مستخدم غير مصرح له من تشغيل هجوم رفض الخدمة (DOS) من خلال انتحال عنوان MAC الخاص بالمستخدمين الشرعيين وإرسال إطارات الإرسال/قطع الاتصال.
حماية نقطة الوصول (AP)
تتم إضافة الحماية الجانبية للبنية الأساسية عن طريق إضافة آلية الحماية المؤقتة لاقتران الأمان (SA) التي تتكون من وقت إرجاع الاقتران وإجراء SA-Query. قبل 802.11w، إذا تلقت نقطة وصول طلبا إما اقتران أو مصادقة من عميل مقترن بالفعل، يقوم نقطة الوصول بإنهاء الاتصال الحالي ثم يبدأ اتصالا جديدا. عندما تستخدم ملف تخصيص 802.11w، إذا كان STA مقترنا ولديه حماية إطار إدارة متفاوض عليها، فإن نقطة الوصول ترفض طلب الاقتران برمز حالة الإرجاع 30 Association request rejected temporarily; Try again later للعميل.
متضمن في "إستجابة الاقتران" عنصر معلومات وقت إرجاع الاقتران الذي يحدد وقت العودة عندما تكون نقطة الوصول جاهزة لقبول اقتران بهذا STA. بهذه الطريقة يمكنك التأكد من أن العملاء الشرعيين لا يتم فصلهم بسبب طلب اقتران منتحلا.
ملاحظة: تتجاهل عنصر التحكم في الشبكة المحلية اللاسلكية (AireOS أو 9800) إطارات إلغاء الارتباط أو إلغاء المصادقة التي يرسلها العملاء إذا لم يستخدموا 802.11w PMF. لا يتم حذف إدخال العميل إلا عند إستلام مثل هذا الإطار في حالة إستخدام العميل ل PMF. ويهدف ذلك إلى تجنب حجب الخدمة عن طريق الأجهزة الضارة نظرا لعدم وجود أمان على هذه الإطارات دون وجود "قوات الحشد الشعبي".
متطلبات تمكين 802.11w
يتطلب الطراز 802. 11w تهيئة SSID باستخدام dot1x أو PSK.
يتم دعم معيار 802. 11w على جميع نقاط الوصول التي تدعم شبكة 802. 11n. هذا يعني أن نقطة الوصول 1130 و 1240 لا تدعم معيار 802. 11w.
802.11w غير مدعوم على نقطة الوصول FlexConnect و 7510 WLC في الإصدار 7.4. تمت إضافة الدعم منذ الإصدار 7.5.
التكوين
واجهة المستخدم الرسومية
الخطوة 1. تحتاج إلى تمكين إطار الإدارة المحمي ضمن SSID المكون باستخدام 802.1x/PSK. لديك ثلاثة خيارات كما هو موضح في الصورة.
يحدد "مطلوب" عدم السماح للعميل الذي لا يدعم 802.11w بالاتصال. تحدد "إختياري" أنه يسمح حتى للعملاء الذين لا يدعمون معيار 802.11w بالاتصال.
الخطوة 2. تحتاج بعد ذلك إلى تحديد مهلة مؤقت العودة واستعلام SA. يحدد مؤقت الإرجاع الوقت الذي يجب أن ينتظره العميل المقترن قبل أن يمكن محاولة الاقتران مرة أخرى عند الرفض لأول مرة مع رمز الحالة 30. تحدد مهلة استعلام SA مقدار الوقت الذي ينتظره عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للاستجابة من العميل لعملية الاستعلام. في حالة عدم وجود إستجابة من العميل، يتم حذف الاقتران الخاص به من وحدة التحكم. ويتم القيام بذلك كما هو موضح في الصورة.
الخطوة 3. يجب تمكين 'PMF 802.1x' إذا كنت تستخدم 802.1x كطريقة إدارة مفتاح المصادقة. في حالة إستخدام PSK، يجب عليك إختيار خانة الاختيار PMF PSK كما هو موضح في الصورة.