Introducción
Este documento cubre detalles sobre el estándar de protección de tramas de administración IEEE 802.11w y cómo se puede configurar en Cisco Wireless LAN Controller (WLC).
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento del WLC de Cisco que ejecuta código 7.6 o superior.
Componentes Utilizados
La información en este documento se basa en el WLC 5508 que ejecuta el código 7.6.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Antecedentes
El estándar 802.11w tiene como objetivo proteger las tramas de control y gestión y un conjunto de marcos de gestión robustos contra los ataques de falsificación y repetición. Los tipos de trama protegidos incluyen tramas de desasociación, desautenticación y acción robusta como:
- Gestión del espectro
- Quality of Service (QoS)
- Bloquear Ack
- Medición de radio
- Transición del conjunto de servicios básico rápido (BSS)
802.11w no cifra las tramas, sin embargo protege las tramas de administración. Garantiza que los mensajes provengan de fuentes legítimas. Para ello, debe agregar un elemento Message Integrity Check (MIC). 802.11w ha introducido una nueva clave llamada clave temporal de grupo de integridad (IGTK), que se utiliza para proteger las tramas de gestión robustas de difusión/multidifusión. Esto se deriva como parte del proceso de entrada en contacto de claves de cuatro vías utilizado con el acceso inalámbrico protegido (WPA). Esto hace que dot1x/Pre-Shared Key (PSK) sea un requisito cuando necesita utilizar 802.11w. No se puede utilizar con el identificador de conjunto de servicios (SSID) de open/webauth.
Cuando se negocia la protección de tramas de administración, el punto de acceso (AP) cifra los valores GTK e IGTK en la trama EAPOL-Key que se entrega en el mensaje 3 del intercambio de señales de 4 vías. Si el AP luego cambia el GTK, envía el nuevo GTK e IGTK al cliente con el uso de Group Key Handshake. Agrega un MIC que se calcula con el uso de la clave IGTK.
Elemento de información de gestión MIC (MMIE)
802.11w introduce un nuevo elemento de información denominado elemento de información de gestión MIC. Tiene el formato de encabezado como se muestra en la imagen.

Los principales campos de preocupación aquí son Id. de elemento y MIC. El ID de elemento para MMIE es 0x4c y sirve como una identificación útil cuando se analizan las capturas inalámbricas.
Nota: MIC: contiene el código de integridad del mensaje calculado sobre la trama de administración. Es importante tener en cuenta que esto se agrega en el AP. El cliente receptor luego vuelve a calcular el MIC para la trama y lo compara con lo que fue enviado por el AP. Si los valores son diferentes, se rechaza como una trama no válida.
Cambios en RSN IE
El elemento de información de red de seguridad robusta (RSN IE) especifica los parámetros de seguridad admitidos por el AP. 802.11w introduce un selector de conjunto de Cipher de administración de grupo en RSN IE que contiene el selector de conjunto de cifrado utilizado por el AP para proteger las tramas de administración robustas de difusión/multidifusión. Esta es la mejor manera de saber si un AP hace 802.11w o no. Esto también se puede verificar como se muestra en la imagen.

Aquí se encuentra el campo group management cipher suite que muestra que se utiliza 802.11w.
También se realizaron cambios en las capacidades de RSN. Los bits 6 y 7 se utilizan ahora para indicar diferentes parámetros para 802.11w.
- Bit 6: Protección de tramas de administración requerida (MFPR): un STA establece este bit en 1 para anunciar que la protección de tramas de administración robustas es obligatoria.
- Bit 7: Capacidad de protección de tramas de administración (MFPC): Un STA establece este bit en 1 para anunciar que la protección de Tramas de administración robustas está habilitada. Cuando el AP establece esto, informa que soporta la protección de tramas de administración.
Si configura la protección de tramas de administración como se requiere en las opciones de configuración, se establece el bit 6 y el bit 7. Esto es como se muestra en la imagen de captura de paquetes aquí.

Sin embargo, si establece esto en opcional, sólo se establece el bit 7, como se muestra en la imagen.

Nota: El WLC agrega este RSN IE modificado en las respuestas de asociación/re-asociación y los AP agregan este RSN IE modificado en las respuestas de las balizas y sonda.
Ventajas de 802.11w Management Frame Protection
Esto se logra mediante la adición de protección criptográfica a las tramas de desautenticación y desasociación. Esto evita que un usuario no autorizado inicie un ataque de denegación de servicio (DOS) mediante la suplantación de la dirección MAC de usuarios legítimos y el envío de tramas de desasociación/desasociación.
La protección del lado de la infraestructura se agrega mediante un mecanismo de protección de cierre de sesiones de la Asociación de Seguridad (SA) que consta de un tiempo de reaparición de la asociación y un procedimiento de consulta de SA. Antes de 802.11w, si un AP recibió una solicitud de asociación o autenticación de un cliente ya asociado, el AP termina la conexión existente y luego inicia una nueva conexión. Cuando utiliza MFP 802.11w, si el STA está asociado y ha negociado la protección de tramas de administración, el AP rechaza la solicitud de asociación con el código de estado de retorno 30 Solicitud de asociación rechazada temporalmente; Inténtelo de nuevo más tarde al cliente.
En la respuesta de asociación se incluye un elemento de información de tiempo de reaparición de la asociación que especifica un tiempo de reaparición cuando el AP estaría listo para aceptar una asociación con este STA. De esta manera, puede asegurarse de que los clientes legítimos no se desasocien debido a una solicitud de asociación falsa.
Nota: El WLC (AireOS o 9800) ignorará las tramas de desasociación o desautenticación enviadas por los clientes si no están usando PMF 802.11w. La entrada del cliente sólo se eliminará inmediatamente después de la recepción de dicha trama si el cliente utiliza PMF. Esto es para evitar la denegación de servicio por dispositivo malicioso, ya que no hay seguridad en esas tramas sin PMF.
Requisitos para habilitar 802.11w
- 802.11w requiere que el SSID se configure con dot1x o PSK.
- 802.11w es soportado en todos los AP compatibles con 802.11n. Esto significa que AP 1130 y 1240 no soportan 802.11w.
- 802.11w no es soportado en los AP flexconnect y el WLC 7510 en la versión 7.4. Se ha agregado soporte desde la versión 7.5.
Configurar
GUI
Paso 1. Debe habilitar la trama de administración protegida en el SSID configurado con 802.1x/PSK. Tiene tres opciones, como se muestra en la imagen.

Required especifica que un cliente que no admite 802.11w no está permitido para conectarse. Opcional especifica que incluso los clientes que no admiten 802.11w pueden conectarse.
Paso 2. A continuación, debe especificar el temporizador de reaparición y el tiempo de espera de consulta SA. El temporizador de reaparición especifica el tiempo que un cliente asociado debe esperar antes de que se pueda volver a intentar la asociación cuando se deniega por primera vez con un código de estado 30. El tiempo de espera de consulta SA especifica la cantidad de tiempo que el WLC espera una respuesta del cliente para el proceso de consulta. Si no hay respuesta del cliente, su asociación se elimina del controlador. Esto se hace como se muestra en la imagen.

Paso 3. Debe activar 'PMF 802.1x' si utiliza 802.1x como método de administración de claves de autenticación. En caso de que utilice PSK, debe seleccionar la casilla de verificación PMF PSK como se muestra en la imagen.

CLI
- Para habilitar o inhabilitar la función 11w, ejecute el comando:
config wlan security wpa akm pmf 802.1x enable/disable <wlan-id>
config wlan security wpa akm pmf psk enable/disable <wlan-id>
- Para habilitar o inhabilitar las Tramas de Administración Protegidas, ejecute el comando:
config wlan security pmf opcional/required/disable <wlan-id>
- Configuración de la hora de reaparición de la asociación:
config wlan security pmf 11w-association-comeback <time> <wlan-id>
- Configuración de tiempo de espera de reintento de consulta SA:
config wlan security pmf saquery-retry-time <time> <wlan-id>
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Se puede verificar la configuración 802.11w. Verifique la configuración de WLAN:
(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200
Troubleshoot
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Estos comandos debug están disponibles para resolver problemas 802.11w en el WLC:
- debug 11w-pmf events enable/disable
- debug 11w-pmf keys enable/disable
- debug 11w-pmf all enable