¿Tiene una cuenta?
  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Protección de la trama de la Administración de la configuración 802.11w en el WLC

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (893.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de mayo de 2018
ID del documento:212576
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este los detalles de los documentos abarca sobre la Administración de IEEE 802.11w enmarcan el estándar de protección y cómo puede ser configurado en el controlador LAN de la tecnología inalámbrica de Cisco (WLC).

    Prerequisites

    Requisitos

    Cisco recomienda que usted tiene conocimiento del WLC de Cisco que funcione con el código 7.6 o más alto.

    Componentes Utilizados

    La información en este documento se basa en el WLC 5508 que funciona con el código 7.6.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Antecedentes

    El estándar 802.11w apunta proteger las tramas del control y de la Administración y un conjunto de los bastidores robustos de la Administración contra la falsificación y los ataques con paquetes copiados. Los tipos de trama protegidos incluyen la desasociación, Deauthentication, y las tramas de acción robustas por ejemplo:

    • Administración del espectro
    • Calidad del servicio (QoS)
    • Bloque Ack
    • Medida de radio
    • Transición determinada del servicio básico rápido (BSS)

    802.11w no cifra las tramas, no obstante protege las tramas de la Administración. Se asegura de que los mensajes vengan de las fuentes legítimas. Para hacer eso, usted tiene que agregar un elemento del Message Integrity Check (MIC). 802.11w ha introducido una nueva clave llamada la clave temporal de Integrity Group (IGTK), que se utiliza para proteger las tramas robustas del broadcast/de la Administración del Multicast. Esto se deriva como parte del proceso dominante de cuatro terminales del apretón de manos usado con el acceso protegido Tecnología inalámbrica (WPA). Esto hace clave dot1x/Pre-Shared (PSK) un requisito cuando usted necesita utilizar 802.11w. No puede ser utilizada con el Service Set Identifier abierto/del webauth (SSID).

    Cuando se negocia la protección del capítulo de la Administración, el punto de acceso cifra los valores GTK, e IGTK en la trama de la EAPOL-clave que se entrega en el mensaje 3 del apretón de manos 4-way. Si el AP cambia más adelante el GTK, envía el nuevos GTK e IGTK al cliente con el uso del apretón de manos de la clave del grupo. Agrega un MIC que se calcule con el uso de la clave IGTK.

    Elemento de información de la Administración MIC (MMIE)

    802.11w introduce un nuevo elemento de información de la Administración llamada MIC del elemento de información. Tiene el formato de encabezamiento tal y como se muestra en de la imagen.

    Los campos principales de la preocupación aquí son el elemento ID y MIC. El elemento ID para MMIE es 0x4c y sirve como identificación útil cuando usted analiza las capturas inalámbricas.

    Note: MIC - Contiene el código de la Integridad del mensaje calculado sobre la trama de la Administración. Es importante observar que esto está agregada en el AP. Los re-cálculos de recepción del cliente entonces el MIC para la trama y la comparan con qué fue enviada por el AP. Si los valores son diferentes esto se rechaza como inválido enmarca.

    Cambios a RSN IE

    El elemento de información de red de la seguridad robusta (RSN IE) especifica los parámetros de seguridad soportados por el AP. 802.11w introduce un selector de la habitación de la cifra de la Administración del grupo a RSN IE que contenga el selector de la habitación de la cifra usado por el AP para proteger las tramas robustas del broadcast/de la Administración del Multicast. Ésta es la mejor manera de saber si un AP hace 802.11w o no. Esto se puede también verificar tal y como se muestra en de la imagen.

    Aquí, usted encuentra el campo de la habitación de la cifra de la Administración del grupo que muestra que 802.11w está utilizado.

    Había cambios también realizados bajo capacidades RSN. Los bits 6 y 7 ahora se utilizan para indicar diversos parámetros para 802.11w.

    • 6 mordidos: La protección del capítulo de la Administración requerida (MFPR) - Un STA fija este bit a 1 para hacer publicidad que la protección de los bastidores robustos de la Administración es obligatoria.
    • 7 mordidos: La protección del capítulo de la Administración capaz (MFPC) - Un STA fija este bit a 1 para hacer publicidad que la protección de los bastidores robustos de la Administración está habilitada. Cuando el AP fija esto, informa que soporta la protección de la trama de la Administración.

    Si usted fija la protección de la trama de la Administración como sea necesario bajo opciones de configuración entonces se fija el bit 6 y 7. Esto está tal y como se muestra en de la imagen de la captura de paquetes aquí.

    Sin embargo, si usted fijó esto a opcional entonces mordió solamente 7 se fija, tal y como se muestra en de la imagen.

    Note: El WLC agrega este RSN modificado IE en las respuestas association/re-association y los AP agregan este RSN modificado IE en los faros y las respuestas de la sonda.

    Ventajas de la protección de la trama de la Administración 802.11w

    • Protección del cliente

    Esto es alcanzada por la adición de protección criptográfica a las tramas de Deauthentication y de la desasociación. Esto previene a un usuario no autorizado para iniciar un ataque de Negación de servicio (DoS) por el MAC address del spoofing de los usuarios legítimos y para enviar las tramas del deauth/de la desasociación.

    • Protección AP

    La protección lateral de la infraestructura es agregada por la adición de un mecanismo de protección del desmontaje de la asociación de seguridad (SA) que consista en un rato de la reaparición de la asociación y un procedimiento de la SA-interrogación. Antes de 802.11w, si un AP recibió una asociación o el pedido de autenticación de un cliente ya asociado, el AP termina la conexión existente y después enciende una nueva conexión. Cuando usted utiliza 802.11w MFP, si el STA es asociado y ha negociado la protección del capítulo de la Administración, el AP rechaza la petición de la asociación con la petición de vuelta de la asociación del código de estado 30 rechazada temporalmente; Intento otra vez más adelante al cliente.

    Se incluye en la respuesta de la asociación un elemento de información de tiempo de la reaparición de la asociación que especifica una época de la reaparición en que el AP estaría listo para validar una asociación con este STA. Esta manera usted puede asegurarse de que los clientes legítimos no sean desasociado debido a una petición de la asociación del spoofed.

    Requisitos de habilitar 802.11w

    • 802.11w requiere el SSID ser configurado con el dot1x o el PSK.
    • 802.11w se soporta en todo el 802.11n AP capaces. Esto significa que el AP 1130 y 1240 no soporta 802.11w.
    • 802.11w no se soporta en el flexconnect AP y 7510 WLC en la versión 7.4. El soporte se ha agregado desde la versión 7.5.

    Configurar

    GUI

    Paso 1. Usted necesita habilitar la trama protegida de la Administración bajo el SSID configurado con 802.1x/PSK. Usted tiene tres opciones tal y como se muestra en de la imagen.

    Requerido especifica que no se permita a un cliente que no soporta 802.11w conectar. Opcional especifica que incluso se permite a los clientes que no soportan 802.11w conectar.

    Paso 2. Usted entonces necesita especificar el descanso del temporizador de la reaparición y de la interrogación SA. El temporizador de la reaparición especifica el tiempo que un cliente asociado debe esperar antes de que la asociación se pueda intentar otra vez cuando primero esté negada con un código de estado 30. El descanso de la interrogación SA especifica la cantidad de tiempo que el WLC espera una respuesta del cliente para el proceso de la interrogación. Si no hay respuesta del cliente, su asociación se borra del regulador. Esto se hace tal y como se muestra en de la imagen.

    Paso 3. Usted necesita habilitar 'PMF 802.1x' si usted utiliza el 802.1x como el método de Administración de clave de autenticación. En caso de que usted utilice el PSK, usted necesita seleccionar el checkbox del PSK PMF tal y como se muestra en de la imagen.

    CLI

    • Para habilitar o inhabilitar la característica 11w funciona con el comando:

    permiso del 802.1x del pmf del akm del wpa de la Seguridad de WLAN de los config/<wlan-id> de la neutralización

    permiso del psk del pmf del akm del wpa de la Seguridad de WLAN de los config/<wlan-id> de la neutralización

    • Para habilitar o inhabilitar los capítulos protegidos de la Administración funciona con el comando:

    el pmf de la Seguridad de WLAN de los config opcional/requirió/el <wlan-id> de la neutralización

    • Configuraciones horarias de la reaparición de la asociación:

    <wlan-id> del pmf 11w-association-comeback de la Seguridad de WLAN de los config <time>

    • Configuraciones del retry timeout de la interrogación SA: 

    de los config de la Seguridad de WLAN del pmf del saquery-recomprobación-tiempo <wlan-id> <time>

    Verificación

    Utilize esta sección para confirmar que su configuración funcione correctamente.

    La configuración 802.11w puede ser verificada. Marque la configuración de la red inalámbrica (WLAN):

    (wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

    Troubleshooting

    Esta sección proporciona la información que usted puede utilizar para resolver problemas su configuración.

    Estos comandos debug están disponibles resolver problemas los problemas 802.11w en el WLC:

    • permiso/neutralización de los eventos del 11w-pmf del debug
    • permiso/neutralización de las claves del 11w-pmf del debug
    • el 11w-pmf todo del debug habilita 
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ishaan Sanji
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Déjenos ayudarlo

    Debates relacionados con la comunidad de soporte

    Este documento se aplica a estos productos

    ACERCA DE CISCO
    CONTÁCTENOS
    TRABAJE CON NOSOTROS