Configurer la protection de trames de gestion 802.11w sur WLC

Introduction

Ce document décrit en détail la norme IEEE 802.11w de protection des trames de gestion et comment elle peut être configurée sur le contrôleur de réseau local sans fil (WLC) Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous connaissiez Cisco WLC qui exécute le code 7.6 ou supérieur.

Components Used

Les informations de ce document sont basées sur le WLC 5508 qui exécute le code 7.6.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

La norme 802.11w vise à protéger les trames de contrôle et de gestion et un ensemble de trames de gestion robustes contre les attaques de faux et de relecture. Les types de trame protégés incluent les trames Disassociation, Deauthentication et Robust Action telles que :

• Gestion du spectre
• Quality of Service (QoS)
• Bloquer Accusé de réception
• Mesure de la radio
• Transition BSS (Fast Basic Service Set)

802.11w ne chiffre pas les trames, mais protège les trames de gestion. Il garantit que les messages proviennent de sources légitimes. Pour ce faire, vous devez ajouter un élément MIC (Message Integrity Check). 802.11w a introduit une nouvelle clé appelée IGTK (Integrity Group Temporal Key), qui est utilisée pour protéger les trames de gestion robustes de diffusion/multidiffusion. Cela fait partie du processus de connexion à clé en quatre étapes utilisé avec Wireless Protected Access (WPA). Cela rend dot1x/Pre-Shared Key (PSK) obligatoire lorsque vous devez utiliser la norme 802.11w. Il ne peut pas être utilisé avec un SSID (Service Set Identifier) ouvert/Web.

Lors de la négociation de Management Frame Protection, le point d'accès (AP) chiffre les valeurs GTK et IGTK dans la trame EAPOL-Key qui est fournie dans le message 3 de la connexion en 4 étapes. Si le point d'accès modifie ultérieurement le GTK, il envoie les nouveaux GTK et IGTK au client avec l'utilisation de la connexion de clé de groupe. Il ajoute un MIC calculé à l'aide de la clé IGTK.

MMIE (Management MIC Information Element)

802.11w introduit un nouvel élément d'information appelé élément d'information MIC de gestion. Il a le format d'en-tête tel qu'illustré dans l'image.

Les principaux domaines de préoccupation ici sont l'ID d'élément et la MIC. L'ID d'élément de MMIE est 0x4c et sert d'identification utile lors de l'analyse des captures sans fil.

Remarque: MIC : il contient le code d'intégrité des messages calculé sur la trame Management. Il est important de noter que ceci est ajouté au point d'accès. Le client récepteur recalcule ensuite le MIC de la trame et le compare à ce qui a été envoyé par l'AP. Si les valeurs sont différentes, ceci est rejeté en tant que trame non valide.

Modifications apportées à RSN IE

Robust Security Network Information Element (RSN IE) spécifie les paramètres de sécurité pris en charge par le point d'accès. 802.11w introduit un sélecteur de suite de chiffrement de gestion de groupe à RSN IE qui contient le sélecteur de suite de chiffrement utilisé par l'AP pour protéger les trames de gestion robustes de diffusion/multidiffusion. C'est le meilleur moyen de savoir si un AP fait 802.11w ou pas. Cette vérification peut également être effectuée comme le montre l'image.

Vous trouverez ici le champ de suite de chiffrement de gestion de groupe qui indique que 802.11w est utilisé.

Des modifications ont également été apportées aux fonctionnalités RSN. Les bits 6 et 7 sont maintenant utilisés pour indiquer différents paramètres pour 802.11w.

• Bit 6 : Management Frame Protection Required (MFPR) : un STA définit ce bit sur 1 pour annoncer que la protection des trames de gestion robustes est obligatoire.
• Bit 7 : Management Frame Protection Capable (MFPC) : un STA définit ce bit sur 1 pour annoncer que la protection des trames de gestion robustes est activée. Lorsque le point d’accès définit cela, il informe qu’il prend en charge la protection des trames de gestion.

Si vous définissez la protection des trames de gestion conformément aux options de configuration, les bits 6 et 7 sont tous deux définis. Ceci est illustré dans l'image de capture de paquets ici.

Cependant, si vous définissez cette option sur facultatif, seul le bit 7 est défini, comme l'illustre l'image.

Remarque: Le WLC ajoute cet IE RSN modifié dans les réponses d'association/réassociation et les AP ajoutent cet IE RSN modifié dans les balises et les réponses de sonde.

Avantages de la protection des trames de gestion 802.11w

• Protection des clients

Cela est possible grâce à l'ajout d'une protection cryptographique aux trames de déauthentification et de dissociation. Cela empêche un utilisateur non autorisé de lancer une attaque de déni de service (DOS) en usurpant l'adresse MAC des utilisateurs légitimes et en envoyant des trames de deauth/disassociation.

• Protection AP

La protection côté infrastructure est ajoutée par un mécanisme de protection contre les annulations de l'association de sécurité (SA), qui comprend un temps de retour d'association et une procédure de requête de SA. Avant 802.11w, si un point d'accès a reçu une demande d'association ou d'authentification d'un client déjà associé, le point d'accès met fin à la connexion existante, puis démarre une nouvelle connexion. Lorsque vous utilisez la MFP 802.11w, si l'STA est associée et a négocié Management Frame Protection, l'AP rejette la demande d'association avec le code d'état de retour 30 Demande d'association rejetée temporairement ; Réessayez ultérieurement au client.

Inclus dans la réponse de l'association est un élément d'informations sur le temps de retour de l'association qui spécifie une heure de retour lorsque le point d'accès serait prêt à accepter une association avec cette STA. Vous pouvez ainsi vous assurer que les clients légitimes ne sont pas dissociés en raison d'une demande d'association falsifiée.

Remarque: Le WLC (AireOS ou 9800) ignorera les trames de désassociation ou de déauthentification envoyées par les clients s'ils n'utilisent pas le PMF 802.11w. L'entrée du client ne sera supprimée qu'à la réception d'une telle trame si le client utilise le PMF. Ceci permet d'éviter le déni de service par un périphérique malveillant, car il n'y a aucune sécurité sur ces trames sans PMF.

Configuration requise pour activer la norme 802.11w

• 802.11w nécessite que le SSID soit configuré avec dot1x ou PSK.
• 802.11w est pris en charge sur tous les points d'accès compatibles 802.11n. Cela signifie que AP 1130 et 1240 ne prennent pas en charge 802.11w.
• 802.11w n'est pas pris en charge sur les points d'accès flexconnect et les WLC 7510 dans la version 7.4. La prise en charge a été ajoutée depuis la version 7.5.

Configuration

IUG

Étape 1. Vous devez activer la trame de gestion protégée sous le SSID configuré avec 802.1x/PSK. Vous disposez de trois options, comme l'illustre l'image.

Obligatoire spécifie qu'un client qui ne prend pas en charge 802.11w n'est pas autorisé à se connecter. Facultatif spécifie que même les clients qui ne prennent pas en charge 802.11w sont autorisés à se connecter.

Étape 2. Vous devez ensuite spécifier le temporisateur de retour et le délai d'attente de la requête SA. Le compteur de retour spécifie le délai d'attente d'un client associé avant que l'association puisse être tentée à nouveau lors du premier refus avec un code d'état 30. Le délai d'attente de la requête SA spécifie le temps que le WLC attend pour obtenir une réponse du client pour le processus de requête. S'il n'y a pas de réponse du client, son association est supprimée du contrôleur. Cela se fait comme le montre l'image.

Étape 3. Vous devez activer 'PMF 802.1x' si vous utilisez 802.1x comme méthode de gestion des clés d'authentification. Si vous utilisez PSK, vous devez cocher la case PMF PSK comme indiqué dans l'image.

CLI

• Pour activer ou désactiver la fonction 11w, exécutez la commande suivante :

config wlan security wpa akm pmf 802.1x enable/disable <wlan-id>

config wlan security wpa akm pmf psk enable/disable <wlan-id>

• Pour activer ou désactiver les trames de gestion protégées, exécutez la commande :

config wlan security pmf facultatif/obligatoire/disable <wlan-id>

• Paramètres du temps de retour de l'association :

config wlan security pmf 11w-association-comeback <time> <wlan-id>

• Paramètres de délai de rétentative de requête SA : 

config wlan security pmf saquery-retry-time <time> <wlan-id>

Vérification

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

La configuration 802.11w peut être vérifiée. Vérifiez la configuration WLAN :

(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Ces commandes de débogage sont disponibles pour dépanner les problèmes 802.11w sur le WLC :

• debug 11w-pmf events enable/disable
• debug 11w-pmf keys enable/disable
• debug 11w-pmf all enable