Configurez le Management Frame Protection 802.11w sur WLC

Introduction

Ce document couvre des détails au sujet de norme de protection de trame de Gestion d'IEEE 802.11w et comment il peut être configuré sur le contrôleur LAN Sans fil de Cisco (WLC).

Conditions préalables

Conditions requises

Cisco recommande que vous ayez la connaissance du Cisco WLC qui exécute le code 7.6 ou plus élevé.

Composants utilisés

Les informations dans ce document sont basées sur WLC 5508 qui exécute le code 7.6.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

La norme 802.11w vise à protéger des trames de contrôle et de Gestion et un ensemble de trames robustes de Gestion contre le contrefaçon et les attaques par relecture. Les types de trame protégés incluent la dissassociation, le Deauthentication, et les vidéotex robustes comme :

• Gestion de spectre
• Qualité de service (QoS)
• Bloc ACK
• Mesure par radio
• Transition rapide de l'ensemble des services de base (BSS)

802.11w ne chiffre pas les trames, toutefois il protège les trames de Gestion. Il s'assure que les messages proviennent des sources légitimes. Afin de faire cela, vous devez ajouter un élément du Message Integrity Check (MIC). 802.11w a introduit une nouvelle clé appelée la clé temporelle d'Integrity Group (IGTK), qui est utilisée pour protéger les trames robustes d'émission/Gestion de Multidiffusion. Ceci est dérivé en tant qu'élément du processus principal à quatre voies de prise de contact utilisé avec Protected Access Sans fil (WPA). Ceci prévoit à la clé dot1x/Pre-Shared (PSK) une exigence quand vous devez utiliser 802.11w. Il ne peut pas être utilisé avec l'identifiant ouvert/de webauth ensemble de services (SSID).

Quand le Management Frame Protection est négocié, le Point d'accès (AP) chiffre les valeurs GTK, et IGTK dans la trame d'EAPOL-clé qui est fournie dans le message 3 de la prise de contact 4-way. Si AP change plus tard le GTK, il envoie le nouveaux GTK et IGTK au client avec l'utilisation de la prise de contact de clé de groupe. Il ajoute une MIC qui est calculée avec l'utilisation de la clé IGTK.

Élément d'information de la Gestion MIC (MMIE)

802.11w introduit un nouvel élément d'information du programme maintenance MIC d'élément d'information. Il a le format d'en-tête suivant les indications de l'image.

Les champs principaux du souci ici sont ID d'élément et MIC. L'ID d'élément pour MMIE est 0x4c et il sert d'identification utile quand vous analysez les captures Sans fil.

Note: MIC - Elle contient le code d'intégrité des messages calculé au-dessus de la trame de Gestion. Il est important de noter que ceci est ajouté à AP. Les re-calculs de réception de client puis la MIC de la trame et la compare à ce qui a été envoyé par AP. Si les valeurs sont différentes ceci est rejeté en tant que non valide encadrent.

Modifications à l'IE RSN

L'élément d'information réseau de sécurité robuste (IE RSN) spécifie les paramètres de Sécurité pris en charge par AP. 802.11w présente un sélecteur de suite de chiffrement de Gestion de groupe à l'IE RSN qui contient le sélecteur de suite de chiffrement utilisé par AP pour protéger les trames robustes d'émission/Gestion de Multidiffusion. C'est la meilleure manière de savoir si AP fait 802.11w ou pas. Ceci peut également être vérifié suivant les indications de l'image.

Ici, vous trouvez le champ de suite de chiffrement de Gestion de groupe qui prouve que 802.11w est utilisé.

Il y avait des modifications également apportées sous des capacités RSN. Les bits 6 et 7 sont maintenant utilisés pour indiquer différents paramètres pour 802.11w.

• 6 mordus : Management Frame Protection exigé (MFPR) - Un STA place ce bit à 1 pour annoncer que la protection des vues robustes de Gestion est obligatoire.
• 7 mordus : Management Frame Protection capable (MFPC) - Un STA place ce bit à 1 pour annoncer que la protection des vues robustes de Gestion est activée. Quand AP place ceci, il informe qu'il prend en charge la protection de trame de Gestion.

Si vous placez la protection de trame de Gestion de la manière prescrite sous les options de configuration puis le bit 6 et 7 est placé. C'est suivant les indications de l'image de capture de paquet ici.

Cependant, si vous placiez ceci à facultatif alors a seulement mordu 7 est placé, suivant les indications de l'image.

Note: Le WLC ajoute cet IE RSN modifié dans des réponses association/re-association et AP ajoutent cet IE RSN modifié dans les balises et les réponses de sonde.

Avantages du Management Frame Protection 802.11w

• Protection de client

Ceci est réalisé par l'ajout de la protection cryptographique aux trames de Deauthentication et de dissassociation. Ceci empêche un utilisateur non autorisé pour lancer une attaque du Déni de service (DOS) en charriant l'adresse MAC des utilisateurs légitimes et pour envoyer des trames de deauth/dissassociation.

• Protection AP

La protection latérale d'infrastructure est ajoutée par l'ajout d'un mécanisme de protection de désinstallation de l'association de sécurité (SA) qui se compose d'un temps de retour d'association et d'une procédure de SA-requête. Avant 802.11w, si AP recevait une association ou la demande d'authentification d'un client déjà associé, AP termine la connexion existante et puis commence une nouvelle connexion. Quand vous utilisez 802.11w MFP, si le STA est associé et a négocié le Management Frame Protection, AP rejette la demande d'association avec la demande de retour d'association de code d'état 30 rejetée temporairement ; Essai de nouveau plus tard au client.

Inclus dans la réponse d'association est un élément d'informations horaires de retour d'association qui spécifie un moment de retour où AP serait prêt à recevoir une association avec ce STA. De cette façon vous pouvez s'assurer que les clients légitimes ne sont pas dus dissocié à une demande charriée d'association.

Conditions requises d'activer 802.11w

• 802.11w exige du SSID d'être configuré avec le dot1x ou le PSK.
• 802.11w est pris en charge sur tout le 802.11n AP capables. Ceci signifie qu'AP 1130 et 1240 ne prennent en charge pas 802.11w.
• 802.11w n'est pas pris en charge sur le flexconnect AP et 7510 WLC dans la release 7.4. Le support a été ajouté depuis la release 7.5.

Configurez

GUI

Étape 1. Vous devez activer la trame protégée de Gestion sous le SSID configuré avec 802.1x/PSK. Vous avez trois options suivant les indications de l'image.

Requis spécifie qu'on ne permet pas à un un client qui ne prend en charge pas 802.11w pour se connecter. Facultatif spécifie qu'on permet même aux des clients qui ne les prennent en charge pas 802.11w pour se connecter.

Étape 2. Vous devez alors spécifier le délai d'attente de temporisateur de retour et de requête SA. Le temporisateur de retour spécifie le temps qu'un client associé doit attendre avant que l'association puisse être essayée de nouveau quand d'abord refusé avec code d'état 30. Le délai d'attente de requête SA spécifie la durée que le WLC attend une réponse du client pour le processus de requête. S'il n'y a aucune réponse du client, son association est supprimée du contrôleur. Ceci est fait suivant les indications de l'image.

Étape 3. Vous devez activer 'PMF 802.1x' si vous utilisez le 802.1x comme méthode de gestion des clés d'authentification. Au cas où vous utiliseriez PSK, vous devez sélectionner la case à cocher PMF PSK suivant les indications de l'image.

CLI

• Afin d'activer ou désactiver le 11w comportent exécutent la commande :

<wlan-id> d'enable/disable de 802.1x de pmf d'akm de wpa de Sécurité WLAN de config

<wlan-id> d'enable/disable de psk de pmf d'akm de wpa de Sécurité WLAN de config

• Afin d'activer ou désactiver a protégé la Gestion que les vues exécutent la commande :

le pmf de Sécurité WLAN de config facultatif/a exigé/<wlan-id> de débronchement

• Paramètres horaires de retour d'association :

<wlan-id> de <time> du pmf 11w-association-comeback de Sécurité WLAN de config

• Configurations de délai d'attente de relance de requête SA : 

<wlan-id> de <time> de saquery-relance-temps de pmf de Sécurité WLAN de config

Vérifiez

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

La configuration 802.11w peut être vérifiée. Vérifiez la configuration WLAN :

(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Ces commandes de débogage sont disponibles pour dépanner les questions 802.11w sur le WLC :

• mettez au point l'enable/disable des événements 11w-pmf
• mettez au point l'enable/disable des clés 11w-pmf
• mettez au point 11w-pmf tout l'enable