Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit en détail la norme IEEE 802.11w de protection des trames de gestion et comment elle peut être configurée sur le contrôleur de réseau local sans fil (WLC) Cisco.
Cisco recommande que vous connaissiez Cisco WLC qui exécute le code 7.6 ou supérieur.
Les informations de ce document sont basées sur le WLC 5508 qui exécute le code 7.6.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
La norme 802.11w vise à protéger les trames de contrôle et de gestion et un ensemble de trames de gestion robustes contre les attaques de faux et de relecture. Les types de trame protégés incluent les trames Disassociation, Deauthentication et Robust Action telles que :
802.11w ne chiffre pas les trames, mais protège les trames de gestion. Il garantit que les messages proviennent de sources légitimes. Pour ce faire, vous devez ajouter un élément MIC (Message Integrity Check). 802.11w a introduit une nouvelle clé appelée IGTK (Integrity Group Temporal Key), qui est utilisée pour protéger les trames de gestion robustes de diffusion/multidiffusion. Cela fait partie du processus de connexion à clé en quatre étapes utilisé avec Wireless Protected Access (WPA). Cela rend dot1x/Pre-Shared Key (PSK) obligatoire lorsque vous devez utiliser la norme 802.11w. Il ne peut pas être utilisé avec un SSID (Service Set Identifier) ouvert/Web.
Lors de la négociation de Management Frame Protection, le point d'accès (AP) chiffre les valeurs GTK et IGTK dans la trame EAPOL-Key qui est fournie dans le message 3 de la connexion en 4 étapes. Si le point d'accès modifie ultérieurement le GTK, il envoie les nouveaux GTK et IGTK au client avec l'utilisation de la connexion de clé de groupe. Il ajoute un MIC calculé à l'aide de la clé IGTK.
802.11w introduit un nouvel élément d'information appelé élément d'information MIC de gestion. Il a le format d'en-tête tel qu'illustré dans l'image.
Les principaux domaines de préoccupation ici sont l'ID d'élément et la MIC. L'ID d'élément de MMIE est 0x4c et sert d'identification utile lors de l'analyse des captures sans fil.
Note: MIC : il contient le code d'intégrité des messages calculé sur la trame Management. Il est important de noter que ceci est ajouté au point d'accès. Le client récepteur recalcule ensuite le MIC de la trame et le compare à ce qui a été envoyé par l'AP. Si les valeurs sont différentes, ceci est rejeté en tant que trame non valide.
Robust Security Network Information Element (RSN IE) spécifie les paramètres de sécurité pris en charge par le point d'accès. 802.11w introduit un sélecteur de suite de chiffrement de gestion de groupe à RSN IE qui contient le sélecteur de suite de chiffrement utilisé par l'AP pour protéger les trames de gestion robustes de diffusion/multidiffusion. C'est le meilleur moyen de savoir si un AP fait 802.11w ou pas. Cette vérification peut également être effectuée comme le montre l'image.
Vous trouverez ici le champ de suite de chiffrement de gestion de groupe qui indique que 802.11w est utilisé.
Des modifications ont également été apportées aux fonctionnalités RSN. Les bits 6 et 7 sont maintenant utilisés pour indiquer différents paramètres pour 802.11w.
Si vous définissez la protection des trames de gestion conformément aux options de configuration, les bits 6 et 7 sont tous deux définis. Ceci est illustré dans l'image de capture de paquets ici.
Cependant, si vous définissez cette option sur facultatif, seul le bit 7 est défini, comme l'illustre l'image.
Note: Le WLC ajoute cet IE RSN modifié dans les réponses d'association/réassociation et les AP ajoutent cet IE RSN modifié dans les balises et les réponses de sonde.
Cela est possible grâce à l'ajout d'une protection cryptographique aux trames de déauthentification et de dissociation. Cela empêche un utilisateur non autorisé de lancer une attaque de déni de service (DOS) en usurpant l'adresse MAC des utilisateurs légitimes et en envoyant des trames de deauth/disassociation.
La protection côté infrastructure est ajoutée par un mécanisme de protection contre les annulations de l'association de sécurité (SA), qui comprend un temps de retour d'association et une procédure de requête de SA. Avant 802.11w, si un point d'accès a reçu une demande d'association ou d'authentification d'un client déjà associé, le point d'accès met fin à la connexion existante, puis démarre une nouvelle connexion. Lorsque vous utilisez la MFP 802.11w, si l'STA est associée et a négocié Management Frame Protection, l'AP rejette la demande d'association avec le code d'état de retour 30 Demande d'association rejetée temporairement ; Réessayez ultérieurement au client.
Inclus dans la réponse de l'association est un élément d'informations sur le temps de retour de l'association qui spécifie une heure de retour lorsque le point d'accès serait prêt à accepter une association avec cette STA. Vous pouvez ainsi vous assurer que les clients légitimes ne sont pas dissociés en raison d'une demande d'association falsifiée.
Note: Le WLC (AireOS ou 9800) ignorera les trames de désassociation ou de déauthentification envoyées par les clients s'ils n'utilisent pas le PMF 802.11w. L'entrée du client ne sera supprimée qu'à la réception d'une telle trame si le client utilise le PMF. Ceci permet d'éviter le déni de service par un périphérique malveillant, car il n'y a aucune sécurité sur ces trames sans PMF.
Étape 1. Vous devez activer la trame de gestion protégée sous le SSID configuré avec 802.1x/PSK. Vous disposez de trois options, comme l'illustre l'image.
Obligatoire spécifie qu'un client qui ne prend pas en charge 802.11w n'est pas autorisé à se connecter. Facultatif spécifie que même les clients qui ne prennent pas en charge 802.11w sont autorisés à se connecter.
Étape 2. Vous devez ensuite spécifier le temporisateur de retour et le délai d'attente de la requête SA. Le compteur de retour spécifie le délai d'attente d'un client associé avant que l'association puisse être tentée à nouveau lors du premier refus avec un code d'état 30. Le délai d'attente de la requête SA spécifie le temps que le WLC attend pour obtenir une réponse du client pour le processus de requête. S'il n'y a pas de réponse du client, son association est supprimée du contrôleur. Cela se fait comme le montre l'image.
Étape 3. Vous devez activer 'PMF 802.1x' si vous utilisez 802.1x comme méthode de gestion des clés d'authentification. Si vous utilisez PSK, vous devez cocher la case PMF PSK comme indiqué dans l'image.
config wlan security wpa akm pmf 802.1x enable/disable <wlan-id>
config wlan security wpa akm pmf psk enable/disable <wlan-id>
config wlan security pmf facultatif/obligatoire/disable <wlan-id>
config wlan security pmf 11w-association-comeback <time> <wlan-id>
config wlan security pmf saquery-retry-time <time> <wlan-id>
Utilisez cette section pour confirmer que votre configuration fonctionne correctement.
La configuration 802.11w peut être vérifiée. Vérifiez la configuration WLAN :
(wlc)>show wlan 1 Wi-Fi Protected Access (WPA/WPA2)............. Enabled <snip> 802.1x.................................. Enabled PSK..................................... Disabled CCKM.................................... Disabled FT-1X(802.11r).......................... Disabled FT-PSK(802.11r)......................... Disabled PMF-1X(802.11w)......................... Enabled PMF-PSK(802.11w)........................ Disabled FT Reassociation Timeout................... 20 FT Over-The-DS mode........................ Enabled GTK Randomization.......................... Disabled <snip> PMF........................................... Required PMF Association Comeback Time................. 1 PMF SA Query RetryTimeout..................... 200
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Ces commandes de débogage sont disponibles pour dépanner les problèmes 802.11w sur le WLC :