Wi-Fi is een uitzendmedium dat elk apparaat in staat stelt om te luisteren en te participeren als een legitiem of schurkenapparaat. Beheerframes zoals verificatie, desverificatie, associatie, dissociatie, bakens en sondes worden door draadloze klanten gebruikt om sessies voor netwerkservices te initiëren en af te breken. In tegenstelling tot gegevensverkeer, dat kan worden versleuteld om een niveau van vertrouwelijkheid te bieden, moeten deze frames worden gehoord en begrepen door alle klanten en moeten daarom worden verzonden als open of niet-gecodeerd. Terwijl deze frames niet kunnen worden versleuteld, moeten ze tegen vervalsing worden beschermd om het draadloze medium tegen aanvallen te beschermen. Bijvoorbeeld, zou een aanvaller beheerframes van een AP kunnen bespotten om een client aan te vallen verbonden met AP.
Dit document wil antwoorden op de veelgestelde vragen over Frame Relay Protection (MFP).
Management-frames zijn broadcast-frames die door IEEE 802.11 worden gebruikt om een draadloze client mogelijk te maken om te onderhandelen met een draadloos access point (WAP). MFP biedt beveiliging voor niet-gecodeerde uitzendframes en beheerberichten die tussen draadloze apparaten worden doorgegeven.
In IEEE 802.11 worden beheerframes zoals verificatie, disassociatie, bakens en sondes altijd niet-echt gemaakt en niet gecodeerd. WAP voegt Message Integrity Control Information element (MIC IE) toe aan elk beheerkader dat door haar wordt verzonden. Elke poging om het kader te kopiëren, wijzigen of opnieuw af te spelen maakt de MIC ongeldig.
3. Wat zijn enkele dingen die een aanvaller kan doen op een netwerk met MFP uitgeschakeld?
Dit zijn de twee soorten MFP's:
5. Wat zijn de onderdelen van MFP-infrastructuur?
Infrastructuur MFP bevat 3 onderdelen:
N.B.: Om de tijdstempels goed te laten werken, moeten alle draadloze LAN-controllers (WLC) gesynchroniseerd zijn met Network Time Protocol (NTP).
Met name client-MFP versleutelt beheerframes die tussen access points en Cisco Compatibele Extension versie 5 (CCXv5) worden verzonden, zodat zowel de access points als de clients preventieve actie kunnen uitvoeren door gespoofde klasse 3 beheerframes af te zetten (dat wil zeggen, beheerframes die tussen een access point en een client worden doorgegeven die authentiek en gekoppeld is). ClientMFP maakt gebruik van de beveiligingsmechanismen die door IEEE 802.11i zijn gedefinieerd om de volgende typen beheerframes van klasse 3 te beschermen: disassociatie, desverificatie en QoS (draadloze multimedia extensies of WMM)-actie. Client MFP beschermt een client-access point sessie tegen het meest gebruikelijke type 'denial-of-service'-aanval. Het beschermt class 3 beheerframes door gebruik te maken van dezelfde coderingsmethode die gebruikt wordt voor de sessiegegevensframes. Als een kader dat door het toegangspunt of de client wordt ontvangen, niet decryptie heeft, wordt het ingetrokken en wordt de gebeurtenis aan de controller gemeld.
Om MFP van een client te gebruiken, moeten klanten CCXv5 MFP ondersteunen en moeten zij met Wi-Fi Protected Access versie 2 (WAP2) onderhandelen met TKIP (Temporal Key Integrity Protocol) of Advanced Encryption Standard-Cipher Block Chaining Message Authentication Protocol (AES-CCMP). Extensible Authentication Protocol (EAP) of Pre-Shared Key (PSK) kan worden gebruikt om de PMK te verkrijgen. CCKM en het mobiliteitsbeheer van controllers worden gebruikt om de sessies tussen de toegangspunten voor Layer 2 en Layer 3 snelle roaming te verdelen.
8. Wat eenzijn de componenten van client-MFP?
Er zijn 3 componenten van client-MFP:
- Scheidingsframes — Een verzoek aan een client of WAP om een authenticatierelatie los te koppelen of te ontkoppelen.
- De-authenticatie frames — Een verzoek aan een cliënt of WAP om een associatie-relatie los te koppelen of te ontkoppelen.
- QoS WMM-actie — WMM-parameter wordt toegevoegd aan de beacon, de sonde-respons en de associatie-responsframes.
Opmerking: MFP-overschrijdingsfouten die door clientstations zijn gedetecteerd, worden verwerkt door de optie CCXv5-roaming en realtime-diagnostiek.
9. Waarom kan mijn mobiele apparaat geen verbinding maken met het MFP-enabled-infrastructuurapparaat?
Er zijn bepaalde beperkingen voor sommige draadloze klanten om met MFP-enabled-infrastructuuraanpassingen te communiceren. MFP voegt een lange reeks informatie elementen toe aan elk sonde verzoek of SSID baken. Sommige draadloze klanten zoals PDA's, smartphones, barcodes scanners, enzovoort hebben een beperkt geheugen en een centrale verwerkingseenheid (CPU). Je kunt deze verzoeken of bakens dus niet verwerken. Als resultaat hiervan, ziet u SSID niet volledig, of kunt u niet met deze infrastructuuracties associëren, wegens een misverstand van de mogelijkheden van SSID. Deze kwestie is niet specifiek voor MFP. Dit gebeurt ook met elke SSID die meerdere informatie-elementen (IE's) heeft. Het is altijd raadzaam om met MFP-enabled SSID’s op de omgeving te testen met al uw beschikbare clienttypen voordat u deze in real time implementeert.
10. Wat is bescherming van omroep Management Frame Relay?
Om aanvallen te voorkomen die uitzendframes gebruiken, zenden APs die CCXv5 ondersteunen geen broadcast-klasse 3 beheerframes uit, behalve rotatielampjes die de-verificatie of disassociatieformulieren bevatten. CCXv5-kabelstations moeten kabelstations van omroepklasse 3-beheerframes afwijzen. MFP-sessies worden verondersteld in een goed beveiligd netwerk te zijn (sterke authenticatie plus TKIP of CCMP), zodat het niet in acht nemen van aanvallen op uitzendingen van rotatiebeheersing geen probleem is.
11. Hoe moet u MFP op een draadloos access point (WAP) configureren?
Klik hier om te leren hoe u MFP op een WAP moet configureren.
12. Een Intel draadloze netwerkkaart configureren voor aansluiting op een MFP-enabled-netwerk
Klik hier voor informatie over de configuratie van de Intel Wireless Network Card.