Wi-Fi é um meio de transmissão que permite que qualquer dispositivo escute e participe como um dispositivo legítimo ou invasor. Quadros de gerenciamento como autenticação, desautenticação, associação, dissociação, beacons e sondas são usados por clientes sem fio para iniciar e desligar sessões para serviços de rede. Ao contrário do tráfego de dados, que pode ser criptografado para fornecer um nível de confidencialidade, esses quadros devem ser ouvidos e entendidos por todos os clientes e, portanto, devem ser transmitidos como abertos ou não criptografados. Embora esses quadros não possam ser criptografados, eles devem ser protegidos contra falsificação para proteger o meio sem fio contra ataques. Por exemplo, um invasor pode falsificar quadros de gerenciamento de um AP para atacar um cliente associado ao AP.
Este documento tem como objetivo fornecer respostas para as perguntas frequentes sobre a proteção de quadro de gerenciamento (MFP).
Os quadros de gerenciamento são quadros de broadcast usados pelo IEEE 802.11 para permitir que um cliente sem fio negocie com um ponto de acesso sem fio (WAP). O MFP oferece segurança para quadros de broadcast não criptografados e mensagens de gerenciamento passadas entre dispositivos sem fio.
No IEEE 802.11, os quadros de gerenciamento como desautenticação, desassociação, beacons e sondas são sempre não autenticados e não criptografados. O WAP adiciona o MIC IE (Message Integrity Check Information Element) a cada quadro de gerenciamento que transmite. Qualquer tentativa de copiar, alterar ou reproduzir o quadro invalida o MIC.
3. Quais são algumas das coisas que um invasor pode fazer em uma rede com o MFP desabilitado?
Estes são os dois tipos de MFPs:
5. Quais são os componentes do MFP de infraestrutura?
O MFP de infraestrutura tem três componentes:
Observação: para que os timestamps funcionem corretamente, todos os Wireless LAN Controllers (WLC) devem estar sincronizados com o Network Time Protocol (NTP).
6. Como o MFP do cliente funciona?
Especificamente, o MFP do cliente criptografa quadros de gerenciamento enviados entre os pontos de acesso e os clientes do Cisco Compatible Extension 5 (CCXv5) para que tanto os pontos de acesso quanto os clientes possam tomar medidas preventivas ao descartar quadros de gerenciamento de classe 3 falsificados (ou seja, quadros de gerenciamento passados entre um ponto de acesso e um cliente autenticado e associado). O MFP do cliente aproveita os mecanismos de segurança definidos pelo IEEE 802.11i para proteger os seguintes tipos de quadros de gerenciamento unicast classe 3: ação de desassociação, desautenticação e QoS (Wireless Multimedia Extensions ou WMM). O MFP do cliente protege uma sessão de ponto de acesso do cliente do tipo mais comum de ataque de negação de serviço. Ele protege quadros de gerenciamento de classe 3 usando o mesmo método de criptografia usado para os quadros de dados da sessão. Se um quadro recebido pelo ponto de acesso ou cliente falha na descriptografia, ele é descartado e o evento é relatado ao controlador.
Para usar o MFP do cliente, os clientes devem suportar o CCXv5 MFP e devem negociar o WPA2 (Wi-Fi Protected Access versão 2) usando o TKIP (Temporal Key Integrity Protocol) ou o AES-CCMP (Advanced Encryption Standard-Cipher Block Message Authentication Protocol). O Extensible Authentication Protocol (EAP) ou Pre-Shared Key (PSK) pode ser usado para obter o PMK. O CCKM e o gerenciamento de mobilidade do controlador são usados para distribuir chaves de sessão entre pontos de acesso para o roaming rápido de Camada 2 e Camada 3.
8. O quesão os componentes do cliente MFP?
Há 3 componentes do MFP do cliente:
- Quadros de desassociação — Uma solicitação a um cliente ou WAP para desconectar ou desassociar uma relação de autenticação.
- Quadros de desautenticação — Uma solicitação a um cliente ou WAP para desconectar ou desassociar uma relação de associação.
Ação WMM de QoS — O parâmetro WMM é adicionado aos quadros beacon, resposta de sondagem e resposta de associação.
Note: Os erros de violação de MFP detectados por estações clientes são tratados pelo recurso CCXv5 Roaming e Real Time Diagnostics.
9. Por que meu dispositivo móvel não pode se conectar ao dispositivo de infraestrutura habilitado para MFP?
Há certas restrições para alguns clientes sem fio se comunicarem com dispositivos de infraestrutura habilitados para MFP. O MFP adiciona um longo conjunto de elementos de informação a cada solicitação de sondagem ou beacon SSID. Alguns clientes sem fio, como PDAs, smartphones, scanners de código de barras e assim por diante, têm memória limitada e unidade central de processamento (CPU). Portanto, você não pode processar essas solicitações ou beacons. Como resultado, você não consegue ver o SSID completamente ou não consegue se associar a esses dispositivos de infraestrutura, devido a um mal-entendido sobre os recursos do SSID. Esse problema não é específico do MFP. Isso também ocorre com qualquer SSID que tenha vários elementos de informação (IEs). É sempre aconselhável testar os SSIDs habilitados para MFP no ambiente com todos os tipos de clientes disponíveis antes de implantá-los em tempo real.
10. O que é a proteção do quadro de gerenciamento de broadcast?
Para evitar ataques que usam quadros de broadcast, os APs que suportam CCXv5 não transmitem nenhum quadro de gerenciamento de classe 3 de broadcast, exceto para quadros de desautenticação ou desassociação de contenção de invasão. As estações cliente com capacidade para CCXv5 devem descartar quadros de gerenciamento de classe 3 de broadcast. Supõe-se que as sessões de MFP estejam em uma rede adequadamente segura (autenticação forte mais TKIP ou CCMP), de modo que o desrespeito por broadcasts de contenção não autorizados não seja um problema.
11. Como configurar o MFP em um ponto de acesso sem fio (WAP)?
Para saber como configurar o MFP em um WAP, clique aqui.
12. Como configurar uma Placa de Rede Sem Fio Intel para se conectar a uma Rede habilitada para MFP
Para saber como configurar a Placa de rede sem fio Intel, clique aqui.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
23-Aug-2017 |
Versão inicial |