在WLC上配置802.11w管理帧保护

简介

本文档介绍有关IEEE 802.11w管理帧保护标准的详细信息，以及如何在思科无线LAN控制器(WLC)上配置该标准。

先决条件

要求

思科建议您了解运行代码7.6或更高版本的Cisco WLC。

使用的组件

本文档中的信息基于运行代码7.6的WLC 5508。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

802.11w标准旨在保护控制和管理帧以及一组稳健的管理帧，防止伪造和重放攻击。受保护的帧类型包括取消关联、取消身份验证和强健操作帧，例如：

• 频谱管理
• 服务质量 (QoS)
• 阻止确认
• 无线电测量
• 快速基本服务集(BSS)过渡

802.11w不加密帧，但会保护管理帧。它确保消息来自合法来源。为此，您必须添加消息完整性检查(MIC)元素。802.11w引入了一个新密钥，称为完整性组临时密钥(IGTK)，用于保护广播/组播稳健的管理帧。这是与无线保护访问(WPA)一起使用的四次密钥握手过程的一部分。 这使得当您需要使用802.11w时，dot1x/预共享密钥(PSK)成为一项要求。它不能与open/webauth服务集标识符(SSID)一起使用。

当协商管理帧保护时，接入点(AP)加密GTK和IGTK值在EAPOL密钥帧中，EAPOL密钥帧在四次握手的消息3中传送。如果AP稍后更改GTK，则它使用组密钥握手将新的GTK和IGTK发送到客户端。它添加使用IGTK密钥计算的MIC。

管理MIC信息元素(MMIE)

802.11w引入了新的信息元素，称为管理MIC信息元素。其报头格式如图所示。

此处关注的主要字段是元素ID和MIC。MMIE的元素ID是0x4c，在分析无线捕获时，它可用作有用的标识。

注意：MIC — 包含通过管理帧计算的消息完整性代码。请注意，AP上添加了此功能。接收客户端然后重新计算帧的MIC，并将其与AP发送的数据进行比较。如果值不同，则作为无效帧拒绝。

对RSN IE的更改

稳健的安全网络信息元素(RSN IE)指定AP支持的安全参数。802.11w向RSN IE引入了组管理密码套件选择器，该选择器包含AP用于保护广播/组播稳健管理帧的密码套件选择器。这是了解AP是否支持802.11w的最佳方法。这也可以如图所示进行验证。

在此，您可以找到组管理密码套件字段，该字段显示已使用802.11w。

根据RSN功能也进行了更改。第6位和第7位现在用于指示802.11w的不同参数。

• 位 6:需要管理帧保护(MFPR)- STA将此位设置为1，以通告强大管理帧的保护是必需的。
• 位 7:支持管理帧保护(MFPC)- STA将此位设置为1，以通告已启用强健管理帧的保护。当AP设置此值时，它会通知它支持管理帧保护。

如果根据配置选项的要求设置管理帧保护，则同时设置第6位和第7位。如此处的数据包捕获图像所示。

但是，如果将此设置为可选，则仅设置位7，如图所示。

注意：WLC在关联/重新关联响应中添加此修改的RSN IE，而AP在信标和探测响应中添加此修改的RSN IE。

802.11w管理帧保护的优势

• 客户端保护

这是通过为取消身份验证和取消关联帧添加加密保护来实现的。这可防止未授权用户通过欺骗合法用户的MAC地址发起拒绝服务(DOS)攻击并发送deauth/disassociation帧。

• AP保护

通过添加安全关联(SA)拆卸保护机制来添加基础设施侧保护，该机制包括关联恢复时间和SA查询过程。在802.11w之前，如果AP从已关联的客户端收到关联或身份验证请求，则AP会终止现有连接，然后启动新连接。当您使用802.11w MFP时，如果STA已关联并已协商管理帧保护，AP将拒绝关联请求，返回状态代码为30的关联请求将暂时拒绝；请稍后重试到客户端。

“关联响应”中包含关联重新出现时间信息元素，该元素指定AP准备接受与此STA的关联时间。这样，您就可以确保合法客户端不会因伪造的关联请求而取消关联。

注意：如果客户端不使用802.11w PMF，WLC（AireOS或9800）将忽略客户端发送的取消关联或取消验证帧。如果客户端使用PMF，则只有在收到此类帧后，客户端条目才会立即删除。这是为了避免恶意设备拒绝服务，因为没有PMF的帧上没有安全性。

启用802.11w的要求

• 802.11w要求SSID配置dot1x或PSK。
• 所有支持802.11n的AP均支持802.11w。这意味着AP 1130和1240不支持802.11w。
• 在7.4版本中，802.11w在flexconnect AP和7510 WLC上不受支持。自7.5版本以来，已添加支持。

配置

GUI

步骤1.您需要在配置了802.1x/PSK的SSID下启用受保护的管理帧。您有三个选项，如图所示。

“必需”指定不允许不支持802.11w的客户端连接。可选指定即使不支持802.11w的客户端也允许连接。

步骤2.然后，您需要指定Recogge计时器和SA查询超时。重新出现计时器指定在首次拒绝状态代码30时关联客户端必须等待的时间，才能再次尝试关联。SA查询超时指定WLC等待客户端对查询进程的响应的时间。如果客户端没有响应，则从控制器中删除其关联。这如图所示。

步骤3.如果使用802.1x作为身份验证密钥管理方法，则需要启用“PMF 802.1x”。如果使用PSK，则需要选中PMF PSK复选框，如图所示。

CLI

• 要启用或禁用11w功能，请运行以下命令：

config wlan security wpa akm pmf 802.1x enable/disable <wlan-id>

config wlan security wpa akm pmf psk enable/disable <wlan-id>

• 要启用或禁用受保护管理帧，请运行以下命令：

config wlan security pmf optional/required/disable <wlan-id>

• 关联重新出现时间设置：

config wlan security pmf 11w-association-recoug <time> <wlan-id>

• SA查询重试超时设置： 

config wlan security pmf saquery-retry-time <time> <wlan-id>

验证

使用本部分可确认配置能否正常运行。

802.11w配置可以验证。检查WLAN配置：

(wlc)>show wlan 1
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
<snip>
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Disabled
FT-1X(802.11r).......................... Disabled
FT-PSK(802.11r)......................... Disabled
PMF-1X(802.11w)......................... Enabled
PMF-PSK(802.11w)........................ Disabled
FT Reassociation Timeout................... 20
FT Over-The-DS mode........................ Enabled
GTK Randomization.......................... Disabled
<snip>
PMF........................................... Required
PMF Association Comeback Time................. 1
PMF SA Query RetryTimeout..................... 200

故障排除

本部分提供了可用于对配置进行故障排除的信息。

以下debug命令可用于排除WLC上的802.11w问题：

• debug 11w-pmf events enable/disable
• debug 11w-pmf keys enable/disable
• debug 11w-pmf all enable