أسئلة شائعة حول حماية إطار الإدارة (MFP)

الهدف

Wi-Fi هو وسط بث يمكن أي جهاز من التنصت والمشاركة إما كجهاز شرعي أو مخادع. يتم إستخدام إطارات الإدارة مثل المصادقة وإلغاء المصادقة والاقتران والفصل والمنارات والتجارب من قبل العملاء اللاسلكيين لبدء جلسات عمل خدمات الشبكة وإزالتها. على عكس حركة مرور البيانات، والتي يمكن تشفيرها لتوفير مستوى من السرية، يجب أن يتم سماع هذه الإطارات وفهمها من قبل جميع العملاء، وبالتالي يجب إرسالها كمفتوحة أو غير مشفرة. في حين أنه لا يمكن تشفير هذه الإطارات، إلا أنه يجب حمايتها من التزوير لحماية الوسط اللاسلكي من الهجمات. على سبيل المثال، يمكن للمهاجم انتحال إطارات الإدارة من نقطة وصول لمهاجمة عميل مرتبط بنقطة الوصول.

يهدف هذا المستند إلى توفير إجابات على الأسئلة المتداولة حول حماية إطار الإدارة (MFP).

الأسئلة المتكررة

جدول المحتويات

1. ما هو MFP؟
2. كيف تعمل ال MFP؟
3. كيف يختلف الأمر عن الحشد الشعبي؟
4. ما هي أنواع MFP؟
5. ما هي مكونات MFP العميل؟
6. كيف يعمل جهاز الإرسال/الاستقبال العميل؟
7. كيف يمكنني إستخدام MFP العميل؟
8. ما هي مكونات MFP العميل؟
9. لماذا يتعذر على جهازي المحمول الاتصال بجهاز البنية الأساسية الذي تم تمكين MFP عليه؟
10. ما هي حماية إطار إدارة البث؟
11. كيف أن يشكل MFP على نقطة وصول لاسلكية (WAP)؟
12. كيف يمكن تكوين بطاقة الشبكة اللاسلكية من Intel للتوصيل بشبكة تدعم MFP؟

1. شو ؟ هو ام بي ام؟

إطارات الإدارة هي إطارات بث تستخدمها IEEE 802.11 للسماح لعميل لاسلكي بالتفاوض مع نقطة وصول لاسلكية (WAP). يوفر MFP الأمان لإطارات البث غير المشفرة ورسائل الإدارة التي يتم تمريرها بين الأجهزة اللاسلكية.

2- كيف يعمل الصندوق المتعدد الأطراف؟

في IEEE 802.11، غالبا ما تكون إطارات الإدارة مثل إلغاء المصادقة والتفكيك والمنارات والمستكشفات غير مصدق عليها وغير مشفرة. يضيف WAP عنصر معلومات التحقق من سلامة الرسائل (MIC IE) إلى كل إطار إدارة يرسله. تؤدي أي محاولة لنسخ الإطار أو تعديله أو إعادة تشغيله إلى إبطال الميكروفون.

3. ما هي بعض الأمور التي يمكن للمهاجم القيام بها على الشبكة التي تم تعطيل MFP بها؟

• تمثل الثغرات الموجودة في إطارات الإدارة تهديدا كبيرا للشبكة من خلال السماح للمهاجم بانتحال إطار إدارة من WAP لمهاجمة عميل مرتبط به. قد يقوم المهاجم بتنفيذ الإجراءات التالية:

• جهاز تشويش التردد اللاسلكي (RF) — يمكن تنفيذ الهجمات التي تستخدم هوائيا توجيهيا عالي الطاقة من مسافة بعيدة من خارج مبنى مكتبك. حيث تستفيد أدوات الهجوم التي يستخدمها الدخلاء من تقنيات القرصنة مثل إطارات الإدارة 802.11 المنتحلة وإطارات المصادقة 802.1x المنتحلة أو ببساطة إستخدام طريقة فيض حزمة القوة الغاشمة.
• Evil Twin Router — هو شكل من أشكال التصيد الاحتيالي حيث يسمي المهاجم ويضع نفسه كنقطة وصول مشروعة. ويؤدي ذلك إلى خداع المستخدمين من أجل توصيل جهاز محمول بنقطة الوصول المزيفة، مما يجعلهم قادرين على التسبب في مزيد من الضرر للمستخدم. 
• تشغيل هجوم القاموس دون اتصال — أثناء هجوم القاموس، يتم إستخدام تنويعات كلمات المرور للتنازل عن مسوغات مصادقة المستخدم. تكون معظم خوارزميات المصادقة المستندة إلى كلمة المرور عرضة لهجمات القاموس في غياب سياسة كلمة مرور قوية.

4. ما هي أنواع MFP؟

هذان النوعان من أجهزة الإرسال متعددة الوظائف:

• Infrastructure MFP — على وجه التحديد، تعمل أجهزة MFP للبنية الأساسية على حماية وظائف إدارة الجلسات 802.11 من خلال إضافة MIC IE إلى إطارات الإدارة المنبعثة من نقاط الوصول وليس تلك المنبعثة من العملاء، والتي يتم التحقق منها بواسطة نقاط الوصول الأخرى في الشبكة. Infrastructure MFP خامل. يمكنها رصد حالات التطفل والإبلاغ عنها، ولكن ليس لديها وسيلة لوقفها. وهو يحمي إطارات الإدارة عن طريق اكتشاف الخصوم الذين يتذمرون بهجمات منع الخدمة، ويغمرون الشبكة بمستكشفات الاقتران، ويدخلون كنقاط وصول دخيلة، ويؤثر على أداء الشبكة عن طريق مهاجمة جودة الخدمة (QoS) وإطارات القياس اللاسلكية.
• أجهزة عميلة متعددة الوظائف (MFP) — تعمل على حماية العملاء المصادق عليهم من الإطارات المنتحلة، مما يمنع العديد من الهجمات الشائعة ضد الشبكات المحلية اللاسلكية (LANs) من أن تصبح فعالة. وترجع معظم الهجمات، مثل هجمات إلغاء المصادقة، إلى الأداء المحط ببساطة من خلال التعامل مع عملاء صالحين.

5. ما هي مكونات MFP للبنية الأساسية؟

تشتمل MFP للبنية الأساسية على 3 مكونات:

• حماية إطار الإدارة — عند تمكين حماية إطار الإدارة، يضيف WAP MIC IE إلى كل إطار إدارة يرسله. تؤدي أي محاولة لنسخ الإطار أو تعديله أو إعادة تشغيله إلى إبطال الميكروفون.
• التحقق من إطار الإدارة — عند تمكين التحقق من إطار الإدارة، يتحقق نقطة الوصول من صحة كل إطار إدارة تتلقاه من نقاط الوصول في الشبكة. يضمن أن يكون MIC IE موجودا (عندما يتم تكوين المنشئ لإرسال إطارات MFP) ويطابق محتوى إطار الإدارة. إذا كان يستلم أي إطار لا يحتوي على MIC IE صالح من معرف مجموعة الخدمات الأساسية (BSSID) الذي ينتمي إلى WAP، والذي تم تكوينه لإرسال إطارات MFP، فإنه يبلغ عن الاختلاف إلى نظام إدارة الشبكة.

ملاحظة: لكي تعمل الطوابع الزمنية بشكل صحيح، يجب أن تكون جميع وحدات تحكم الشبكة المحلية اللاسلكية (WLC) متزامنة مع بروتوكول وقت الشبكة (NTP).

• الإبلاغ عن الأحداث — تقوم نقطة الوصول بإعلام عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) عند اكتشافها لخطأ ما. تقوم WLC بتجميع الأحداث غير العادية والإبلاغ عنها من خلال إختبارات SNMP إلى مدير الشبكة.

6. كيف يعمل جهاز الإرسال/الاستقبال العميل؟

تحديدا، يقوم العميل MFP بتشفير إطارات الإدارة المرسلة بين نقاط الوصول وعملاء الإصدار 5 (CCXv5) المتوافق مع Cisco حتى يمكن لنقاط الوصول والعملاء إتخاذ إجراء وقائي عن طريق إسقاط إطارات الإدارة المنتحلة من الفئة 3 (أي إطارات الإدارة التي يتم تمريرها بين نقطة وصول وعميل مصادق عليه ويرتبط به). تستفيد أجهزة MFP العميلة من آليات الأمان المحددة بواسطة IEEE 802.11i لحماية الأنواع التالية من إطارات إدارة البث الأحادي من الفئة 3: إلغاء الاقتران وإلغاء المصادقة وإجراءات جودة الخدمة (QoS) (امتدادات الوسائط المتعددة اللاسلكية أو WMM). يحمي جهاز الإرسال/الاستقبال العميل جلسة نقطة وصول العميل من النوع الأكثر شيوعا من هجوم رفض الخدمة. إنه يحمي إطارات الإدارة من الفئة 3 باستخدام نفس طريقة التشفير المستخدمة لإطارات بيانات جلسة العمل. في حالة فشل فك تشفير إطار تم إستقباله بواسطة نقطة الوصول أو العميل، يتم إسقاطه ويتم إبلاغ الحدث إلى وحدة التحكم.

7. كيف يمكنني إستخدام MFP العميل؟

لاستخدام MFP العميل، يجب على العملاء دعم CCXv5 MFP ويجب عليهم التفاوض حول الإصدار 2 من Wi-Fi Protected Access (WPA2) باستخدام إما بروتوكول سلامة المفاتيح المؤقتة (TKIP) أو بروتوكول التشفير المتقدم Standard-Cipher لتوصيل رمز مصادقة الرسائل (AES-CCMP). قد يتم إستخدام بروتوكول المصادقة المتوسع (EAP) أو مفتاح مشترك مسبقا (PSK) للحصول على PMK. CCKM ووحدة تحكم حركية استعملت إدارة أن يوزع مفتاح جلسة بين نقاط الوصول للطبقة 2 والطبقة 3 تجوال سريع.

8. يا له منهل أنت مكونات MFP العميل؟

هناك 3 مكونات ل Client MFP:

• إنشاء المفاتيح وتوزيعها — تستفيد أجهزة MFP العميلة من بروتوكولات الأمان والآليات المحددة بواسطة IEEE 802.11i لحماية إطارات الإدارة للبث الأحادي من الفئة 3:

- إطارات التفكيك — طلب إلى عميل أو WAP قطع اتصال علاقة مصادقة أو فصلها.

- إطارات إلغاء المصادقة — طلب إلى عميل أو WAP لقطع اتصال علاقة إرتباط أو فصلها.

- إجراء QoS WMM — تتم إضافة معلمة WMM إلى إطارات المنارة واستجابة المسبار والاستجابة للاقتران.

• حماية إطارات الإدارة والتحقق منها — لمنع الهجمات باستخدام إطارات البث، لا تصدر نقاط الوصول التي تدعم CCXv5 أي إطارات إدارة من الفئة 3 خاصة بالبث. نقطة الوصول في وضع جسر مجموعة العمل، أو وضع إعادة الإرسال، أو وضع جسر غير جذري تتجاهل إطارات إدارة فئة 3 للبث إذا تم تمكين MFP الخاص بالعميل.
• تقارير الأخطاء — يتم إستخدام آليات تقارير MFP-1 للإبلاغ عن أخطاء إزالة كبسلة إطار الإدارة التي تم الكشف عنها بواسطة نقاط الوصول. وهذا يعني أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) يجمع إحصائيات أخطاء التحقق من صحة MFP ويرسل المعلومات المجمعة بشكل دوري إلى عنصر التحكم في الشبكة.

ملاحظة: يتم التعامل مع أخطاء انتهاك MFP التي يتم اكتشافها بواسطة محطات العميل بواسطة ميزة "التشخيصات تجوال CCXv5" وتشخيصات الوقت الفعلي.

9. لماذا لا يمكن أن يتصل جهازي المحمول بجهاز البنية الأساسية الذي يدعم MFP؟
هناك قيود معينة مفروضة على بعض الأجهزة العميلة اللاسلكية للاتصال بأجهزة البنية الأساسية التي تدعم MFP. تضيف MFP مجموعة طويلة من عناصر المعلومات لكل طلب تحقيق أو منارة SSID. تتمتع بعض الأجهزة اللاسلكية مثل أجهزة المساعد الرقمي الشخصي (PDA) والهواتف الذكية والماسحات الضوئية للرمز الشريطي وما إلى ذلك بذاكرة محدودة ووحدة معالجة مركزية (CPU). لذلك، لن تتمكن من معالجة هذه الطلبات أو أجهزة الإرشاد. ونتيجة لذلك، تفشل في رؤية SSID بشكل كامل، أو يتعذر عليك الاقتران بأجهزة البنية الأساسية هذه، بسبب سوء فهم إمكانات SSID. هذا إصدار ليس خاص إلى MFP. ويحدث ذلك أيضا مع أي SSID يحتوي على عناصر معلومات متعددة (IEs). من المستحسن دائما إختبار SSIDs التي تم تمكين MFP عليها في البيئة باستخدام كافة أنواع العملاء المتاحة قبل نشرها في الوقت الفعلي.

10. ما هي حماية إطار إدارة البث؟

لمنع الهجمات التي تستخدم إطارات البث، لا ترسل نقاط الوصول التي تدعم CCXv5 أي إطارات إدارة من الفئة 3 للبث باستثناء إطارات إلغاء المصادقة أو فك الارتباط المشوهة التي تحتوي على إحتواء. يجب أن تتجاهل محطات العملاء التي تدعم CCXv5 إطارات إدارة فئة البث 3. يفترض أن جلسات عمل MFP في شبكة مؤمنة بشكل صحيح (مصادقة قوية بالإضافة إلى TKIP أو CCMP) لذلك لا يعد تجاهل عمليات بث الاحتواء المخادعة مشكلة.

11. كيف أن يشكل MFP على نقطة وصول لاسلكية (WAP)؟

لمعرفة كيفية تكوين MFP على WAP، انقر هنا.

12. كيفية تكوين بطاقة شبكة لاسلكية من Intel للاتصال بشبكة تدعم MFP

لمعرفة كيفية تكوين بطاقة شبكة Intel اللاسلكية، انقر هنا.