تكوين حماية إطار الإدارة 802.11w على WLC

المقدمة

يصف هذا وثيقة تفاصيل حول IEEE 802.11w إدارة إطار حماية وتكوينه على ال cisco لاسلكي lan جهاز تحكم (WLC).

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من cisco WLC أن يركض رمز 7.6 أو متأخر.

المكونات المستخدمة

أسست المعلومة في هذا وثيقة على WLC 5508 أن يركض رمز 7،6.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يهدف معيار 802.11w إلى حماية إطارات التحكم والإدارة ومجموعة من إطارات الإدارة القوية ضد هجمات التزوير وإعادة التشغيل. أنواع الإطارات المحمية تتضمن إلغاء الاقتران، إلغاء المصادقة، وإطارات الإجراء القوية مثل:

• إدارة الطيف
• جودة الخدمة (QoS)
• بلوك آك
• قياس راديوي
• انتقال مجموعة الخدمة الأساسية السريعة (BSS)

لا يقوم الطراز 802.11w بتشفير الإطارات، ومع ذلك، فإنه يحمي إطارات الإدارة. وهو يضمن أن تأتي الرسائل من مصادر مشروعة. للقيام بذلك، يجب إضافة عنصر "التحقق من تكامل الرسائل" (MIC). قام الطراز 802.11w بإدخال مفتاح جديد يسمى Integrity Group Temporal Key (IGTK)، والذي يستخدم لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذا مشتق كجزء من عملية مصافحة المفاتيح رباعية الإتجاه المستخدمة مع الوصول المحمي اللاسلكي (WPA). وهذا يجعل من مفتاح dot1x/Pre-Shared (PSK) متطلبا عندما تحتاج إلى إستخدام 802.11w. لا يمكن إستخدامه مع معرف مجموعة الخدمة المفتوح/مصادقة الويب (SSID).

عندما يتم التفاوض على حماية إطار الإدارة، تقوم نقطة الوصول (AP) بتشفير قيم GTK و IGTK في إطار EAPOL-Key الذي يتم تسليمه في الرسالة 3 من المصافحة رباعية الإتجاه. إذا قامت نقطة الوصول بتغيير GTK لاحقا، فإنها ترسل ال GTK و IGTK الجديدين إلى العميل باستخدام مصافحة مفتاح المجموعة. يضيف ميكروفون يتم حسابه باستخدام مفتاح IGTK.

عنصر معلومات ميكروفون الإدارة (MMIE)

يقدم الطراز 802.11w عنصرا جديدا للمعلومات يسمى عنصر معلومات ميكروفون الإدارة. يحتوي على تنسيق الرأس كما هو موضح في الصورة.

الحقول الرئيسية ذات الاهتمام هنا هي معرف العنصر و MIC. معرف العنصر الخاص ب MMIE هو 0x4c ويخدم كتعريف مفيد عند تحليل إلتقاطات اللاسلكية.

ملاحظة: MIC - يحتوي على رمز تكامل الرسالة الذي يتم حسابه عبر إطار الإدارة. من المهم أن نلاحظ أن هذا أضيف في نقطة الوصول. ثم يقوم عميل الوجهة بإعادة حساب الميكروفون للإطار ومقارنته بما تم إرساله بواسطة نقطة الوصول. إذا كانت القيم مختلفة، يتم رفض هذا كإطار غير صحيح.

التغييرات على RSN IE

يحدد Strong Security Network Information Element (RSN IE) معلمات الأمان التي تدعمها نقطة الوصول. يقدم الطراز 802.11w أداة تحديد مجموعة تشفير إدارة المجموعة إلى RSN IE الذي يحتوي على أداة تحديد مجموعة التشفير التي تستخدمها نقطة الوصول لحماية إطارات الإدارة القوية للبث/البث المتعدد. هذه هي الطريقة الأفضل لمعرفة ما إذا كانت نقطة الوصول تقوم 802.11w أم لا. يمكن أيضا التحقق من هذا كما هو موضح في الصورة.

هنا، تجد حقل مجموعة شفرة إدارة المجموعة الذي يظهر أن 802.11w مستخدم.

تم إجراء تغييرات أيضا في إمكانات RSN. يتم الآن إستخدام وحدات بت 6 و 7 للإشارة إلى معلمات مختلفة للطراز 802.11w.

• بت 6: يلزم توفير حماية إطار الإدارة (MFPR) - يحدد STA هذا البت إلى 1 للإعلان عن أن حماية إطارات الإدارة القوية إلزامية.
• بت 7: إمكانية حماية إطار الإدارة (MFPC) - يقوم STA بتعيين هذا البت إلى 1 للإعلان عن تمكين حماية إطارات الإدارة القوية. عندما تقوم نقطة الوصول بتعيين هذا، فإنها تعلم بأنها تدعم حماية إطار الإدارة.

إذا قمت بضبط حماية إطار الإدارة كما هو مطلوب ضمن خيارات التكوين، فسيتم تعيين كل من وحدات بت 6 و 7. هذا كما هو موضح في صورة التقاط الحزمة هنا.

على أي حال، إذا قمت بضبط هذا على إختياري فإن البت 7 فقط يتم ضبطه، كما هو موضح في الصورة.

ملاحظة: يضيف عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) هذا RSN IE المعدل في استجابات الاقتران/إعادة الاقتران وتضيف نقطة الوصول AP هذا RSN IE المعدل في استجابات الاستدلال والاستكشاف.

فوائد حماية إطار الإدارة وفقا لمعيار 802.11w

• حماية العملاء

ويتحقق ذلك من خلال إضافة حماية التشفير إلى إطارات إلغاء المصادقة والتفكيك. وهذا يؤدي إلى منع مستخدم غير مصرح له من تشغيل هجوم رفض الخدمة (DOS) من خلال انتحال عنوان MAC الخاص بالمستخدمين الشرعيين وإرسال إطارات الإرسال/قطع الاتصال.

• حماية نقطة الوصول (AP)

تتم إضافة الحماية الجانبية للبنية الأساسية عن طريق إضافة آلية الحماية المؤقتة لاقتران الأمان (SA) التي تتكون من وقت إرجاع الاقتران وإجراء SA-Query. قبل 802.11w، إذا تلقت نقطة وصول طلبا إما اقتران أو مصادقة من عميل مقترن بالفعل، يقوم نقطة الوصول بإنهاء الاتصال الحالي ثم يبدأ اتصالا جديدا. عندما تستخدم ملف تخصيص 802.11w MFP، إذا كان STA مقترنا وكان لديه حماية إطار إدارة متفاوض عليها، فإن نقطة الوصول ترفض طلب الاقتران برمز حالة الإرجاع 30 Association request rejected temporarily; Try again later إلى العميل.

متضمن في "إستجابة الاقتران" عنصر معلومات وقت إرجاع الاقتران الذي يحدد وقت العودة عندما تكون نقطة الوصول جاهزة لقبول اقتران بهذا STA. بهذه الطريقة يمكنك التأكد من أن العملاء الشرعيين لا يتم فصلهم بسبب طلب اقتران منتحلا.

ملاحظة: تتجاهل عنصر التحكم في الشبكة المحلية اللاسلكية (AireOS أو 9800) إطارات إلغاء الارتباط أو إلغاء المصادقة التي يرسلها العملاء إذا لم يستخدموا 802.11w PMF. لا يتم حذف إدخال العميل إلا عند إستلام مثل هذا الإطار في حالة إستخدام العميل ل PMF. ويهدف ذلك إلى تجنب حجب الخدمة عن طريق الأجهزة الضارة نظرا لعدم وجود أمان على هذه الإطارات دون وجود "قوات الحشد الشعبي".

متطلبات تمكين 802.11w

• يتطلب الطراز 802. 11w تهيئة SSID باستخدام dot1x أو PSK.
• يتم دعم معيار 802. 11w على جميع نقاط الوصول التي تدعم شبكة 802. 11n. هذا يعني أن نقطة الوصول 1130 و 1240 لا تدعم معيار 802. 11w.
• 802.11w غير مدعوم على نقطة الوصول FlexConnect AP و 7510 WLC في الإصدار 7.4. تمت إضافة الدعم منذ الإصدار 7.5.

التكوين

واجهة المستخدم الرسومية

الخطوة 1. تحتاج إلى تمكين إطار الإدارة المحمي ضمن SSID المكون باستخدام 802.1x/PSK. لديك ثلاثة خيارات كما هو موضح في الصورة.

يحدد "مطلوب" عدم السماح للعميل الذي لا يدعم 802.11w بالاتصال. تحدد "إختياري" أنه يسمح حتى للعملاء الذين لا يدعمون معيار 802.11w بالاتصال.

الخطوة 2. تحتاج بعد ذلك إلى تحديد مهلة مؤقت العودة واستعلام SA. يحدد مؤقت الإرجاع الوقت الذي يجب أن ينتظره العميل المقترن قبل أن يمكن محاولة الاقتران مرة أخرى عند الرفض لأول مرة مع رمز الحالة 30. تحدد مهلة استعلام SA مقدار الوقت الذي ينتظره عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للاستجابة من العميل لعملية الاستعلام. في حالة عدم وجود إستجابة من العميل، يتم حذف الاقتران الخاص به من وحدة التحكم. ويتم القيام بذلك كما هو موضح في الصورة.

الخطوة 3. يجب تمكين 'PMF 802.1x' إذا كنت تستخدم 802.1x كطريقة إدارة مفتاح المصادقة. في حالة إستخدام PSK، يجب عليك إختيار خانة الاختيار PMF PSK كما هو موضح في الصورة.

CLI

• in order to مكنت أو أعجزت ال 11w سمة، ركضت الأمر:

config wlan security wpa akm pmf 802.1x enable/disable <wlan-id> config wlan security wpa akm pmf psk enable/disable <wlan-id>

• لتمكين أو تعطيل إطارات الإدارة المحمية، قم بتشغيل الأمر:

config wlan security pmf optional/required/disable <wlan-id>


• إعدادات وقت العودة للاقتران:

config wlan security pmf 11w-association-comeback <time> <wlan-id>


• إعدادات مهلة إعادة محاولة استعلام SA: 

config wlan security pmf saquery-retry-time <time> <wlan-id>

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

يمكن التحقق من تكوين 802.11w. تحقق من تكوين شبكة WLAN:

(wlc)>show wlan 1 Wi-Fi Protected Access (WPA/WPA2)............. Enabled <snip> 802.1x.................................. Enabled PSK..................................... Disabled CCKM.................................... Disabled FT-1X(802.11r).......................... Disabled FT-PSK(802.11r)......................... Disabled PMF-1X(802.11w)......................... Enabled PMF-PSK(802.11w)........................ Disabled FT Reassociation Timeout................... 20 FT Over-The-DS mode........................ Enabled GTK Randomization.......................... Disabled <snip> PMF........................................... Required PMF Association Comeback Time................. 1 PMF SA Query RetryTimeout..................... 200

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

تتوفر أوامر تصحيح الأخطاء هذه لاستكشاف أخطاء 802.11w وإصلاحها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC):

• debug 11w-pmf events  enable/disable
• debug 11w-pmf  keys enable/disable
• debug 11w-pmf all enable