Häufig gestellte Fragen zum Management Frame Protection (MFP)

Download-Optionen

  • PDF     (248.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (85.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (73.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:23. August 2017
Dokument-ID:SMB5442

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Häufig gestellte Fragen zum Management Frame Protection (MFP)

Ziel

Wi-Fi ist ein Übertragungsmedium, das es jedem Gerät ermöglicht, zu mithören und teilzunehmen, sei es als legitimes oder unberechtigtes Gerät. Management-Frames wie Authentifizierung, Deauthentifizierung, Zuordnung, Trennung, Beacons und Tests werden von Wireless-Clients zum Initiieren und Beenden von Sitzungen für Netzwerkdienste verwendet. Im Gegensatz zum Datenverkehr, der verschlüsselt werden kann, um ein gewisses Maß an Vertraulichkeit zu gewährleisten, müssen diese Frames von allen Clients gehört und verstanden werden und daher als offen oder unverschlüsselt übertragen werden. Diese Frames können zwar nicht verschlüsselt werden, müssen jedoch vor Fälschungen geschützt werden, um das Wireless-Medium vor Angriffen zu schützen. Ein Angreifer könnte beispielsweise Management-Frames von einem WAP manipulieren, um einen mit dem WAP verbundenen Client anzugreifen.

Dieses Dokument soll Antworten auf die häufig gestellten Fragen zum Management Frame Protection (MFP) geben.

Häufig gestellte Fragen

Inhalt

  1. Was ist MFP?
  2. Wie funktioniert das MFP?
  3. Worin besteht der Unterschied zu PMF?
  4. Welche Arten von MFP gibt es?
  5. Welche Komponenten umfasst Client MFP?
  6. Wie funktioniert Client MFP?
  7. Wie verwende ich Client MFP?
  8. Welche Komponenten umfasst Client MFP?
  9. Warum kann mein Mobilgerät nicht mit dem MFP-fähigen Infrastrukturgerät verbunden werden?
  10. Was ist Broadcast Management Frame Protection?
  11. Wie wird MFP auf einem Wireless Access Point (WAP) konfiguriert?
  12. Wie wird die Intel Wireless-Netzwerkkarte für die Verbindung mit einem MFP-fähigen Netzwerk konfiguriert?

1. Was ist MFP?

Management-Frames sind Broadcast-Frames, die von IEEE 802.11 verwendet werden, um einem Wireless-Client die Verhandlung mit einem Wireless Access Point (WAP) zu ermöglichen. MFP bietet Sicherheit für unverschlüsselte Broadcast-Frames und Managementnachrichten, die zwischen Wireless-Geräten weitergeleitet werden.

2. Wie funktioniert das MFP?

In IEEE 802.11 sind Management-Frames wie Deauthentifizierung, Trennung von Zuordnungen, Beacons und Tests immer nicht authentifiziert und unverschlüsselt. Der WAP fügt jedem von ihm übertragenen Management-Frame ein Message Integrity Check Information Element (MIC IE) hinzu. Jeder Versuch, den Frame zu kopieren, zu ändern oder wiederzugeben, macht das MIC ungültig.

3. Was kann ein Angreifer in einem Netzwerk mit deaktiviertem MFP tun?

  • Die in Management-Frames gefundenen Schwachstellen stellen stellen eine große Bedrohung für das Netzwerk dar, da sie es Angreifern ermöglichen, einen Management-Frame von einem WAP aus zu manipulieren, um einen zugehörigen Client anzugreifen. Ein Angreifer kann folgende Aktionen durchführen:
— Denial of Service (DoS) ausführen — Angreifer verwenden Evasion-Techniken außerhalb der typischen volumenbasierten Angriffe, um Erkennung und Eindämmung zu vermeiden, einschließlich "low and slow"-Angriffstechniken und SSL-basierten Angriffen. Sie führen Angriffskampagnen mit mehreren Schwachstellen durch, die auf alle Ebenen der Infrastruktur des Opfers abzielen, einschließlich der Geräte, Firewalls, Server und Anwendungen in der Netzwerkinfrastruktur.
— Man-in-the-Middle-Angriff auf den Client bei erneuter Verbindung — Dies ist eine Form eines induktiven Schlüsselableitungsangriffs, der in 802.11-Netzwerken aufgrund der fehlenden effektiven Nachrichtenintegrität wirksam ist. Der Empfänger eines Frames kann nicht überprüfen, ob der Frame während der Übertragung manipuliert wurde.
  • Funkstörsender - Angriffe mit einer Hochleistungs-Richtantenne aus großer Entfernung können von außerhalb Ihres Bürogebäudes ausgeführt werden. Angriffstools, die von Eindringlingen verwendet werden, nutzen Hacking-Techniken wie gefälschte 802.11-Management-Frames, gefälschte 802.1x-Authentifizierungs-Frames oder einfach die Brute-Force-Paketflutungsmethode.
  • Evil Twin Router - Dies ist eine Form von Phishing, bei der ein Angreifer einen legitimen Access Point benennt und darstellt. Dadurch werden Benutzer dazu verleitet, ein Mobilgerät mit dem gefälschten Access Point zu verbinden, wodurch dem Benutzer mehr Schaden zugefügt werden kann. 
  • Ausführen eines Offline-Wörterbuchangriffs - Während eines Wörterbuchangriffs werden verschiedene Kennwörter verwendet, um die Authentifizierungsdaten des Benutzers zu kompromittieren. Die meisten kennwortbasierten Authentifizierungsalgorithmen sind anfällig für Wörterbuchangriffe, da es keine strenge Kennwortrichtlinie gibt.

4. Welche Arten von MFP gibt es?

Dies sind die beiden Arten von MFP:

  • Infrastruktur-MFP - Das Infrastruktur-MFP schützt 802.11-Sitzungsmanagementfunktionen, indem es MIC IE zu den Management-Frames hinzufügt, die von Access Points ausgegeben werden, und nicht zu den Frames, die von Clients ausgegeben werden, die von anderen Access Points im Netzwerk validiert werden. Infrastruktur-MFP ist passiv. Es kann unbefugte Zugriffe erkennen und melden, hat jedoch keine Möglichkeit, sie zu stoppen. Es schützt Management-Frames, indem es Angreifer entdeckt, die Denial-of-Service-Angriffe auslösen, das Netzwerk mit Zuordnungsproben überflutet, sich als unberechtigte Access Points infiziert und die Netzwerkleistung beeinträchtigt, indem es Quality of Service (QoS)- und Funkmessungs-Frames angreift.
  • Client-MFP - Abschirmt authentifizierte Clients vor gefälschten Frames und verhindert, dass viele der gängigen Angriffe auf Wireless Local Area Networks (LANs) effektiv werden. Bei den meisten Angriffen, wie z. B. De-Authentifizierungs-Angriffen, wird die Leistung durch das Konkurrieren mit gültigen Clients wieder herabgesetzt.

5. Was sind die Komponenten der Infrastruktur MFP?

Infrastruktur MFP hat 3 Komponenten:

  • Management-Frame-Schutz - Wenn der Management-Frame-Schutz aktiviert ist, fügt der WAP MIC IE zu jedem Management-Frame hinzu, den er überträgt. Jeder Versuch, den Frame zu kopieren, zu ändern oder wiederzugeben, macht das MIC ungültig.
  • Management-Frame-Validierung - Wenn die Management-Frame-Validierung aktiviert ist, validiert der WAP jeden Management-Frame, den er von anderen WAPs im Netzwerk empfängt. Es stellt sicher, dass das MIC IE vorhanden ist (wenn der Originator für die Übertragung von MFP-Frames konfiguriert ist) und mit dem Inhalt des Management-Frames übereinstimmt. Empfängt er einen Frame, der keinen gültigen MIC IE von einem Basic Service Set Identifier (BSSID) enthält, der zu einem WAP gehört, der für die Übertragung von MFP-Frames konfiguriert ist, meldet er die Diskrepanz an das Netzwerkmanagementsystem.

Hinweis: Damit die Zeitstempel ordnungsgemäß funktionieren, müssen alle Wireless LAN-Controller (WLC) mit dem Network Time Protocol (NTP) synchronisiert werden.

  • Ereignisberichte - Der Access Point benachrichtigt den WLC, wenn eine Anomalie erkannt wird. Der WLC aggregiert die ungewöhnlichen Ereignisse und meldet sie über SNMP-Traps an den Netzwerkmanager.

6. Wie funktioniert das Client-MFP?

Client-MFP verschlüsselt Management-Frames, die zwischen Access Points und Cisco Compatible Extension Version 5 (CCXv5)-Clients gesendet werden, sodass sowohl die Access Points als auch die Clients präventive Maßnahmen ergreifen können, indem gefälschte Class-3-Management-Frames (d. h. Management-Frames, die zwischen einem Access Point und einem authentifizierten und verknüpften Client übertragen werden) entfernt werden. Client-MFP nutzt die von IEEE 802.11i definierten Sicherheitsmechanismen, um die folgenden Typen von Unicast-Management-Frames der Klasse 3 zu schützen: Trennung, Deauthentifizierung und QoS (Wireless Multimedia Extensions oder WMM)-Aktion. Client-MFP schützt eine Client-Access-Point-Sitzung vor den häufigsten Denial-of-Service-Angriffen. Management-Frames der Klasse 3 werden durch dieselbe Verschlüsselungsmethode geschützt, die auch für die Session-Daten-Frames verwendet wird. Wenn ein vom Access Point oder Client empfangener Frame nicht entschlüsselt werden kann, wird er verworfen, und das Ereignis wird an den Controller gemeldet.

7. Wie verwende ich Client-MFP?

Um Client-MFP verwenden zu können, müssen Clients CCXv5 MFP unterstützen und Wi-Fi Protected Access Version 2 (WPA2) entweder über TKIP (Temporal Key Integrity Protocol) oder AES-CCMP (Advanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol) aushandeln. Extensible Authentication Protocol (EAP) oder Pre-Shared Key (PSK) können zum Abrufen des PMK verwendet werden. CCKM und das Controller-Mobilitätsmanagement werden zur Verteilung von Sitzungsschlüsseln zwischen Access Points für schnelles Layer-2- und Layer-3-Roaming verwendet.

8. Was istSind die Komponenten von Client MFP?

Es gibt drei Komponenten von Client MFP:

  • Schlüsselgenerierung und -verteilung - Client-MFP nutzt die von IEEE 802.11i definierten Sicherheitsprotokolle und -mechanismen, um Unicast-Management-Frames der Klasse 3 zu schützen:

- Trennungs-Frames - Eine Anforderung an einen Client oder WAP, eine Authentifizierungsbeziehung zu trennen oder die Verknüpfung zu trennen.

- De-Authentifizierungs-Frames - Eine Anfrage an einen Client oder WAP, eine Verbindung zu trennen oder die Verknüpfung zu trennen.

- QoS-WMM-Aktion - Der WMM-Parameter wird den Beacon-, Sonden- und Zuordnungsantwortrahmen hinzugefügt.

  • Schutz und Validierung von Management-Frames - Um Angriffe über Broadcast-Frames zu verhindern, geben Access Points, die CCXv5 unterstützen, keine Broadcast-Management-Frames der Klasse 3 aus. Ein AP im Workgroup Bridge-, Repeater- oder Non-Root Bridge-Modus verwirft Broadcast-Management-Frames der Klasse 3, wenn Client MFP aktiviert ist.
  • Fehlerberichte - MFP-1-Berichtsmechanismen werden verwendet, um von Access Points erkannte Fehler bei der Entkapselung von Management-Frames zu melden. Das heißt, der WLC sammelt Statistiken zu MFP-Validierungsfehlern und leitet die gesammelten Informationen regelmäßig an das WCS weiter.

Hinweis: Von Client-Stationen erkannte MFP-Fehler werden durch die CCXv5 Roaming and Real Time Diagnostics-Funktion behoben.

9. Warum kann mein Mobilgerät nicht mit dem MFP-fähigen Infrastrukturgerät verbunden werden?
Einige Wireless-Clients können nur mit bestimmten MFP-fähigen Infrastrukturgeräten kommunizieren. Der MFP fügt jeder Anfrage oder jedem SSID-Beacon eine Vielzahl von Informationselementen hinzu. Einige Wireless-Clients wie PDAs, Smartphones, Barcode-Scanner usw. haben nur einen begrenzten Arbeitsspeicher und eine CPU (Central Processing Unit). Daher können Sie diese Anfragen oder Beacons nicht verarbeiten. Infolgedessen sehen Sie die SSID nicht vollständig, oder Sie können aufgrund eines Missverständnisses der SSID-Funktionen keine Verbindung zu diesen Infrastrukturgeräten herstellen. Dieses Problem betrifft nicht nur MFP. Dies gilt auch für alle SSIDs, die über mehrere Informationselemente (IEs) verfügen. Es ist immer ratsam, MFP-fähige SSIDs in der Umgebung mit allen verfügbaren Client-Typen zu testen, bevor Sie sie in Echtzeit bereitstellen.

10. Was ist Broadcast Management Frame Protection?

Um Angriffe zu verhindern, die Broadcast-Frames verwenden, übertragen APs, die CCXv5 unterstützen, keine Broadcast-Management-Frames der Klasse 3. Ausgenommen hiervon sind Frames, die nicht autorisierte Eindämmungs-Authentifizierungs- oder Trennungs-Frames enthalten. CCXv5-fähige Client-Stationen müssen Broadcast-Management-Frames der Klasse 3 verwerfen. Es wird angenommen, dass sich MFP-Sitzungen in einem ordnungsgemäß gesicherten Netzwerk befinden (starke Authentifizierung plus TKIP oder CCMP), sodass die Missachtung von nicht autorisierten Eindämmungs-Broadcasts kein Problem darstellt.

11. Wie wird MFP auf einem Wireless Access Point (WAP) konfiguriert?

Um zu erfahren, wie man MFP auf einem WAP konfiguriert, klicken Sie hier.

12. Konfigurieren einer Intel Wireless-Netzwerkkarte für die Verbindung mit einem MFP-fähigen Netzwerk

Klicken Sie hier, um zu erfahren, wie Sie die Intel Wireless-Netzwerkkarte konfigurieren.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Dec-2018
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren