Preguntas frecuentes sobre la protección de tramas de administración (MFP)

Opciones de descarga

  • PDF     (247.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (86.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (75.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de agosto de 2017
ID del documento:SMB5442

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Preguntas frecuentes sobre la protección de tramas de administración (MFP)

Objetivo

La tecnología Wi-Fi es un medio de difusión que permite que cualquier dispositivo intercepte y participe como dispositivo legítimo o no autorizado. Las tramas de administración, como la autenticación, la desautenticación, la asociación, la disociación, las balizas y los sondeos, son utilizadas por los clientes inalámbricos para iniciar y cerrar sesiones para los servicios de red. A diferencia del tráfico de datos, que se puede cifrar para proporcionar un nivel de confidencialidad, todas las tramas deben ser oídas y comprendidas por todos los clientes y, por lo tanto, deben transmitirse como abiertas o sin cifrar. Aunque estas tramas no se pueden cifrar, se deben proteger contra falsificaciones para proteger el medio inalámbrico de ataques. Por ejemplo, un atacante podría falsificar tramas de administración de un AP para atacar a un cliente asociado con el AP.

Este documento tiene como objetivo proporcionar respuestas a las preguntas más frecuentes sobre la protección de tramas de administración (MFP).

Preguntas Frecuentes

Table Of Contents

  1. ¿Qué es MFP?
  2. ¿Cómo funciona la MFP?
  3. ¿En qué se diferencia de PMF?
  4. ¿Cuáles son los tipos de MFP?
  5. ¿Cuáles son los componentes de la MFP del cliente?
  6. ¿Cómo funciona la MFP del cliente?
  7. ¿Cómo se utiliza la MFP del cliente?
  8. ¿Cuáles son los componentes de la MFP del cliente?
  9. ¿Por qué mi dispositivo móvil no se puede conectar al dispositivo de infraestructura habilitado para MFP?
  10. ¿Qué es la protección de tramas de Broadcast Management?
  11. ¿Cómo se configura la MFP en un punto de acceso inalámbrico (WAP)?
  12. ¿Cómo se configura la tarjeta de red inalámbrica Intel para conectarse a una red con MFP?

1. Qué es MFP?

Las tramas de administración son tramas de difusión utilizadas por IEEE 802.11 para permitir que un cliente inalámbrico negocie con un punto de acceso inalámbrico (WAP). La MFP proporciona seguridad para tramas de difusión no cifradas y mensajes de gestión que se transmiten entre dispositivos inalámbricos.

2. ¿Cómo funciona MFP?

En IEEE 802.11, las tramas de administración como la desautenticación, la desasociación, las balizas y los sondeos siempre están sin autenticar y sin cifrar. WAP agrega el elemento de información de comprobación de integridad del mensaje (MIC IE) a cada trama de administración que transmite. Cualquier intento de copiar, alterar o reproducir la trama invalida el MIC.

3. ¿Cuáles son algunas de las cosas que un atacante puede hacer en una red con la MFP desactivada?

  • La vulnerabilidad que se encuentra en las tramas de administración representa una gran amenaza para una red, ya que permite que un atacante falsifique una trama de administración de un WAP para atacar a un cliente asociado a ella. Un atacante puede realizar las siguientes acciones:
— Ejecutar una denegación de servicio (DoS): los atacantes utilizan técnicas de evasión distintas de los típicos ataques basados en volumen para evitar la detección y la mitigación, incluidas las técnicas de ataque "lento y bajo" y los ataques basados en SSL. Están implementando campañas de ataques de multivulnerabilidad dirigidas a todos los niveles de la infraestructura de la víctima, incluidos los dispositivos de infraestructura de red, firewalls, servidores y aplicaciones.
— Ataque Man-in-the-Middle al cliente cuando se reconecta — Es una forma de ataque inductivo de derivación de claves que es efectivo en redes 802.11 debido a la falta de integridad efectiva del mensaje. El receptor de una trama no puede verificar que la trama no fue alterada durante su transmisión.
  • Intermitente de radiofrecuencia (RF): los ataques con una antena direccional de alta potencia desde lejos se pueden llevar a cabo desde el exterior del edificio de oficinas. Las herramientas de ataque utilizadas por los intrusos aprovechan técnicas de pirateo como tramas de administración 802.11 falsificadas, tramas de autenticación 802.1x falsificadas o simplemente el método de saturación de paquetes por fuerza bruta.
  • Router gemelo malvado: es una forma de suplantación de identidad en la que un atacante nombra y se hace pasar por un punto de acceso legítimo. Esto engaña a los usuarios para que conecten un dispositivo móvil al punto de acceso falso, lo que puede causar más daño al usuario. 
  • Ejecutar un ataque de diccionario sin conexión: durante un ataque de diccionario, se utilizan variaciones de contraseñas para poner en peligro las credenciales de autenticación del usuario. La mayoría de los algoritmos de autenticación basados en contraseña son vulnerables a los ataques de diccionario en ausencia de una política de contraseña segura.

4. ¿Cuáles son los tipos de MFP?

Estos son los dos tipos de MFP:

  • MFP de infraestructura: en concreto, la MFP de infraestructura protege las funciones de gestión de sesiones 802.11 añadiendo MIC IE a las tramas de gestión emitidas por los puntos de acceso y no a las emitidas por los clientes, que son validadas por otros puntos de acceso de la red. La MFP de infraestructura es pasiva. Puede detectar y notificar intrusiones, pero no dispone de medios para detenerlas. Protege las tramas de gestión mediante la detección de adversarios que invocan ataques de denegación de servicio, inundando la red con sondeos de asociación, interactuando como puntos de acceso desconocidos y afectando al rendimiento de la red al atacar la calidad de servicio (QoS) y las tramas de medición de radio.
  • MFP de cliente: protege a los clientes autenticados frente a tramas simuladas, evitando así que muchos de los ataques habituales contra las redes de área local (LAN) inalámbricas sean efectivos. La mayoría de los ataques, como los ataques de desautenticación, se limitan a degradar el rendimiento al competir con clientes válidos.

5. ¿Cuáles son los componentes de la MFP de infraestructura?

La MFP de infraestructura tiene 3 componentes:

  • Protección de trama de administración: cuando la protección de trama de administración está habilitada, WAP agrega MIC IE a cada trama de administración que transmite. Cualquier intento de copiar, alterar o reproducir la trama invalida el MIC.
  • Validación de trama de administración: cuando se habilita la validación de trama de administración, el AP valida cada trama de administración que recibe de otros WAP en la red. Asegura que el IE de MIC esté presente (cuando el originador está configurado para transmitir tramas MFP) y coincida con el contenido de la trama de administración. Si recibe alguna trama que no contiene un MIC IE válido de un identificador de conjunto de servicios básicos (BSSID) que pertenece a un WAP, que está configurado para transmitir tramas MFP, informa la discrepancia al sistema de administración de redes.

Nota: Para que las marcas de tiempo funcionen correctamente, todos los controladores de LAN inalámbrica (WLC) deben estar sincronizados con el protocolo de tiempo de la red (NTP).

  • Notificación de eventos: el punto de acceso notifica al WLC cuando detecta una anomalía. El WLC agrega los eventos anómalos y los informa a través de las trampas SNMP al administrador de red.

6. ¿Cómo funciona la MFP del cliente?

Específicamente, la MFP del cliente cifra las tramas de administración enviadas entre los puntos de acceso y los clientes de Cisco Compatible Extension versión 5 (CCXv5) para que tanto los puntos de acceso como los clientes puedan tomar medidas preventivas al eliminar las tramas de administración de clase 3 falsificadas (es decir, las tramas de administración que pasan entre un punto de acceso y un cliente que está autenticado y asociado). La MFP del cliente aprovecha los mecanismos de seguridad definidos por IEEE 802.11i para proteger los siguientes tipos de tramas de administración de unidifusión de clase 3: desasociación, desautenticación y acción de QoS (extensiones multimedia inalámbricas o WMM). La MFP del cliente protege una sesión de punto de acceso del cliente del tipo más común de ataque de denegación de servicio. Protege las tramas de administración de clase 3 utilizando el mismo método de cifrado utilizado para las tramas de datos de sesión. Si una trama recibida por el punto de acceso o el cliente falla en el descifrado, se descarta y el evento se informa al controlador.

7. ¿Cómo se utiliza la MFP del cliente?

Para utilizar la MFP del cliente, los clientes deben ser compatibles con la MFP CCXv5 y deben negociar el acceso Wi-Fi protegido versión 2 (WPA2) mediante el protocolo de integridad de clave temporal (TKIP) o el protocolo de código de autenticación de mensajes en cadena de cifrado estándar de cifrado avanzado (AES-CCMP). El protocolo de autenticación extensible (EAP) o la clave precompartida (PSK) se pueden utilizar para obtener el PMK. CCKM y la gestión de la movilidad del controlador se utilizan para distribuir claves de sesión entre los puntos de acceso para la itinerancia rápida de las capas 2 y 3.

8. Qué¿Son los componentes de la MFP del cliente?

Hay 3 componentes de la MFP del cliente:

  • Generación y distribución de claves: la MFP del cliente aprovecha los protocolos y mecanismos de seguridad definidos por IEEE 802.11i para proteger las tramas de gestión de unidifusión de clase 3:

- Tramas de desasociación: una solicitud a un cliente o WAP para desconectar o desasociar una relación de autenticación.

- Tramas de desautenticación: solicitud a un cliente o WAP para desconectar o desasociar una relación de asociación.

- Acción de QoS WMM: el parámetro WMM se agrega a las tramas de baliza, respuesta de sondeo y respuesta de asociación.

  • Protección y validación de tramas de administración: para evitar ataques mediante tramas de difusión, los AP que admiten CCXv5 no emiten ninguna trama de administración de clase 3 de difusión. Un AP en el modo de puente de grupo de trabajo, en el modo de repetidor o en el modo de puente no raíz descarta las tramas de administración de broadcast clase 3 si la MFP del cliente está habilitada.
  • Informes de errores: los mecanismos de informes de MFP-1 se utilizan para notificar los errores de desencapsulación de tramas de administración detectados por los puntos de acceso. Es decir, el WLC recopila las estadísticas de error de validación de MFP y reenvía periódicamente la información recopilada al WCS.

Nota: Los errores de infracción de MFP detectados por las estaciones cliente se gestionan mediante la función Roaming and Real Time Diagnostics de CCXv5.

9. ¿Por qué mi dispositivo móvil no puede conectarse al dispositivo de infraestructura habilitado para MFP?
Existen ciertas restricciones para que algunos clientes inalámbricos se comuniquen con dispositivos de infraestructura habilitados para MFP. La función MFP agrega un conjunto largo de elementos de información a cada solicitud de sondeo o baliza SSID. Algunos clientes inalámbricos, como PDA, smartphones, escáneres de códigos de barras, etc., tienen memoria limitada y una unidad de procesamiento central (CPU). Por lo tanto, no puede procesar estas solicitudes o balizas. Como resultado, no puede ver el SSID por completo o no puede asociarse con estos dispositivos de infraestructura debido a un malentendido de las capacidades del SSID. Este problema no es específico de MFP. Esto también ocurre con cualquier SSID que tenga varios elementos de información (IE). Siempre es recomendable probar los SSID habilitados para MFP en el entorno con todos los tipos de clientes disponibles antes de implementarlos en tiempo real.

10. ¿Qué es la protección de tramas de Broadcast Management?

Para evitar ataques que utilizan tramas de difusión, los AP que soportan CCXv5 no transmiten ninguna trama de administración de clase 3 de difusión excepto para tramas de desautenticación o desasociación de contención no autorizadas. Las estaciones cliente compatibles con CCXv5 deben descartar las tramas de administración de clase 3 de difusión. Se supone que las sesiones de MFP están en una red correctamente protegida (autenticación fuerte más TKIP o CCMP), por lo que no se tienen en cuenta las transmisiones de contención no autorizadas.

11. ¿Cómo se configura la MFP en un punto de acceso inalámbrico (WAP)?

Para aprender cómo configurar MFP en un WAP, haga clic aquí.

12. Cómo configurar una tarjeta de red inalámbrica Intel para conectarse a una red habilitada para MFP

Para obtener información sobre cómo configurar la tarjeta de red inalámbrica Intel, haga clic aquí.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-Dec-2018
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco