管理フレーム保護(MFP)に関するFAQ

目的

Wi-Fiは、任意のデバイスが盗聴して、正当なデバイスまたは不正なデバイスとして参加することを可能にするブロードキャストメディアです。認証、認証解除、関連付け、関連付け解除、ビーコン、プローブなどの管理フレームは、ワイヤレスクライアントがネットワークサービスのセッションを開始および切断するために使用されます。一定のレベルの機密性を確保するために暗号化できるデータトラフィックとは異なり、これらのフレームはすべてのクライアントが受信し、理解する必要があります。したがって、オープンまたは非暗号化として送信する必要があります。これらのフレームは暗号化できませんが、ワイヤレスメディアを攻撃から保護するために偽造から保護する必要があります。たとえば、攻撃者はAPからの管理フレームをスプーフィングして、APに関連付けられたクライアントを攻撃する可能性があります。

このドキュメントの目的は、管理フレーム保護(MFP)に関してよく寄せられる質問(FAQ)への回答を提供することです。

よく寄せられる質問（FAQ）

目次

1. MFPとは
2. MFPはどのように動作するのですか。
3. PMFとの違い
4. MFPのタイプは何ですか。
5. クライアントMFPのコンポーネントは何ですか。
6. クライアントMFPはどのように動作するのですか。
7. クライアントMFPはどのように使用しますか。
8. クライアントMFPのコンポーネントは何ですか。
9. モバイルデバイスがMFP対応インフラストラクチャデバイスに接続できないのはなぜですか。
10. ブロードキャスト管理フレーム保護とは
11. ワイヤレスアクセスポイント(WAP)でMFPを設定する方法
12. MFP対応ネットワークに接続するためのインテルワイヤレスネットワークカードの設定方法

1.このメッセージは何を が MFP?

管理フレームは、ワイヤレスクライアントがワイヤレスアクセスポイント(WAP)とネゴシエートできるようにするためにIEEE 802.11で使用されるブロードキャストフレームです。MFPは、暗号化されていないブロードキャストフレームと、ワイヤレスデバイス間で渡される管理メッセージに対するセキュリティを提供します。

2. MFPはどのように動作しますか。

IEEE 802.11では、認証解除、関連付け解除、ビーコン、プローブなどの管理フレームは常に認証されておらず、暗号化されていません。WAPは、送信する各管理フレームにMessage Integrity Check Information Element(MIC IE)を追加します。フレームのコピー、変更、または再生を試みると、MIC が無効となります。

3.MFPが無効になっているネットワークで攻撃者が実行できる操作には、どのようなものがありますか。

• 管理フレームで見つかった脆弱性は、攻撃者がWAPから管理フレームをスプーフィングして、関連付けられているクライアントを攻撃できるようにすることで、ネットワークに対する大きな脅威をもたらします。攻撃者は次のアクションを実行する可能性があります。

• 無線周波数(RF)妨害装置：遠くからの高出力指向性アンテナを使用した攻撃は、オフィスの建物の外部から実行できます。侵入者が使用する攻撃ツールは、スプーフィングされた802.11管理フレーム、スプーフィングされた802.1x認証フレーム、または単に総当たり攻撃によるパケットフラッディング方式を使用するなどのハッキング技術を利用します。
• 悪魔のツインルータ：攻撃者が正当なアクセスポイントとして名前を付け、ポーズを付けるフィッシングの一種です。これは、モバイルデバイスを偽のアクセスポイントに接続するようにユーザを誘導するため、ユーザにより多くの害を及ぼすことができます。 
• オフライン辞書攻撃の実行：辞書攻撃の際には、ユーザの認証資格情報を侵害するために、さまざまなパスワードが使用されます。ほとんどのパスワードベースの認証アルゴリズムは、強力なパスワードポリシーがない場合に辞書攻撃に対して脆弱です。

4.MFPのタイプは何ですか。

MFPには次の2つのタイプがあります。

• インフラストラクチャMFP：具体的には、インフラストラクチャMFPでは、ネットワーク内の他のアクセスポイントによって検証されるクライアントではなく、アクセスポイントから送信される管理フレームにMIC IEが追加されるため、802.11セッション管理機能が保護されます。インフラストラクチャMFPはパッシブです。侵入を検出して報告できるが、それを阻止する手段はない。また、サービス拒否攻撃を実行する攻撃者の検出、アソシエーションプローブによるネットワークのフラッディング、不正なアクセスポイントとしての介入、Quality of Service(QoS)や無線測定フレームへの攻撃によるネットワークパフォーマンスへの影響などを通じて、管理フレームを保護します。
• クライアントMFP：認証されたクライアントをスプーフィングされたフレームから保護し、無線LAN（ローカルエリアネットワーク）に対する一般的な攻撃の多くが効力を失わないようにします。認証解除攻撃など、ほとんどの攻撃は、有効なクライアントと競合することで単にパフォーマンスを低下させます。

5.インフラストラクチャMFPのコンポーネントは何ですか。

インフラストラクチャMFPには3つのコンポーネントがあります。

• 管理フレーム保護：管理フレーム保護が有効な場合、WAPは送信する各管理フレームにMIC IEを追加します。フレームのコピー、変更、または再生を試みると、MIC が無効となります。
• 管理フレーム検証：管理フレーム検証が有効な場合、APでは、ネットワーク内の他のWAPから受信するすべての管理フレームが検証されます。これにより、MIC IE が存在していて（発信側が MFP フレームを送信するよう設定されている場合）、管理フレームの中身が一致していることが確認されます。MFPフレームを送信するように設定されているWAPに属するBasic Service Set Identifier(BSSID)から、有効なMIC IEを含まないフレームを受信すると、その不一致がネットワーク管理システムに報告されます。

注：タイムスタンプが正しく動作するためには、すべてのワイヤレスLANコントローラ(WLC)でネットワークタイムプロトコル(NTP)が同期されている必要があります。

• イベントレポート：アクセスポイントは異常を検出するとWLCに通知します。WLC は異常イベントを集積して、SNMP トラップ経由でそれをネットワーク管理者に報告します。

6.クライアントMFPはどのように動作するのですか。

具体的には、クライアントMFPは、アクセスポイントとCisco Compatible Extensionバージョン5(CCXv5)クライアントの間で送信される管理フレームを暗号化するため、スプーフィングされたクラス3管理フレーム（つまり、アクセスポイントと認証され関連付けられているクライアントの間で渡される管理フレーム）を廃棄することで、アクセスポイントとクライアントの両方が予防措置を講じることができます。クライアントMFPは、IEEE 802.11iで定義されているセキュリティメカニズムを利用して、クラス3ユニキャスト管理フレームの関連付け解除、認証解除、およびQoS(Wireless Multimedia Extension(WMM))アクションのタイプを保護します。クライアントMFPは、最も一般的なタイプのサービス拒絶攻撃からクライアントアクセスポイントセッションを保護します。セッションデータフレームと同じ暗号化方式を使用して、クラス3管理フレームを保護します。アクセス ポイントやクライアントで受信されるフレームを復号化できない場合、フレームは廃棄され、このイベントがコントローラに報告されます。

7.クライアントMFPはどのように使用しますか。

クライアントMFPを使用するには、クライアントはCCXv5 MFPをサポートし、Temporal Key Integrity Protocol(TKIP)またはAdvanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol(AES-CCMP)のいずれかを使用してWi-Fi Protected Access version 2(WPA2)をネゴシエートする必要があります。PMKを取得するには、Extensible Authentication Protocol（EAP；拡張可能認証プロトコル）またはPre-Shared Key（PSK；事前共有キー）を使用できます。CCKMおよびコントローラモビリティ管理は、レイヤ2およびレイヤ3高速ローミングのアクセスポイント間でセッションキーを配布するために使用されます。

8.何がクライアントMFPのコンポーネントですか。

クライアントMFPには3つのコンポーネントがあります。

• キーの生成と配布：クライアントMFPは、IEEE 802.11iで定義されているセキュリティプロトコルとメカニズムを利用して、クラス3ユニキャスト管理フレームを保護します。

– 関連付け解除フレーム：クライアントまたはWAPに対する、認証関係の切断または関連付け解除の要求。

– 認証解除フレーム：アソシエーション関係の切断またはアソシエーション解除を求めるクライアントまたはWAPへの要求。

- QoS WMMアクション：WMMパラメータがビーコン、プローブ応答、およびアソシエーション応答フレームに追加されます。

• 管理フレームの保護と検証：ブロードキャストフレームを使用した攻撃を防止するために、CCXv5をサポートするAPはブロードキャストクラス3管理フレームを送信しません。ワークグループブリッジモード、リピータモード、または非ルートブリッジモードのAPでは、クライアントMFPがイネーブルになっていると、ブロードキャストクラス3管理フレームが廃棄されます。
• エラーレポート：MFP-1レポートメカニズムは、アクセスポイントによって検出された管理フレームのカプセル化解除エラーをレポートするために使用されます。つまり、WLC は MFP 検証エラー統計情報を収集し、定期的に照合情報を WCS に転送します。

注：クライアントステーションで検出されたMFP違反エラーは、CCXv5ローミングおよびリアルタイム診断機能によって処理されます。

9. モバイルデバイスがMFP対応インフラストラクチャデバイスに接続できないのはなぜですか。
一部のワイヤレス クライアントが MFP 対応インフラストラクチャ デバイスと通信する場合には、一部制限があります。MFP により、各プローブ要求または SSID ビーコンには、一連の長い情報要素が付加されます。PDA、スマートフォン、バーコードスキャナなどの一部のワイヤレスクライアントでは、メモリと中央処理装置(CPU)が制限されています。そのため、これらの要求やビーコンを処理することはできません。その結果、SSID機能の誤解が原因で、SSIDを完全に確認できないか、これらのインフラストラクチャデバイスと関連付けできません。この問題は MFP に特有なものではありません。これは、複数の Information Element（IE; 情報要素）を含むすべての SSID でも発生します。リアルタイムで展開する前に、使用可能なすべてのクライアントタイプを含む環境でMFP対応SSIDをテストすることを常に推奨します。

10. ブロードキャスト管理フレーム保護とは

ブロードキャストフレームを使用した攻撃を防ぐために、CCXv5をサポートするAPは、不正抑止の認証解除フレームまたは関連付け解除フレームを除き、ブロードキャストクラス3管理フレームを送信しません。CCXv5 対応クライアント ステーションは、ブロードキャスト クラス 3 管理フレームを廃棄する必要があります。MFP セッションは適切にセキュリティ保護されたネットワーク（強力な認証と TKIP または CCMP）内にあると想定されているため、不正 AP 抑止ブロードキャストを無視しても問題にはなりません。

11 . ワイヤレスアクセスポイント(WAP)でMFPを設定する方法

WAPでMFPを設定する方法については、ここをクリックしてください。

12. MFP対応ネットワークに接続するためのインテルワイヤレスネットワークカードの設定方法

Intelワイヤレスネットワークカードの設定方法については、ここをクリックしてください。

更新履歴

改定	発行日	コメント
1.0	13-Dec-2018	初版