Veelgestelde vragen over Management Frame Protection (MFP)

Downloadopties

  • PDF     (247.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (85.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (73.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 augustus 2017
Document-id:SMB5442

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Veelgestelde vragen over Management Frame Protection (MFP)

Doel

Wi-Fi is een uitzendmedium waarmee elk apparaat kan afluisteren en deelnemen als een legitiem of schurkenapparaat. Beheerframes zoals authenticatie, de-authenticatie, associatie, dissociatie, bakens en sondes worden door draadloze clients gebruikt om sessies voor netwerkservices te starten en af te breken. In tegenstelling tot dataverkeer, dat kan worden versleuteld om een niveau van vertrouwelijkheid te bieden, moeten deze frames worden gehoord en begrepen door alle klanten en moeten ze daarom worden verzonden als open of niet-versleuteld. Terwijl deze frames niet kunnen worden versleuteld, moeten ze worden beveiligd tegen vervalsing om het draadloze medium te beschermen tegen aanvallen. Een aanvaller kan bijvoorbeeld beheerframes paraferen van een AP om een client aan te vallen die aan het toegangspunt is gekoppeld.

Dit document is bedoeld om antwoorden te geven op de veelgestelde vragen over Management Frame Protection (MFP).

Veelgestelde vragen

Inhoud

  1. Wat is MFP?
  2. Hoe werkt MFP?
  3. Hoe verschilt het van PMF?
  4. Wat zijn de typen MFP?
  5. Wat zijn de componenten van Client MFP?
  6. Hoe werkt client MFP?
  7. Hoe gebruik ik client MFP?
  8. Wat zijn de componenten van Client MFP?
  9. Waarom kan mijn mobiele apparaat geen verbinding maken met de MFP-compatibele infrastructuur?
  10. Wat is Broadcast Management Frame Protection?
  11. Hoe configureer ik MFP op een Wireless Access Point (WAP)?
  12. Hoe Intel Wireless Network Card te configureren voor verbinding met een netwerk dat geschikt is voor MFP?

1. Wat is MFP?

Beheerframes zijn broadcast-frames die door IEEE 802.11 worden gebruikt om een draadloze client in staat te stellen te onderhandelen met een Wireless Access Point (WAP). MFP biedt beveiliging voor niet-versleutelde uitzendframes en beheerberichten die tussen draadloze apparaten worden doorgegeven.

2. Hoe werkt MFP?

In IEEE 802.11 zijn beheerframes zoals deauthenticatie, disassociatie, bakens en sondes altijd niet-geverifieerd en niet-versleuteld. De WAP voegt Message Integrity Check Information Element (MIC IE) toe aan elk beheerframe dat door de WAP wordt verzonden. Elke poging om het frame te kopiëren, wijzigen of opnieuw af te spelen maakt de MIC ongeldig.

3. Wat zijn enkele dingen die een aanvaller kan doen op een netwerk met MFP uitgeschakeld?

  • De kwetsbaarheid die in beheerskaders wordt gevonden vormt een grote bedreiging voor een netwerk door een aanvaller toe te staan om een beheerskader van WAP te paraferen om een cliënt aan te vallen die aan het wordt geassocieerd. Een aanvaller kan de volgende acties uitvoeren:
— Draai een Denial of Service (DoS) — De aanvallers gebruiken ontwijkingstechnieken buiten de typische op volume gebaseerde aanvallen om detectie en beperking te vermijden, inclusief "lage en langzame" aanvalstechnieken en SSL-gebaseerde aanvallen. Zij stellen de campagnes van de multivulnerability aanval op die elke laag van de infrastructuur van het slachtoffer, met inbegrip van de apparaten van de netwerkinfrastructuur, firewalls, servers, en toepassingen richten.
— Man-in-the-Middle aanval op de cliënt wanneer opnieuw aangesloten — Het is een vorm van een inductieve sleutelafleidingsaanval die in 802.11 netwerken effectief is vanwege het gebrek aan effectieve berichtintegriteit. De ontvanger van een frame kan niet controleren of er tijdens de transmissie niet met het frame is geknoeid.
  • Radio Frequency (RF) Jammer — Aanvallen met een directionele antenne met hoog vermogen van een afstand kunnen worden uitgevoerd van de buitenkant van uw kantoorgebouw. Aanvalsgereedschappen die worden gebruikt door indringers maken gebruik van hackingtechnieken zoals gespoofde 802.11-beheerframes, gespoofde 802.1x-verificatiekaders of simpelweg met de methode brute-force-pakketoverstroming.
  • Evil Twin Router — Het is een vorm van phishing waarin een aanvaller zich noemt en vormt als een legitiem toegangspunt. Hierdoor kunnen gebruikers een mobiel apparaat verbinden met het nep access point, waardoor ze meer schade kunnen toebrengen aan de gebruiker. 
  • Voer een offline woordenboekaanval uit — Tijdens een woordenboekaanval worden wachtwoordvariaties gebruikt om de authenticatiereferenties van de gebruiker te wijzigen. De meeste op wachtwoorden gebaseerde verificatiealgoritmen zijn kwetsbaar voor woordenboekaanvallen bij gebrek aan een sterk wachtwoordbeleid.

4. Wat zijn de typen MFP?

Dit zijn de twee typen MFP's:

  • Infrastructuur MFP — In het bijzonder beschermt infrastructuur MFP 802.11 sessiebeheerfuncties door MIC IE toe te voegen aan de beheerframes die worden uitgezonden door toegangspunten en niet door de door de klanten uitgezonden frames, die worden gevalideerd door andere toegangspunten in het netwerk. Infrastructuur MFP is passief. Het kan inbreuken detecteren en melden, maar het heeft geen middelen om ze te stoppen. Het beschermt beheerframes door tegenstanders te detecteren die 'denial-of-service'-aanvallen aanroepen, het netwerk overspoelen met associatiesondes, als bedrieglijke toegangspunten intermitteren en de netwerkprestaties beïnvloeden door de Quality of Service (QoS)- en radiomeetframes aan te vallen.
  • Client MFP — beschermt geverifieerde clients tegen gespoofde frames, waardoor veel van de gebruikelijke aanvallen op de Wireless Local Area Networks (LAN’s) niet effectief worden. De meeste aanvallen, zoals de-authenticatie aanvallen, keren terug naar de eenvoudigweg vernederende prestaties door te vechten met geldige cliënten.

5. Wat zijn de componenten van Infrastructuur MFP?

Infrastructuur MFP bestaat uit 3 componenten:

  • Management frame protection — Wanneer management frame protection is ingeschakeld, voegt de WAP MIC IE toe aan elk beheerframe dat het overbrengt. Elke poging om het frame te kopiëren, wijzigen of opnieuw af te spelen maakt de MIC ongeldig.
  • Beheerframevalidering — Wanneer de validatie van het beheerframe is ingeschakeld, valideert het toegangspunt elk beheerframe dat het ontvangt van andere WAP's in het netwerk. Het zorgt ervoor dat de MIC IE aanwezig is (wanneer de maker is geconfigureerd om MFP-frames te verzenden) en overeenkomt met de inhoud van het beheerframe. Als het een frame ontvangt dat geen geldige MIC IE bevat van een Basic Service Set Identifier (BSSID) dat toebehoort aan een WAP, die geconfigureerd is om MFP-frames te verzenden, dan meldt het de discrepantie aan het netwerkbeheersysteem.

Opmerking: om de tijdstempels goed te kunnen gebruiken, moeten alle draadloze LAN-controllers (WLC) zijn gesynchroniseerd met Network Time Protocol (NTP).

  • Gebeurtenisrapportage — Het toegangspunt waarschuwt de WLC wanneer het een anomalie detecteert. WLC aggregeert de abnormale gebeurtenissen en rapporteert deze via SNMP-traps aan de netwerkbeheerder.

6. Hoe werkt client MFP?

Met name client-MFP versleutelt beheerframes die worden verzonden tussen access points en Cisco Compatible Extension Versie 5 (CCXv5)-clients, zodat zowel de access points als de clients preventief kunnen optreden door gespoofde class 3 beheerframes te laten vallen (dat wil zeggen, beheerframes die worden doorgegeven tussen een access point en een client die wordt geverifieerd en gekoppeld). Client MFP maakt gebruik van de beveiligingsmechanismen die zijn gedefinieerd in IEEE 802.11i om de volgende typen unicastbeheerframes van klasse 3 te beschermen: disassociatie, de-verificatie en QoS (Wireless Multimedia Extenions of WMM). Client MFP beschermt een client-access point sessie tegen het meest voorkomende type denial-of-service aanval. Het beschermt klasse 3 beheerframes met dezelfde coderingsmethode die gebruikt wordt voor de sessiegegevenskaders. Als een frame dat door het toegangspunt of de client wordt ontvangen, niet kan worden gedecrypteerd, wordt het uitgeschakeld en wordt de gebeurtenis aan de controller gemeld.

7. Hoe gebruik ik client MFP?

Om client MFP te kunnen gebruiken, moeten clients CCXv5 MFP ondersteunen en moeten zij onderhandelen over Wi-Fi Protected Access versie 2 (WPA2) met TKIP (Temporal Key Integrity Protocol) of AES-CCMP (Advanced Encryption Standard-Cryper Block Chaining Message Authenticity Protocol). Om de PMK te verkrijgen, kan gebruik worden gemaakt van Extensible Verification Protocol (EAP) of Pre-Shared Key (PSK). CCKM en controller-mobiliteitsbeheer worden gebruikt om sessiesleutels te verdelen tussen access points voor Layer 2 en Layer 3 voor snelle roaming.

8. Wat eenZijn de componenten van Client MFP?

De client MFP bestaat uit 3 onderdelen:

  • Sleutelgeneratie en -distributie — Client MFP maakt gebruik van beveiligingsprotocollen en -mechanismen die in IEEE 802.11i zijn gedefinieerd om klasse 3 unicastbeheerframes te beschermen:

- Ontkoppelingsframes — Een verzoek aan een client of WAP om een verificatierelatie los te koppelen of los te koppelen.

- De-authenticatie frames — Een verzoek aan een client of WAP om een associatie relatie los te koppelen of los te koppelen.

- QoS WMM action — WMM parameter is toegevoegd aan de beacon, sonde respons, en associatie respons frames.

  • Bescherming en validatie van managementframes — Om aanvallen met broadcast frames te voorkomen, zenden AP's die CCXv5 ondersteunen geen broadcast class 3-beheerframes uit. Een AP in werkgroepbridge-modus, repeater-modus of non-root-brug modus verwerpt uitzendingsklasse 3 beheerframes als client MFP is ingeschakeld.
  • Foutrapporten — MFP-1-rapporteringsmechanismen worden gebruikt om door toegangspunten gedetecteerde fouten in de inkapseling van beheerframes te melden. Dat wil zeggen dat de WLC MFP-validatiefoutstatistieken verzamelt en periodiek verzamelde informatie doorstuurt naar de WCS.

Opmerking: MFP-overschrijdingsfouten die door clientstations zijn gedetecteerd, worden verwerkt door de functie CCXv5 Roaming and Real Time Diagnostics.

9. Waarom kan mijn mobiele apparaat geen verbinding maken met een infrastructuurapparaat dat MFP ondersteunt?
Er gelden bepaalde beperkingen voor sommige draadloze clients om te communiceren met infrastructuurapparaten die met MFP compatibel zijn. MFP voegt een lange set informatie-elementen toe aan elk sonde-verzoek of SSID-beacon. Sommige draadloze clients, zoals PDA's, smartphones, barcodescanners, enzovoort, hebben een beperkt geheugen en een centrale verwerkingseenheid (CPU). U kunt deze verzoeken of bakens dus niet verwerken. Dientengevolge, ziet u niet volledig de SSID, of u kunt niet met deze infrastructuurapparaten associëren, toe te schrijven aan een misverstand van de mogelijkheden van SSID. Deze kwestie is niet specifiek voor MFP. Dit gebeurt ook met alle SSID’s met meerdere informatie-elementen (IE’s). Het is altijd aan te raden om MFP-enabled SSID's op de omgeving te testen met al uw beschikbare client types voordat u het in real time implementeert.

10. Wat is Broadcast Management Frame Protection?

Om aanvallen te voorkomen waarbij gebruik wordt gemaakt van broadcast-frames, verzenden AP's die CCXv5 ondersteunen geen broadcast class 3-beheerframes, met uitzondering van bedrieglijke insluiting, de-verificatie of disassociatiekaders. CCXv5-compatibele clientstations moeten broadcast-klasse 3-beheerframes negeren. MFP-sessies worden verondersteld zich in een goed beveiligd netwerk te bevinden (sterke verificatie plus TKIP of CCMP), zodat het niet belangrijk is dat er geen rekening wordt gehouden met frauduleuze inperkingsuitzendingen.

11. Hoe configureer ik MFP op een Wireless Access Point (WAP)?

Klik hier voor informatie over het configureren van MFP op een WAP.

12. Hoe configureer ik een draadloze Intel-netwerkkaart om verbinding te maken met een netwerk dat voor MFP geschikt is

Klik hier voor informatie over het configureren van de Intel Wireless Network Card.

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
13-Dec-2018
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco