Perguntas frequentes sobre proteção de quadros de gerenciamento (MFP)

Opções de download

  • PDF     (248.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (86.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:23 de agosto de 2017
ID do documento:SMB5442

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Perguntas frequentes sobre proteção de quadros de gerenciamento (MFP)

Objetivo

O Wi-Fi é um meio de transmissão que permite que qualquer dispositivo intercepte e participe como um dispositivo legítimo ou invasor. Quadros de gerenciamento, como autenticação, desautenticação, associação, dissociação, beacons e sondas, são usados por clientes sem fio para iniciar e desmontar sessões de serviços de rede. Diferentemente do tráfego de dados, que pode ser criptografado para fornecer um nível de confidencialidade, esses quadros devem ser ouvidos e compreendidos por todos os clientes e, portanto, devem ser transmitidos como abertos ou não criptografados. Embora esses quadros não possam ser criptografados, eles devem ser protegidos contra falsificação para proteger o meio sem fio contra ataques. Por exemplo, um invasor pode falsificar quadros de gerenciamento de um AP para atacar um cliente associado ao AP.

Este documento tem como objetivo fornecer respostas às perguntas mais frequentes sobre a Proteção de Quadros de Gerenciamento (MFP - Management Frame Protection).

Perguntas mais freqüentes

Table Of Contents

  1. O que é MFP?
  2. Como funciona o MFP?
  3. Qual é a diferença em relação ao PMF?
  4. Quais são os tipos de MFP?
  5. Quais são os componentes da MFP do cliente?
  6. Como funciona o MFP do cliente?
  7. Como uso a MFP do cliente?
  8. Quais são os componentes da MFP do cliente?
  9. Por que meu dispositivo móvel não pode se conectar ao dispositivo de infraestrutura habilitado para MFP?
  10. O que é proteção de quadro de gerenciamento de broadcast?
  11. Como configurar o MFP em um ponto de acesso sem fio (WAP)?
  12. Como configurar a Placa de rede sem fio Intel para se conectar a uma rede habilitada para MFP?

1. O que é MFP?

Os quadros de gerenciamento são quadros de broadcast usados pelo IEEE 802.11 para permitir que um cliente sem fio negocie com um ponto de acesso sem fio (WAP). O MFP fornece segurança para quadros de broadcast não criptografados e mensagens de gerenciamento passadas entre dispositivos sem fio.

2. Como funciona o MFP?

No IEEE 802.11, os quadros de gerenciamento como desautenticação, desassociação, beacons e sondas são sempre não autenticados e não criptografados. O WAP adiciona o elemento Message Integrity Check Information Element (MIC IE) a cada quadro de gerenciamento que transmite. Qualquer tentativa de copiar, alterar ou reproduzir o quadro invalida o MIC.

3. Quais são algumas das coisas que um invasor pode fazer em uma rede com MFP desabilitado?

  • A vulnerabilidade encontrada nos quadros de gerenciamento representa uma grande ameaça para uma rede, permitindo que um invasor falsifique um quadro de gerenciamento de um WAP para atacar um cliente associado a ele. Um invasor pode executar as seguintes ações:
— Execute uma negação de serviço (DoS) — Os invasores estão usando técnicas de evasão fora dos ataques típicos baseados em volume para evitar detecção e mitigação, incluindo técnicas de ataque "lentas e baixas" e ataques baseados em SSL. Eles estão implantando campanhas de ataque de várias vulnerabilidades que têm como alvo todas as camadas da infraestrutura da vítima, incluindo os dispositivos de infraestrutura de rede, firewalls, servidores e aplicativos.
— Ataque Man-in-the-Middle no cliente quando reconectado — É uma forma de ataque indutivo de derivação de chave que é eficaz em redes 802.11 devido à falta de integridade eficaz da mensagem. O receptor de um quadro não pode verificar se o quadro não foi adulterado durante sua transmissão.
  • Emperramento de radiofreqüência (RF) — Ataques com uma antena direcional de alta potência à distância podem ser realizados do lado de fora do edifício do escritório. As ferramentas de ataque usadas por invasores utilizam técnicas de hacking, como quadros de gerenciamento 802.11 falsificados, quadros de autenticação 802.1x falsificados ou simplesmente usando o método de inundação de pacote de força bruta.
  • Evil Twin Router — É uma forma de phishing em que um invasor nomeia e se apresenta como um ponto de acesso legítimo. Isso engana os usuários para que eles conectem um dispositivo móvel ao access point falso, podendo causar mais danos ao usuário. 
  • Executar um ataque de dicionário off-line — Durante um ataque de dicionário, as variações de senhas são usadas para comprometer as credenciais de autenticação do usuário. A maioria dos algoritmos de autenticação baseados em senha é vulnerável a ataques de dicionário na ausência de uma política de senha forte.

4. Quais são os tipos de MFP?

Estes são os dois tipos de MFPs:

  • Infraestrutura MFP — Especificamente, a infraestrutura MFP protege as funções de gerenciamento de sessão 802.11 adicionando o MIC IE aos quadros de gerenciamento emitidos pelos pontos de acesso e não aos emitidos pelos clientes, que são validados por outros pontos de acesso na rede. A infraestrutura MFP é passiva. Ele pode detectar e relatar invasões, mas não tem meios para detê-las. Ele protege os quadros de gerenciamento, detectando criminosos que estão invocando ataques de negação de serviço, sobrecarregando a rede com sondas de associação, interferindo como pontos de acesso falsos e afetando o desempenho da rede, atacando a Qualidade de Serviço (QoS) e os quadros de medição de rádio.
  • Client MFP — Protege clientes autenticados de quadros falsificados, impedindo que muitos dos ataques comuns contra LANs (Local Area Networks, redes locais) sem fio se tornem efetivos. A maioria dos ataques, como os ataques de desautenticação, reverte para a simples degradação do desempenho ao lidar com clientes válidos.

5. Quais são os componentes da infraestrutura MFP?

A infraestrutura MFP tem 3 componentes:

  • Proteção do quadro de gerenciamento — Quando a proteção do quadro de gerenciamento está habilitada, o WAP adiciona o MIC IE a cada quadro de gerenciamento que transmite. Qualquer tentativa de copiar, alterar ou reproduzir o quadro invalida o MIC.
  • Validação do quadro de gerenciamento — Quando a validação do quadro de gerenciamento é habilitada, o AP valida cada quadro de gerenciamento que recebe de outros WAPs na rede. Ele garante que a IE MIC esteja presente (quando o originador estiver configurado para transmitir quadros MFP) e corresponda ao conteúdo do quadro de gerenciamento. Se ele receber qualquer quadro que não contenha um MIC IE válido de um BSSID (Basic Service Set Identifier) que pertença a um WAP, que está configurado para transmitir quadros MFP, ele informará a discrepância ao sistema de gerenciamento de rede.

Observação: para que os timestamps funcionem corretamente, todas as controladoras Wireless LAN (WLC) devem estar sincronizadas com o Network Time Protocol (NTP).

  • Relatório de eventos — O access point notifica a WLC quando detecta uma anomalia. A WLC agrega os eventos anômalos e os relata através de interceptações SNMP para o gerenciador de rede.

6. Como funciona o MFP do cliente?

Especificamente, o cliente MFP criptografa quadros de gerenciamento enviados entre os pontos de acesso e os clientes Cisco Compatible Extension versão 5 (CCXv5) para que tanto os pontos de acesso quanto os clientes possam tomar medidas preventivas, descartando quadros de gerenciamento de classe 3 falsificados (ou seja, quadros de gerenciamento passados entre um ponto de acesso e um cliente que é autenticado e associado). A MFP do cliente aproveita os mecanismos de segurança definidos pelo IEEE 802.11i para proteger os seguintes tipos de quadros de gerenciamento unicast de classe 3: desassociação, desautenticação e ação de QoS (Wireless Multimedia Extensions ou WMM). O MFP do cliente protege uma sessão de ponto de acesso do cliente do tipo mais comum de ataque de negação de serviço. Ele protege os quadros de gerenciamento de classe 3 usando o mesmo método de criptografia usado para os quadros de dados de sessão. Se um quadro recebido pelo ponto de acesso ou cliente falhar na descriptografia, ele será descartado e o evento será relatado ao controlador.

7. Como uso a MFP do cliente?

Para usar a MFP do cliente, os clientes devem oferecer suporte à MFP CCXv5 e devem negociar o WPA2 (Wi-Fi Protected Access versão 2) usando o TKIP (Temporal Key Integrity Protocol) ou o AES-CCMP (Advanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol). O EAP (Extensible Authentication Protocol) ou a PSK (Pre-Shared Key) pode ser usado para obter a PMK. O CCKM e o gerenciamento de mobilidade do controlador são usados para distribuir chaves de sessão entre pontos de acesso para roaming rápido de Camada 2 e Camada 3.

8. QueOs componentes do MFP do cliente?

Há 3 componentes do MFP do cliente:

  • Geração e distribuição de chaves — o cliente MFP aproveita os protocolos e mecanismos de segurança definidos pelo IEEE 802.11i para proteger quadros de gerenciamento unicast de classe 3:

- Quadros de desassociação — Uma solicitação a um cliente ou WAP para desconectar ou desassociar uma relação de autenticação.

- Quadros de desautenticação — Uma solicitação a um cliente ou WAP para desconectar ou desassociar um relacionamento de associação.

- Ação WMM de QoS — O parâmetro WMM é adicionado aos quadros beacon, resposta de sonda e resposta de associação.

  • Proteção e validação de quadros de gerenciamento — Para evitar ataques usando quadros de broadcast, os APs que suportam CCXv5 não emitem nenhum quadro de gerenciamento de classe 3 de broadcast. Um AP no modo de bridge de grupo de trabalho, no modo de repetidor ou no modo de bridge não raiz descarta os quadros de gerenciamento de classe 3 de broadcast se o MFP do cliente estiver ativado.
  • Relatórios de erros — Os mecanismos de relatório MFP-1 são usados para relatar erros de desencapsulamento de quadros de gerenciamento detectados pelos pontos de acesso. Ou seja, o WLC coleta estatísticas de erro de validação de MFP e encaminha periodicamente informações agrupadas para o WCS.

Nota: Os erros de violação de MFP detectados pelas estações cliente são tratados pelo recurso Roaming CCXv5 e Diagnóstico em Tempo Real.

9. Por que meu dispositivo móvel não pode se conectar ao dispositivo de infraestrutura habilitado para MFP?
Há certas restrições para alguns clientes sem fio se comunicarem com dispositivos de infraestrutura habilitados para MFP. A MFP adiciona um longo conjunto de elementos de informação a cada solicitação de sonda ou beacon SSID. Alguns clientes sem fio, como PDAs, smartphones, scanners de código de barras e assim por diante, têm memória limitada e unidade de processamento central (CPU). Portanto, você não pode processar essas solicitações ou beacons. Como resultado, você não consegue ver totalmente o SSID ou não consegue se associar a esses dispositivos de infraestrutura, devido a um mal-entendido dos recursos do SSID. Esse problema não é específico da MFP. Isso também ocorre com qualquer SSID que tenha vários elementos de informação (IEs). É sempre aconselhável testar os SSIDs ativados para MFP no ambiente com todos os tipos de clientes disponíveis antes de implantá-los em tempo real.

10. O que é proteção de quadro de gerenciamento de broadcast?

Para evitar ataques que usam quadros de broadcast, os APs que suportam CCXv5 não transmitem nenhum quadro de gerenciamento de classe 3 de broadcast, exceto para quadros de desautenticação ou desassociação de contenção invasores. As estações clientes compatíveis com CCXv5 devem descartar os quadros de gerenciamento de broadcast classe 3. Supõe-se que as sessões MFP estejam em uma rede adequadamente protegida (autenticação forte mais TKIP ou CCMP), portanto, não levar em consideração broadcasts de contenção falsos não é um problema.

11. Como configurar o MFP em um ponto de acesso sem fio (WAP)?

Para saber como configurar o MFP em um WAP, clique aqui.

12. Como configurar uma Placa de Rede Sem Fio Intel para conectar-se a uma Rede MFP

Para saber como configurar a placa de rede sem fio Intel, clique aqui.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Dec-2018
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco