在WLC上配置802.11w管理幀保護

簡介

本檔案將詳細說明思科無線區域網路控制器(WLC)上的IEEE 802.11w管理訊框保護及其組態。

必要條件

需求

Cisco建議您瞭解運行代碼7.6或更高版本的Cisco WLC。

採用元件

本檔案中的資訊是根據執行程式碼7.6的WLC 5508。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

802.11w標準旨在保護控制和管理幀以及一組強大的管理幀，防止偽造和重播攻擊。受保護的幀型別包括「取消關聯」、「取消身份驗證」和「強健操作」幀，例如：

• 頻譜管理
• 服務品質(QoS)
• 阻止Ack
• 無線電測量
• 快速基本服務集(BSS)過渡

802.11w不會加密幀，但它會保護管理幀。它確保報文來自合法來源。為此，必須增加消息完整性檢查(MIC)元素。802.11w引入了稱為Integrity Group Temporal Key (IGTK)的新金鑰，用於保護廣播/組播穩健管理幀。這是與無線保護訪問(WPA)一起使用的四向金鑰握手過程的一部分。因此，當您需要使用802.11w時，必須具備dot1x/Pre-Shared Key (PSK)。無法與open/webauth Service Set Identifier (SSID)一起使用。

協商管理幀保護時，存取點(AP)會對EAPOL-Key幀（在4次握手中的消息3中提供）中的GTK和IGTK值進行加密。如果AP稍後更改GTK，它會使用組金鑰握手將新的GTK和IGTK傳送到客戶端。它增加使用IGTK金鑰計算的MIC。

管理MIC資訊元素(MMIE)

802.11w引入了稱為「管理MIC」資訊元素的新資訊元素。它具有如下圖所示的報頭格式。

此處需要關注的主要欄位是元素ID和MIC。MMIE的元素ID是0x4c，在分析無線捕獲時，它可以作為有用的標識。

註：MIC -它包含透過「管理」幀計算的消息完整性代碼。必須注意的是，這已增加到AP。然後，目的客戶端會重新計算幀的MIC，並將其與AP傳送的幀進行比較。如果值不同，則會以無效的架構來拒絕此專案。

對RSN IE的更改

強大的安全網路資訊元素(RSN IE)指定AP支援的安全引數。802.11w向RSN IE引入了組管理密碼套件選擇器，它包含AP用於保護廣播/組播穩健管理幀的密碼套件選擇器。這是瞭解AP是否執行802.11w的最佳方法。這也可以如圖所示進行驗證。

您可以在此處找到group management cipher suite欄位，該欄位顯示已使用802.11w。

在RSN功能下也做了一些更改。第6位和第7位現在用於表示802.11w的不同引數。

• 第6位：需要管理幀保護(MFPR) - STA將此位設定為1以通告強健管理幀保護是必需的。
• 位元7：支援管理訊框保護(MFPC) - STA將此位元設為1，以宣告已啟用健全管理訊框保護。當AP設定時，它會通知它支援管理幀保護。

如果在配置選項下根據需要設定管理幀保護，則同時設定第6位和第7位。如下面的資料包捕獲映像所示。

但是，如果將其設定為可選，則僅設定第7位，如圖所示。

注意：WLC在關聯/重新關聯響應中增加此修改的RSN IE，AP在信標和探測響應中增加此修改的RSN IE。

802.11w管理幀保護的優勢

• 使用者端保護

這是透過向取消身份驗證和取消關聯幀增加加密保護來實現的。這可以防止未經授權的使用者透過欺騙合法使用者的MAC地址並傳送deauth/disassociation幀來啟動拒絕服務(DOS)攻擊。

• AP保護

透過增加由關聯恢復時間和SA查詢過程組成的安全關聯(SA)拆卸保護機制，增加了基礎設施側保護。在802.11w之前，如果AP從已關聯的客戶端接收到關聯或身份驗證請求，則AP將終止當前連線，然後啟動新連線。當您使用802.11w MFP時，如果STA已關聯並已協商管理幀保護，則AP會拒絕關聯請求，返回狀態代碼為30Association request rejected temporarily; Try again later到客戶端。

關聯響應中包括關聯回溯時間資訊元素，該資訊元素指定當AP準備接受與此STA的關聯時的回溯時間。這樣，您就可以確保合法客戶端不會因為虛假關聯請求而取消關聯。

注意：如果客戶端傳送的幀不使用802.11w PMF，WLC（AireOS或9800）將忽略這些幀的解除關聯或取消身份驗證。如果客戶端使用PMF，則只有在收到此類幀後才會立即刪除客戶端條目。這是為了避免惡意裝置拒絕服務，因為沒有PMF的幀沒有安全性。

啟用802.11w的要求

• 802.11w要求使用dot1x或PSK配置SSID。
• 所有支援802.11n的AP都支援802.11w。這意味著AP 1130和1240不支援802.11w。
• 7.4版中的Flexconnect AP和7510 WLC不支援802.11w。自7.5版以來已增加支援。

設定

GUI

步驟 1.您需要在802.1x/PSK配置的SSID下啟用受保護的管理幀。您有三個選項，如下圖所示。

「必要」指定不允許不支援802.11w的使用者端連線。「可選」指定即使不支援802.11w的客戶端也可以連線。

步驟 2.然後需要指定恢復計時器和SA查詢超時。復出計時器指定關聯客戶端在第一次被拒絕時再次嘗試關聯之前必須等待的時間，狀態代碼為30。SA查詢超時指定WLC等待客戶端響應以進行查詢過程的時間量。如果沒有來自客戶端的響應，其關聯將從控制器中刪除。如此一來，如圖所示。

步驟 3.如果使用802.1x作為身份驗證金鑰管理方法，則必須啟用「PMF 802.1x」。如果使用PSK，則必須選擇PMF PSK覈取方塊，如下圖所示。

CLI

• 若要啟用或停用11w功能，請執行指令：

config wlan security wpa akm pmf 802.1x enable/disable <wlan-id> config wlan security wpa akm pmf psk enable/disable <wlan-id>

• 要啟用或停用受保護管理幀，請運行以下命令：

config wlan security pmf optional/required/disable <wlan-id>


• 關聯回溯時間設定：

config wlan security pmf 11w-association-comeback <time> <wlan-id>


• SA查詢重試超時設定： 

config wlan security pmf saquery-retry-time <time> <wlan-id>

驗證

使用本節內容，確認您的組態是否正常運作。

802.11w配置可驗證。檢查WLAN配置：

(wlc)>show wlan 1 Wi-Fi Protected Access (WPA/WPA2)............. Enabled <snip> 802.1x.................................. Enabled PSK..................................... Disabled CCKM.................................... Disabled FT-1X(802.11r).......................... Disabled FT-PSK(802.11r)......................... Disabled PMF-1X(802.11w)......................... Enabled PMF-PSK(802.11w)........................ Disabled FT Reassociation Timeout................... 20 FT Over-The-DS mode........................ Enabled GTK Randomization.......................... Disabled <snip> PMF........................................... Required PMF Association Comeback Time................. 1 PMF SA Query RetryTimeout..................... 200

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

可使用以下debug命令對WLC上的802.11w問題進行故障排除：

• debug 11w-pmf events  enable/disable
• debug 11w-pmf  keys enable/disable
• debug 11w-pmf all enable