web-dev-qa-db-ja.com

802.11wで保護された管理フレーム-Wi-Fi

802.11wで導入された保護された管理フレームについて読んでいて、いくつか質問がありました。

どうやら、メッセージの整合性チェックは認証解除フレームで提供され、アクセスポイントまたはクライアントのいずれかが、不正なMICを持つスプーフィングされたフレームを無視できるようにします。私はこのMICがPSK(例:WPA2キー)から派生していることを読みました。これは、これらのフレームがまだネットワーク内からスプーフィング可能であることを意味しますか(つまり、PSKを所有している場合)?それとも、インサイダー認証解除攻撃からも守りますか?

最後に、802.11wがRF妨害、悪魔の双子、不正APなどのほとんどの攻撃を防御しないことも発見しましたが、誤関連付け攻撃や認証解除攻撃を防御します。この理由で有用ですか?それらは非常に有用であるように見えますが、保護された管理フレームについてはあまり聞いたことがなく、2009年以降、それらに関する情報を実際に見つけることはできません。

8
dahui

私はこのMICがPSK(例:WPA2キー)から派生していることを読みました。これは、これらのフレームがまだネットワーク内からスプーフィング可能であることを意味しますか(つまり、PSKを所有している場合)?それとも、インサイダー認証解除攻撃からも守りますか?

APのMACアドレス、SSID、WiFiパスワードがある場合は、とにかく802.11wを実行しているAPを偽装するために必要なものがすべて揃っています(クライアントは実際と偽の違いをどのように知るのでしょうか?)。そのため、LAN上のユーザーのみ(つまり、近くのネットワークスイッチに接続している場合)は、PSKがなければAPを偽装できない可能性がありますが、ワイヤレスで信頼されている(そして、ワイヤレスパスワードを回復します)他のクライアントに認証解除を送信します。

RF jamming、evil twin、rogue APなど)の他のほとんどの攻撃を防御しませんが、誤ったアソシエーション攻撃やde-auth攻撃を防御します。それでも、この理由で有用ですか?

つまり、802.11wは、管理フレームパケットの整合性をAPから送信されたものとして署名するだけです。以前は、APのMACスプーフィングのみが、ネットワークを離れるように要求するルーターのふりをするために必要なすべてでした。したがって、これを知っていれば、802.11wはRF(802.11wは物理法則を超えていないため)または同じAPの他のAPでのナンセンスのスプラッタによって引き起こされる妨害から明らかに保護しません。より強い信号のSSIDおよびPSK(クライアントはとにかく代わりにそれに参加するだけなので)。

802.11wは、通りにいる人を停止して、WiFiネットワークからの関連付けを解除するようにデバイスに指示する(認証データをキャプチャしてPSKをブルートフォースすることを望んでいる)ことを防ぐためのものであり、それが保護対象です。 802.11wは、すでに内部にいる誰かがアクセスポイントになりすましていると判断したり、そのエリアのチャネルで2.4Ghzのフレームすべてを妨害したりする可能性のある人物に対して防御するためのものではありません。

クライアントが802.11wをサポートしていて(それがうまくサポートされている場合)、Cisco APがバグのある802.11w実装自体を実行していない場合は、なぜオンにしないのですか:-)?

保護された管理フレームについてあまり聞いたことがなく、2009年以降、それらに関する情報をあまり見つけることができません。それらは広く使用されていますか?パブリックネットワークとプライベートネットワークのどちらですか?

「802.11wは、シスコの管理フレーム保護(MFP)に基づくIEEE規格です。この機能は、2006年のリリース12.3(8)JAおよび2008年の統合リリース4.0.155.5で自律アクセスポイントで最初にサポートされました。802.11wは新しい規格ではありません。IEEEは2009年に802.11w規格を承認しましたが、これまでのところ採用は遅れていますが、Windows 8で変更される予定です。」

Windowsは実際にはWindows 8以降までサポートしていませんでした(ただし、それがそれをサポートするドライバーであることを考えると、おそらく新しいドライバーがサポートし、802.11acがサポートしている可能性があります)。

メッセージ署名をサポートすると主張している恐ろしくバグのあるワイヤレス実装もいくつかあります(それらはAPがサポートしているとAPに繰り返し返したためです)、それでも単一のパケットでさえ署名を拒否します。参照 https://supportforums.Cisco.com/discussion/12543141/wap371-firmware-v1202-wireless-client-incompatibility は、私が発見した不良クライアントのリストにもリンクしています(私は知りません)このサイトにはまだ2つ以上のリンクを投稿するための担当者ポイントがありません)。

私はこれもオンラインで見つけました(評判の制限のため、ソースにリンクできません):

「IEEE 802.11w修正により、この機能が802.11標準に追加され、2014年7月1日以降、Wi-Fi Alliance(WFA)は802.11acまたはPasspoint(別名HotSpot2.0 R2相互運用性)を通過させるために保護管理フレーム(PMF)のサポートを必須にしました認定です。近い将来、この機能が大幅に採用される予定です。」

標準はおそらく読むのに最適なガイドです( http://standards.ieee.org/getieee802/download/802.11w-2009.pdf )。

802.11wはCESモードでAESを使用し、AESはWPA2の一部として追加されたため、これを有効にするにはWPA2サポートが必要と思われます。

また、調査を支援するために、シスコではこれを管理フレーム保護(MFP)と呼んでいますが、標準ではこれを保護管理フレーム(PMF)と呼んでいます。 「参考までに、802.11wは802.11標準の802.11-2012メンテナンスリリースに統合されました。」

14
Matthew1471