IEEE 802.11w-2009 - IEEE 802.11w-2009

Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты. Пожалуйста, помогите улучшать эта статья введение более точные цитаты. (август 2013) (Узнайте, как и когда удалить этот шаблон сообщения)

IEEE 802.11w-2009 одобренная поправка к IEEE 802.11 стандарт для повышения безопасности своего рамки управления.

Защищенные кадры управления

Текущий стандарт 802.11 определяет типы «фреймов» для использования при управлении и контроле беспроводных соединений. IEEE 802.11w - защищенные кадры управления стандарт для IEEE 802.11 семейство стандартов. Целевая группа "w" работала над улучшением IEEE 802.11 Средний уровень контроля доступа.^[1] Его цель заключалась в повышении безопасности за счет обеспечения конфиденциальности данных в кадрах управления, механизмах, обеспечивающих целостность данных, подлинность происхождения данных, и защита от воспроизведения. Эти расширения взаимодействуют с IEEE 802.11r и IEEE 802.11u.

Обзор

• Единое и унифицированное решение, необходимое для всех фреймов управления с поддержкой защиты IEEE 802.11.
• Он использует существующие механизмы безопасности, а не создает новую схему безопасности или новый формат кадра управления.
• Это дополнительная функция 802.11, необходимая для реализаций 802.11, поддерживающих TKIP или CCMP.
• Его использование не является обязательным и может быть предметом переговоров между STA.

Классы

• 1 класс
  • Запрос / ответ маяка и зонда
  • Аутентификация и деаутентификация
  • Анонсирующее сообщение индикации трафика (ATIM)
  • Действия по управлению спектром
  • Действие радиоизмерений между станциями в IBSS
• 2 класс
  • Запрос / ответ ассоциации
  • Запрос / ответ повторной ассоциации
  • Диссоциация
• 3 класс
  • Диссоциация / деаутентификация
  • Кадр действия QoS
  • Действие радиоизмерения в инфраструктуре BSS
  • Будущие рамки управления 11v

Незащищенные кадры

Невозможно / невозможно защитить кадр, отправленный до четырехстороннего рукопожатия, потому что он отправляется до установления ключа. Кадры управления, которые отправляются после установления ключа, могут быть защищены.

Невозможно защитить:

• Запрос / ответ маяка и зонда
• Анонсирующее сообщение индикации трафика (ATIM)
• Аутентификация
• Запрос / ответ ассоциации
• Действия по управлению спектром

Защищенные кадры

Кадры управления с возможностью защиты - это кадры, отправленные после установления ключа, которые могут быть защищены с помощью существующей иерархии ключей защиты в 802.11 и его поправках.

Защищены только кадры TKIP / AES, а WEP / открытые кадры не защищены.

Следующие кадры управления могут быть защищены:

• Диссоциировать
• Деаутентифицировать
• Кадры действий: запрос / ответ блока ACK (AddBA), контроль допуска QoS, радиоизмерение, управление спектром, быстрый переход BSS
• Объявление о переключении канала, направленное клиенту (одноадресное)

Кадры управления, которые требуются до того, как точка доступа и клиент обменяются ключами передачи через четырехстороннее рукопожатие, остаются незащищенными:

• Маяки
• Зонды
• Аутентификация
• Ассоциация
• Объявление Сообщение об индикации трафика
• Объявление о переключении каналов в широковещательном режиме

Кадры управления с поддержкой Uni-cast Protection защищены тем же набором шифров, что и обычные данные MPDU.

• Полезная нагрузка MPDU зашифрована TKIP или CCMP.
• Полезная нагрузка и заголовок MPDU защищены целостностью TKIP или CCMP.
• Устанавливается защищенное поле кадра поля управления кадром.
• Требуются только уже реализованные комплекты шифров.
• Парный временный ключ отправителя (PTK) защищает кадр управления одноадресной рассылкой.

Широковещательные / многоадресные кадры надежного управления защищены с помощью протокола целостности широковещательной / многоадресной передачи (BIP)

• Использовать временный ключ группы целостности (IGTK), полученный во время подтверждения ключа WPA
• Использовать информационный элемент: IE MIC управления с порядковым номером + криптографический хэш (на основе AES128-CMAC)

Защита от воспроизведения

Защита от воспроизведения обеспечивается уже существующими механизмами. В частности, для каждого передаваемого кадра существует счетчик (для каждой станции, ключа, приоритета); это используется в качестве вектора одноразового номера / инициализации (IV) в криптографической инкапсуляции / декапсуляции, и принимающая станция гарантирует, что полученный счетчик увеличивается.

использование

Поправка 802.11w реализована в Linux и BSD как часть кодовой базы драйвера 80211mac, которая используется несколькими интерфейсами беспроводных драйверов; то есть ath9k. Эта функция легко активируется в самых последних ядрах и ОС Linux с использованием этих комбинаций. OpenWrt в частности, обеспечивает легкое переключение как часть базового распределения. Функция впервые реализована в Microsoft операционные системы в Windows 8. Это вызвало ряд проблем совместимости, особенно с точками беспроводного доступа, несовместимыми со стандартом. Откат драйвера беспроводного адаптера к другому из Windows 7 обычно решает проблему.

Беспроводные сети без этого стандарта отправлять информацию управления системой в незащищенных кадрах, что делает их уязвимыми. Этот стандарт защищает от сбоев сети, вызванных вредоносными системами, которые подделывать запросы на отключение (deauth), которые, похоже, отправляются действующим оборудованием ^[2] Такие как Злой Двойник атакует.

Смотрите также

• IEEE 802.11i Усиленная безопасность
• IEEE 802.11r Быстрый переход на BSS
• IEEE 802.11u Взаимодействие с сетями, отличными от 802.11

Рекомендации

внешняя ссылка

• Статус проекта 802.11w IEEE Task Group w (TGw)
• Учебник по 802.11w
• Руководство по развертыванию Cisco 802.11r, 802.11k и 802.11w, Cisco IOS-XE Release 3.3 Глава: Защищенные фреймы управления 802.11w