IEEE 802.11w-2009 - IEEE 802.11w-2009

Tento článek obsahuje seznam obecných Reference, ale zůstává z velké části neověřený, protože postrádá dostatečné odpovídající vložené citace. Prosím pomozte zlepšit tento článek představuji přesnější citace. (srpen 2013) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

IEEE 802.11w-2009 je schválená změna IEEE 802.11 standard pro zvýšení bezpečnosti jeho rámce pro správu.

Chráněné rámce pro správu

Současný standard 802.11 definuje typy „rámců“ pro použití při správě a řízení bezdrátových spojů. IEEE 802.11w je chráněný rámec pro správu Standard pro IEEE 802.11 rodina norem. Pracovní skupina "w" pracovala na vylepšení IEEE 802.11 Střední vrstva řízení přístupu.^[1] Jejím cílem bylo zvýšit bezpečnost poskytnutím důvěrnosti dat rámců správy, mechanismů, které umožňují integritu dat, autentičnost původu dat a ochrana přehrávání. Tato rozšíření interagují s IEEE 802.11r a IEEE 802.11u.

Přehled

• Jedno a jednotné řešení potřebné pro všechny rámce pro správu s podporou ochrany IEEE 802.11.
• Místo vytváření nového schématu zabezpečení nebo nového formátu rámce správy používá existující bezpečnostní mechanismy.
• Je to volitelná funkce v 802.11 a je vyžadována pro implementace 802.11, které podporují TKIP nebo CCMP.
• Jeho použití je volitelné a může být obchodovatelné mezi STA.

Třídy

• Třída 1
  • Žádost / odpověď majáku a sondy
  • Ověření a zrušení ověření
  • Zpráva s oznámením provozu (ATIM)
  • Akce správy spektra
  • Akce rádiového měření mezi STA v IBSS
• Třída 2
  • Žádost / odpověď na přidružení
  • Žádost / odpověď na opětovné přidružení
  • Disociace
• Třída 3
  • Disassociation / de-authentication
  • Akční rámec QoS
  • Akce rádiového měření v infrastruktuře BSS
  • Budoucí rámce pro správu 11v

Nechráněné rámečky

Je nemožné / není možné chránit rámec odeslaný před handshake čtyřmi způsoby, protože je odeslán před vytvořením klíče. Rámečky pro správu, které se odesílají po založení klíče, lze chránit.

Nelze chránit:

• Žádost / odpověď majáku a sondy
• Zpráva s oznámením provozu (ATIM)
• Ověření
• Žádost / odpověď na přidružení
• Akce správy spektra

Chráněné rámečky

Rámečky správy s ochranou jsou ty, které se posílají po založení klíče a které lze chránit pomocí existující hierarchie klíčů ochrany v 802.11 a jejích dodatcích.

Chráněny jsou pouze rámce TKIP / AES a chráněné rámy WEP / otevřené.

Lze chránit následující rámce pro správu:

• Disassociate
• Deauthenticate
• Rámečky akcí: Blokovat požadavek / odpověď ACK (AddBA), řízení přístupu QoS, rádiové měření, správa spektra, rychlý přechod BSS
• Oznámení o přepnutí kanálu směrované na klienta (Unicast)

Rámečky pro správu, které jsou vyžadovány předtím, než si AP a klient vymění přenosové klíče prostřednictvím čtyřcestného handshake, zůstávají nechráněné:

• Majáky
• Sondy
• Ověření
• Sdružení
• Oznámení Dopravní indikace
• Oznámení o přepnutí kanálu jako vysílání

Rámečky pro správu s ochranou Uni-cast jsou chráněny stejnou šifrovací sadou jako běžná data MPDU.

• Užitečné zatížení MPDU je šifrováno TKIP nebo CCMP.
• Užitečné zatížení MPDU a záhlaví jsou chráněny integritou TKIP nebo CCMP.
• Nastaveno pole chráněného rámce ovládacího pole rámce.
• Vyžadovány jsou pouze šifrovací sady, které jsou již implementovány.
• Párový dočasný klíč odesílatele (PTK) chrání rámec pro správu unicast.

Robustní rámce Broad- / Multicast Robust Management jsou chráněny pomocí protokolu integrity Broadcast / multicast (BIP)

• Použijte dočasný klíč Integrity Group (IGTK) přijatý během handshake klíče WPA
• Použít informační prvek: Správa MIC IE se sekvenčním číslem + kryptografický hash (na základě AES128-CMAC)

Ochrana proti přehrání

Replay ochranu zajišťují již existující mechanismy. Konkrétně pro každý vysílaný rámec existuje čítač (na stanici, na klíč, na prioritu); toto se používá jako vektor nonce / inicializace (IV) v kryptografickém zapouzdření / dekapsulaci a přijímací stanice zajišťuje, že se přijímaný čítač zvyšuje.

Používání

Dodatek 802.11w je implementován v systémech Linux a BSD jako součást kódové základny ovladače 80211mac, kterou využívá několik bezdrátových rozhraní ovladačů; tj. ath9k. Tato funkce je snadno povolitelná v nejnovějších jádrech a operačních systémech Linux pomocí těchto kombinací. OpenWrt zejména poskytuje snadné přepínání jako součást základní distribuce. Funkce byla implementována poprvé do Microsoft operační systémy v systému Windows 8. To způsobilo řadu problémů s kompatibilitou, zejména u bezdrátových přístupových bodů, které nejsou kompatibilní se standardem. Vrácení ovladače bezdrátového adaptéru na jeden ze systému Windows 7 obvykle problém vyřeší.

Bezdrátové sítě LAN bez tohoto standardu odesílat informace o správě systému v nechráněných rámcích, což je činí zranitelnými. Tato norma chrání před narušením sítě způsobeným škodlivými systémy, které vytvořit žádosti o disociaci (deauth), které se zdají být odeslány platným zařízením ^[2] jako Zlé dvojčata útočí.

Viz také

• IEEE 802.11i Vylepšené zabezpečení
• IEEE 802.11r Rychlý přechod BSS
• IEEE 802.11u Spolupráce se sítěmi jiných než 802.11

Reference

externí odkazy

• Stav projektu 802.11w IEEE Task Group w (TGw)
• Výukový program pro 802.11w
• Průvodce nasazením Cisco 802.11r, 802.11k a 802.11w, Cisco IOS-XE verze 3.3 Kapitola: Chráněné rámce pro správu 802.11w