IEEE 802.11w-2009 - IEEE 802.11w-2009
 | Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты. (август 2013) (Узнайте, как и когда удалить этот шаблон сообщения) |
IEEE 802.11w-2009 одобренная поправка к IEEE 802.11 стандарт для повышения безопасности своего рамки управления.
Защищенные кадры управления
Текущий стандарт 802.11 определяет типы «фреймов» для использования при управлении и контроле беспроводных соединений. IEEE 802.11w - защищенные кадры управления стандарт для IEEE 802.11 семейство стандартов. Целевая группа "w" работала над улучшением IEEE 802.11 Средний уровень контроля доступа.[1] Его цель заключалась в повышении безопасности за счет обеспечения конфиденциальности данных в кадрах управления, механизмах, обеспечивающих целостность данных, подлинность происхождения данных, и защита от воспроизведения. Эти расширения взаимодействуют с IEEE 802.11r и IEEE 802.11u.
Обзор
- Единое и унифицированное решение, необходимое для всех фреймов управления с поддержкой защиты IEEE 802.11.
- Он использует существующие механизмы безопасности, а не создает новую схему безопасности или новый формат кадра управления.
- Это дополнительная функция 802.11, необходимая для реализаций 802.11, поддерживающих TKIP или CCMP.
- Его использование не является обязательным и может быть предметом переговоров между STA.
Классы
- 1 класс
- Запрос / ответ маяка и зонда
- Аутентификация и деаутентификация
- Анонсирующее сообщение индикации трафика (ATIM)
- Действия по управлению спектром
- Действие радиоизмерений между станциями в IBSS
- 2 класс
- Запрос / ответ ассоциации
- Запрос / ответ повторной ассоциации
- Диссоциация
- 3 класс
- Диссоциация / деаутентификация
- Кадр действия QoS
- Действие радиоизмерения в инфраструктуре BSS
- Будущие рамки управления 11v
Незащищенные кадры
Невозможно / невозможно защитить кадр, отправленный до четырехстороннего рукопожатия, потому что он отправляется до установления ключа. Кадры управления, которые отправляются после установления ключа, могут быть защищены.
Невозможно защитить:
- Запрос / ответ маяка и зонда
- Анонсирующее сообщение индикации трафика (ATIM)
- Аутентификация
- Запрос / ответ ассоциации
- Действия по управлению спектром
Защищенные кадры
Кадры управления с возможностью защиты - это кадры, отправленные после установления ключа, которые могут быть защищены с помощью существующей иерархии ключей защиты в 802.11 и его поправках.
Защищены только кадры TKIP / AES, а WEP / открытые кадры не защищены.
Следующие кадры управления могут быть защищены:
- Диссоциировать
- Деаутентифицировать
- Кадры действий: запрос / ответ блока ACK (AddBA), контроль допуска QoS, радиоизмерение, управление спектром, быстрый переход BSS
- Объявление о переключении канала, направленное клиенту (одноадресное)
Кадры управления, которые требуются до того, как точка доступа и клиент обменяются ключами передачи через четырехстороннее рукопожатие, остаются незащищенными:
- Маяки
- Зонды
- Аутентификация
- Ассоциация
- Объявление Сообщение об индикации трафика
- Объявление о переключении каналов в широковещательном режиме
Кадры управления с поддержкой Uni-cast Protection защищены тем же набором шифров, что и обычные данные MPDU.
- Полезная нагрузка MPDU зашифрована TKIP или CCMP.
- Полезная нагрузка и заголовок MPDU защищены целостностью TKIP или CCMP.
- Устанавливается защищенное поле кадра поля управления кадром.
- Требуются только уже реализованные комплекты шифров.
- Парный временный ключ отправителя (PTK) защищает кадр управления одноадресной рассылкой.
Широковещательные / многоадресные кадры надежного управления защищены с помощью протокола целостности широковещательной / многоадресной передачи (BIP)
- Использовать временный ключ группы целостности (IGTK), полученный во время подтверждения ключа WPA
- Использовать информационный элемент: IE MIC управления с порядковым номером + криптографический хэш (на основе AES128-CMAC)
Защита от воспроизведения
Защита от воспроизведения обеспечивается уже существующими механизмами. В частности, для каждого передаваемого кадра существует счетчик (для каждой станции, ключа, приоритета); это используется в качестве вектора одноразового номера / инициализации (IV) в криптографической инкапсуляции / декапсуляции, и принимающая станция гарантирует, что полученный счетчик увеличивается.
использование
Поправка 802.11w реализована в Linux и BSD как часть кодовой базы драйвера 80211mac, которая используется несколькими интерфейсами беспроводных драйверов; то есть ath9k. Эта функция легко активируется в самых последних ядрах и ОС Linux с использованием этих комбинаций. OpenWrt в частности, обеспечивает легкое переключение как часть базового распределения. Функция впервые реализована в Microsoft операционные системы в Windows 8. Это вызвало ряд проблем совместимости, особенно с точками беспроводного доступа, несовместимыми со стандартом. Откат драйвера беспроводного адаптера к другому из Windows 7 обычно решает проблему.
Беспроводные сети без этого стандарта отправлять информацию управления системой в незащищенных кадрах, что делает их уязвимыми. Этот стандарт защищает от сбоев сети, вызванных вредоносными системами, которые подделывать запросы на отключение (deauth), которые, похоже, отправляются действующим оборудованием [2] Такие как Злой Двойник атакует.
Смотрите также
- IEEE 802.11i Усиленная безопасность
- IEEE 802.11r Быстрый переход на BSS
- IEEE 802.11u Взаимодействие с сетями, отличными от 802.11
Рекомендации
- ^ «Краткое руководство по действиям IEEE 802.11». IEEE802. IEEE. Получено 18 октября 2019.
- ^ http://www.ieee802.org/21/doctree/2005_Meeting_Docs/2005-09_meeting_docs/21-05-0381-00-0000-802-11-liaison-September05.ppt
внешняя ссылка
- Статус проекта 802.11w IEEE Task Group w (TGw)
- Учебник по 802.11w
- Руководство по развертыванию Cisco 802.11r, 802.11k и 802.11w, Cisco IOS-XE Release 3.3 Глава: Защищенные фреймы управления 802.11w