Configurare IEEE 802.11w PMF in AireOS (Cisco)

Rareș Odobescu

System Engineer WiFi • Expert Center

Frame-urile de Management (adică cele de tip: Association Request, Association Response, Reassociation Request, Reassociation Response, Probe Request, Probe Response, Beacon, Announcement Traffic Indication Message = ATIM, Disassociation, Authentication, Deauthentication, Action, Action No Ack) pot fi folosite de un răufăcător pentru a perturba/limita/ o rețea WiFi. 

Cea mai simplă metodă este de a trimite frame-uri de Management de Dezautentificare către clienții autentificați deja obligându-i să se dezautentifice. Pentru a ne proteja de astfel de practici vom apela la criptarea frame-urilor de management.

Criptarea aceasta poate fi facută cu două soluții:

  1. MFP (Management Frame Protection) proprietar Cisco
  2. PMF (Protected Management Frame) =  802.11w
  1. Configurare MFP

Pasul 1 în Web GUI trebuie să activăm opțiunea global accesând meniul. Mare grijă trebuie să avem la baza de timp astfel incât să nu avem probleme cu certificatele (problemele apar când timpul pe controller cu timpul utilizatorilor este diferit)

Security => Wireless Protection Policies => AP Authentication => Protection Type = Management Frame Protection – activăm la nivel global protecția frame-urilor. Activarea trebuie făcută ulterior pe fiecare SSID în parte după activarea globală. Clienții trebuie să fie compatibili cu CCX (Cisco Compatible Extension) versiunea 5 pentru a se putea conecta la un SSID cu MFP activat ca obligatoriu. 

Pasul 2 Trebuie activată opțiunea pe fiecare SSID în parte și în plus trebuie ca SSID-ul respectiv să fie configurat ca mai jos cu toate cele 4 opțiuni simultane (a si b si c si d).

  1. Layer 2 Security = WPA+WPA2.
  2. WPA2 Policy checked
  3. WPA2 Encryption AES checked.
  4. Auth Key Management => 802.11x checked

Pentru activarea opțiunii de MPF pe SSID procedăm ca mai jos:

WLAN => WLANs => SSID (Alef Romania, în cazul nostru) => Advanced => MFP Client Protection: Required

MFP Client Protection are trei opțiuni:

Disabled => MFP este dezactivat (nu este folosit) în SSID
Optional => Dacă clientul este compatibil cu CCX versiunea 5 atunci frame-urile vor fi criptate pentru acest client iar dacă clientul nu știe nu va fi folosit. Practic putem avea clienți cu frame-uri de management criptat sau nu. (cum spune și numele este optional).
Required => Clientul este obligat să folosescă criptarea (MFP). Clienți care nu pot folosi (care nu sunt compatibili cu CCX ver 5) nu se vor putea conecta la SSID.

 

Pentru a verifica pe ce SSID avem activată opțiunea de MFP accesăm meniul:

Security => Wireless Protection Policies => Management Frame Protection => WLANs

Și observăm că pentru “Alef Romania” este obligatoriu (MFP Client Protection: Required)

Pentru a verifica daca sursa de timp este validă sau nu, accesăm:

Security => Wireless Protection Policies => Management Frame Protection => General

Management Frame Protection = enable => arată faptul ca avem MFP activat global

Controller Time Source Valid           = True =>dacă timpul (data și ora) pe contorller este dat de un server NTP. Ideal.

                                                               = False =>dacă timpul pe controller este setat manual. În acesstă situație pot apărea probleme ulterior datorită bazei de timp ce influiențează MIC-ul (Message Integrity Check).