IEEE 802.11w-2009

IEEE 802.11w-2009 - это утвержденная поправка к стандарту IEEE 802.11 для повышения безопасности его кадров управления.

• 1 Защищенные фреймы управления
  • 1.1 Обзор
  • 1.2 Классы
• 2 Незащищенные кадры
• 3 Защищенные рамы
• 4 Защита от воспроизведения
• 5 Использование
• 6 См. Также
• 7 ссылки
• 8 Внешние ссылки

Текущий стандарт 802.11 определяет типы «фреймов» для использования при управлении и контроле беспроводных соединений. IEEE 802.11w - это стандарт защищенных кадров управления для семейства стандартов IEEE 802.11. Целевая группа «w» работала над улучшением уровня управления доступом к среде IEEE 802.11. Его цель заключалась в повышении безопасности за счет обеспечения конфиденциальности данных в кадрах управления, механизмов, обеспечивающих целостность данных, аутентичность источника данных и защиту от воспроизведения. Эти расширения взаимодействуют с IEEE 802.11r и IEEE 802.11u.

Обзор

• Единое и унифицированное решение, необходимое для всех фреймов управления с поддержкой защиты IEEE 802.11.
• Он использует существующие механизмы безопасности, а не создает новую схему безопасности или новый формат кадра управления.
• Это дополнительная функция 802.11, необходимая для реализаций 802.11, поддерживающих TKIP или CCMP.
• Его использование не является обязательным и может быть предметом переговоров между STA.

Классы

• 1 класс
  • Запрос / ответ маяка и зонда
  • Аутентификация и деаутентификация
  • Анонсирующее сообщение индикации трафика (ATIM)
  • Действия по управлению спектром
  • Действие радиоизмерений между станциями в IBSS
• 2 класс
  • Запрос / ответ ассоциации
  • Запрос / ответ повторной ассоциации
  • Диссоциация
• 3 класс
  • Диссоциация / деаутентификация
  • Кадр действия QoS
  • Действие радиоизмерения в инфраструктуре BSS
  • Будущие рамки управления 11v

Невозможно / невозможно защитить кадр, отправленный до четырехстороннего рукопожатия, потому что он отправляется до установления ключа. Кадры управления, которые отправляются после установления ключа, могут быть защищены.

Невозможно защитить:

• Запрос / ответ маяка и зонда
• Анонсирующее сообщение индикации трафика (ATIM)
• Аутентификация
• Запрос / ответ ассоциации
• Действия по управлению спектром

Кадры управления с возможностью защиты - это кадры, отправленные после установления ключа, которые могут быть защищены с помощью существующей иерархии ключей защиты в 802.11 и поправках к нему.

Защищены только кадры TKIP / AES, а WEP / открытые кадры не защищены.

Следующие кадры управления могут быть защищены:

• Диссоциировать
• Деаутентифицировать
• Кадры действий: запрос / ответ блока ACK (AddBA), контроль допуска QoS, радиоизмерение, управление спектром, быстрый переход BSS
• Объявление о переключении канала, направленное клиенту (одноадресное)

Кадры управления, которые требуются до того, как точка доступа и клиент обменяются ключами передачи через четырехстороннее рукопожатие, остаются незащищенными:

• Маяки
• Зонды
• Аутентификация
• Ассоциация
• Объявление Сообщение об индикации трафика
• Объявление о переключении каналов как широковещательное

Кадры управления с поддержкой Uni-cast Protection защищены тем же набором шифров, что и обычные MPDU данных.

• Полезная нагрузка MPDU зашифрована TKIP или CCMP.
• Полезная нагрузка и заголовок MPDU защищены целостностью TKIP или CCMP.
• Устанавливается защищенное поле кадра поля управления кадром.
• Требуются только уже реализованные комплекты шифров.
• Парный временный ключ отправителя (PTK) защищает кадр управления одноадресной рассылкой.

Широковещательные / многоадресные кадры надежного управления защищены с помощью протокола целостности широковещательной / многоадресной передачи (BIP)

• Использовать временный ключ группы целостности (IGTK), полученный во время подтверждения ключа WPA
• Использовать информационный элемент: IE MIC управления с порядковым номером + криптографический хэш (на основе AES128-CMAC)

Защита от воспроизведения обеспечивается уже существующими механизмами. В частности, для каждого передаваемого кадра существует счетчик (для каждой станции, ключа, приоритета); это используется в качестве вектора одноразового номера / инициализации (IV) при криптографической инкапсуляции / декапсуляции, и принимающая станция гарантирует, что полученный счетчик увеличивается.

Поправка 802.11w реализована в Linux и BSD как часть кодовой базы драйвера 80211mac, которая используется несколькими интерфейсами беспроводных драйверов; т.е. ath9k. Эта функция легко активируется в самых последних ядрах и ОС Linux с использованием этих комбинаций. OpenWrt, в частности, обеспечивает легкое переключение как часть базового распределения. Эта функция впервые была реализована в операционных системах Microsoft в Windows 8. Это вызвало ряд проблем совместимости, особенно с точками беспроводного доступа, несовместимыми со стандартом. Откат драйвера беспроводного адаптера к другому из Windows 7 обычно решает проблему.

Беспроводные локальные сети без этого стандарта отправляют информацию управления системой в незащищенных кадрах, что делает их уязвимыми. Этот стандарт защищает от сбоев сети, вызванных вредоносными системами, которые подделывают запросы на отключение (деаутентификацию), которые, как представляется, отправляются действительным оборудованием, таким как атаки Evil Twin.

• Повышенная безопасность IEEE 802.11i
• IEEE 802.11r Быстрый переход BSS
• IEEE 802.11u Взаимодействие с сетями, отличными от 802.11

1. ^ «Краткое руководство по действиям IEEE 802.11». IEEE802. IEEE. Дата обращения 18 октября 2019.
2. ^ http://www.ieee802.org/21/doctree/2005_Meeting_Docs/2005-09_meeting_docs/21-05-0381-00-0000-802-11-liaison-September05.ppt

• Статус проекта 802.11w IEEE Task Group w (TGw)
• Учебник по 802.11w
• Руководство по развертыванию Cisco 802.11r, 802.11k и 802.11w, Cisco IOS-XE версии 3.3 Глава: Защищенные фреймы управления 802.11w