IEEE 802.11w-2009

Поправка безопасности к стандарту IEEE 802.11

IEEE 802.11w-2009 — это одобренная поправка к стандарту IEEE 802.11 , направленная на повышение безопасности его фреймов управления .

Защищенные фреймы управления

Текущий стандарт 802.11 определяет типы «кадров» для использования в управлении и контроле беспроводных каналов. IEEE 802.11w — это стандарт защищенных кадров управления для семейства стандартов IEEE 802.11 . Целевая группа «w» работала над улучшением уровня управления доступом к среде IEEE 802.11 . ^[1] Его цель заключалась в повышении безопасности за счет обеспечения конфиденциальности данных кадров управления, механизмов, обеспечивающих целостность данных, подлинность источника данных и защиту от повторного воспроизведения. Эти расширения взаимодействуют с IEEE 802.11r и IEEE 802.11u .

Обзор

• Для всех фреймов управления с поддержкой защиты IEEE 802.11 необходимо единое и унифицированное решение.
• Он использует существующие механизмы безопасности, а не создает новую схему безопасности или новый формат кадра управления.
• Это дополнительная функция 802.11, необходимая для реализаций 802.11, поддерживающих TKIP или CCMP.
• Его использование не является обязательным и может быть согласовано между STA.

Классы

• Класс 1
  • Запрос/ответ маяка и зонда
  • Аутентификация и деаутентификация
  • Сообщение-индикация трафика объявлений (ATIM)
  • Действия по управлению использованием спектра
  • Действие радиоизмерений между станциями STA в IBSS
• Класс 2
  • Запрос/ответ ассоциации
  • Запрос/ответ на повторную ассоциацию
  • Диссоциация
• Класс 3
  • Отключение/деаутентификация
  • Рамка действия QoS
  • Радиоизмерительные действия в инфраструктуре BSS
  • Будущие рамы управления 11 В

Незащищенные кадры

Невозможно/невозможно защитить кадр, отправленный до четырехэтапного установления связи, поскольку он отправляется до установления ключа. Кадры управления, отправляемые после установления ключа, могут быть защищены.

Невозможно защитить:

• Запрос/ответ маяка и зонда
• Сообщение-индикация трафика объявлений (ATIM)
• Аутентификация
• Запрос/ответ ассоциации
• Действия по управлению использованием спектра

Защищенные фреймы

Кадры управления с возможностью защиты — это кадры, отправленные после установления ключа, которые можно защитить с помощью существующей иерархии ключей защиты в 802.11 и его поправках.

Защищены только кадры TKIP/AES, а WEP/открытые кадры не защищены.

Могут быть защищены следующие кадры управления:

• Разъединить
• Деаутентификация
• Кадры действий: запрос/ответ блока ACK (AddBA), управление допуском QoS, радиоизмерение, управление спектром, быстрый переход BSS
• Объявление о переключении канала, направленное клиенту (одноадресная рассылка)

Кадры управления, необходимые до того, как точка доступа и клиент обменяются ключами передачи посредством четырехэтапного рукопожатия, остаются незащищенными:

• Маяки
• Зонды
• Аутентификация
• Ассоциация
• Объявление Сообщение о дорожном движении
• Объявление о переключении каналов в режиме трансляции

Кадры управления с возможностью одноадресной защиты защищены тем же набором шифров, что и обычные MPDU данных .

• Полезная нагрузка MPDU шифруется TKIP или CCMP.
• Полезная нагрузка и заголовок MPDU защищены целостностью TKIP или CCMP.
• Установлено защищенное поле кадра поля управления кадром.
• Требуются только уже реализованные наборы шифров.
• Парный временной ключ отправителя (PTK) защищает кадр управления одноадресной передачей.

Кадры надежного управления широковещательной/многоадресной передачей защищены с помощью протокола целостности широковещательной/многоадресной рассылки (BIP).

• Использовать временный ключ группы целостности (IGTK), полученный во время подтверждения ключа WPA.
• Использовать информационный элемент: IE управления MIC с порядковым номером + криптографическим хэшем (на основе AES128-CMAC)

Защита от повтора

Защита от повторного воспроизведения обеспечивается уже существующими механизмами. В частности, существует счетчик (для каждой станции, для каждого ключа, для каждого приоритета) для каждого передаваемого кадра; он используется в качестве вектора nonce/инициализации (IV) при криптографической инкапсуляции/декапсуляции, а принимающая станция обеспечивает увеличение полученного счетчика.

Применение

Поправка 802.11w реализована в Linux и BSD как часть базы кода драйвера 80211mac, которая используется несколькими интерфейсами беспроводных драйверов; то есть, ath9k. Эту функцию легко включить в большинстве ядер и ОС Linux с помощью этих комбинаций. OpenWrt, в частности, обеспечивает легкое переключение как часть базового дистрибутива. Эта функция была впервые реализована в операционных системах Microsoft в Windows 8. Это вызвало ряд проблем совместимости, особенно с точками беспроводного доступа, которые не совместимы со стандартом. Откат драйвера беспроводного адаптера до драйвера из Windows 7 обычно решает проблему.

Беспроводные локальные сети без этого стандарта отправляют информацию управления системой в незащищенных кадрах, что делает их уязвимыми. Этот стандарт защищает от сбоев в сети, вызванных вредоносными системами, которые подделывают запросы на разъединение (деаутентификацию), которые кажутся отправленными действительным оборудованием ^[2], например, атаки Evil Twin .

Смотрите также

• Повышенная безопасность IEEE 802.11i
• Быстрый переход на IEEE 802.11r BSS
• IEEE 802.11u Взаимодействие с сетями, отличными от 802.11

Рекомендации

1. «Краткое руководство по действиям IEEE 802.11» . IEEE802 . IEEE. Архивировано из оригинала 3 ноября 2019 года . Проверено 18 октября 2019 г.
2. Хантер, Дэвид. «Отчет о взаимодействии – работа 802.11, связанная с 802.21». Архивировано из оригинала 18 июня 2022 г. Проверено 24 августа 2020 г.

Внешние ссылки

• Статус проекта 802.11w IEEE Task Group w (TGw)
• Учебное пособие по 802.11w
• Руководство по развертыванию Cisco 802.11r, 802.11k и 802.11w, Cisco IOS-XE, выпуск 3.3, глава: Защищенные кадры управления 802.11w