IEEE 802.11w-2009 es una enmienda aprobada del estándar IEEE 802.11 para aumentar la seguridad de sus marcos de administración .
Marcos de gestión protegidos
El estándar 802.11 actual define los tipos de "tramas" para su uso en la gestión y control de enlaces inalámbricos. IEEE 802.11w es el estándar Protected Management Frames para la familia de estándares IEEE 802.11 . El grupo de tareas 'w' trabajó en la mejora de la capa de control de acceso al medio IEEE 802.11 . [1] Su objetivo era aumentar la seguridad proporcionando confidencialidad de los datos de los marcos de gestión, mecanismos que permiten la integridad de los datos , la autenticidad del origen de los datos y la protección de reproducción. Estas extensiones interactúan con IEEE 802.11r e IEEE 802.11u .
Descripción general
- Se necesita una solución única y unificada para todos los marcos de administración con capacidad de protección IEEE 802.11.
- Utiliza los mecanismos de seguridad existentes en lugar de crear un nuevo esquema de seguridad o un nuevo formato de marco de gestión.
- Es una función opcional en 802.11 y es necesaria para las implementaciones de 802.11 que admiten TKIP o CCMP.
- Su uso es opcional y puede ser negociable entre STA.
Clases
- Clase 1
- Solicitud / respuesta de baliza y sonda
- Autenticación y desautenticación
- Mensaje de indicación de tráfico de anuncio (ATIM)
- Acción de gestión del espectro
- Acción de medición de radio entre STA en IBSS
- Clase 2
- Solicitud / respuesta de asociación
- Solicitud / respuesta de re-asociación
- Disociación
- Clase 3
- Desasociación / desautenticación
- Marco de acción de QoS
- Acción de medición de radio en infraestructura BSS
- Futuros marcos de gestión de 11v
Tramas desprotegidas
No es factible / no es posible proteger la trama enviada antes del protocolo de enlace de cuatro vías porque se envía antes del establecimiento de la clave. Las tramas de gestión, que se envían después del establecimiento de la clave, pueden protegerse.
Inasible de proteger:
- Solicitud / respuesta de baliza y sonda
- Mensaje de indicación de tráfico de anuncio (ATIM)
- Autenticación
- Solicitud / respuesta de asociación
- Acción de gestión del espectro
Marcos protegidos
Las tramas de administración con capacidad de protección son aquellas enviadas después del establecimiento de la clave que pueden protegerse utilizando la jerarquía de claves de protección existente en 802.11 y sus enmiendas.
Solo las tramas TKIP / AES están protegidas y las tramas WEP / abiertas no están protegidas.
Se pueden proteger los siguientes marcos de gestión:
- Desasociar
- Desautenticar
- Marcos de acción: Solicitud / respuesta de ACK en bloque (AddBA), Control de admisión de QoS, Medición de radio, Gestión del espectro, Transición rápida de BSS
- Anuncio de cambio de canal dirigido a un cliente (unidifusión)
Las tramas de administración que se requieren antes de que el AP y el cliente hayan intercambiado las claves de transmisión a través del protocolo de enlace de 4 vías permanecen desprotegidas:
- Balizas
- Sondas
- Autenticación
- Asociación
- Mensaje de indicación de tráfico de anuncio
- Anuncio de cambio de canal como transmisión
Las tramas de administración con capacidad de protección Uni-cast están protegidas por el mismo conjunto de cifrado que una MPDU de datos normal .
- La carga útil de MPDU está cifrada con TKIP o CCMP.
- La carga útil y el encabezado de MPDU están protegidos por integridad TKIP o CCMP.
- Se establece el campo de trama protegido del campo de control de trama.
- Solo se requieren conjuntos de cifrado ya implementados.
- La clave temporal por pares (PTK) del remitente protege la trama de administración de unidifusión.
Las tramas de administración robusta de difusión / multidifusión están protegidas mediante el protocolo de integridad de difusión / multidifusión (BIP)
- Utilice la clave temporal del grupo de integridad (IGTK) recibida durante el protocolo de enlace de la clave WPA
- Elemento de información de uso: gestión MIC IE con número de secuencia + hash criptográfico (basado en AES128-CMAC)
Protección de repetición
La protección de reproducción es proporcionada por mecanismos ya existentes. Específicamente, hay un contador (por estación, por clave, por prioridad) para cada trama transmitida; esto se usa como un vector nonce / inicialización (IV) en encapsulación / desencapsulación criptográfica, y la estación receptora asegura que el contador recibido está aumentando.
Uso
La enmienda 802.11w se implementa en Linux y BSD como parte de la base del código del controlador 80211mac, que se utiliza en varias interfaces de controlador inalámbrico; es decir, ath9k. La función se habilita fácilmente en los kernels más recientes y los sistemas operativos Linux que utilizan estas combinaciones. OpenWrt en particular proporciona un cambio fácil como parte de la distribución base. La función se implementó por primera vez en los sistemas operativos de Microsoft en Windows 8. Esto ha provocado una serie de problemas de compatibilidad, especialmente con los puntos de acceso inalámbricos que no son compatibles con el estándar. Revertir el controlador del adaptador inalámbrico a uno de Windows 7 generalmente soluciona el problema.
Las LAN inalámbricas sin este estándar envían información de gestión del sistema en tramas desprotegidas, lo que las hace vulnerables. Este estándar protege contra la interrupción de la red causada por sistemas maliciosos que falsifican solicitudes de disociación (deauth) que parecen ser enviadas por equipos válidos [2] como los ataques Evil Twin .
Ver también
- Seguridad mejorada IEEE 802.11i
- Transición rápida BSS IEEE 802.11r
- Interfuncionamiento IEEE 802.11u con redes que no son 802.11
Referencias
- ^ "Guía rápida de actividades IEEE 802.11" . IEEE802 . IEEE . Consultado el 18 de octubre de 2019 .
- ^ http://www.ieee802.org/21/doctree/2005_Meeting_Docs/2005-09_meeting_docs/21-05-0381-00-0000-802-11-liaison-September05.ppt
enlaces externos
- Estado del proyecto 802.11w IEEE Task Group w (TGw)
- Tutorial sobre 802.11w
- Guía de implementación de Cisco 802.11r, 802.11k y 802.11w, capítulo de la versión 3.3 de Cisco IOS-XE : tramas de administración protegidas 802.11w