Le Wi-Fi est un support de diffusion qui permet à n'importe quel périphérique d'écouter et de participer en tant que périphérique légitime ou non autorisé. Les trames de gestion, telles que l’authentification, la désauthentification, l’association, la dissociation, les balises et les sondes, sont utilisées par les clients sans fil pour initier et arrêter des sessions pour les services réseau. Contrairement au trafic de données, qui peut être chiffré pour fournir un niveau de confidentialité, ces trames doivent être entendues et comprises par tous les clients et doivent donc être transmises en mode ouvert ou non chiffré. Bien que ces trames ne puissent pas être chiffrées, elles doivent être protégées contre la falsification pour protéger le support sans fil des attaques. Par exemple, un pirate peut usurper les trames de gestion d'un point d'accès pour attaquer un client associé au point d'accès.
Ce document vise à fournir des réponses aux questions fréquemment posées sur la protection des trames de gestion (MFP).
Les trames de gestion sont des trames de diffusion utilisées par la norme IEEE 802.11 pour permettre à un client sans fil de négocier avec un point d'accès sans fil (WAP). MFP assure la sécurité des trames de diffusion non cryptées et des messages de gestion transmis entre les périphériques sans fil.
2. Comment fonctionne le programme MFP ?
Dans IEEE 802.11, les trames de gestion telles que la désauthentification, la dissociation, les balises et les sondes sont toujours non authentifiées et non chiffrées. Le WAP ajoute l'élément d'information de contrôle d'intégrité de message (MIC IE) à chaque trame de gestion qu'il transmet. Toute tentative de copie, de modification ou de relecture de la trame invalide le MIC.
4. Quels sont les types d'imprimantes multifonctions ?
Voici les deux types d'imprimantes multifonctions :
5. Quels sont les composants du module MFP d'infrastructure ?
La fonction MFP d'infrastructure comporte 3 composants :
Remarque : pour que les horodatages fonctionnent correctement, tous les contrôleurs LAN sans fil (WLC) doivent être synchronisés avec le protocole NTP (Network Time Protocol).
6. Comment fonctionne le programme MFP client ?
Plus précisément, le client MFP chiffre les trames de gestion envoyées entre les points d'accès et les clients CCXv5 (Cisco Compatible Extension version 5) de sorte que les points d'accès et les clients puissent prendre des mesures préventives en abandonnant les trames de gestion usurpées de classe 3 (c'est-à-dire les trames de gestion passées entre un point d'accès et un client authentifié et associé). Le protocole MFP client exploite les mécanismes de sécurité définis par la norme IEEE 802.11i pour protéger les types suivants de trames de gestion de monodiffusion de classe 3 : désassociation, désauthentification et action QoS (Wireless Multimedia Extensions ou WMM). Le protocole MFP client protège une session de point d'accès client contre le type d'attaque par déni de service le plus courant. Il protège les trames de gestion de classe 3 en utilisant la même méthode de cryptage que celle utilisée pour les trames de données de session. Si une trame reçue par le point d'accès ou le client ne parvient pas à être déchiffrée, elle est abandonnée et l'événement est signalé au contrôleur.
7. Comment utiliser le module MFP client ?
Pour utiliser la fonction MFP du client, les clients doivent prendre en charge la fonction MFP CCXv5 et négocier la version 2 de la norme WPA2 (Wi-Fi Protected Access version 2) à l'aide du protocole TKIP (Temporal Key Integrity Protocol) ou du protocole AES-CCMP (Advanced Encryption Standard-Cipher Block Chaining Message Authentication Code Protocol). Le protocole EAP (Extensible Authentication Protocol) ou la clé prépartagée (PSK) peuvent être utilisés pour obtenir la clé PMK. CCKM et la gestion de la mobilité du contrôleur sont utilisés pour distribuer des clés de session entre les points d'accès pour l'itinérance rapide des couches 2 et 3.
8. Quel estLes composants de l'imprimante multifonction client sont-ils
Il existe 3 composants de l'imprimante multifonction client :
- Trames de dissociation : demande adressée à un client ou à un WAP pour déconnecter ou dissocier une relation d'authentification.
- Trames de désauthentification : demande à un client ou à un WAP de déconnecter ou de dissocier une relation d'association.
- Action WMM QoS : le paramètre WMM est ajouté aux trames de réponse de balise, de sonde et d'association.
Remarque : les erreurs de violation MFP détectées par les stations clientes sont gérées par la fonctionnalité CCXv5 Roaming and Real Time Diagnostics.
9. Pourquoi mon appareil mobile ne peut-il pas se connecter à l'appareil d'infrastructure compatible MFP ?
Certaines restrictions s'appliquent à certains clients sans fil pour communiquer avec des périphériques d'infrastructure compatibles MFP. MFP ajoute un ensemble d'éléments d'information à chaque demande de sonde ou balise SSID. Certains clients sans fil, tels que les assistants numériques personnels, les smartphones, les scanners de codes à barres, etc., disposent d'une mémoire limitée et d'une unité centrale (UC). Par conséquent, vous ne pouvez pas traiter ces demandes ou balises. Par conséquent, vous ne voyez pas le SSID entièrement, ou vous ne pouvez pas vous associer à ces périphériques d'infrastructure, en raison d'une mauvaise compréhension des capacités du SSID. Ce problème n'est pas spécifique à l'imprimante multifonction. Cela se produit également avec n'importe quel SSID qui a plusieurs éléments d'information (IE). Il est toujours conseillé de tester les SSID compatibles MFP sur l'environnement avec tous les types de clients disponibles avant de les déployer en temps réel.
10. Qu'est-ce que Broadcast Management Frame Protection ?
Afin d'empêcher les attaques qui utilisent des trames de diffusion, les AP qui prennent en charge CCXv5 ne transmettent aucune trame de gestion de classe 3 de diffusion, à l'exception des trames de désauthentification ou de désassociation de confinement non autorisées. Les stations clientes compatibles CCXv5 doivent ignorer les trames de gestion de diffusion de classe 3. Les sessions MFP sont supposées se trouver dans un réseau correctement sécurisé (authentification forte plus TKIP ou CCMP), de sorte que le non-respect des diffusions de confinement non autorisé ne pose pas de problème.
11. Comment configurer MFP sur un point d'accès sans fil (WAP) ?
Pour savoir comment configurer MFP sur un WAP, cliquez ici.
12. Configuration d'une carte réseau sans fil Intel pour la connexion à un réseau compatible MFP
Pour savoir comment configurer la carte réseau sans fil Intel, cliquez ici.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
13-Dec-2018 |
Première publication |