Korzystając ze strony, wyrażasz zgodę na używanie ciasteczek zgodnie z naszą Polityką prywatności i Warunkami użytkowania.
Zgadzam się
Na Styku SieciNa Styku Sieci
  • Start
  • Routing & Switching
  • Wireless
  • Certyfikacja
  • Wokół sieci
Czytasz: Protected Management Frames – bo bezpieczne Wi-Fi to dobre Wi-Fi
Udostępnij
Na Styku SieciNa Styku Sieci
  • Wireless
  • Certyfikacja
  • Routing & Switching
  • Wokół sieci
Szukaj
  • Start
  • Categories
    • Wokół sieci
    • Routing & Switching
    • Wireless
    • Certyfikacja
  • Bookmarks
  • More Foxiz
    • Blog Index
    • Sitemap
Have an existing account? Zaloguj się
Follow US
Wireless

Protected Management Frames – bo bezpieczne Wi-Fi to dobre Wi-Fi

Łukasz Kowalski
Łukasz Kowalski 4 października 2018 Komentarze: 10

Bezpieczeństwo sieci bezprzewodowych jest tematem bardzo rozległym i złożonym. Wystarczy zajrzeć do artykułu o certyfikacji WLAN – osiągnięcie poziomu Professional u dwóch najpopularniejszych dostawców, czyli Cisco i CWNP, wymaga zdania dedykowanych egzaminów z zakresu Security w sieciach Wi-Fi. Istnieją jednak sposoby na poprawę bezpieczeństwa sieci bez poważnych nakładów czasowych i finansowych – standard IEEE 802.11w jest jednym z nich.

W artykule:
Czym jest Protected Management Frames?PMF w ramkach unicastPMF w ramkach multicast i broadcastHardware i software support

Czym jest Protected Management Frames?

IEEE 802.11w jest rozszerzeniem standardu IEEE 802.11 mającym na celu dostarczenie mechanizmów bezpieczeństwa dla ramek management’owych. Prace nad nim rozpoczęły się już w 2005 roku, a grupa robocza w celu ułatwienia identyfikacji przedsięwzięcia przyjęła nazwę Protected Management Frames. Standard był gotowy ponad cztery lata później, we wrześniu 2009 roku.

Mimo, że od tego czasu minęło już ponad 9 lat, to poruszana tematyka jest jak najbardziej aktualna. Powiedziałbym nawet, że obecnie standard ten jest zdecydowanie bardziej potrzebny niż 9 lat temu. Rozwój sieci bezprzewodowych, wzrost ich popularności oraz wykorzystanie ich jako głównego medium transmisyjnego dla coraz to większych ilości krytycznych usług powodują, że zapewnienie bezpieczeństwa komunikacji staje się tematem ważnym jak nigdy dotąd.

Podłoże powstania standardu

Standard IEEE 802.11 wyróżnia trzy rodzaje ramek – danych, kontrolne i management’owe. Typowo tylko ramki danych są szyfrowane, natomiast w przypadku ramek management’owych wiele z nich wysyłanych jest jeszcze przed nawiązaniem połączenia bezprzewodowego. Stąd brak jakiejkolwiek możliwości wynegocjowania metody szyfrowania pomiędzy urządzeniami, które o sobie nie wiedzą. Problem jednak istniał i z czasem stawał się coraz bardziej widoczny. Podszywanie się pod Access Point’a i preparowanie ramek management’owych, a nawet ataki typu DoS (Denial of Service) są możliwe i stosunkowo łatwe do przeprowadzenia. Postanowiono temu zaradzić.

Zasada działania

Przede wszystkim należy wiedzieć, że metoda Protected Management Frames możliwa jest do użycia wyłącznie w sieciach implementujących tzw. Robust Security Network, czyli sieciach WLAN używających mechanizmu WPA2 (WPA2-Personal albo WPA2-Enterprise). Kiedy nie używamy IEEE 802.11w, stacja kliencka łącząc się do sieci bezprzewodowej rozgłaszanej przez Access Point’a, przechodzi przez proces o nazwie 4-way handshake. Jego rezultatem jest powstanie kluczy PTK (Pairwise Transient Key) i GTK (Group Transient Key), które są niezbędne do szyfrowania danych.

Powiązane publikacje

Aruba Clustering – wprowadzenie
MNAS 017: Odwieczne pytanie – kabel czy Wi-Fi?
Obalamy mity ze świata Wi-Fi vol. 1
Access Pointy Cisco Catalyst serii 9100 – co nowego?
Terminologia AP w ArubaOS 8.x

W przypadku sieci z włączoną obsługą IEEE 802.11w odbywa się dokładnie ten sam proces 4-way handshake. Ale tym razem dodatkowo jako jego produkt otrzymujemy hash (podpis), który będzie dodawany do wielu ramek management’owych. Poniższe ramki będą mogły być chronione przez mechanizm PMF:

  • Disassociate
  • Deauthenticate
  • Action Frames: Block ACK Request / Response, QoS Admission Control, Radio Measurement, Spectrum Management, Fast BSS Transition
  • Channel Switch Announcement skierowane do konkretnego klienta (unicast)

Natomiast ramki, które muszą pojawić się przed pełnym nawiązaniem połączenia nie będą korzystać z mechanizmu PMF. Oto one:

  • Beacons
  • Probes
  • Authentication
  • Association
  • Announcement Traffic Indication Message
  • Channel Switch Announcement w postaci ramki broadcast

“Czy wiesz że…?”

PMF (Protected Management Frames) i MFP (Management Frame Protection) to osobne technologie. PMF to inaczej standard IEEE 802.11w, natomiast MFP to mechanizm stworzony przez Cisco w roku 2005. Mimo, że ich cel jest wspólny, to jednak różnią się nieco zasadą działania.

Skąd wiemy, że możemy użyć PMF?

Access Point informuje klientów o parametrach swoich sieci korzystając z ramek typu beacon oraz probe response. Informacje na temat obsługi PMF w danej sieci znajdują się w części RSN (Robust Security Network) wspomnianych ramek. Poniższy rysunek przedstawia część ramki typu beacon z informacją o tym, że ta sieć nie obsługuje technologii PMF. Zwróć uwagę na to, że oba pola “Management Frame Protection Required” oraz “Management Frame Protection Capable” są ustawione na False.

Ramka beacon informująca o braku obsługi PMF w tej sieci
Ramka beacon informująca o braku obsługi PMF w tej sieci

Obsługa PMF może być włączona w dwóch trybach – pierwszy z nich to tzw. tryb opcjonalny. Oznacza to, że do tej sieci mogą podłączyć się zarówno klienci z obsługą IEEE 802.11w i będą używać hashowania SHA256, jak i bez obsługi tego standardu i pozostaną przy hashowaniu SHA1. Poniższy rysunek przedstawia część ramki typu beacon z informacją o tym, że ta sieć obsługuje PMF w trybie opcjonalnym. Zwróć uwagę na to, że tym razem pole “Management Frame Protection Capable” jest ustawione na True, natomiast “Management Frame Protection Required” pozostało False.

Ramka beacon informująca o opcjonalnej obsłudze PMF w tej sieci
Ramka beacon informująca o opcjonalnej obsłudze PMF w tej sieci

Drugi z dostępnych trybów obsługi PMF to tzw. tryb wymagany. Oznacza to, że do tej sieci mogą się podłączyć wyłącznie klienci, którzy wspierają IEEE 802.11w i będą używać hashowania SHA256. Klienci bez obsługi PMF nawet nie podejmą próby podłączenia. Poniższy rysunek przedstawia część ramki typu beacon z informacją o tym, że ta sieć używa PMF w trybie wymaganym. Zwróć uwagę na to, że oba pola “Management Frame Protection Required” oraz “Management Frame Protection Capable” są ustawione na True.

Ramka beacon informująca o wymaganej obsłudze PMF w tej sieci
Ramka beacon informująca o wymaganej obsłudze PMF w tej sieci

Skąd wiemy, że używamy PMF?

Informacja o tym, że dana ramka używa PMF bądź też nie, znajduje się w nagłówku ramki 802.11. Pole Frame Control posiada flagę o nazwie Protected Frame, której wartość 1 oznacza używanie PMF dla tej ramki, a wartość 0 oznacza brak użycia PMF dla tej konkretnej ramki.

Przeznaczenie poszczególnych bitów w polu Frame Control, źródło: CWNP
Przeznaczenie poszczególnych bitów w polu Frame Control, źródło: CWNP

Poniższy rysunek przedstawia pole Frame Control w ramce Disassociate. Jak widać, bit Protected jest ustawiony na 1, co oznacza użycie PMF w tej konkretnej ramce.

Pole Frame Control w ramce Disassociate używającej PMF
Pole Frame Control w ramce Disassociate używającej PMF

PMF w ramkach unicast

Zastosowanie standardu IEEE 802.11w w przypadku ramki unicast pozwala zapewnić integralność, spójność oraz poufność przesyłanych danych w ramce management’owej. Poniższy rysunek przedstawia ramkę Disassociate bez użycia PMF, z widocznym polem reason code.

Ramka Disassociate bez użycia PMF, źródło: wirelessccie.blogspot.com
Ramka Disassociate bez użycia PMF, źródło: wirelessccie.blogspot.com

Ramka tego samego typu z włączonym PMF przedstawiona jest na rysunku poniżej. Jak widzisz, pole reason code zostało zaszyfrowane i nie jest już widoczne “gołym okiem”. Ponadto, stacja kliencka posiada możliwość weryfikacji pochodzenia ramki. W przypadku ramki unicast do szyfrowania używany jest klucz PTK.

Ramka Disassociate z użyciem PMF, źródło: wirelessccie.blogspot.com
Ramka Disassociate z użyciem PMF, źródło: wirelessccie.blogspot.com

PMF w ramkach multicast i broadcast

Dla ramek typu multicast i broadcast również możemy używać mechanizmu PMF. Jednak w tym przypadku możliwe jest wyłącznie zapewnienie integralności i spójności danych, bez poświadczenia ich poufności, ponieważ nie ma możliwości zaszyfrowania danych w taki sposób aby wielu odbiorców mogło je odszyfrować.

Używany jest także inny klucz – jest to IGTK, czyli Integrity Group Temporal Key, który generowany jest podczas 4-way handshake, razem z PTK i GTK.

Hardware i software support

Obie strony komunikacji bezprzewodowej, czyli zarówno Access Point jak i klient, muszą wspierać standard IEEE 802.11w w celu poprawnego używania mechanizmu PMF. Poniższa tabela prezentuje wszystkie możliwe warianty połączenia:

Warianty połączenia z oraz bez PMF
Warianty połączenia z oraz bez PMF

Mimo, że standard IEEE 802.11w ma już ponad 9 lat, to do niedawna ilość urządzeń wspierających go była stosunkowo niewielka. Sytuacja zaczęła zmieniać się diametralnie od lipca 2014 roku. Wtedy to organizacja Wi-Fi Alliance stwierdziła, że zaimplementowanie metody PMF jest konieczne, aby dany sprzęt pomyślnie przeszedł certyfikację interoperacyjności dla standardu IEEE 802.11ac.

Choć obecnie praktycznie wszystkie nowe urządzenia powinny wspierać IEEE 802.11w, to dla wielu starszych urządzeń niestety nie jest to regułą. Zgodnie z dobrą praktyką, przed wdrożeniem mechanizmu PMF należy przetestować wszystkie rodzaje urządzeń klienckich w celu potwierdzenia poprawnego działania.

Informacje na temat implementacji metody PMF na poszczególnych urządzeniach znajdziesz na oficjalnej stronie Wi-Fi Alliance.

“Czy wiesz że…?”

W przypadku starszych urządzeń problem jest większy niż mogłoby się wydawać. Urządzenia z kiepskim sterownikiem mogą nie połączyć się z siecią WLAN nawet wtedy, gdy Access Point rozgłasza tylko “PMF opcjonalny”. W takim wypadku do wyboru mamy całkowite wyłączenie PMF, próbę uaktualnienia sterownika urządzenia klienckiego, albo całkowitą wymianę urządzenia klienta na nowsze.

Dobry inżynier powinien rozważyć każdą możliwość zwiększenia bezpieczeństwa w swojej sieci. Dotyczy to zwłaszcza sieci bezprzewodowych, gdzie niewielkie możliwości ograniczenia dostępu fizycznego do sieci wymuszają poszukiwanie innych rozwiązań. Świadome włączenie obsługi standardu IEEE 802.11w, po uprzednim zweryfikowaniu kompatybilności wszystkich urządzeń, jest na pewno pomysłem godnym polecenia. Należy jednak pamiętać, że ta metoda pozwala załatać tylko część problemów.

A czy Ty zamierzasz włączyć obsługę IEEE 802.11w (PMF) w swojej sieci?

TAGI: PMF
Łukasz Kowalski 4 października 2018
Udostępnij ten materiał
Facebook Twitter Whatsapp Whatsapp LinkedIn
Komentarze: 10
  • Sławek pisze:
    16 listopada 2018 o 07:19

    Bardzo dobry artykuł, nie rozumiem jednak pewnej części:
    \”Natomiast ramki, które muszą pojawić się przed pełnym nawiązaniem połączenia nie będą korzystać z mechanizmu PMF. Oto one:\” i pierwszą wymienioną jest beacons. W kolejnym akapicie, mamy wyjaśnienie działania mechanizmu PMF na przykładzie ramki beacon. Czyli finalnie beacons korzysta z PMF czy nie?

    Odpowiedz
    • Lukasz pisze:
      16 listopada 2018 o 07:19

      Cześć Sławek. Dziękuję za opinię i zwrócenie uwagi. Przede wszystkim odpowiem na Twoje pytanie – nie, ramka Beacon nie może używać PMF. Musi natomiast poinformować ewentualnych klientów o stosunku do mechanizmu PMF w tej konkretnej sieci – czyli albo nie obsługuje, albo użycie jest opcjonalne, albo użycie jest wymagane. Taki też był mój cel na przedstawienie tego, w związku z tym dokonałem następujących zmian – wydzieliłem akapit \”Skąd wiemy, że możemy użyć PMF?\”, dodałem akapit \”Skąd wiemy, że używamy PMF?\” oraz zmieniłem opisy obrazków. Raz jeszcze dziękuję za trafną uwagę, daj proszę znać jak wypadły zmiany. Z bezprzewodowym pozdrowieniem! 🙂

      Odpowiedz
  • Przemek pisze:
    12 kwietnia 2020 o 20:38

    Dobra robota!

    Odpowiedz
    • Łukasz Kowalski pisze:
      19 kwietnia 2020 o 17:38

      Dzięki Przemek! 😁

      Odpowiedz
  • Amadeusz pisze:
    22 kwietnia 2020 o 10:44

    Świetny artykuł. Przyjemnie się czyta.

    Odpowiedz
    • Łukasz Kowalski pisze:
      24 kwietnia 2020 o 09:13

      Dziękuję Amadeusz! 😊

      Odpowiedz
  • Bobson pisze:
    11 lutego 2021 o 23:19

    SHA1 i SHA256 absolutnie nie są metodami szyfrowania!
    Niechże Pan doczyta i poprawi takie babole.

    Odpowiedz
    • Łukasz Kowalski pisze:
      16 lipca 2021 o 12:55

      Dzięki za wyłapanie w tekście 🙂

      Odpowiedz
  • Krzychu pisze:
    8 marca 2021 o 09:27

    Pytanie laika: jak to się ma do prób zakłócania sygnału (jammer)?
    Firma znajomego została okradziona. Miał system bezprzewodowy (centralka GSM za 800 złotych)
    Powiadomienia doszły, ale po fakcie. Kamery nic nie nagrały… Policja po przyjeździe stwierdziła krótko: To robota zawodowców – mieli dobry zagłuszacz (jammer).
    Czy każdy sygnał bezprzewodowy jest podatny na takie \”wynalazki\” (typu jammer)???

    Odpowiedz
    • Łukasz Kowalski pisze:
      16 lipca 2021 o 13:03

      Tak. Komunikacja bezprzewodowa ma ten problem, że wystarczy odpowiednio silny sygnał, w odpowiednim miejscu i na odpowiedniej częstotliwości aby zakłócić inną komunikację. I niestety żaden protokół tu nie pomoże bo problem dotyczy warstwy fizycznej i zależny jest bezpośrednio od praw fizyki.

      Odpowiedz

Dodaj komentarz Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Może Ci się też spodobać

Wireless

Aruba Clustering – wprowadzenie

29 września 2019
Wireless

MNAS 017: Odwieczne pytanie – kabel czy Wi-Fi?

22 września 2019
Wireless

Obalamy mity ze świata Wi-Fi vol. 1

19 sierpnia 2019
Wireless

Access Pointy Cisco Catalyst serii 9100 – co nowego?

4 lipca 2019

NA STYKU SIECI

Tworzymy społeczność sieciowców skupioną dookoła rozwiązań oraz certyfikacji firmy Cisco Systems.
Przydatne linki
  • NSS+
  • Tagi
  • Podcast
Nasze projekty
  • Szkoła Sieci

Dołącz do NSSlettera

Informacje o nowych publikacjach oraz dodatkowe treści!

© Na Styku Sieci 2022 - powered by Alvortech

  • Polityka prywatności
  • Warunki użytkowania
  • O nas
  • Kontakt
Witaj ponownie!

Zaloguj się na swoje konto

Zapomniałeś/aś hasło?