Что такое Wi-Fi PMF
Обновлено: 21.11.2024
Целью поправки к стандарту 802.11w, которая была ратифицирована в 2009 году и закреплена в стандарте IEEE 802.11-2012, – предоставить способ защитить кадры управления от атак.
Наиболее известными атаками, которые должна устранить эта поправка, являются атаки «деаутентификации» и «отключения», которые могут использоваться по нескольким причинам:
- DoS-атака L2 на уникального клиента, BSS или даже на каждую отдельную STA, которая находится в пределах досягаемости злоумышленника.
- Принуждение клиентов к повторной аутентификации и связыванию:
- может использоваться для получения SSID из скрытой сети путем перехвата запроса на ассоциацию
- может использоваться для захвата 4-стороннего рукопожатия, которое в сочетании с PSK позволяет злоумышленнику расшифровывать кадры L2.
- может использоваться для атаки "человек посередине" путем принудительного переключения клиентов с текущей точки доступа на неавторизованную точку доступа.
Эти атаки выполняются злоумышленником, который отправляет кадры деаутентификации или отключения клиентам с поддельным адресом передатчика, совпадающим с BSSID точки доступа, к которой в данный момент подключен клиент (и/или отправляет те же кадры с поддельным MAC-адресом клиента). адрес в качестве адреса передатчика для точки доступа).
Вы можете задаться вопросом, почему я пишу сообщение в блоге о поправке, которая была ратифицирована почти десять лет назад… Причина в том, что она актуальна как никогда! Приближается WPA3, и одним из основных пунктов для STA, чтобы получить «Wi-Fi CERTIFIED WPA3», является «Требовать использования защищенных кадров управления (PMF)». Поэтому, когда мы захотим внедрить «настоящий WPA3» в будущем, мы неизбежно столкнемся с этой темой так или иначе.
Разные вкусы PMF
Защита кадров управления осуществляется во время четырехэтапного рукопожатия, поэтому PMF возможен только в зашифрованных сетях (PSK или 802.1X).
Есть 3 варианта настройки PMF:
- Нет: либо не настроено/включено, либо не поддерживается
- Возможно/необязательно: SSID поддерживает PMF, но позволяет клиенту решать, использовать его или нет.
- Обязательный/обязательный: SSID поддерживает PMF, и клиенты могут подключаться к SSID только в том случае, если они также поддерживают PMF
Вы можете проверить RSN IE в маяковых кадрах сети, чтобы определить, какой из них настроен. В этом примере PMF настраивается как опция (бит установлен на «возможность»), но не является обязательным (бит не установлен на «требуется»):
Набор шифров «BIP» (протокол целостности широковещательной/многоадресной передачи; AKM Suite 6) также является частью расширения 802.11w и используется для защиты многоадресных и широковещательных кадров управления.
Лабораторный тест
В своей лаборатории я настроил SSID, поддерживающий PMF, и подключил 2 клиента: один из них поддерживает PMF, а другой — нет.
Во-первых, я отправил кадры деаутентификации со своей точки доступа клиентам, которые, судя по журналу событий точек доступа, все еще работали:Если вы сравните два фрейма деаутентификации, вы увидите, что оба помечены как «Деаутентификация» (подтип 0x000c). Но кадр, отправленный не-PMF-клиенту, весь в открытом тексте…:
… пока кадр, отправляемый PMF-клиенту, зашифрован:
Для второго теста я попытался смоделировать атаку, отправив кадры деаутентификации с помощью aireplay-ng, и оба кадра деаутентификации были отправлены в открытом виде:
Из-за наличия функции «Защищенный фрейм управления» я смог деаутентифицировать только клиента, не использующего PMF.
Заключение
По моему мнению, держать ваши зашифрованные беспроводные локальные сети «без PMF» не имеет смысла, и вам следует протестировать и включить «дополнительный» вариант PMF, если вы еще этого не сделали. Это также хороший способ получить представление о возможностях PMF ваших клиентов, отслеживая детали их связи.
Кроме того, я бы рекомендовал включить «обязательное» только в том случае, если а) вы знаете всех своих клиентов и уверены в их возможностях PMF или б) у вас есть 2 SSID (один для клиентов с поддержкой PMF и один резервный для « устаревшие устройства).
Если у вас есть какие-либо вопросы или другие мнения по этой теме, сообщите мне об этом.
Ура, РенцоС годами использование Интернета увеличилось, потому что людям нравится быть на связи друг с другом. Однако в том же духе участились случаи киберугроз и взломов. В связи с увеличением числа взломов личные и деловые данные подвергаются риску нарушения и взлома. Вот почему PMF были разработаны для обеспечения безопасности беспроводного соединения. В этой статье мы делимся всем, что вам нужно знать о PMF!
Защищенные фреймы управления ASUS
PMF — что это такое?
PMF расшифровывается как Protected Management Frames и разработан как стандарт. Этот стандарт разработан Wi-Fi Alliance для обеспечения безопасности и безопасности соединений Wi-Fi. Кадры управления проектами обеспечивают многоадресные и одноадресные действия и кадры. Это условие осуществляется через WPA2/WPA3, что еще больше усиливает защиту конфиденциальности пакетов.
Когда дело доходит до кадров управления одноадресной передачей, им предлагается защита от подделок и прослушивания. С другой стороны, рамки действий многозадачного управления защищены от подделки. Если вы используете Passpoint, Wi-Fi Optimized Connectivity и Wi-Fi Agile Multiband, необходимость в PMF обязательна.
PMF — это неотъемлемая часть встроенного ПО ASUS, обеспечивающая соответствие модемов и маршрутизаторов ASUS самым высоким стандартам конфиденциальности. Кроме того, он усиливает защиту конфиденциальности, повышая защиту и устойчивость к хакерским атакам. Если вы хотите проверить настройки PMF на ASUS, следуйте приведенным ниже инструкциям;
- Откройте дополнительные настройки
- Перейти к беспроводному соединению
- Перейти к общему
- Прокрутите вниз, и вы найдете фреймы управления проектами.
Что он делает?
Проще говоря, при включении защищенных фреймов управления на ASUS деаутентификация не потребуется. Это значит, что третьи стороны будут заблокированы, и они не будут отправлять кадры деаутентификации. Рекомендуется включить PMF на вашем Wi-Fi (да, даже если вы используете сети 2G и 5G).
Более того, его можно использовать для уменьшения вероятности использования фрейма деаутентификации для инициации DoS. Кроме того, это ограничит клонирование MAC-адресов, поскольку оно может переключать точки доступа, создавая вход в ваше соединение Wi-Fi. Все устройства ASUS сертифицированы для работы со стандартом 802.11AC, а это означает, что модемы и маршрутизаторы ASUS обеспечивают надлежащую безопасность.
Шифрование
Это одна из форм шифрования, обладающая экстремальными свойствами беспроводной сети. В дополнение к PMF существует MFP, обеспечивающий защиту между точкой доступа и клиентом. Но опять же, это стандарты шифрования. Если вы включите МФУ в своем Wi-Fi, согласование будет завершено для отключения, действий QoS и деаутентификации.
Когда дело доходит до защищенных фреймов управления, иногда это может приводить к проблемам с подключением. Это потому, что эта функция обычно поддерживается только в Asus. Как только вы включите PMF на Asus, это не повлияет на подключение к другим сетям Wi-Fi и маршрутизаторам (отключенным!).
Давным-давно сеть отелей решила саботировать точки доступа Wi-Fi своих клиентов. FCC это совсем не понравилось, и она вмешалась, и, к счастью, эта практика прекратилась. Но другие могут по-прежнему думать, что это хорошая идея, и на самом деле она может сойти с рук, если только точки доступа и мобильные устройства не начнут внедрять защищенные кадры управления (PMF). Это все было еще в 2015 и 2016 годах, но с тех пор я не видел точек доступа, которые реально реализуют защиту в дикой природе. Но теперь моя домашняя точка доступа Fritzbox 7590 Wifi поддерживает эту функцию, поэтому я посмотрел, как ведут себя клиенты с активированным PMF и без него.
Итак, вот как функция PMF работает на практике: Пока кадры управления Wi-Fi не защищены, что означает, что злоумышленник может отправлять кадры деассоциации на устройство, подделывая MAC-адрес. Это фактически выбивает устройство из сети. Для защиты от этой и других атак комиссия IEEE 802.11 предложила защищать, т. е. шифровать, кадры управления с помощью сеансового ключа для каждого пользователя. Если точка доступа поддерживает это, она объявляет об этой возможности в своем сигнальном кадре в поле Возможности RSN. На первом изображении слева в начале поста показана эта часть кадра маяка моей точки доступа с установленным битом «PMF-поддержка» (нажмите, чтобы увеличить).
Если мобильное устройство поддерживает PMF, оно указывает это в сообщении запроса на ассоциацию при первом подключении к сети Wi-Fi и включает дополнительную информацию о возможностях шифрования для кадров управления. Второе изображение слева показывает, как это выглядит на практике. Как и в сигнальном кадре, также имеется бит поддержки PMF, который устанавливается независимо от того, объявляется ли точка доступа о поддержке PMF или нет. Если точка доступа поддерживает PMF, устройство дополнительно включает в параметр PMKID дополнительную информацию, которая в противном случае отсутствует. Я отметил эту часть зеленым цветом на изображении слева.
Затем точка доступа использует эту информацию во время процедуры аутентификации и шифрования WPA EAPOL, чтобы вернуть дополнительные данные ключа WPA для защиты кадров управления. Третье изображение слева показывает сравнение 3-го кадра обмена EAPOL с включенной информацией о шифровании PMF и без нее. Слева длина данных ключа WPA составляет 56 байт, а справа при активированном PMF 88 байт отправляются с точки доступа на мобильное устройство.
И, наконец, вот сравнение сообщения управления отсоединением с защитой PMF и без нее:
При правильной реализации и предположим, что все сделали все возможное, незашифрованные кадры управления отсоединением просто игнорируются для подключений, для которых активирован PMF. Для обратной совместимости точка доступа одновременно поддерживает устройства PMF и устройства без PMF, если только PMF не настроен как обязательный (что невозможно на моем Fritzbox 7590).
И что еще лучше, я заметил, что не только мой домашний маршрутизатор Wi-Fi поддерживает PMF в эти дни, но и мой смартфон, который я использую для модема Wi-Fi. По умолчанию он отключен, но его можно активировать в дополнительных настройках точки доступа! Дополнительные технические подробности по этой теме см. в этом замечательном посте.
Wi-Fi – это широковещательная среда, которая позволяет любому устройству прослушивать и участвовать в качестве законного или мошеннического устройства. Кадры управления, такие как аутентификация, деаутентификация, ассоциация, диссоциация, маяки и зонды, используются беспроводными клиентами для инициирования и разрыва сеансов сетевых служб. В отличие от трафика данных, который может быть зашифрован для обеспечения определенного уровня конфиденциальности, эти кадры должны быть услышаны и поняты всеми клиентами и, следовательно, должны передаваться как открытые или незашифрованные. Хотя эти кадры не могут быть зашифрованы, они должны быть защищены от подделки, чтобы защитить беспроводную среду от атак. Например, злоумышленник может подделать кадры управления от точки доступа, чтобы атаковать клиента, связанного с этой точкой доступа.
Поправка 802.11w применяется только к набору надежных кадров управления, защищенных службой защищенных кадров управления (PMF). К ним относятся фреймы Disassociation, Deauthentication и Robust Action.
Конфигурация
802.11w настраивается для каждого SSID через панель мониторинга Meraki и отключен по умолчанию. Чтобы включить, администратор может установить для 802.11w значение Включено или Обязательно на странице Беспроводная связь > Конфигурация > Контроль доступа. Включено позволяет работать в смешанных режимах, разрешая связывание устаревших устройств, не поддерживающих 802.11w, а также разрешая устройствам, поддерживающим 802.11w, использовать функции 802.11w. Обязательно не позволит клиентам, не поддерживающим 802.11w, связываться с SSID.
Некоторые устаревшие устройства, не поддерживающие стандарт 802.11w, могут не подключаться к SSID даже в смешанном режиме. Это может быть связано с тем, что устройство неправильно обрабатывает рекламируемую информацию, содержащуюся в маяках.
Мониторинг и устранение неполадок 802.11w
Когда MFP 802.11w включен в SSID, параметры RSN будут включены в кадры ответа маяка и зондирования точки доступа. Если на панели Meraki Dashboard выбрано значение Включено, будет установлен только флаг Management Frame Protection Capable.Если на панели Meraki Dashboard выбрано Обязательно, то также будет установлен флаг «Требуется защита кадра управления». Эти два флага сообщают о возможностях защиты кадра управления 802.11w клиентам, подключенным к беспроводной сети:
Дополнительные сведения о шифровании также включаются в некоторые кадры управления как для клиента, так и для него. Ниже приведен пример кадра разъединения, отправленного клиентом на точку доступа Meraki:
Обратите внимание на параметры CCMP и элементы данных во фрейме. Параметры CCMP указывают, что элементы данных зашифрованы. Когда кадр получен точкой доступа Meraki, он будет расшифрован с использованием доверенных ключей, установленных во время ассоциации, чтобы подтвердить, что кадр поступил от клиента.
Читайте также: