IEEE 802.11w-2009

IEEE 802.11w-2009 является утвержденной поправкой к стандарту IEEE 802.11 для повышения безопасности его кадров управления.

Защищенные кадры управления[править]

Текущий стандарт 802.11 определяет типы «фреймов» для использования в управлении и контроле беспроводных линий. IEEE 802.11w — это стандарт защищенных кадров управления для семейства стандартов IEEE 802.11. TGw работает над улучшением уровня контроля доступа IEEE 802.11. Целью этого является повышение безопасности путем обеспечения конфиденциальности данных кадров управления, механизмов, обеспечивающих целостность данных, подлинность источника данных и защиту воспроизведения. Эти расширения взаимодействуют с IEEE 802.11r и IEEE 802.11u.

Обзор[править]

• Единое и унифицированное решение, необходимое для всех защищенных IEEE 802.11 кадров управления.
• Он использует существующие механизмы безопасности, а не создает новую схему безопасности или новый формат кадра управления.
• Это дополнительная функция в 802.11 и требуется для реализаций 802.11, которые поддерживают TKIP или CCMP.
• Его использование не является обязательным и может быть предметом переговоров между STA.

Классы[править]

• 1 класс
  • Маяк и зонд запрос/ответ
  • Аутентификация и де-аутентификация
  • Сообщение с индикацией трафика (announcement traffic indication message — ATIM)
  • Спектр управления действиями
  • Действие радиоизмерения между STA в IBSS
• 2 класс
  • Запрос/ответ ассоциации
  • Запрос/ответ повторной ассоциации
  • Диссоциация
• 3 класс
  • Диссоциация/деаутентификация
  • Кадр действия QoS
  • Радиоизмерительные действия в инфраструктуре BSS
  • Будущие кадры управления 11v

Незащищенные кадры[править]

Невозможно защитить кадр, посланный до 4-этапного «рукопожатия», потому что он отправлен до создания ключа. Управляющие кадры, отправляемые после создания ключа, могут быть защищены. Любые управляющие кадры, которые отправляются до создания ключей не защищены.

• сигнальный (beacon) и пробный (probe) кадр запрос\ответ
• Сообщение индикации движения объявления (ATIM)
• Проверки подлинности
• Запрос/ответ ассоциации
• Действие по управлению спектром

Защищенные фреймы[править]

Кадры управления с защитой — это те, которые отправляются после установления ключа и могут быть защищены с использованием существующей иерархии ключей защиты в 802.11 и ее поправках. Только кадры TKIP/AES защищены, а WEP/открытые кадры не защищены

• Разъединение и деаутентификация
• Действие радиоизмерения для инфраструктуры BSS (кадры 802.11k)
• Кадр действий QoS (кадры 802.11e)
• Будущие кадры управления 11v (кадры 802.11v)

Фреймы управления с защитой защищены тем же набором шифров, что и обычный MPDU данных.

• Полезная нагрузка MPDU шифруется по протоколу TKIP или CCMP.
• Полезная нагрузка и заголовок MPDU защищены TKIP или CCMP.
• Установлено подполе защищенного кадра поля управления кадром.
• Требуются только уже реализованные наборы шифров.
• Парный временный ключ отправителя (PTK) защищает кадр управления одноадресной передачей, а групповой временный ключ (GTK) используется для защиты кадра управления широковещательной/многоадресной передачей.
• Бит возможности IE RSN (802.11i), используемый для указания того, защищены ли защищенные кадры управления.

Защита от повторов[править]

Защита от повторов обеспечивается уже существующими механизмами. В частности, имеется счетчик (для каждой станции на ключ для каждого приоритета) каждого переданного кадра; используется в качестве вектора/инициализации (IV) в криптографической инкапсуляции/декапсуляции, и принимающая станция гарантирует, что полученный счетчик увеличивается.

Использование[править]

Стандарт 802.11w реализован в Linux и BSD как часть кодовой базы драйвера 80211mac, который используется несколькими интерфейсами беспроводных драйверов, например, ath9k. Эта функция легко включается в большинстве последних ядер и ОС Linux, использующих такие комбинации драйверов. В частности, OpenWrt обеспечивает простое ее включение/выключение как часть базового дистрибутива. В операционных системах Microsoft эта функция была впервые реализована в Windows 8. Это вызвало ряд проблем совместимости, особенно с беспроводными точками доступа, которые не обеспечивают совместимость со стандартами. Откат драйвера беспроводного адаптера до версии, предназначенной для Windows 7, обычно устраняет проблему. В беспроводных локальных сетях информация управления системой пересылается в незащищенных кадрах, что делает их уязвимыми. Этот стандарт призван защитить беспроводные сети от нарушений в работе, вызванных вредоносными системами, выдающими поддельные запросы на разъединение, которые выглядят так, будто отправлены действующим в сети оборудованием.

См. также[править]

• IEEE_802.11i-2004
• 802.11u
• IEEE_802.11e

Ссылки[править]

• http://grouper.ieee.org/groups/802/11/Reports/tgw_update.htm
• https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide/b_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter_0100.html