نشرت تحت تصنيف ALL

منع اختراق الشبكات اللاسلكية مع MFP


Management Frame Protection : MFP

122112_1400_1.png

رغم أن المؤسسات التي تنظم بروتوكولات و معايير الشبكات مثل IEEE و WIFI تتضافر لإخراج معايير أكثر تشددا و ذكاء لطرق توثق و تشفير الولوج للشبكات اللاسلكية فإن هناك ثغرات كثيرة و خطيرة تأتي من قبل الفريمات الإدارية للشبكات اللاسلكية Wireless Management Frames مثل authentication deauthentication , association disassociation, beacons, probes

و حيث أن هذه الفريمات يتم ارسالها بدون أي تأمين حتي و إن كنت تستخدم أقصي درجات التأمين و التشفير و التوثيق مثل Wi-Fi Protected Access [WPA], WPA2, VPN و هذا يعني أن أي هاكر يستطيع أن يتعرف علي ما تحمله هذه الفريمات ان استطاع أن يلتقطها و يحللها بوساطة برنامج Air Crack علي سبيل المثال

و لكن هل قمت مسبقا بالتدرب علي إختراق الشبكات اللاسلكية بواسطة برنامج Air Crack و نجحت فعلا في اكتشاف مفتاح التشفير ثم فوجئت أن اتصالك بالشبكة غير فعال و أنك كلما اتصلت بها رفضتك

السبب في ذلك هو أن هذه الشبكة قد تكون داعمة لتقنية حماية الفريم MFP و التي تمنع أي محاولات اختراق لهذه الشبكة

و سيسكو لم تكن بعيدة عن هذا الواقع فقد قامت بواسطة جهازها الرائع Cisco Wireless LAN Controllers (WLCs) بحماية و تأمين هذه الفريمات بطريقة أطلقت عليها Management Frame Protection MFP- و صنفتها الي صنفين Infrastructure MFP و Client MFP

Infrastructure MFP

122112_1400_2.png

يسمي هذا النوع بهذا الإسم لأن الأكسس بوينت هو المنوط به تبادل الرسائل و الفريمات للتأكد من صلاحية الأجهزة للدخول في الشبكةو لا يحتاج التأكيد من خلال client , و هنا يقوم الكنترولر بتوليد صبغة خاصة Signature لكل شبكة لاسلكية SSID يتم وضعها في الفريم الإداري Management Frame و يتم تبادلها في صيغة معقدة تسمي message integrity check (MIC) و عند أي اعتراض لهذا الفريم يتم اكتشافه , و عندما يكتشف الكنترولر أي أكسس بوينت لا يتم ارسال فريماته بهذه الطريقة فإنه يقوم علي الفور بوصمه كأكسس بوينت غريب أو دخيل Rogue AP

و عندما يستقبل الأكسس بوينت فريم MFP لا يعلم مصدره فإنه يقوم بإرسال نسخة الي الكنترولر ليأخذ منه مفتاح التعامل مع هذا الفريم و يكون السيناريو احد هذه الثلاث

  • اذا كان أن BSSID أو ما يعرف بـ MAC غير معروفة من الكنترولر فإن الكنترولر يقوم بإرسال فريم الي الأكسس بيونت يخبره أن الجهاز الذي يتصل بك غير معروف مما يجعل الأكسس بوينت يرفض طلب هذه الجهاز
  • اذا كان أن BSSID أو ما يعرف بـ MAC معروف من الكنترولر و لكن MFP معطلة و الفريم لا يرسل بالصيغة message integrity check (MIC) فإن الكنترولر يعيد الفريم مرة أخري للجهة التي أتي منها ليقوم بتصحيح شكل الفريم بالصيغة MIC و بالتشفير MFP
  • اذا كان أن BSSID أو ما يعرف بـ MAC معروف من الكنترولر و الفريم مرسل بالصيغة message integrity check (MIC) بالتشفير MFP فإن الكنترولر يقوم بإرسال المفتاح الي الأكسس بوينت عبر قناة مشفرة AES-encrypted LWAPP management tunnel

Client MFP


من المخاطر الشائعة في الشبكات اللاسلكية هي AP Impersonation أو Spoof AP MAC و يقوم فيها المخترق بانتحال صفة أكسس بوينت في الشبكة عبر استخدام نفس MAC للأكسس بوينت و يقوم بإرسال فريمات إدارية الي أجهزة في الشبكة مثل deauthentication و disassociationو هي فريمات يرسلها الأكسس بوينت الي الأجهزة لفصلها عن الشبكة لإجبارها مرة أخري علي الإتصال بالأكسس بوينت أو عمل اختراقات DoS

مع Client MFP يتم تأمين ارسال الفريمات الإدارية بين الأكسس بوينت و الأجهزة و لهذا فإن كلا من الأكسس بوينت و الأجهزة يستطيعان كشف و ايقاف أي محاولة لإنتحال صفة اي طرف في الشبكة أو اي محاولة للهجوم عبر DOS

في هذه الطريقة يتم تأمين الفريمات الإدارية ذات الوجهة الواحدة Unicast Frame مثل deauthentication و disassociationو Probe Response حيث يتم اسقاط أي فريم لم يتم حمايته بطريقة MFP و يتم ابلاغ الكنترولر عنه لوصمه كدخيل

و لتستطيع دعم هذه الطريقة فلابد أن تعمل الأجهزة تحت مظلة تقنية سيسكو Cisco Compatible Extensions v5 مع استخدام تقنيات تشفير WPA2 مع Temporal Key Integrity Protocol (TKIP) أو AES-Counter CBC-MAC (AES-CCMP6)

إعداد MFP علي الكنترولر

في النهاية و لإعداد MFP علي الكنترولر قم بالدخول علي AP Authentication/MFP تحت Wireless Protection Policies


ثم ثم بالدخول علي الأكسس بوينت من خلال الكنترولر كما بالشكل المقابل


و لتتأكد من ذلك قم بالدخول الي Management Frame Protection  من التبويب security علي واجهة الكنترولر


في النهاية أحب أن أنوه أن ما كتبته هنا غيض من فيض و هي نبذة بسيطة أودعتها سيسكو في شهادة CCNA Wireless و “البهاريز” كلها في منهج أمن الشبكات اللاسلكية في CCNP Wireless و CWSP

نادر المنسي


المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

رأيان على “منع اختراق الشبكات اللاسلكية مع MFP

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s