Chapitre 14
Configuration WDS et itinérance rapide sécurisée
Client MFP pour points
d'accès en mode racine
368
Présentation
Client MFP chiffre les trames de gestion de classe 3 envoyées entre les points
d'accès et les stations client compatibles CCXv5, afin que le point d'accès et le
client prennent des actions préventives en abandonnant des trames de gestion
classe 3 usurpées, par exemple, des trames de gestion entre un point d'accès et une
station client authentifiée et associée.
Client MFP s'appuie sur les mécanismes de sécurité définis par IEEE 802.11i
pour protéger les trames de gestion en monodiffusion de classe 3. La suite de
chiffrement en monodiffusion RSNIE négociée par le STA dans la requête de
réassociation est utilisée pour protéger à la fois les données en monodiffusion et
les trames de gestion classe 3. Un point d'accès en mode passerelle d'exploitation
locale, répéteur ou passerelle non racine doit négocier TKIP ou AES-CCMP
pour utiliser Client MFP.
Protection des trames de gestion monodiffusées
Les trames de gestion monodiffusées de classe 3 sont protégées en appliquant
AES-CCMP ou TKIP comme ce qui est déjà pour les trames de données. Client
MFP est seulement activé pour des points d'accès autonomes si le chiffrement est
AES-CCMP ou TKIP et la gestion de clé WPA version 2.
Protection des trames de gestion multidiffusées
Pour prévenir les attaques utilisant les trames de multidiffusion, les points d'accès
prenant en charge CCXv5 n'émettent pas de trames de gestion multidiffusées de
classe 3. Un point d'accès en mode passerelle d'exploitation locale, répéteur ou
passerelle non racine rejette les trames de gestion multidiffusées de classe 3 si
Client MFP est activé. MFP client est activé uniquement pour les points d'accès
autonomes si le chiffrement est AES-CCMP ou TKIP et gestion des clés WPA
version 2.
Les points d'accès autonomes en mode racine prennent en charge les clients en
mode mixte. Les clients avec capacité CCXv5 et suite de chiffrement négociée
AES ou TKIP avec WPAv2 sont activés Client MFP. Client MFP est désactivé
pour les clients qui n'ont pas la capacité CCXv5. Par défaut, Client MFP est
facultatif pour un SSID particulier sur le point d'accès et peut être activé ou
désactivé à l'aide de CLI en mode de configuration SSID.
Client MFP peut être configuré comme obligatoire ou facultatif pour un SSID
particulier. Pour configurer Client MFP tel que requis, vous devez configurer le
SSID avec gestion de clé WPA version 2 obligatoire. Si la gestion de clé n'est pas
WPAv2 obligatoire, un message d'erreur est affiché et votre commande CLI est
rejetée. Si vous tentez de modifier la gestion de clé avec Client MFP configuré
comme obligatoire et la gestion de clé WPAv2, un message d'erreur apparaît et
rejette votre commande CLI. Lorsqu'il est configuré comme facultatif, Client
MFP est activé si le SSID a la capacité WPAv2, sinon Client MFP est désactivé.
Publication Rockwell Automation 1783-UM006B-FR-P– Janvier 2015