Definition

Was sind Protected Management Frames (PMF; 802.11w)?

| Autor / Redakteur: tutanch / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)

IEEE 802.11w ist ein Standard, der die Verschlüsselung einiger Management- und Steuerinformationen in einem WLAN ermöglicht. Mithilfe dieser Protected Management Frames lassen sich bestimmte Angriffsmethoden in drahtlosen 802.11-Netzwerkumgebungen verhindern.

Der Standard IEEE 802.11w sorgt dafür, dass bestimmte, in einem 802.11-WLAN übertragene Management- und Steuerinformationen verschlüsselt werden. Dies soll verhindern, dass Angreifer ohne einen gültigen Schlüssel die Kommunikation im WLAN stören oder in das Netzwerk eindringen können.

Eine andere Bezeichnung für die verschlüsselten Managementinformationen lautet Protected Management Frames, abgekürzt PMF. Protected Management Frames stellen die Integrität des Netzwerkmanagementverkehrs sicher und erhöhen die Widerstandsfähigkeit des WLANs gegen Angriffe. Für die Nutzung der Sicherheitsfunktion müssen sowohl der Accesspoint als auch der WLAN-Client Protected Management Frames unterstützen.

Zur Verschlüsselung der Management Frames ist es zudem notwendig, dass die WLAN-Umgebung WPA2 unterstützt. 802.11w stellt für WPA2 eine Erweiterung der Sicherheit dar und ist bei entsprechender Unterstützung durch die Hard- und Software optional nutzbar. Für den neuen WPA3-Standard sind die Protected Management Frames ein integraler Bestandteil.

Der Schutz und die Verschlüsselung der Management Frames erfolgt während des Vier-Wege-Handshakes. Wird die Verschlüsselung und der Schutz der Management Frames von Clients oder Accesspoints nicht gemäß dem Standard ausgeführt, kann es bei der Anmeldung der Stationen im WLAN zu Kompatibilitätsproblemen kommen. In diesem Fall ist auf die Nutzung von Protected Management Frames zu verzichten.

In vielen drahtlosen Endgeräten und Betriebssystemen wie Linux oder Windows ist 802.11w implementiert. So nutzt Windows die Sicherheitsfunktion seit der Version Windows 8. IEEE 802.11w interagiert mit anderen Erweiterungen des 802.11-Standards wie IEEE 802.11r (Fast BSS Transition (FT) oder Fast Roaming) und IEEE 802.11u (Features für verbessertes Interworking mit externen Netzwerken).

Warum Protected Management Frames?

Ursprünglich waren in den verschlüsselten WLAN Umgebungen die für den Aufbau und den Betrieb der Datenverbindungen notwendigen Steuer- und Managementinformationen teils unverschlüsselt. Dies hatte zur Folge, dass die Daten für jeden lesbar und analysierbar waren – und zwar ohne im WLAN angemeldet oder im Besitz eines gültigen Schlüssels zu sein. Nur der eigentliche Datenverkehr war verschlüsselt und vor fremdem Zugriff geschützt. Angreifer konnten also unverschlüsselte Management Frames selbst produzieren und in das WLAN senden.

Das Spoofing von Management Frames lässt sich nutzen, um die Kommunikation im drahtlosen Netzwerk zu stören oder mithilfe komplexerer Angriffsmethoden in das Netzwerk einzudringen. Beispielsweise sind durch einen so genannten Deauthentication-Angriff, auch Deauthentication Flooding genannt, Verbindungen im WLAN gezielt auftrennbar. Angreifer senden hierfür gefälschte Deassoziierungspakete und melden Clients im WLAN ab. Möchte der Client das WLAN weiter nutzen, muss er sich erneut anmelden. Der Angreifer erhält die Möglichkeit, einen kompletten WPA-Handshake aufzuzeichnen. Die aufgezeichneten Daten lassen sich für Brute-Force Wörterbuchangriffe verwenden.

Weitere Angriffsmöglichkeiten und Schwachstellen in einem WLAN ohne Protected Management Frames sind:

  • Ermitteln der SSID versteckter WLANs durch die Aufzeichnung ausgelöster Association Requests
  • Man-in-the-middle-Angriffe durch gezieltes Abmelden eines Clients und Anmelden an einem betrügerischen Accesspoint

Der IEEE Standard 802.11w schützt nur bestimmte und nicht alle Managementinformationen. Insbesondere sollen Deauthentication Frames, Disassociation Frames und Action Management Frames geschützt werden. Angriffsmethoden, die sich auf Frames stützen, die nicht durch 802.11w gesichert sind, sind weiterhin möglich. Nicht verschlüsselbare Frames in einem WLAN sind die Frames, die vor dem Vier-Wege-Handshake ausgetauscht werden, denn die Verschlüsselung wird erst während des Handshakes etabliert. Management Frames nach dem Handshake lassen sich grundsätzlich verschlüsseln. Nicht geschützte Managementinformationen sind beispielsweise:

  • Beacons
  • Probe Requests und Responses
  • Spektrum Management Informationen
  • Announcement Traffic Indication Messages (ATIM)

Drei verschiedene Optionen für Protected Management Frames

Sind in einem WLAN beziehungsweise an einem WLAN-Accesspoint Protected Management Frames nach IEEE 802.11w implementiert, stehen für die Anmeldung der Clients grundsätzlich drei Optionen zur Verfügung. Mit diesen Optionen lässt sich sicherstellen oder ausschließen, dass Clients ohne 802.11w-Unterstützung das drahtlose Netzwerk nutzen. Die drei verfügbaren PMF-Optionen sind:

  • 1. Clients melden sich ohne PMF an. Die Management Frames sind grundsätzlich nicht geschützt und nicht verschlüsselt. PMF ist nicht aktiviert oder konfiguriert
  • 2. Protected Management Frames sind zwingend vorgeschrieben. Die Management Frames werden daher immer verschlüsselt. Clients ohne 802.11w-Unterstützung erhalten keinen Zugang zum drahtlosen Netzwerk.
  • 3. Die Verwendung von Protected Management Frames ist optional. Je nach 802.11w-Unterstützung des WLAN-Clients sind die Management Frames unverschlüsselt oder verschlüsselt. Der Client entscheidet selbst, ob er PMF verwendet oder nicht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

VR- und Datenbrillen als Herausforderung für die IT

Wearable Computing im Unternehmen

VR- und Datenbrillen als Herausforderung für die IT

Angesichts des wachsenden Einsatzes von VR- und Datenbrillen in Unternehmen unterschiedlichster Größe, stellt sich den Unternehmen immer häufiger die Frage, welche Herausforderungen der Einsatz der Geräteklasse „Wearables“ an die IT-Abteilung und die IT-Infrastruktur stellt und wie diesen begegnet werden kann. lesen

Einfache Kontrolle über Gastkonten im WLAN

Meru Identity Manager verknüpft mit Property Management Systemen

Einfache Kontrolle über Gastkonten im WLAN

Gastkonten in WLAN-Netzen unkompliziert erstellen geht mit dem Identity Manager von Meru Networks. Jetzt arbeitet die Software auch mit Property Management Systemen (PMS) zur computergestützten Verwaltung von Hotels zusammen. lesen

Unified Communications zentralisiert Hotel-Kommunikation

Siemens Enterprise Communications (SEN) versorgt Welcome Hotels mit UCC

Unified Communications zentralisiert Hotel-Kommunikation

In den aktuell 17 Welcome Hotels in ganz Deutschland wird ab sofort eine UC-Analge von Siemens Enterprise Communications (SEN) sämtliche Kommunikation und einige Komfort-Management-Aufgaben übernehmen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45631912 / Definitionen)