что такое pmf в wifi
Угрозы для беспроводной корпоративной сети WPA2-Enterprise и способы защиты
Не так давно совместно с Digital Security мы провели пентест своей корпоративной wi-fi-сети. Сегодня с коллегами расскажем, что может угрожать беспроводной сети, построенной на базе WPA2-Enterprise с аутентификацией по доменному аккаунту, и как от этого защититься.
Про WPA2-Enterprise
Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.
Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).
Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (802.1X), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.
Схема работы WPA2-Enterprise.
Процесс подключения клиента к беспроводной сети кратко можно описать так.
При подключении данные клиента передаются на точку доступа/контроллер при участии протокола 802.1x. Далее информация отправляется на RADIUS-сервер, где происходит аутентификация клиента: RADIUS-сервер проверяет, есть ли в его списках такой клиент с указанным логином и паролем и можно ли его подключать.
После успешной аутентификации точка доступа подключает клиента в сеть.
Рассмотрим подробнее процесс аутентификации на RADIUS-сервере:
От чего защищаемся
Врага надо знать в лицо, поэтому ниже кратко пройдемся по механике возможных атак против сети WPA2-Enterprise с аутентификацией по доменным аккаунтам.
Подключение клиентов к ложной точке доступа. Зная имя сети SSID (ESSID, если сеть построена на нескольких точках доступа) и MAC-адрес точки доступа (BSSID), злоумышленник может развернуть нелегитимную точку доступа.
Чтобы увеличить свои шансы на успех, злоумышленники используют следующие нехитрые приемы:
Чтобы было куда подключить эту точку доступа, злоумышленник разворачивает свой RADIUS-сервер, к которому будет подключаться нелегетимная точка доступа. У этого RADIUS-сервера нет задачи аутентифицировать клиента и проверить, указал ли он правильный пароль. Главное – получить от клиента авторизационные данные, логин и ответ на предоставленный ложным Radius-сервером challenge. Их злоумышленник будет использовать для оффлайн подбора пароля и последующего подключения к целевой корпоративной беспроводной сети.
Без мониторинга эфира обнаружить местонахождение нелегитимной точки доступа не всегда просто. Злоумышленник вряд ли будет выглядеть, как человек с огромным рюкзаком, кучей антенн и дизель-генератором на тележке.
Например, для своих пентестов коллеги из Digital Security используют портативный бытовой роутер со встроенной батарейкой (типа этого). Перепрошивают с помощью OpenWRT и устанавливают кастомный пакет. На выходе получается точка доступа со встроенным RADIUS-сервером, которая может при необходимости прослушивать эфир и собирать данные. При желании можно и вовсе воспользоваться обычным телефоном.
Места размещения таких точек доступа ограничиваются только изобретательностью взломщика. Если офис жертвы находится в бизнес-центре, то можно развернуть точку доступа в фойе до турникетов или лобби с диванчиками. Удобно разместить такую точку доступа в кабине лифта: она с большой скоростью удаляется от легитимных точек доступа, поэтому клиентское устройство оказывается в ловушке и с большой вероятностью подключится к ложной точке доступа. Злоумышленник может даже кататься с ложной точкой доступа на корпоративном транспорте, который развозит сотрудников до метро после работы.
Принудительная деаутентификация. Если клиент уже подключен к легитимной точке доступа, то его нужно как-то отключить от нее (принудительно деаутентифицировать), чтобы переподключить к ложной. Злоумышленник прослушивает эфир. Для этого он переводит свой wi-fi-адаптер в режим monitor-mode. Обычно для этого используют набор утилит aicrack-ng. С его же помощью злоумышленник начинает рассылать беспроводным клиентам сообщения о том, что легитимная точка доступа, к которой уже подключен клиент, отключается и уходит из эфира. Такой эффект достигается с помощью инъекции фреймов управления wi-fi (Management Frame), а именно: фреймов деассоциации и деаутентификации.
В результате клиент отключается от точки доступа и начинает искать новую точку доступа с таким же ESSID. В этой ситуации как раз пригождается точка доступа с более мощным сигналом. Клиентское устройство пытается к ней подключиться. Если клиент пройдет аутентификацию на ложном RADIUS-сервере, злоумышленник может захватить имя пользователя и аутентификационную MSCHAPv2-сессию.
Как защищаемся
Рассмотренные атаки можно предотвратить, если использовать следующие меры защиты:
| Атака | Мера |
|---|---|
| Подключение клиентов к ложной точке доступа | мониторинг эфира для выявления фейковых точек доступа; аутентификация пользователей с использованием клиентских сертификатов |
| Принудительная деаутентификация клиента | мониторинг эфира для выявления попыток принудительной деаутентификации клиентов беспроводных сетей; активация 802.11w (Protected Management Frames, PMF) на контроллере |
Далее расскажем, как реализован каждый из способов защиты в нашем случае.
Мониторинг эфира и выявление ложных точек доступа. Организовать мониторинг эфира можно с помощью штатных средств точек доступа и контроллера WLAN. Далее речь пойдет об устройствах Cisco.
Для этого на точках доступа активируется механизм Off Channel Scanning, в котором он периодически сканирует эфир по всем каналам. В результате такого мониторинга он выявляет наименее загруженный канал и сторонние точки доступа (в терминологии Cisco – Rogue AP). Данные с точек доступа отправляются на контроллер, к которому они подключены.
На самом контроллере настраивается правило классификации сторонних точек доступа, согласно которому все посторонние точки доступа с SSID, эквивалентным нашему, считаются нелегитимными (malicious в терминологии Cisco). Подробно о настройке контроллера Cisco можете почитать в этой серии статей.
Так выглядит сообщение о найденной нелегитимной точке доступа в веб-интерфейсе контроллера.
681 Mon Apr 10 12:10:55 2017 Rogue AP: 14:2d:27:ef:f8:2b with Contained mode added to the Classified AP List.
682 Mon Apr 10 12:10:55 2017 Rogue AP 14:2d:27:ef:f8:2b is advertising our SSID. Auto containing as per WPS policy
Сообщения в логах контроллера при обнаружении нелегитимной точки доступа.
В системе мониторинга (в нашем случае это Nagios) настроен SNMP-опрос контроллера. При обнаружении нелегитимной точки доступа на экран мониторинга выводится сообщение, содержащее:
С помощью таблицы соответствия MAC-адреса точки доступа и ее месторасположения можно определить примерное расположение нелегитимной точки доступа.
Сообщение в системе мониторинга о том, что была зафиксирована нелегитимная точка доступа.
Мониторинг эфира на предмет попыток принудительной деаутентификации беспроводных клиентов. В рамках системы обнаружения вторжений (intrusion detection system, IDS) у контроллера Cisco есть штатный набор стандартных сигнатур, с помощью которых он может распознавать потенциально опасное поведение клиентов и соседских точек доступа. Сюда как раз относятся множественные попытки деаутентификации, аутентификации, ассоциации и пр.
Wed Apr 12 10:17:53 2017 IDS Signature attack detected. Signature Type: Standard, Name: Auth flood, Description: Authentication Request flood, Track: per-signature, Detecting AP Name: OST_Reception, Radio Type: 802.11b/g, Preced: 5, Hits: 500, Channel: 11, srcMac: 14:2d:27:ef:f8:2b
Сообщения о множественной аутентификации в логах контроллера Cisco
Рассматриваемый контроллер также имеет механизмы предотвращения вторжений (IPS). Например, при выявлении нелегитимной точки доступа можно противодействовать вторжению теми же средствами, которые используются и при атаках, – деаутентификацией и деассоциацией. Контроллер можно настроить так, что при появлении точки доступа с SSID, совпадающим с анонсируемым контроллером, будет запускаться механизм auto contain: точки доступа, фиксирующие сигнал нелегитимной точки доступа, начинают отправлять клиентам кадры деаутентификации от имени этой точки доступа. В результате клиенту становится очень сложно работать и передавать данные нелегитимной точке доступа.
Настройка автоматической деаутентификации клиентов, подключившихся к нелегитимной точке доступа, на контроллере Cisco.
Получать информацию от контроллера о событиях IDS можно двумя способами: отправка SNMP-трапов в систему мониторинга или парсинг журнала контроллера.
В систему мониторинга также приходит сообщение с МАС-адресом нелегитимной точки доступа и МАС-адрес легитимной точки доступа, которая ее обнаружила.
Для защиты от принудительной деаутентификации на контроллере активируется 802.11w (Protected Management Frames, PMF). Этот режим предотвращает атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной. При использовании 802.11w фреймы Disassociation, Reassociation, Deauthentication подписываются ключом, известным только авторизованным клиентам и легитимным точкам доступа. В результате клиент может определить, получен данный фрейм от легитимной точки или нет.
Активация 802.11w PMF в веб-интерфейсе контроллера Cisco.
Аутентификация по пользовательским сертификатам. Суть метода заключается в том, что клиент аутентифицируется по пользовательскому сертификату, выписанному доверенным удостоверяющим центром. Этот сертификат помещается в пользовательского хранилище сертификатов каждого беспроводного устройства. При подключении сервер аутентификации (AAA-сервер) сверяет сертификат, предъявленный устройством, с установленными политиками.
Проникнуть в сеть с аутентификацией под клиентским сертификатом злоумышленник сможет, только украв устройство с сертификатом и имея логин/пароль для входа на устройство. Но и здесь лазейка быстро закрывается: когда о краже станет известно, сертификат можно быстро отозвать в удостоверяющем центре. Сервер аутентификации оповещается о том, что сертификат отозван, соответственно злоумышленник не сможет с помощью сертификата подключиться к целевой сети.
Ниже схема того, как беспроводная сеть WPA2-Enterprise c аутентификацией по пользовательским сертификатам реализована у нас.
Рассмотрим подробнее следующие составляющие этой схемы.
RADIUS-сервер. Принимает запросы от устройств на подключение беспроводных устройств (radius-clients).
Network Policy Server, NPS. Выполняет аутентификацию и проверку подлинности. Здесь же настраиваются условия подключения к беспроводной сети. Например:
Доменный сервер Active Directory (AD DS). Содержит базу с учетными записями пользователей и групп пользователей. Чтобы NPS мог получать данные о пользователях, необходимо зарегистрировать NPS на AD DS.
Active Directory Certificate services. Инфраструктура открытых ключей (Public Key Infrastructure, PKI).
Root-сервер. Корневой удостоверяющий центр. Здесь на основе закрытого ключа генерируется сертификат удостоверяющего центра. С помощью этого сертификата подписывается сертификат для промежуточного удостоверяющего центра.
Обычно этот сертификат вместе с ключом экспортируют на флешку, прячут в подвал, в сейф, чтобы к нему не было никакого физического доступа для посторонних. Сам сервер отключают.
Схема с subordinate-сервером выгодна тем, что при компрометации промежуточного сертификата корневой сертификат никак не будет затронут. В этом случае скомпрометированный сертификат просто отзывается через root-сервер, а subordinate-сервер удаляется.
На сегодня все, задавайте свои вопросы в комментариях.
Хороший Wi-Fi для предприятия: от А до Я
Wi-Fi не так прост, как кажется на первый взгляд, и чем больше его изучаешь, тем сложнее, тут важно вовремя остановиться и выделить главное. Давайте рассмотрим все аспекты беспроводных технологий, которые надо не забыть, если хотим сделать хороший Wi-Fi («ловит сеть» там где надо, с требуемой скоростью, и чтобы при премещении “ни единого разрыва”).
Базовый набор книг для сдачи CCNP Wireless
Юридические моменты
Чтобы однажды не было мучительно больно, лучше сразу изучить что разрешено, что запрещено, а для чего требуется согласование. Вот что надо узнать из законодательства той страны, где планируется развернуть Wi-Fi:
Разрешенные для использования каналы;
Разрешенные мощности точек доступа Wi-Fi, а вернее, максимально разрешенные EIRP (сумма мощности передатчика и коэффициента усиления антенны);
Возможность использование диапазона 5 ГГц на улице или необходимость получения согласования (конечно, только если требуется уличный Wi-Fi).
Как выбрать оборудование
Коротко о базовых стандартах IEEE 802.11
IEEE 802.11b (очень устаревший стандарт, маловероятно что может потребоваться для специфичных устройств);
IEEE 802.11g (устаревший стандарт, но может потребоваться для специфичных устройств);
IEEE 802.11n (устаревающий стандарт, еще много устройств работают на нем);
IEEE 802.11ac (современный стандарт для большинства новых устройств);
IEEE 802.11ax (относительно новый стандарт, с заделом на будущее).
Выводы: разница между оборудованием с поддержкой IEEE 802.11ac и IEEE 802.11ax может быть существенной, а клиентских устройств с поддержкой IEEE 802.11ax на предприятии может не быть еще несколько лет.
Коротко о стандартах безопасности Wi-Fi
При выборе оборудования лучше чтобы оно поддерживало следующие стандарты шифрования:
WPA2 (Wi-Fi Protected Access 2) с применением метода CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) и алгоритма AES (Advanced Encryption Standard);
WPA3 (Wi-Fi Protected Access 3).
Выводы: поддержка WPA3 весьма желательна, только если нет задачи суровой экономии на оборудовании и приобретении точек доступа из серии SOHO (хотя и там все больше и больше производителей добавляют поддержку WPA3 на старших моделях).
Коротко о роуминге Wi-Fi
Роуминг — это отдельная и сложная тема для обсуждения, но попробуем очень емко и коротко разобраться в сути этого вопроса. Есть два принципиальных типа механизма перехода клиента от одной точки доступа к другой:
Brake before make — клиентское устройство отключается от текущей точки доступа, затем подключается к другой точке доступа. В случае использования 802.1x это в среднем занимает 700мс плюс задержка до RADIUS сервера. Технологии:
CCKM (Cisco Centralized Key Management) — проприетарный стандарт, требует поддержки CCXv5 на клиентских устройствах. В общем, устаревшая и не актуальная технология;
OKC (Opportunistic Key Caching) — уже устаревший стандарт, требует суппликантов такие как Microsoft WZC или Juniper OAC. В общем, устаревшая и не актуальная технология;
FT (Fast BSS Transition), стандарт IEEE 802.11r — современная технология быстрого роуминга.
Make before brake — клиентское устройство заранее проводит «4-way handshake» с новой точкой доступа, и уже только после этого отключается от текущей точки доступа и переключается на новую точку доступа. Технологии:
Radio Resource Management, стандарт IEEE 802.11k — точки доступа сообщают клиенту о радио обстановке, подсказывая на какую точку доступа лучше перейти;
Стандарт IEEE 802.11v — переход клиентского устройства на смежный диапазон после получения информации от точки доступа, плюс возможность энергосбережения для клиентского устройства;
Optimized roaming (возможность отключения низких скоростей соединения) —вынуждают клиентское устройство переключиться на точку доступа с лучшим уровнем сигнала, метод борьбы со «sticky» клиентами.
Выводы: главное помнить, что решение о роуминге принимает только клиентское устройство, а приведенные выше технологии только помогают устройству принять правильное решение о переходе с одной точки доступа на другую, а некоторые технологии позволяют помочь это сделать с минимальным временем простоя. Ключевые технологии, поддержку которой лучше точно иметь на оборудовании — это FT IEEE 802.11r и Optimized roaming.
Коротко про защиту от DoS атак
Два вида трафика между клиентом и AP
Между клиентским устройством и точкой доступа есть два вида трафика:
Зашифрованный пользовательские данные;
Не зашифрованные служебные данные.
Ниже варианты технологий, которые защищают соединение между клиентским устройством и точкой доступа, не позволяя злоумышленнику отправить ложные сообщения, такие как, de-auth фреймы, которые будут отключать соединение:
PMF (Protected Management Frame), стандарт IEEE 802.11w. Позволяет шифровать служебные сообщения (Management frame, Control frame), можно сделать это опциональным или обязательным параметром (если все клиентские устройства поддерживают PMF);
MFP (Management Frame Protection), проприетарный протокол, требует чтобы клиентское устройство было совместимо с CCXv5 (Cisco Compatible Extension). Так как CCXv5 широко распространен на клиентских устройствах, поэтому можно рассмотреть MFP к реализации;
В 802.11ac и 802.11ax шифрование служебных сообщений уже определено в самих стандартах.
Выводы: если нет возможности использовать только 802.11ac и 802.11ax, то необходима поддержка IEEE 802.11w (в опциональном режиме) или MFP (только в особенных случаях).
Коротко про Rogue AP
Будет плюсом, если система Wi-Fi будет иметь возможность детектировать сторонние точки доступа и как-то с ними бороться. Например, если злоумышленник настроит Wi-Fi с SSID идентичный вашему, то у него будет возможность перехватить пароль при попытке пользователя подключиться к сети. Базовый функционал:
Обнаружение Rogue AP (сторонние точки доступа с аналогичным или частично похожим на ваш SSID);
Борьба с Rogue AP — посылать de-auth сообщения клиентам, ассоциированным с найденной сторонней точкой доступа по заранее заданным правилам на основе таких параметров как:
Содержание определенного текста в SSID;
Уровень принимаемого сигнала от Rogue AP;
Количество ассоциированных устройств;
Добавление Rogue AP в список дружественных.
Коротко про Band select
Технология Band select позволяет отключать клиента от диапазона 2.4 ГГц, если клиент поддерживает работу в диапазоне 5 ГГц. Это позволяет повысить емкость сети. Данный механизм может навредить работе Wi-Fi, но будет хорошо, если у выбранного оборудования будет такой функционал.
Коротко про Beamforming
Технология Beamforming позволяет формировать индивидуальную диаграмму направленности для конкретного клиента, тем самым улучшая радио канал. Но не стоит основательно полагаться на эту технологию, так как это только хорошее дополнение и оно не может быть учтено при радио планировании.
Как и где расположить точки доступа
Планирование (в том числе и моделирование) Wi-Fi сети может включать в себя несколько основных этапов:
Определить зону покрытия, понять какие будут клиентские устройства, узнать требования по пропускной способности и емкости сети (если есть места высокой плотности клиентов);
Определить Offset (разница в уровне принимаемого сигнала между самым слабым клиентским устройством и тем устройством, которым будет выполняться радио обследование). Группа энтузиастов уже провела ряд таких измерений и выложила результаты на rssicompared.com;
Определение требований к зонам покрытия: уровень сигнала, перекрытие зон, channel overlap.
Определение мощности передатчиков Wi-Fi на основании требований к покрытию, типов клиентов и требований к высокой плотности клиентов;
При необходимости, произвести расчет плотности Wi-Fi (в помощь revolutionwifi.blogspot.com);
Проверка модели с тестовой точкой доступа («AP on a stick»).
Общие вопросы настройки Wi-Fi
1) Мощности передатчиков Wi-Fi
Для того чтобы не было асинхронности в канале, мощность передатчика точки доступа должна быть не выше чем мощность передатчика клиентского устройства.
Тоже самое, но на практике:
В таблице ниже приведены примерные мощности Wi-Fi для разных типов устройств
Типы устройств
Комментарии
Низкие мощности, как правило, выбираются с целью удовлетворения требований по емкости сети (высокая плотность точек доступа и клиентских устройств)
Средние мощности, как правило, выбираются с целью удовлетворения требований по покрытию сети.
Прочие специфичные устройства
Высокие мощности, как правило, выбираются в специфических случаях.
Следует учитывать уровни мощности клиентских устройств, чтобы не было ассиметрии на радио канале.
Ввиду того, что чувствительность приемника на точке доступа как правило чуть выше чем у клиентского устройства, мощность передачи точки доступа может быть чуть выше, чем мощность передачи клиентского устройства, но на практике на это лучше не полагаться.
Следующий аспект выбора мощности — это EIRP (Effective Isotropic Radiated Power, (Эквивалентная изотропная излучаемая мощность)
EIRP = TxPower_AP(dB) + Antenna_gain (dB)
Пример максимально разрешенных EIRP на разных каналах в диапазоне 5 ГГц в России и Великобритании:
2) Выбор каналов Wi-Fi
В диапазоне 2.4 ГГц все просто: только три не пересекающихся канала: 1, 6, 11. Ширина каналов в диапазоне 2.4 ГГц должна быть 20 МГц (если только вы не один в лесу). Выбор полосы в 40 МГц уменьшит количество не перекрываемых каналов с 3 шт до 1 шт, а так же усилит влияние от других точек доступа и итоговая скорость передачи данных может даже понизиться.
В диапазоне 5 ГГц, как правило, хватает каналов из двух диапазонов: UNII-1 и UNII-2. Если в процессе настройки или проектирования выявится потребность использования дополнительных каналов, их можно будет расширить, ссылаясь на перечень разрешенных к использованию каналов. Каналы из диапазонов UNII-1 и UNII-2 наиболее широко распространены по миру, поэтому их использование будет с наибольшей вероятностью гарантировать работу клиентского устройства, привезенного из другой страны.
Ширина каналов в диапазоне 5 ГГц может быть 20/40/80 МГц. Как показывает практика, выбор 80МГц не всегда ведет к стабильной работе, поэтому выбор в пользу 40МГц наиболее оптимален. В сетях большим количеством и высокой плотностью точек доступа следует выбирать ширину канала 20 МГц.
3) Отключение низких скоростей или Optimized roaming
Ниже приведена наиболее общая рекомендация по отключению низких скоростей. Рекомендуется делать по-другому только в случае специфичных клиентских устройств.
Диапазон 2.4 ГГц
Диапазон 5 ГГц
Скорость соединения
Настройки
Скорость соединения
Настройки
mandatory
mandatory
4) Роуминг
Для комфортного восприятия голоса необходимо чтобы delay был не более 200мс, а packet loss не более 2%, поэтому роуминг наиболее критичен для разговоров или видео связи.
FT (Fast BSS Transition), стандарт IEEE 802.11r, позволяет создавать пре-аутентификацию с точками доступа заранее, что может сократить время роуминга с 700 мс до 50-100 мс. Рекомендуется включить в адаптивном режиме для совместимости с беспроводными устройствами, которые не поддерживают данный стандарт;
Radio Resource Management, стандарт IEEE 802.11k, позволяет точкам доступа выполнять определение состояния радиоэфира и передавать эти данные беспроводным устройствам. Стандарт IEEE 802.11k не рекомендуется включать без явной надобности, т.к. фреймы с данными IEEE 802.11k могут не поддерживаться клиентскими устройствами и вызвать отключение устройства от БЛВС. Применение стандарта возможно только после тестирования технологии на всех типах беспроводных устройств;
Стандарт IEEE 802.11v делится на два компонента. Первый компонент стандарта позволяет установить повышенный тайм-аут для клиента, не требуя от него частых сообщений keep-alive, что экономит энергию. Второй компонент стандарта описывает процедуру перехода клиентского устройства на смежный диапазон после получения информации от точки доступа. Рекомендуется включить первый компонент (в ключе сохранения энергии). Применение второго компонента не требуется и возможно только после тестирования технологии на всех типах беспроводных устройств;
Optimized roaming. Для принудительного переключения беспроводных клиентов на ближайшую точку доступа и решения проблемы «sticky-client» требуется выключить низкие скорости соединения (было описано выше).
5) Beamforming
Если оборудование поддерживает технологию beamforming, то ее можно включить, но не стоит забывать, что одно из условий корректной работы технологии beamforming на точках доступа с внешними антеннамми — это корректное расположение антенн в пространстве, они должны быть расположены в одинаковом направлении, а не так как показано на маркетинговых слайдах.
Особенность Wi-Fi — это наличие общей среды передачи данных для всех устройств. Так называемый Air-Time является ограниченным и общим ресурсом для всех участников сети Wi-Fi. SCMA/CD заменяется на SCMA/CA. Какое из устройств Wi-Fi на рисунке ниже первым получит доступ к среде?
Стандартом 802.11e предусмотрены разные окна ожидания (contention windows) для разных категорий доступа. Чем меньше окно ожидания, тем больше шансов получить первым доступ к среде передачи. Есть три режима WMM:
Disabled. Может подключиться любой клиент, 802.11n работать не будет. Клиентское устройство может отправлять весь трафик с максимальным значением QoS;
Enabled. Любой клиент может подключиться. Если клиентское устройство не поддерживает WMM, то может отправлять весь трафик с максимальным значением QoS. Если клиентское устройство поддерживает WMM, то ведет себя как в режиме Required;
Required. Только клиент с поддержкой WMM может подключиться. Оборудование Wi-Fi конвертирует значения 802.11e priority в DSCP.
7) Пример таблицы параметров SSID
Настройки всех SSID удобно свести в одну таблицу, например: