无线 : 思科 4400 系列无线局域网控制器

在无线局域网控制器(WLC)和无线控制系统(WCS)的基于规则的恶意分类

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 16 日) | 反馈


目录


简介

在无线控制系统(WCS) 5.0版本中, WCS提高了不同的非法AP类型的恶意管理功能和,假设用户定义的规则自动地分类恶意AP。WCS应用非法AP分类规则到控制器。本文解释增强版歹徒管理功能和必要步骤配置在无线局域网控制器(WLC)和WCS的此功能。

先决条件

要求

Cisco 建议您了解以下主题:

  • 知识轻量级接入点协议 (LWAPP)

  • 无线局域网控制器安全问题解决方案知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件5.2的Cisco 4400系列WLC

  • Cisco Aironet 1130 AG系列轻量级接入点(拉普)

  • 思科无线控制系统版本5.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

基于规则的恶意分类

在版本5.0之前的WCS版本中, WCS显示许多非法接入点(AP)在安全汇总页。即使无赖国家有所不同,他们全都出现在一个页,排序由歹徒的BSSID/MAC地址。

在WCS 5.0版本中, WCS提高了恶意管理功能并且介绍新的术语(未保密,有恶意和友好)不同的非法AP类型的和,假设用户定义的规则自动地分类恶意AP。WCS应用非法AP分类规则到控制器。

一旦歹徒的状态手工更改对外部, WCS提高无赖国家管理功能保持无赖国家作为外部。当WCS拉或处理从其他控制器时的陷阱消息WCS也更新其他控制器的外部状态。

为了支持此功能, WLC和WCS应该运行5.0版本。

基于规则的恶意分类术语

使用此新建的功能,这些新建的非法AP类型介绍:

  • 有恶意的AP :匹配用户定义的有恶意的规则或从友好AP手工移动的检测的AP。

  • 友好AP :已知的存在,确认,并且托拉斯缺失无赖国家分类如友好。另外,匹配的检测的AP用户定义的友好规则分类如友好。友好AP不可能包含。

  • 未保密的AP :没有匹配有恶意或友好规则的检测的AP。未保密的AP可以包含。未保密的AP可以手工移动向友好由用户。用户定义的规则自动地移动未保密的AP向友好或有恶意,例如,在检测, SSID是空的。在下恶意报告,找到SSID,并且结果是一用户配置的SSID。

恶意分类规则

这些是分类规则可适用对其中每一个非法AP类型:

  • 有恶意的规则

    • 匹配管理了SSID

    • 匹配用户配置的SSID

    • 在SSID的不加密

    • 最低RSSI

    • 时间持续时间

    • 客户端编号关联

  • 友好规则

    • 托管型SSID

    • 用户配置的SSID

  • 未保密的规则

    • 不匹配有恶意或友好规则

rogue-based-rogue-classification-1.gif

用户能选择根据每个规则匹配所有,其中任一或者某些规则条件:

  • 所有平均值匹配所有规则的已配置的条件。

  • 所有平均值匹配其中任一个规则的已配置的条件。

  • 一些平均值匹配少量规则的已配置的条件

例如,根据有恶意的规则,用户配置托管型SSID最低RSSI。然后,用户有匹配的选择所有或其中任一两个条件,或者请匹配最低RSSI情况。

当控制器收到恶意报告时,执行此:

  • 检查检测的AP是否在用户配置的MAC列表。如果那样,请分类AP作为一个友好类型。

  • 如果检测的AP不在列表,开始运用规则。

  • 首先,它运用有恶意的规则。如果有恶意的规则配比,它分类作为有恶意的类型。如果RLDP/rogue探测器确定此歹徒是在网络,指示无赖国家作为威胁。更改无赖国家对包含的用户能手工包含AP。如果AP不在网络,指示无赖国家作为警报,并且用户能手工包含它。

  • 如果有恶意的规则不配比,请运用友好规则。如果友好规则配比,则请分类它作为一个友好类型。

  • 如果友好规则不配比,请分类此AP如未保密。如果RLDP/rogue探测器确定此歹徒是在网络,请标记无赖国家作为威胁并且分类它作为一个有恶意的类型。更改无赖国家对包含的用户能手工包含AP。如果AP不在网络,请标记无赖国家作为警报,并且用户能手工包含它。

  • 用户能手工移动AP向一个不同的分类类型。

恶意分类和无赖国家

此表显示歹徒和无赖国家的不同的分类每个分类的。

基于规则的分类类型 无赖国家
有恶意的AP 包含的提醒的威胁包含等待已经删除
未保密的AP 包含的警报包含等待已经删除
友好AP 内部(当前知道)外部(当前请确认)内部缺少(缺失的托拉斯)警报

无赖国家解释

  • 等待—在第一检测,检测的AP在待定状态放置3分钟。这次是满足为了管理的AP能确定检测的AP是否是邻居AP。

  • 警报—在3分钟超时之后,如果不在邻接列表或用户配置的友好MAC列表,检测的AP移动警告

  • 威胁—检测的AP在网络被找到。

  • 包含—检测的AP包含。

  • 包含等待—检测的AP被标记包含,但是遏制操作延迟由于不可用资源。

  • 内部—检测的AP是在网络里面,并且用户手册配置它如友好,内部,例如,在实验室网络的AP。

  • 外部—检测的AP是网络的外部,并且用户手册配置它如友好,外部,例如,属于相邻的网络的AP。

  • 缺失的委托—如果用户配置的友好MAC检测和听不到在托拉斯超时持续时间,友好AP的无赖国家被标记作为缺失的委托。

  • 已经删除—如果有恶意或未保密的AP没收到所有恶意超时持续时间的控制器的来信, AP的无赖国家被标记作为已经删除

如何配置在WLC的恶意规则

为了配置在无线局域网控制器的恶意规则,请完成这些步骤。

  1. 恶意规则可以创建从WLC从安全>无线保护策略>歹徒策略>歹徒规则页。

    rogue-based-rogue-classification-2.gif

  2. 为了创建一项新的恶意策略,请点击添加规则按钮。歹徒规则窗口出现。输入一名称对于规则。此示例使用Rule1。选择规则种类。这是一个有恶意的规则的示例。单击 Add。Rule1创建。

    rogue-based-rogue-classification-3.gif

  3. 为了编辑此规则,请点击创建的规则。恶意规则> Edit页出版。在此页,请检查Enable (event)规则复选框启动规则。选择根据需求和其他情况的匹配操作类型正如在此示例。

    rogue-based-rogue-classification-4.gif

  4. 这是友好恶意规则策略的示例。

    rogue-based-rogue-classification-5.gif

  5. 恶意规则的输出能被看到在监视器>欺诈>有恶意的AP

    rogue-based-rogue-classification-6.gif

  6. 同样地,友好规则未保密的规则的输出可以查看在监视器>欺诈>未保密的AP监视器>欺诈>友好AP页,分别。

如何配置在WCS的恶意规则

恶意规则列表:WCS提供系统层恶意规则设置。为了配置在WCS的恶意规则,请完成这些步骤。

  1. 选择配置>控制器模板,然后单击安全>非法AP规则访问非法AP规则列表页。

  2. 单击增加在正确顶部下拉菜单添加的分类规则一个新的分类规则。

    rogue-based-rogue-classification-7.gif

  3. 点击模板名称编辑恶意规则。此规则详细信息页使您编辑,更新非法AP规则或者删除规则。

    设置参数的非法AP规则:在此页,当他们检查复选框连接任一或所有这些情况时,用户能启用所有情况:

    • 不加密

    • 匹配托管型AP

    • 匹配用户配置的SSID

    • 最低RSSI

    • 持续时间

    • 最小数量的恶意客户端

    这是一个有恶意的规则的示例:

    rogue-based-rogue-classification-8.gif

    这是一个友好规则的示例:

    rogue-based-rogue-classification-9.gif

  4. 非法AP规定页列出创建的所有规则。

    rogue-based-rogue-classification-10.gif

  5. 下一步是配置规则组和适用于这些规则控制器。为了这,使用在WCS的非法AP规则组设置。

  6. 为了创建新规则组,请选择配置>控制器模板,然后单击安全>非法AP从WCS GUI的规则组

    rogue-based-rogue-classification-11.gif

  7. 非法AP规则Groups>新建的模板页启用您添加,更新非法AP规则组,删除规则,并且适用于规则组控制器。请使用添加/删除按钮选择此规则组的非法AP规则。请使用Up/Down按钮指定规则应用的命令。示例如下。一旦规则组配置,请点击“Save”

    rogue-based-rogue-classification-12.gif

  8. 一旦救规则组,它可以应用到控制器。为了适用于规则组控制器,请编辑规则组。点击规则组名。

    rogue-based-rogue-classification-13.gif

    单击适用于控制器。在Next页,请选择此规则应用的控制器。示例如下。

    rogue-based-rogue-classification-14.gif

  9. 一旦规则应用到控制器,您看到在WCS的一个成功消息

    rogue-based-rogue-classification-15.gif

  10. 关于分级AP的详细信息在安全汇总页可以查看。示例如下。

    rogue-based-rogue-classification-16.gif

  11. 当您点击从安全汇总页时的适当的分类关于分级AP的详细信息,特别地有恶意,友好和未保密的AP,可以查看。这是有恶意的AP的一示例。

    rogue-based-rogue-classification-17.gif

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 110263