Tecnología inalámbrica / Movilidad : Seguridad de WLAN

Directivas de confianza AP en un regulador del Wireless LAN

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe las directivas inalámbricas de confianza de la protección AP en un regulador del Wireless LAN (WLC), define las directivas de confianza AP, y proporciona una Breve descripción de todas las directivas de confianza AP.

prerrequisitos

Requisitos

Asegúrese de que usted tenga una comprensión básica de los parámetros de seguridad de red inalámbrica LAN (tales como SSID, cifrado, autenticación, y así sucesivamente).

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Directivas de confianza AP

Las directivas de confianza AP son una función de seguridad en el regulador que se diseña para ser utilizado en los escenarios donde los clientes tienen una red autónoma paralela AP junto con el regulador. En ese escenario, el AP autónomo se puede marcar como el AP de confianza en el regulador, y el usuario puede definir las directivas para éstos los AP confiados en (que deben utilizar solamente el WEP o WPA, nuestro propio SSID, preámbulo corto, y así sucesivamente). Si ninguno de estos fall AP para resolver estas directivas, el regulador aumenta una alarma al dispositivo de administración de red (sistema de control inalámbrico) ese los estados un AP de confianza violó una directiva configurada.

¿Cuál es un AP de confianza?

Los AP de confianza son los AP que no son parte de a la organización. Sin embargo, no causan una amenaza de seguridad a la red. Estos AP también se llaman los AP cómodos. Varios escenarios existen donde usted puede ser que quiera configurar un AP como AP de confianza.

Por ejemplo, usted puede ser que tenga diversas categorías de AP en su red por ejemplo:

  • AP que usted posee que no ejecutan el LWAPP (quizás ejecutan el IOS o VxWorks)

  • LWAPP AP en el cual los empleados traen (con el conocimiento del administrador)

  • LWAPP AP usado para probar la red existente

  • El LWAPP AP ese los vecinos posee

Normalmente, los AP de confianza son los AP que entran en la categoría 1, que son los AP que usted posee que no ejecutan el LWAPP. Puede ser que sean los AP viejos que ejecutan VxWorks o el IOS. Para asegurarse de que estos AP no dañen la red, ciertas características se pueden aplicar, por ejemplo los SSID correctos y los tipos de autenticación. Configure las directivas de confianza AP en el WLC, y aseegurese que los AP de confianza resuelven estas directivas. Si no, usted puede configurar el regulador para llevar varias acciones, tales como aumento una alarma el dispositivo de administración de red (WCS).

Los AP sabidos que pertenecen a los vecinos se pueden configurar como AP de confianza.

Normalmente, MFP (protección del capítulo de la Administración) debe prevenir los AP que no son el LWAPP legítimo AP de unirse al WLC. Si los indicadores luminosos LED amarillo de la placa muestra gravedad menor NIC soportan MFP, no se permiten validar los deauthentications de los dispositivos con excepción de los AP reales. Refiera a la protección del capítulo de la Administración de la infraestructura (MFP) con el WLC y TRASLAPE el ejemplo de configuración para más información sobre MFP.

Si usted tiene los AP que ejecutan VxWorks o el IOS (como en la categoría 1), ellos nunca se unirán al grupo del LWAPP o harán MFP, pero le pudieron querer aplicar las directivas enumeradas en esa página. En estos casos, las directivas de confianza AP necesitan ser configuradas en el regulador para los AP del interés.

Generalmente si usted sabe sobre un granuja AP e identifica que no es una amenaza para su red, usted puede identificar que AP como AP de confianza sabido.

¿Cómo configurar un AP como AP de confianza del WLC GUI?

Complete estos pasos para configurar un AP como AP de confianza:

  1. Registro en el GUI del WLC con el login HTTP o del https.

  2. Del menú principal del regulador, Tecnología inalámbrica del tecleo.

  3. En el menú situado en el lado izquierdo de la página theWireless, tecleo AP rogue.

    trustedAP_01.gif

    La página del granuja AP enumera todos los AP que se detectan como granuja AP en la red.

  4. De esta lista del granuja AP, localice el AP que usted quiere configurado como AP de confianza que baje bajo categoría 1 (como se explica en la sección anterior).

    Usted puede localizar los AP con las direcciones MAC enumeradas en la página del granuja AP. Si el AP deseado no está en esta página, haga clic después para identificar el AP de la página siguiente.

  5. Una vez que el AP deseado está situado de la lista del granuja AP, haga clic el botón Edit que corresponde al AP, que le lleva a la página del detalle del AP.

    /image/gif/paws/100368/trustedAP_02.gif

    En los detalles página del granuja AP, usted puede encontrar la información detallada sobre este AP (por ejemplo si ese AP conectado con la red alámbrica, así como el estado actual del AP y así sucesivamente).

  6. Para configurar este AP como AP de confianza, seleccionar interno sabida de la lista desplegable del estado de la actualización, y el tecleo se aplica.

    Cuando usted pone al día el estatus AP a interno sabida, este AP se configura como el AP de confianza de esta red.

    /image/gif/paws/100368/trustedAP_03.gif

  7. Relance estos pasos para todos los AP que usted quiere configurar como AP de confianza.

Verifique la configuración de confianza AP

Complete estos pasos para verificar que el AP está configurado correctamente como AP de confianza del regulador GUI:

  1. Haga clic la Tecnología inalámbrica.

  2. En el menú situado en el lado izquierdo de la página theWireless, haga clic al granuja conocido AP.

    trustedAP_04.gif

    El AP deseado debe aparecer en la página sabida del granuja AP con el estatus enumerado como sabido.

    trustedAP_05.gif

Comprensión de las configuraciones de confianza de la directiva AP

El WLC tiene estas directivas de confianza AP:

Política de encripción aplicada

Esta directiva se utiliza para definir el tipo de encripción que el AP de confianza debe utilizar. Usted puede configurar ninguno de estos tipos de encripción bajo política de encripción aplicada:

  • Ninguno

  • Abierto

  • WEP

  • WPA/802.11i

El WLC verifica si el tipo de encripción configurado en el AP de confianza haga juego el tipo de encripción configurado en la configuración de la “política de encripción aplicada”. Si el AP de confianza no utiliza el tipo de encripción señalado, el WLC aumenta una alarma al sistema de administración para tomar las acciones apropiadas.

Directiva aplicada del preámbulo

El preámbulo de radio (a veces llamado una encabezado) es una sección de los datos en el jefe de un paquete que contenga la información que los dispositivos de red inalámbrica necesitan cuando envían y reciben los paquetes. Los preámbulos cortos mejoran el desempeño del rendimiento de procesamiento, así que se habilitan por abandono. Sin embargo, algunos dispositivos de red inalámbrica, tales como teléfonos de SpectraLink NetLink, requieren los preámbulos largos. Usted puede configurar ninguno de estos opciones del preámbulo bajo directiva aplicada del preámbulo:

  • Ninguno

  • Cortocircuito

  • De largo

El WLC verifica si el tipo del preámbulo configurado en el AP de confianza haga juego el tipo del preámbulo configurado en la configuración “de la directiva aplicada del preámbulo”. Si el AP de confianza no utiliza el tipo especificado del preámbulo, el WLC aumenta una alarma al sistema de administración para tomar las acciones apropiadas.

Directiva de radio aplicada del tipo

Esta directiva se utiliza para definir el tipo de radio que el AP de confianza debe utilizar. Usted puede configurar ninguno de estos tipos de la radio bajo directiva de radio aplicada del tipo:

  • Ninguno

  • 802.11b solamente

  • 802.11a solamente

  • 802.11b/g solamente

El WLC verifica si el tipo de radio configurado en el AP de confianza haga juego el tipo de radio configurado en la configuración “de la directiva de radio aplicada del tipo”. Si el uso de confianza de APdoes no las radios especificadas, el WLC aumenta una alarma al sistema de administración para tomar las acciones apropiadas.

Valide el SSID

Usted puede configurar el regulador para validar AP de confianza SSID contra los SSID configurados en el regulador. Si los AP de confianza SSID hacen juego uno del regulador SSID, el regulador aumenta una alarma.

Alerta si el AP de confianza falta

Si se habilita esta directiva, el WLC alerta el sistema de administración si el AP de confianza falta de la lista rogue sabida AP.

Descanso de la expiración para las entradas de confianza AP (segundos)

Este valor de agotamiento del tiempo de la expiración especifica el número de segundos antes del AP de confianza se considera expirado y vaciado de la entrada del WLC. Usted puede especificar este valor de agotamiento del tiempo en los segundos (120 - 3600 segundos).

¿Cómo configurar las directivas de confianza AP en el WLC?

Complete estos pasos para configurar las directivas de confianza AP en el WLC con el GUI:

Nota: Todas las directivas de confianza AP residen en la misma página del WLC.

  1. Del menú principal del WLC GUI, Seguridad del tecleo.

  2. Del menú situado en el lado izquierdo de la página Seguridad, el tecleo confiaba en las directivas AP enumeradas bajo dirección inalámbrica de las directivas de la protección.

    /image/gif/paws/100368/trustedAP_06.gif

  3. En las directivas de confianza AP pagine, seleccione el tipo de encripción deseado (ningunos, se abren, WEP, WPA/802.11i) de la lista desplegable aplicada de la política de encripción.

    /image/gif/paws/100368/trustedAP_07.gif

  4. Seleccione el tipo deseado del preámbulo (ninguno, cortocircuito, largos) de la lista desplegable aplicada de la directiva del tipo del preámbulo.

    trustedAP_08.gif

  5. Seleccione el tipo de radio deseado (ninguno, 802.11b solamente, 802.11a solamente, 802.11b/g solamente) de la lista desplegable de radio aplicada de la directiva del tipo.

    /image/gif/paws/100368/trustedAP_09.gif

  6. Marque o desmarque la casilla de verificación habilitada SSID del validar para habilitar o inhabilitar la configuración del validar SSID.

  7. Marque o desmarque la alerta si el AP de confianza es casilla de verificación habilitada que falta para habilitar o inhabilitar la alerta si el AP de confianza es configuración que falta.

  8. Ingrese un valor (en los segundos) para el descanso de la expiración para la opción confiada en de las entradas AP.

    trustedAP_10.gif

  9. Haga clic en Apply (Aplicar).

Nota: Para configurar estas configuraciones del WLC CLI, usted puede utilizar el comando de confianza-ap de los wps de los config con la opción apropiada de la directiva.

Cisco Controller) >config wps trusted-ap ?

encryption     Configures the trusted AP encryption policy to be enforced.
missing-ap     Configures alert of missing trusted AP.
preamble       Configures the trusted AP preamble policy to be enforced.
radio          Configures the trusted AP radio policy to be enforced.
timeout        Configures the expiration time for trusted APs, in seconds.

Mensaje de alerta de confianza de la infracción de la directiva AP

Aquí está un ejemplo del mensaje de alerta de confianza de la infracción de la directiva AP mostrado por el regulador.

Thu Nov 16 12:39:12 2006  [WARNING] apf_rogue.c 1905: Possible AP
impersonation of xx:xx:xx:xx:xx:xx, using source address of
00:16:35:9e:6f:3a, detected by 00:17:df:7d:e1:70 on slot 0
 Thu Nov 16 12:39:12 2006  [SECURITY] apf_rogue.c 1490: Trusted AP Policy
failed for AP xx:xx:xx:xx:xx:xx - invalid SSID 'SSID1'
Thu Nov 16 12:39:12 2006  [SECURITY] apf_rogue.c 1457: Trusted AP Policy
failed for AP xx:xx:xx:xx:xx:xx - invalid encryption type
Thu Nov 16 12:39:12 2006  Previous message occurred 6 times

Note los mensajes de error resaltados aquí. Estos mensajes de error indican que el SSID y el tipo de encripción configurados en el AP de confianza no hacen juego la configuración de confianza de la directiva AP.

El mismo mensaje de alerta se puede considerar del WLC GUI. Para ver este mensaje, ir al menú principal del WLC GUI, y al monitor del tecleo. En la sección más reciente de los desvíos de la página del monitor, opinión toda del tecleo para ver todas las alertas recientes en el WLC.

/image/gif/paws/100368/trustedAP_11.gif

En los desvíos más recientes página, usted puede identificar el regulador que genera el mensaje de alerta de confianza de la infracción de la directiva AP tal y como se muestra en de esta imagen:

/image/gif/paws/100368/trustedAP_12.gif

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 100368