Guía de implementación y configuración del ELM de wIPS adaptable

Introducción

La solución Cisco Adaptive Wireless Intrusion Prevention System (wIPS) incorpora la función Enhanced Local Mode (ELM), lo que permite a los administradores utilizar sus puntos de acceso (AP) implementados para proporcionar una protección completa sin necesidad de una red superpuesta independiente (Figura 1). Antes del ELM y en la implementación tradicional de wIPS adaptable, se necesitan puntos de acceso de modo de monitor dedicado (MM) para proporcionar requisitos de cumplimiento de PCI o protección contra ataques, penetración y acceso a la seguridad no autorizados (Figura 2). ELM proporciona con eficacia una oferta comparable que facilita la implementación de la seguridad inalámbrica a la vez que reduce los costes de CapEx y OpEx. Este documento se centra solamente en el ELM y no modifica ninguna ventaja de implementación wIPS existente con AP MM.

Figura 1: Implementación de PA de modo local mejorada

Figura 2: Principales amenazas para la seguridad inalámbrica

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Componentes necesarios del ELM y versiones de código mínimas

• Wireless LAN Controller (WLC) - Versión 7.0.116.xx o posterior

• AP - Versión 7.0.116.xx o posterior

• Wireless Control System (WCS) - Versión 7.0.172.xx o posterior

• Mobility Services Engine - Versión 7.0.201.xx o posterior

Compatibilidad con plataformas WLC

El ELM se soporta en las plataformas WLC5508, WLC4400, WLC 2106, WLC2504, WiSM-1 y WiSM-2WLC.

Soporte de AP

El ELM se soporta en 11n AP incluyendo 3500, 1250, 1260, 1040 y 1140.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos Cisco para obtener más información sobre las convenciones del documento.

Flujo de alarma de ELM con IPS

Los ataques solo son relevantes cuando se producen en AP de infraestructura de confianza. Los AP del ELM detectarán y se comunicarán con el controlador y se correlacionarán con el MSE para informar con la administración de WCS. La figura 3 proporciona el flujo de alarma desde el punto de vista del administrador:

1. Ataque lanzado contra un dispositivo de infraestructura ("fiable" AP)

2. Detectado en el AP ELM comunicado a través de CAPWAP al WLC

3. Pasado de forma transparente a MSE a través de NMSP

4. Conectado a base de datos wIPS en MSE enviado a WCS a través de trampa SNMP

5. Mostrado en WCS

Figura 3: Detección de amenazas y flujo de alarmas

Consideraciones de implementación para ELM

Cisco recomienda que al habilitar el ELM en cada AP de la red se satisfagan la mayoría de las necesidades de seguridad de los clientes cuando la superposición de una red o los costes forman parte de la consideración. La función principal de ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los clientes de datos, voz y vídeo, y de los servicios.

ELM frente a MM dedicados

La figura 4 proporciona un contraste general entre las implementaciones estándar de APs wIPS MM y ELM. En la revisión, el rango de cobertura típico para ambos modos sugiere:

• El punto de acceso exclusivo con MM IPS suele cubrir entre 15 000 y 35 000 pies cuadrados

• El AP con servicio al cliente cubrirá normalmente de 3000 a 5000 pies cuadrados

Figura 4: Superposición de MM frente a todos los AP del ELM

En la implementación tradicional de wIPS adaptable, Cisco recomienda una relación de 1 MM AP con cada 5 AP de modo local, que también puede variar según el diseño de la red y la guía de expertos para la mejor cobertura. Al considerar el ELM, el administrador simplemente habilita la función de software del ELM para todos los AP existentes, añadiendo efectivamente las operaciones de MM wIPS al AP del modo de servicio de datos local mientras mantiene el rendimiento.

Rendimiento en el canal y fuera del canal

Un AP MM utiliza el 100% del tiempo de radio para escanear todos los canales, ya que no atiende a ningún cliente WLAN. La función principal para ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los servicios y clientes de datos, voz y vídeo. La diferencia principal es en el modo local que varía el escaneo fuera del canal; en función de la actividad, el escaneo fuera del canal proporciona un tiempo de permanencia mínimo para recopilar suficiente información disponible para clasificar y determinar el ataque. Un ejemplo puede ser con los clientes de voz que están asociados y donde el escaneo RRM de AP se posterga hasta que el cliente de voz se desasocie para asegurarse de que el servicio no se vea afectado. Para ello, se considera que la detección del ELM durante el canal externo es el mejor esfuerzo. Los puntos de acceso del ELM vecinos que operan en todos los canales, por país o DCA aumentan la eficacia, de ahí la recomendación de habilitar el ELM en cada punto de acceso de modo local para una cobertura de protección máxima. Si el requisito es el escaneo dedicado en todos los canales a tiempo completo, la recomendación será implementar AP MM.

Estos puntos revisan las diferencias del modo local y los AP MM:

• PA de modo local - Sirve a los clientes de WLAN con análisis fuera del canal de división de tiempo, escucha 50 ms en cada canal y ofrece escaneo configurable para todos los canales de país/DCA.

• Monitor Mode AP - No atiende a los clientes WLAN, dedicados al escaneo solamente, escucha 1.2s en cada canal y explora todos los canales.

ELM a través de links WAN

Cisco ha realizado grandes esfuerzos para optimizar las funciones en situaciones difíciles, como la implementación de puntos de acceso ELM en enlaces WAN de ancho de banda bajo. La función ELM implica el preprocesamiento para determinar las firmas de ataque en el AP y está optimizada para funcionar con links lentos. Como prácticas recomendadas, se recomienda probar y medir la base para validar el rendimiento con ELM sobre WAN.

Integración de CleanAir

La función ELM complementa las operaciones de CleanAir con un rendimiento y ventajas similares a la implementación de puntos de acceso MM con estas ventajas existentes de CleanAir con reconocimiento del espectro:

• Inteligencia de radiofrecuencia de silicio dedicada

• Detección del espectro, reparación automática y optimización automática

• Mitigación y detección de amenazas e interferencias de canales no estándar

• Detección no Wi-Fi, como Bluetooth, microondas, teléfonos inalámbricos, etc.

• Detecte y localice ataques DOS de capa de RF como bloqueadores de RF

Características y ventajas del ELM

• Análisis wIPS adaptable en datos que sirven a AP locales y H-REAP

• Protección sin necesidad de una red superpuesta independiente

• Disponible como descarga gratuita de software para clientes wIPS existentes

• Admite compatibilidad con PCI para las redes LAN inalámbricas

• Detección completa de ataques 802.11 y sin 802.11

• Añade funciones de informes y diagnóstico

• Se integra con la gestión existente de CUWM y WLAN

• Flexibilidad para establecer puntos de acceso MM integrados o dedicados

• El preprocesamiento en los AP minimiza la red de retorno de datos (es decir, funciona en links de ancho de banda muy bajo)

• Bajo impacto en los datos de servicio

Licencias ELM

ELM wIPS agrega una nueva licencia al pedido:

• AIR-LM-WIPS-xx - Licencia wIPS de Cisco ELM

• AIR-WIPS-AP-xx - Licencia de Cisco Wireless wIPS

Notas adicionales sobre las licencias del ELM:

• Si ya se han instalado SKU de licencias AP MM wIPS, estas licencias también se pueden utilizar para los AP ELM.

• las licencias wIPS y las licencias ELM en conjunto cuentan hacia los límites de licencias de plataforma para el motor wIPS; 2000 AP en 3310 y 3000 AP en 335x, respectivamente.

• La licencia de evaluación incluirá 10 AP para wIPS y 10 para ELM durante un período de hasta 60 días. Antes del ELM, la licencia de evaluación permitía hasta 20 AP MM con wIPS. Se debe cumplir el requisito mínimo de versiones de software que admitan el ELM.

Configuración del ELM con WCS

Figura 5: Uso de WCS para configurar el ELM

1. Desde WCS, inhabilite las radios 802.11b/g y 802.11a del AP antes de habilitar "Enhanced wIPS Engine".

   Nota: Todos los clientes asociados se desconectarán y no se unirán hasta que se habiliten las radios.

2. Configure un AP o utilice una plantilla de configuración WCS para varios AP ligeros. Consulte la Figura 6.

   Figura 6: submodo Habilitar motor wIPS mejorado (ELM)

   

3. Elija Enhanced wIPS Engine y haga clic en Save.

   1. La habilitación de Enhanced wIPS Engine no hará que el AP se reinicie.

   2. H-REAP es soportado; habilite de la misma manera que para el modo local AP.

   Nota: Si se habilita cualquiera de las radios de este AP, WCS ignorará la configuración y producirá el error en la Figura 7.

   Figura 7: Recordatorio de WCS para Deshabilitar Radios AP antes de Habilitar el ELM

   

4. El éxito de la configuración se puede verificar observando el cambio en el modo AP de "Local o H-REAP" a Local/wIPS o H-REAP/wIPS. Consulte la Figura 8.

   Figura 8: WCS que muestra el modo AP para incluir wIPS con Local y/o H-REAP

   

5. Habilite las radios que estaban desactivadas en el Paso 1.

6. Cree el perfil wIPS y envíelo al controlador para que la configuración se complete.

   Nota: Para obtener información de configuración completa sobre wIPS, consulte la Guía de implementación de wIPS adaptable de Cisco.

Configuración de WLC

Figura 9: Configuración del ELM con WLC

1. Elija un AP de la pestaña Inalámbrico.

   Figura 10 - WLC Cambiando el submodo AP para incluir el ELM wIPS

   

2. En el menú desplegable AP Sub Mode , elija wIPS (Figura 10).

3. Aplique y, a continuación, guarde la configuración.

Nota: Para que la funcionalidad de ELM funcione, se requieren MSE y WCS con licencias wIPS. El cambio del submodo AP del WLC solo no habilitará el ELM.

Ataques detectados en el ELM

Tabla 1: Matriz de soporte de firmas wIPS

Ataques detectados	ELM	MM
Ataque DoS contra AP
Inundación de asociación	S	S
Desbordamiento de tabla de asociación	S	S
Inundación de autenticación	S	S
Ataque EAPOL-Start	S	S
Inundación de PS-Poll	S	S
Inundación de solicitud de sondeo	N	S
Asociación no autenticada	S	S
Ataque DoS contra la infraestructura
inundación CTS	N	S
La Universidad Tecnológica de Queensland	N	S
Interferencia de RF	S	S
inundación RTS	N	S
Ataque de operador virtual	N	S
Ataque DoS contra estación
Ataque de falla de autenticación	S	S
Block ACK flood (Bloquear inundación ACK)	N	S
Inundación de difusión de De-Auth	S	S
Inundación De Auth	S	S
Inundación de broadcast Dis-Assoc	S	S
Inundación Dis-Assoc	S	S
Ataque EAPOL-Logoff	S	S
herramienta FATA-Jack	S	S
Falla prematura de EAP	S	S
EAP-éxito prematuro	S	S
Ataques de penetración en la seguridad
herramienta ASLEAP detectada	S	S
Ataque Airsnarf	N	S
ataque de ChopChop	S	S
Ataque día cero por anomalía en la seguridad de WLAN	N	S
Ataque día cero por anomalía en la seguridad de los dispositivos	N	S
Sondeo del dispositivo para AP	S	S
Ataque de diccionario a métodos EAP	S	S
Ataque EAP contra la autenticación 802.1x	S	S
AP falsos detectados	S	S
Se detectó servidor DHCP falso	N	S
FAST WEP crack tool detectado	S	S
Ataque de fragmentación	S	S
Punto de acceso del Honeypot detectado	S	S
Herramienta Hotspotter detectada	N	S
Tramas de broadcast incorrectas	N	S
Se detectaron paquetes 802.11 mal formados	S	S
Hombre en medio del ataque	S	S
Detectado Netstumbler	S	S
Víctima de Netstumbler detectada	S	S
Violación PSPF detectada	S	S
AP de software o AP de host detectado	S	S
Dirección MAC falsa detectada	S	S
Tráfico sospechoso fuera de horas detectado	S	S
Asociación no autorizada por lista de proveedores	N	S
Asociación no autorizada detectada	S	S
Wellenreiter detectado	S	S

Nota: La incorporación de CleanAir también permitirá la detección de ataques que no sean 802.11.

Figura 11: WCS wIPS Profile View

En la Figura 11, configure el perfil wIPS de WCS, el icono indica que el ataque se detectará solamente cuando el AP esté en MM, mientras que sólo se hará el mejor esfuerzo cuando esté en el ELM.

Resolución de problemas de ELM

Compruebe estos elementos:

• Asegúrese de que NTP esté configurado.

• Asegúrese de que la configuración de tiempo MSE esté en UTC.

• Si el grupo de dispositivos no funciona, utilice el SSID de perfil superpuesto con Any. Reinicie el AP.

• Asegúrese de que la licencia esté configurada (los AP de ELM actuales utilizan licencias de KAM)

• Si los perfiles wIPS se cambian con demasiada frecuencia, sincronice el controlador MSE de nuevo. Asegúrese de que el perfil esté activo en el WLC.

• Asegúrese de que el WLC sea parte de MSE usando CLI de MSE:

  1. SSH o telnet a su MSE.

  2. Execute /opt/mse/wips/bin/wips_cli - Esta consola se puede utilizar para acceder a los siguientes comandos para recopilar información sobre el estado del sistema wIPS adaptativo.

  3. show wlc all - Problema dentro de la consola wIPS. Este comando se utiliza para verificar los controladores que se comunican activamente con el servicio wIPS en el MSE. Consulte la Figura 12.

     Figura 12: CLI de MSE que verifica el WLC activo con los servicios wIPS de MSE

     wIPS>show wlc all
     
     WLC MAC              Profile             Profile
     Status                  IP
     Onx Status Status
     ------------------------------------------------
     ------------------------------------------------
     ----
     00:21:55:06:F2:80    WCS-Default         Policy
     active on controller     172.20.226.197
     Active

• Asegúrese de que se detectan alarmas en MSE mediante CLI de MSE.

  • show alarm list - Emitido dentro de la consola wIPS. Este comando se utiliza para enumerar las alarmas contenidas actualmente en la base de datos de servicios wIPS. El campo clave es la clave hash única asignada a la alarma específica. El campo Tipo es el tipo de alarma. Este gráfico de la Figura 13 muestra una lista de ID de alarma y descripciones:

    Figura 13: Comando show alarm list de MSE CLI

    wIPS>show alarm list
    
    Key        Type  Src MAC
    LastTime              Active          First Time
    ------------------------------------------------
    -------------------------------------------
    89         89    00:00:00:00:00:00     2008/09/04
    18:19:26  2008/09/07 02:16:58   1
    65631      95    00:00:00:00:00:00     2008/09/04
    17:18:31  2008/09/04 17:18:31   0
    1989183    99    00:1A:1E:80:5C:40     2008/09/04
    18:19:44  2008/09/04 18:19:44   0

    Los campos Primera y Última vez significan las marcas de tiempo cuando se detectó la alarma; se almacenan en tiempo UTC. El campo Activo resalta si la alarma se ha detectado actualmente.

• Borre la base de datos MSE.

  • Si se encuentra en una situación en la que la base de datos de MSE está dañada, o en la que no funcionará ningún otro método de solución de problemas, es mejor borrar la base de datos e iniciarla de nuevo.

    Figura 14: Comando de servicios MSE

    1. /etc/init.d/msed stop
    2. Remove the database using the command 'rm
    /opt/mse/locserver/db/linux/server-eng.db'
    3. /etc/init.d/msed start

Información Relacionada

• Guía de Configuración del Controlador de LAN Inalámbrica de Cisco, Versión 7.0.116.0
• Guía de Configuración de Cisco Wireless Control System, Versión 7.0.172.0
• Soporte Técnico y Documentación - Cisco Systems

Revision History