Guía de implementación y configuración del ELM de wIPS adaptable

Opciones de descarga

  • PDF     (312.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (318.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (595.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de enero de 2015
ID del documento:113027

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

La solución Cisco Adaptive Wireless Intrusion Prevention System (wIPS) incorpora la función Enhanced Local Mode (ELM), lo que permite a los administradores utilizar sus puntos de acceso (AP) implementados para proporcionar una protección completa sin necesidad de una red superpuesta independiente (Figura 1). Antes del ELM y en la implementación tradicional de wIPS adaptable, se necesitan puntos de acceso de modo de monitor dedicado (MM) para proporcionar requisitos de cumplimiento de PCI o protección contra ataques, penetración y acceso a la seguridad no autorizados (Figura 2). ELM proporciona con eficacia una oferta comparable que facilita la implementación de la seguridad inalámbrica a la vez que reduce los costes de CapEx y OpEx. Este documento se centra solamente en el ELM y no modifica ninguna ventaja de implementación wIPS existente con AP MM.

Figura 1: Implementación de PA de modo local mejorada

wips-01.gif

Figura 2: Principales amenazas para la seguridad inalámbrica

wips-02.gif

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Componentes necesarios del ELM y versiones de código mínimas

  • Wireless LAN Controller (WLC) - Versión 7.0.116.xx o posterior

  • AP - Versión 7.0.116.xx o posterior

  • Wireless Control System (WCS) - Versión 7.0.172.xx o posterior

  • Mobility Services Engine - Versión 7.0.201.xx o posterior

Compatibilidad con plataformas WLC

El ELM se soporta en las plataformas WLC5508, WLC4400, WLC 2106, WLC2504, WiSM-1 y WiSM-2WLC.

Soporte de AP

El ELM se soporta en 11n AP incluyendo 3500, 1250, 1260, 1040 y 1140.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Flujo de alarma de ELM con IPS

Los ataques solo son relevantes cuando se producen en AP de infraestructura de confianza. Los AP del ELM detectarán y se comunicarán con el controlador y se correlacionarán con el MSE para informar con la administración de WCS. La figura 3 proporciona el flujo de alarma desde el punto de vista del administrador:

  1. Ataque lanzado contra un dispositivo de infraestructura ("fiable" AP)

  2. Detectado en el AP ELM comunicado a través de CAPWAP al WLC

  3. Pasado de forma transparente a MSE a través de NMSP

  4. Conectado a base de datos wIPS en MSE enviado a WCS a través de trampa SNMP

  5. Mostrado en WCS

Figura 3: Detección de amenazas y flujo de alarmas

wips-03.gif

Consideraciones de implementación para ELM

Cisco recomienda que al habilitar el ELM en cada AP de la red se satisfagan la mayoría de las necesidades de seguridad de los clientes cuando la superposición de una red o los costes forman parte de la consideración. La función principal de ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los clientes de datos, voz y vídeo, y de los servicios.

ELM frente a MM dedicados

La figura 4 proporciona un contraste general entre las implementaciones estándar de APs wIPS MM y ELM. En la revisión, el rango de cobertura típico para ambos modos sugiere:

  • El punto de acceso exclusivo con MM IPS suele cubrir entre 15 000 y 35 000 pies cuadrados

  • El AP con servicio al cliente cubrirá normalmente de 3000 a 5000 pies cuadrados

Figura 4: Superposición de MM frente a todos los AP del ELM

wips-04.gif

En la implementación tradicional de wIPS adaptable, Cisco recomienda una relación de 1 MM AP con cada 5 AP de modo local, que también puede variar según el diseño de la red y la guía de expertos para la mejor cobertura. Al considerar el ELM, el administrador simplemente habilita la función de software del ELM para todos los AP existentes, añadiendo efectivamente las operaciones de MM wIPS al AP del modo de servicio de datos local mientras mantiene el rendimiento.

Rendimiento en el canal y fuera del canal

Un AP MM utiliza el 100% del tiempo de radio para escanear todos los canales, ya que no atiende a ningún cliente WLAN. La función principal para ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los servicios y clientes de datos, voz y vídeo. La diferencia principal es en el modo local que varía el escaneo fuera del canal; en función de la actividad, el escaneo fuera del canal proporciona un tiempo de permanencia mínimo para recopilar suficiente información disponible para clasificar y determinar el ataque. Un ejemplo puede ser con los clientes de voz que están asociados y donde el escaneo RRM de AP se posterga hasta que el cliente de voz se desasocie para asegurarse de que el servicio no se vea afectado. Para ello, se considera que la detección del ELM durante el canal externo es el mejor esfuerzo. Los puntos de acceso del ELM vecinos que operan en todos los canales, por país o DCA aumentan la eficacia, de ahí la recomendación de habilitar el ELM en cada punto de acceso de modo local para una cobertura de protección máxima. Si el requisito es el escaneo dedicado en todos los canales a tiempo completo, la recomendación será implementar AP MM.

Estos puntos revisan las diferencias del modo local y los AP MM:

  • PA de modo local - Sirve a los clientes de WLAN con análisis fuera del canal de división de tiempo, escucha 50 ms en cada canal y ofrece escaneo configurable para todos los canales de país/DCA.

  • Monitor Mode AP - No atiende a los clientes WLAN, dedicados al escaneo solamente, escucha 1.2s en cada canal y explora todos los canales.

ELM a través de links WAN

Cisco ha realizado grandes esfuerzos para optimizar las funciones en situaciones difíciles, como la implementación de puntos de acceso ELM en enlaces WAN de ancho de banda bajo. La función ELM implica el preprocesamiento para determinar las firmas de ataque en el AP y está optimizada para funcionar con links lentos. Como prácticas recomendadas, se recomienda probar y medir la base para validar el rendimiento con ELM sobre WAN.

Integración de CleanAir

La función ELM complementa las operaciones de CleanAir con un rendimiento y ventajas similares a la implementación de puntos de acceso MM con estas ventajas existentes de CleanAir con reconocimiento del espectro:

  • Inteligencia de radiofrecuencia de silicio dedicada

  • Detección del espectro, reparación automática y optimización automática

  • Mitigación y detección de amenazas e interferencias de canales no estándar

  • Detección no Wi-Fi, como Bluetooth, microondas, teléfonos inalámbricos, etc.

  • Detecte y localice ataques DOS de capa de RF como bloqueadores de RF

Características y ventajas del ELM

  • Análisis wIPS adaptable en datos que sirven a AP locales y H-REAP

  • Protección sin necesidad de una red superpuesta independiente

  • Disponible como descarga gratuita de software para clientes wIPS existentes

  • Admite compatibilidad con PCI para las redes LAN inalámbricas

  • Detección completa de ataques 802.11 y sin 802.11

  • Añade funciones de informes y diagnóstico

  • Se integra con la gestión existente de CUWM y WLAN

  • Flexibilidad para establecer puntos de acceso MM integrados o dedicados

  • El preprocesamiento en los AP minimiza la red de retorno de datos (es decir, funciona en links de ancho de banda muy bajo)

  • Bajo impacto en los datos de servicio

Licencias ELM

ELM wIPS agrega una nueva licencia al pedido:

  • AIR-LM-WIPS-xx - Licencia wIPS de Cisco ELM

  • AIR-WIPS-AP-xx - Licencia de Cisco Wireless wIPS

Notas adicionales sobre las licencias del ELM:

  • Si ya se han instalado SKU de licencias AP MM wIPS, estas licencias también se pueden utilizar para los AP ELM.

  • las licencias wIPS y las licencias ELM en conjunto cuentan hacia los límites de licencias de plataforma para el motor wIPS; 2000 AP en 3310 y 3000 AP en 335x, respectivamente.

  • La licencia de evaluación incluirá 10 AP para wIPS y 10 para ELM durante un período de hasta 60 días. Antes del ELM, la licencia de evaluación permitía hasta 20 AP MM con wIPS. Se debe cumplir el requisito mínimo de versiones de software que admitan el ELM.

Configuración del ELM con WCS

Figura 5: Uso de WCS para configurar el ELM

wips-05.gif

  1. Desde WCS, inhabilite las radios 802.11b/g y 802.11a del AP antes de habilitar "Enhanced wIPS Engine".

    Nota: Todos los clientes asociados se desconectarán y no se unirán hasta que se habiliten las radios.

  2. Configure un AP o utilice una plantilla de configuración WCS para varios AP ligeros. Consulte la Figura 6.

    Figura 6: submodo Habilitar motor wIPS mejorado (ELM)

    wips-06.gif

  3. Elija Enhanced wIPS Engine y haga clic en Save.

    1. La habilitación de Enhanced wIPS Engine no hará que el AP se reinicie.

    2. H-REAP es soportado; habilite de la misma manera que para el modo local AP.

    Nota: Si se habilita cualquiera de las radios de este AP, WCS ignorará la configuración y producirá el error en la Figura 7.

    Figura 7: Recordatorio de WCS para Deshabilitar Radios AP antes de Habilitar el ELM

    wips-07.gif

  4. El éxito de la configuración se puede verificar observando el cambio en el modo AP de "Local o H-REAP" a Local/wIPS o H-REAP/wIPS. Consulte la Figura 8.

    Figura 8: WCS que muestra el modo AP para incluir wIPS con Local y/o H-REAP

    wips-08.gif

  5. Habilite las radios que estaban desactivadas en el Paso 1.

  6. Cree el perfil wIPS y envíelo al controlador para que la configuración se complete.

    Nota: Para obtener información de configuración completa sobre wIPS, consulte la Guía de implementación de wIPS adaptable de Cisco.

Configuración de WLC

Figura 9: Configuración del ELM con WLC

wips-09.gif

  1. Elija un AP de la pestaña Inalámbrico.

    Figura 10 - WLC Cambiando el submodo AP para incluir el ELM wIPS

    wips-10.gif

  2. En el menú desplegable AP Sub Mode , elija wIPS (Figura 10).

  3. Aplique y, a continuación, guarde la configuración.

Nota: Para que la funcionalidad de ELM funcione, se requieren MSE y WCS con licencias wIPS. El cambio del submodo AP del WLC solo no habilitará el ELM.

Ataques detectados en el ELM

Tabla 1: Matriz de soporte de firmas wIPS

Ataques detectados ELM MM
Ataque DoS contra AP
Inundación de asociación S S
Desbordamiento de tabla de asociación S S
Inundación de autenticación S S
Ataque EAPOL-Start S S
Inundación de PS-Poll S S
Inundación de solicitud de sondeo N S
Asociación no autenticada S S
Ataque DoS contra la infraestructura
inundación CTS N S
La Universidad Tecnológica de Queensland N S
Interferencia de RF S S
inundación RTS N S
Ataque de operador virtual N S
Ataque DoS contra estación
Ataque de falla de autenticación S S
Block ACK flood (Bloquear inundación ACK) N S
Inundación de difusión de De-Auth S S
Inundación De Auth S S
Inundación de broadcast Dis-Assoc S S
Inundación Dis-Assoc S S
Ataque EAPOL-Logoff S S
herramienta FATA-Jack S S
Falla prematura de EAP S S
EAP-éxito prematuro S S
Ataques de penetración en la seguridad
herramienta ASLEAP detectada S S
Ataque Airsnarf N S
ataque de ChopChop S S
Ataque día cero por anomalía en la seguridad de WLAN N S
Ataque día cero por anomalía en la seguridad de los dispositivos N S
Sondeo del dispositivo para AP S S
Ataque de diccionario a métodos EAP S S
Ataque EAP contra la autenticación 802.1x S S
AP falsos detectados S S
Se detectó servidor DHCP falso N S
FAST WEP crack tool detectado S S
Ataque de fragmentación S S
Punto de acceso del Honeypot detectado S S
Herramienta Hotspotter detectada N S
Tramas de broadcast incorrectas N S
Se detectaron paquetes 802.11 mal formados S S
Hombre en medio del ataque S S
Detectado Netstumbler S S
Víctima de Netstumbler detectada S S
Violación PSPF detectada S S
AP de software o AP de host detectado S S
Dirección MAC falsa detectada S S
Tráfico sospechoso fuera de horas detectado S S
Asociación no autorizada por lista de proveedores N S
Asociación no autorizada detectada S S
Wellenreiter detectado S S

Nota: La incorporación de CleanAir también permitirá la detección de ataques que no sean 802.11.

Figura 11: WCS wIPS Profile View

wips-11.gif

En la Figura 11, configure el perfil wIPS de WCS, el wips-icon.gif icono indica que el ataque se detectará solamente cuando el AP esté en MM, mientras que sólo se hará el mejor esfuerzo cuando esté en el ELM.

Resolución de problemas de ELM

Compruebe estos elementos:

  • Asegúrese de que NTP esté configurado.

  • Asegúrese de que la configuración de tiempo MSE esté en UTC.

  • Si el grupo de dispositivos no funciona, utilice el SSID de perfil superpuesto con Any. Reinicie el AP.

  • Asegúrese de que la licencia esté configurada (los AP de ELM actuales utilizan licencias de KAM)

  • Si los perfiles wIPS se cambian con demasiada frecuencia, sincronice el controlador MSE de nuevo. Asegúrese de que el perfil esté activo en el WLC.

  • Asegúrese de que el WLC sea parte de MSE usando CLI de MSE:

    1. SSH o telnet a su MSE.

    2. Execute /opt/mse/wips/bin/wips_cli - Esta consola se puede utilizar para acceder a los siguientes comandos para recopilar información sobre el estado del sistema wIPS adaptativo.

    3. show wlc all - Problema dentro de la consola wIPS. Este comando se utiliza para verificar los controladores que se comunican activamente con el servicio wIPS en el MSE. Consulte la Figura 12.

      Figura 12: CLI de MSE que verifica el WLC activo con los servicios wIPS de MSE 

      wIPS>show wlc all

WLC MAC              Profile             Profile
Status                  IP
Onx Status Status
------------------------------------------------
------------------------------------------------
----
00:21:55:06:F2:80    WCS-Default         Policy
active on controller     172.20.226.197
Active

  • Asegúrese de que se detectan alarmas en MSE mediante CLI de MSE.

    • show alarm list - Emitido dentro de la consola wIPS. Este comando se utiliza para enumerar las alarmas contenidas actualmente en la base de datos de servicios wIPS. El campo clave es la clave hash única asignada a la alarma específica. El campo Tipo es el tipo de alarma. Este gráfico de la Figura 13 muestra una lista de ID de alarma y descripciones:

      Figura 13: Comando show alarm list de MSE CLI 

      wIPS>show alarm list

Key        Type  Src MAC
LastTime              Active          First Time
------------------------------------------------
-------------------------------------------
89         89    00:00:00:00:00:00     2008/09/04
18:19:26  2008/09/07 02:16:58   1
65631      95    00:00:00:00:00:00     2008/09/04
17:18:31  2008/09/04 17:18:31   0
1989183    99    00:1A:1E:80:5C:40     2008/09/04
18:19:44  2008/09/04 18:19:44   0

      Los campos Primera y Última vez significan las marcas de tiempo cuando se detectó la alarma; se almacenan en tiempo UTC. El campo Activo resalta si la alarma se ha detectado actualmente.

  • Borre la base de datos MSE.

    • Si se encuentra en una situación en la que la base de datos de MSE está dañada, o en la que no funcionará ningún otro método de solución de problemas, es mejor borrar la base de datos e iniciarla de nuevo.

      Figura 14: Comando de servicios MSE 

      1. /etc/init.d/msed stop
2. Remove the database using the command 'rm
/opt/mse/locserver/db/linux/server-eng.db'
3. /etc/init.d/msed start

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Jan-2015
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos