La solución Cisco Adaptive Wireless Intrusion Prevention System (wIPS) incorpora la función Enhanced Local Mode (ELM), lo que permite a los administradores utilizar sus puntos de acceso (AP) implementados para proporcionar una protección completa sin necesidad de una red superpuesta independiente (Figura 1). Antes del ELM y en la implementación tradicional de wIPS adaptable, se necesitan puntos de acceso de modo de monitor dedicado (MM) para proporcionar requisitos de cumplimiento de PCI o protección contra ataques, penetración y acceso a la seguridad no autorizados (Figura 2). ELM proporciona con eficacia una oferta comparable que facilita la implementación de la seguridad inalámbrica a la vez que reduce los costes de CapEx y OpEx. Este documento se centra solamente en el ELM y no modifica ninguna ventaja de implementación wIPS existente con AP MM.
Figura 1: Implementación de PA de modo local mejorada
No hay requisitos específicos para este documento.
Componentes necesarios del ELM y versiones de código mínimas
Wireless LAN Controller (WLC) - Versión 7.0.116.xx o posterior
AP - Versión 7.0.116.xx o posterior
Wireless Control System (WCS) - Versión 7.0.172.xx o posterior
Mobility Services Engine - Versión 7.0.201.xx o posterior
Compatibilidad con plataformas WLC
El ELM se soporta en las plataformas WLC5508, WLC4400, WLC 2106, WLC2504, WiSM-1 y WiSM-2WLC.
Soporte de AP
El ELM se soporta en 11n AP incluyendo 3500, 1250, 1260, 1040 y 1140.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Los ataques solo son relevantes cuando se producen en AP de infraestructura de confianza. Los AP del ELM detectarán y se comunicarán con el controlador y se correlacionarán con el MSE para informar con la administración de WCS. La figura 3 proporciona el flujo de alarma desde el punto de vista del administrador:
Ataque lanzado contra un dispositivo de infraestructura ("fiable" AP)
Detectado en el AP ELM comunicado a través de CAPWAP al WLC
Pasado de forma transparente a MSE a través de NMSP
Conectado a base de datos wIPS en MSE enviado a WCS a través de trampa SNMP
Mostrado en WCS
Cisco recomienda que al habilitar el ELM en cada AP de la red se satisfagan la mayoría de las necesidades de seguridad de los clientes cuando la superposición de una red o los costes forman parte de la consideración. La función principal de ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los clientes de datos, voz y vídeo, y de los servicios.
La figura 4 proporciona un contraste general entre las implementaciones estándar de APs wIPS MM y ELM. En la revisión, el rango de cobertura típico para ambos modos sugiere:
El punto de acceso exclusivo con MM IPS suele cubrir entre 15 000 y 35 000 pies cuadrados
El AP con servicio al cliente cubrirá normalmente de 3000 a 5000 pies cuadrados
En la implementación tradicional de wIPS adaptable, Cisco recomienda una relación de 1 MM AP con cada 5 AP de modo local, que también puede variar según el diseño de la red y la guía de expertos para la mejor cobertura. Al considerar el ELM, el administrador simplemente habilita la función de software del ELM para todos los AP existentes, añadiendo efectivamente las operaciones de MM wIPS al AP del modo de servicio de datos local mientras mantiene el rendimiento.
Un AP MM utiliza el 100% del tiempo de radio para escanear todos los canales, ya que no atiende a ningún cliente WLAN. La función principal para ELM funciona de forma eficaz para los ataques en el canal, sin poner en peligro el rendimiento de los servicios y clientes de datos, voz y vídeo. La diferencia principal es en el modo local que varía el escaneo fuera del canal; en función de la actividad, el escaneo fuera del canal proporciona un tiempo de permanencia mínimo para recopilar suficiente información disponible para clasificar y determinar el ataque. Un ejemplo puede ser con los clientes de voz que están asociados y donde el escaneo RRM de AP se posterga hasta que el cliente de voz se desasocie para asegurarse de que el servicio no se vea afectado. Para ello, se considera que la detección del ELM durante el canal externo es el mejor esfuerzo. Los puntos de acceso del ELM vecinos que operan en todos los canales, por país o DCA aumentan la eficacia, de ahí la recomendación de habilitar el ELM en cada punto de acceso de modo local para una cobertura de protección máxima. Si el requisito es el escaneo dedicado en todos los canales a tiempo completo, la recomendación será implementar AP MM.
Estos puntos revisan las diferencias del modo local y los AP MM:
PA de modo local - Sirve a los clientes de WLAN con análisis fuera del canal de división de tiempo, escucha 50 ms en cada canal y ofrece escaneo configurable para todos los canales de país/DCA.
Monitor Mode AP - No atiende a los clientes WLAN, dedicados al escaneo solamente, escucha 1.2s en cada canal y explora todos los canales.
Cisco ha realizado grandes esfuerzos para optimizar las funciones en situaciones difíciles, como la implementación de puntos de acceso ELM en enlaces WAN de ancho de banda bajo. La función ELM implica el preprocesamiento para determinar las firmas de ataque en el AP y está optimizada para funcionar con links lentos. Como prácticas recomendadas, se recomienda probar y medir la base para validar el rendimiento con ELM sobre WAN.
La función ELM complementa las operaciones de CleanAir con un rendimiento y ventajas similares a la implementación de puntos de acceso MM con estas ventajas existentes de CleanAir con reconocimiento del espectro:
Inteligencia de radiofrecuencia de silicio dedicada
Detección del espectro, reparación automática y optimización automática
Mitigación y detección de amenazas e interferencias de canales no estándar
Detección no Wi-Fi, como Bluetooth, microondas, teléfonos inalámbricos, etc.
Detecte y localice ataques DOS de capa de RF como bloqueadores de RF
Análisis wIPS adaptable en datos que sirven a AP locales y H-REAP
Protección sin necesidad de una red superpuesta independiente
Disponible como descarga gratuita de software para clientes wIPS existentes
Admite compatibilidad con PCI para las redes LAN inalámbricas
Detección completa de ataques 802.11 y sin 802.11
Añade funciones de informes y diagnóstico
Se integra con la gestión existente de CUWM y WLAN
Flexibilidad para establecer puntos de acceso MM integrados o dedicados
El preprocesamiento en los AP minimiza la red de retorno de datos (es decir, funciona en links de ancho de banda muy bajo)
Bajo impacto en los datos de servicio
ELM wIPS agrega una nueva licencia al pedido:
AIR-LM-WIPS-xx - Licencia wIPS de Cisco ELM
AIR-WIPS-AP-xx - Licencia de Cisco Wireless wIPS
Notas adicionales sobre las licencias del ELM:
Si ya se han instalado SKU de licencias AP MM wIPS, estas licencias también se pueden utilizar para los AP ELM.
las licencias wIPS y las licencias ELM en conjunto cuentan hacia los límites de licencias de plataforma para el motor wIPS; 2000 AP en 3310 y 3000 AP en 335x, respectivamente.
La licencia de evaluación incluirá 10 AP para wIPS y 10 para ELM durante un período de hasta 60 días. Antes del ELM, la licencia de evaluación permitía hasta 20 AP MM con wIPS. Se debe cumplir el requisito mínimo de versiones de software que admitan el ELM.
Desde WCS, inhabilite las radios 802.11b/g y 802.11a del AP antes de habilitar "Enhanced wIPS Engine".
Nota: Todos los clientes asociados se desconectarán y no se unirán hasta que se habiliten las radios.
Configure un AP o utilice una plantilla de configuración WCS para varios AP ligeros. Consulte la Figura 6.
Figura 6: submodo Habilitar motor wIPS mejorado (ELM)
Elija Enhanced wIPS Engine y haga clic en Save.
La habilitación de Enhanced wIPS Engine no hará que el AP se reinicie.
H-REAP es soportado; habilite de la misma manera que para el modo local AP.
Nota: Si se habilita cualquiera de las radios de este AP, WCS ignorará la configuración y producirá el error en la Figura 7.
Figura 7: Recordatorio de WCS para Deshabilitar Radios AP antes de Habilitar el ELM
El éxito de la configuración se puede verificar observando el cambio en el modo AP de "Local o H-REAP" a Local/wIPS o H-REAP/wIPS. Consulte la Figura 8.
Figura 8: WCS que muestra el modo AP para incluir wIPS con Local y/o H-REAP
Habilite las radios que estaban desactivadas en el Paso 1.
Cree el perfil wIPS y envíelo al controlador para que la configuración se complete.
Nota: Para obtener información de configuración completa sobre wIPS, consulte la Guía de implementación de wIPS adaptable de Cisco.
Elija un AP de la pestaña Inalámbrico.
Figura 10 - WLC Cambiando el submodo AP para incluir el ELM wIPS
En el menú desplegable AP Sub Mode , elija wIPS (Figura 10).
Aplique y, a continuación, guarde la configuración.
Nota: Para que la funcionalidad de ELM funcione, se requieren MSE y WCS con licencias wIPS. El cambio del submodo AP del WLC solo no habilitará el ELM.
Tabla 1: Matriz de soporte de firmas wIPS
Ataques detectados | ELM | MM |
---|---|---|
Ataque DoS contra AP | ||
Inundación de asociación | S | S |
Desbordamiento de tabla de asociación | S | S |
Inundación de autenticación | S | S |
Ataque EAPOL-Start | S | S |
Inundación de PS-Poll | S | S |
Inundación de solicitud de sondeo | N | S |
Asociación no autenticada | S | S |
Ataque DoS contra la infraestructura | ||
inundación CTS | N | S |
La Universidad Tecnológica de Queensland | N | S |
Interferencia de RF | S | S |
inundación RTS | N | S |
Ataque de operador virtual | N | S |
Ataque DoS contra estación | ||
Ataque de falla de autenticación | S | S |
Block ACK flood (Bloquear inundación ACK) | N | S |
Inundación de difusión de De-Auth | S | S |
Inundación De Auth | S | S |
Inundación de broadcast Dis-Assoc | S | S |
Inundación Dis-Assoc | S | S |
Ataque EAPOL-Logoff | S | S |
herramienta FATA-Jack | S | S |
Falla prematura de EAP | S | S |
EAP-éxito prematuro | S | S |
Ataques de penetración en la seguridad | ||
herramienta ASLEAP detectada | S | S |
Ataque Airsnarf | N | S |
ataque de ChopChop | S | S |
Ataque día cero por anomalía en la seguridad de WLAN | N | S |
Ataque día cero por anomalía en la seguridad de los dispositivos | N | S |
Sondeo del dispositivo para AP | S | S |
Ataque de diccionario a métodos EAP | S | S |
Ataque EAP contra la autenticación 802.1x | S | S |
AP falsos detectados | S | S |
Se detectó servidor DHCP falso | N | S |
FAST WEP crack tool detectado | S | S |
Ataque de fragmentación | S | S |
Punto de acceso del Honeypot detectado | S | S |
Herramienta Hotspotter detectada | N | S |
Tramas de broadcast incorrectas | N | S |
Se detectaron paquetes 802.11 mal formados | S | S |
Hombre en medio del ataque | S | S |
Detectado Netstumbler | S | S |
Víctima de Netstumbler detectada | S | S |
Violación PSPF detectada | S | S |
AP de software o AP de host detectado | S | S |
Dirección MAC falsa detectada | S | S |
Tráfico sospechoso fuera de horas detectado | S | S |
Asociación no autorizada por lista de proveedores | N | S |
Asociación no autorizada detectada | S | S |
Wellenreiter detectado | S | S |
Nota: La incorporación de CleanAir también permitirá la detección de ataques que no sean 802.11.
Figura 11: WCS wIPS Profile View
En la Figura 11, configure el perfil wIPS de WCS, el icono indica que el ataque se detectará solamente cuando el AP esté en MM, mientras que sólo se hará el mejor esfuerzo cuando esté en el ELM.
Compruebe estos elementos:
Asegúrese de que NTP esté configurado.
Asegúrese de que la configuración de tiempo MSE esté en UTC.
Si el grupo de dispositivos no funciona, utilice el SSID de perfil superpuesto con Any. Reinicie el AP.
Asegúrese de que la licencia esté configurada (los AP de ELM actuales utilizan licencias de KAM)
Si los perfiles wIPS se cambian con demasiada frecuencia, sincronice el controlador MSE de nuevo. Asegúrese de que el perfil esté activo en el WLC.
Asegúrese de que el WLC sea parte de MSE usando CLI de MSE:
SSH o telnet a su MSE.
Execute /opt/mse/wips/bin/wips_cli - Esta consola se puede utilizar para acceder a los siguientes comandos para recopilar información sobre el estado del sistema wIPS adaptativo.
show wlc all - Problema dentro de la consola wIPS. Este comando se utiliza para verificar los controladores que se comunican activamente con el servicio wIPS en el MSE. Consulte la Figura 12.
Figura 12: CLI de MSE que verifica el WLC activo con los servicios wIPS de MSE
wIPS>show wlc all WLC MAC Profile Profile Status IP Onx Status Status ------------------------------------------------ ------------------------------------------------ ---- 00:21:55:06:F2:80 WCS-Default Policy active on controller 172.20.226.197 Active
Asegúrese de que se detectan alarmas en MSE mediante CLI de MSE.
show alarm list - Emitido dentro de la consola wIPS. Este comando se utiliza para enumerar las alarmas contenidas actualmente en la base de datos de servicios wIPS. El campo clave es la clave hash única asignada a la alarma específica. El campo Tipo es el tipo de alarma. Este gráfico de la Figura 13 muestra una lista de ID de alarma y descripciones:
Figura 13: Comando show alarm list de MSE CLI
wIPS>show alarm list Key Type Src MAC LastTime Active First Time ------------------------------------------------ ------------------------------------------- 89 89 00:00:00:00:00:00 2008/09/04 18:19:26 2008/09/07 02:16:58 1 65631 95 00:00:00:00:00:00 2008/09/04 17:18:31 2008/09/04 17:18:31 0 1989183 99 00:1A:1E:80:5C:40 2008/09/04 18:19:44 2008/09/04 18:19:44 0
Los campos Primera y Última vez significan las marcas de tiempo cuando se detectó la alarma; se almacenan en tiempo UTC. El campo Activo resalta si la alarma se ha detectado actualmente.
Borre la base de datos MSE.
Si se encuentra en una situación en la que la base de datos de MSE está dañada, o en la que no funcionará ningún otro método de solución de problemas, es mejor borrar la base de datos e iniciarla de nuevo.
Figura 14: Comando de servicios MSE
1. /etc/init.d/msed stop 2. Remove the database using the command 'rm /opt/mse/locserver/db/linux/server-eng.db' 3. /etc/init.d/msed start
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
14-Jan-2015 |
Versión inicial |