Le wIPS adaptatif de Cisco a amélioré la configuration de mode local (ORME) et le guide de déploiement

Introduction

La solution Cisco Adaptive Wireless Intrusion Prevention System (wIPS) ajoute la fonctionnalité ELM (Enhanced Local Mode), permettant aux administrateurs d'utiliser leurs points d'accès déployés pour fournir une protection complète sans avoir besoin d'un réseau de superposition séparé (Figure 1). Avant ELM et dans le déploiement traditionnel Adaptive wIPS, les points d'accès en mode moniteur (MM) dédiés sont requis pour fournir une conformité PCI ou une protection contre les accès, pénétration et attaques non autorisés (Figure 2). ELM présente une offre comparable qui soulage la mise en œuvre d'un système de sécurité sans fil tout en diminuant les dépenses en capital et les coûts d'exploitation. Ce document se concentre uniquement sur ELM et ne modifie aucun avantage de déploiement wIPS existant avec les points d'accès MM.

Figure 1 - Déploiement des points d'accès en mode local amélioré

Figure 2 - Principales menaces pour la sécurité sans fil

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Composants requis ELM et versions de code minimum

• Contrôleur LAN sans fil (WLC) - Version 7.0.116.xx ou ultérieure

• AP - Version 7.0.116.xx ou ultérieure

• Wireless Control System (WCS) - Version 7.0.172.xx ou ultérieure

• Mobility Services Engine - Version 7.0.201.xx ou ultérieure

Prise en charge des plates-formes WLC

ELM est pris en charge sur les plates-formes WLC5508, WLC4400, WLC 2106, WLC2504, WiSM-1 et WiSM-2WLC.

AP pris en charge

ELM est pris en charge sur les points d'accès 11n, y compris 3500, 1250, 1260, 1040 et 1140.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Flux d'alarme ELM avec IPS

Les attaques ne sont pertinentes que lorsqu'elles se produisent sur des points d'accès d'infrastructure de confiance. Les points d'accès ELM détectent et communiquent avec le contrôleur et établissent une corrélation avec le MSE pour la création de rapports avec la gestion WCS. La Figure 3 fournit le flux d'alarme du point de vue d'un administrateur :

1. Attaque lancée contre un périphérique d'infrastructure ( point d'accès de confiance)

2. Détecté sur l'AP ELM communiqué par CAPWAP au WLC

3. Transmis en toute transparence à MSE via NMSP

4. Connecté à la base de données wIPS sur MSE envoyé à WCS via SNMP trap

5. Affiché à WCS

Figure 3 - Détection des menaces et flux d'alarmes

Considérations de déploiement pour ELM

Cisco recommande qu'en activant ELM sur chaque point d'accès du réseau, vous répondiez à la plupart des besoins de sécurité des clients lorsqu'une superposition de réseau et/ou des coûts font partie des considérations. La fonction principale ELM fonctionne efficacement pour les attaques sur canal, sans compromettre les performances des clients et services de données, de voix et de vidéo.

ELM contre MM dédié

La Figure 4 présente un contraste général entre les déploiements standard des points d'accès MM wIPS et ELM. Dans le présent article, la plage de couverture type des deux modes suggère :

• Le point d'accès dédié wIPS MM couvre généralement de 15 000 à 35 000 pieds carrés

• Le point d'accès au service client couvre généralement de 3 000 à 5 000 pieds carrés

Figure 4 : superposition de tous les points d'accès MM et ELM

Dans le déploiement traditionnel Adaptive wIPS, Cisco recommande un rapport de 1 MM AP par 5 points d'accès en mode local, qui peut également varier en fonction de la conception du réseau et des conseils d'experts pour une meilleure couverture. En prenant en compte la fonctionnalité ELM, l'administrateur active simplement la fonctionnalité logicielle ELM pour tous les points d'accès existants, ajoutant efficacement les opérations MM wIPS à l'AP en mode de service de données local tout en maintenant les performances.

Performances sur canal et hors canal

Un point d'accès MM utilise 100 % du temps de la radio pour analyser tous les canaux, car il ne dessert aucun client WLAN. La fonction principale d'ELM fonctionne efficacement pour les attaques sur canal, sans compromettre les performances des clients et services de données, de voix et de vidéo. La principale différence est dans le mode local, qui varie selon le balayage hors canal ; en fonction de l'activité, l'analyse hors canal offre un temps d'attente minimal pour recueillir suffisamment d'informations disponibles pour classer et déterminer les attaques. Par exemple, les clients vocaux qui sont associés et où l'analyse RRM du point d'accès est différée jusqu'à ce que le client vocal soit dissocié pour s'assurer que le service n'est pas affecté. À cette fin, la détection des ELM en dehors du canal est considérée comme le meilleur effort. Les AP ELM voisins fonctionnant sur tous les canaux, pays ou DCA augmentent l'efficacité, d'où la recommandation d'activer ELM sur chaque AP en mode local pour une couverture de protection maximale. Si l'analyse dédiée est requise sur tous les canaux à temps plein, la recommandation sera de déployer des points d'accès MM.

Ces points examinent les différences entre les points d'accès en mode local et MM :

• Point d'accès en mode local - Sert les clients WLAN avec une analyse hors canal par tranches de temps, écoute 50 ms sur chaque canal et offre une analyse configurable pour tous les canaux/pays/DCA.

• Point d'accès en mode surveillance : ne dessert pas les clients WLAN, dédiés à l'analyse uniquement, écoute les 1,2 sur chaque canal et analyse tous les canaux.

ELM sur les liaisons WAN

Cisco a déployé de grands efforts pour optimiser les fonctionnalités dans des scénarios difficiles, tels que le déploiement de points d'accès ELM sur des liaisons WAN à faible bande passante. La fonctionnalité ELM implique un pré-traitement pour déterminer les signatures d'attaque au niveau du point d'accès et est optimisée pour fonctionner sur des liaisons lentes. Il est recommandé de tester et de mesurer la ligne de base afin de valider les performances avec ELM sur WAN.

Intégration CleanAir

La fonctionnalité ELM complète fortement les opérations CleanAir avec des performances et des avantages similaires au déploiement des points d'accès MM avec les avantages existants de CleanAir prenant en compte le spectre :

• Intelligence RF dédiée au niveau du silicium

• Prise en compte du spectre, autoréparation et auto-optimisation

• Détection et atténuation des menaces et des interférences des canaux non standard

• Détection non Wi-Fi (Bluetooth, micro-ondes, téléphones sans fil, etc.)

• Détecter et localiser les attaques DOS de couche RF telles que les brouilleurs RF

Caractéristiques et avantages de la gestion ELM

• Analyse wIPS adaptative dans les données desservant les points d'accès locaux et H-REAP

• Protection sans besoin d'un réseau de superposition distinct

• Disponible en téléchargement logiciel gratuit pour les clients wIPS existants

• Prend en charge la conformité PCI pour les LAN sans fil

• Détection complète des attaques 802.11 et non 802.11

• Ajoute des fonctionnalités d'analyse et de création de rapports

• S'intègre à la gestion CUWM et WLAN existante

• Flexibilité pour définir des points d'accès MM intégrés ou dédiés

• Le prétraitement au niveau des points d’accès réduit la liaison de données (c’est-à-dire fonctionne sur des liaisons à très faible bande passante)

• Faible impact sur les données de service

Licence ELM

ELM wIPS ajoute une nouvelle licence à la commande :

• AIR-LM-WIPS-xx - Licence Cisco ELM wIPS

• AIR-WIPS-AP-xx - Licence Cisco Wireless wIPS

Notes de licence ELM supplémentaires :

• Si des références de licence PA wIPS MM sont déjà installées, ces licences peuvent également être utilisées pour les AP ELM.

• les licences wIPS et ELM sont prises en compte dans la limite des licences de plate-forme pour le moteur wIPS ; 2000 AP sur 3310 et 3000 AP sur 335x, respectivement.

• La licence d'évaluation inclut 10 points d'accès pour wIPS et 10 pour ELM pour une période maximale de 60 jours. Avant ELM, la licence d'évaluation autorisait jusqu'à 20 points d'accès MM wIPS. La configuration minimale requise pour les versions logicielles prenant en charge ELM doit être respectée.

Configurer ELM avec WCS

Figure 5 - Utilisation de WCS pour configurer ELM

1. À partir de WCS, désactivez les radios 802.11b/g et 802.11a du point d'accès avant d'activer “ moteur wIPS amélioré. ”

   Remarque : Tous les clients associés seront déconnectés et ne se joindront pas tant que les radios ne seront pas activées.

2. Configurez un point d'accès ou utilisez un modèle de configuration WCS pour plusieurs points d'accès légers. Voir la figure 6.

   Figure 6 : sous-mode Enable Enhanced wIPS Engine (ELM)

   

3. Choisissez Enhanced wIPS Engine, puis cliquez sur Enregistrer.

   1. L'activation du moteur wIPS amélioré n'entraîne pas le redémarrage de l'AP.

   2. H-REAP est pris en charge ; activer de la même manière que pour le point d'accès en mode local.

   Remarque : Si l'une des radios de ce point d'accès est activée, WCS ignorera la configuration et lancera l'erreur dans la Figure 7.

   Figure 7 - Rappel WCS pour désactiver les radios AP avant d'activer ELM

   

4. La réussite de la configuration peut être vérifiée en observant le changement en mode AP de “ ” Local ou H-REAP à Local/wIPS ou H-REAP/wIPS. Voir la figure 8.

   Figure 8 - WCS affichant le mode AP pour inclure wIPS avec Local et/ou H-REAP

   

5. Activez les radios qui sont désactivées à l'étape 1.

6. Créez le profil wIPS et poussez-le sur le contrôleur afin que la configuration soit terminée.

   Remarque : Pour obtenir des informations complètes sur la configuration de wIPS, reportez-vous au Guide de déploiement Cisco Adaptive wIPS.

Configuration à partir du WLC

Figure 9 : configuration d'ELM avec WLC

1. Sélectionnez un point d'accès dans l'onglet Sans fil.

   Figure 10 - WLC Modification du sous-mode AP pour inclure wIPS ELM

   

2. Dans le menu déroulant du sous-mode AP, sélectionnez wIPS (Figure 10).

3. Appliquez, puis enregistrez la configuration.

Remarque : pour que la fonctionnalité ELM fonctionne, MSE et WCS sont requis avec la licence wIPS. La modification du sous-mode AP à partir du WLC seul n'activera pas ELM.

Attaques détectées dans ELM

Tableau 1 - Matrice de prise en charge des signatures wIPS

Attaques détectées	ELM	MM
Attaque DoS contre AP
Inondation d'association	O	O
Débordement de table d'association	O	O
Inondation d'authentification	O	O
Attaque EAPOL-Start	O	O
Inondation PS-Poll	O	O
Inondation de la demande de sondage	N	O
Association non authentifiée	O	O
Attaque DoS contre l'infrastructure
Inondation CTS	N	O
Université de technologie du Queensland	N	O
brouillage RF	O	O
Inondation RTS	N	O
Attaque d'opérateur virtuel	N	O
Attaque DoS contre la station
Attaque d'échec d'authentification	O	O
Bloquer l'inondation ACK	N	O
Inondation de diffusion de fin d'août	O	O
Inondation de De-Auth	O	O
Inondation de diffusion Dis-Assoc	O	O
Inondation de Dis-Assoc	O	O
Attaque EAPOL-Logoff	O	O
Outil FATA-Jack	O	O
Échec EAP prématuré	O	O
EAP prématuré - Réussite	O	O
Attaques de pénétration de sécurité
Outil ASLEAP détecté	O	O
Attaque d'Airsnarf	N	O
Attaque de ChopChop	O	O
Attaque Day-Zero par anomalie de sécurité WLAN	N	O
Attaque au jour zéro par anomalie de sécurité des périphériques	N	O
Recherche de périphériques pour les points d'accès	O	O
Attaque de dictionnaire sur les méthodes EAP	O	O
Attaque EAP contre l'authentification 802.1x	O	O
Faux AP détectés	O	O
Serveur DHCP défectueux détecté	N	O
Outil de craquage WEP FAST détecté	O	O
Attaque de fragmentation	O	O
Point d'accès honeypot détecté	O	O
Outil Hotspotter détecté	N	O
Trames de diffusion incorrectes	N	O
Paquets 802.11 mal formés détectés	O	O
L'homme au milieu de l'attaque	O	O
Netstumbler détecté	O	O
Victime Netstumbler détectée	O	O
Violation PSPF détectée	O	O
Point d'accès logiciel ou point d'accès hôte détecté	O	O
Adresse MAC usurpée détectée	O	O
Trafic suspect en dehors des heures de bureau détecté	O	O
Association non autorisée par liste de fournisseurs	N	O
Association non autorisée détectée	O	O
Wellenreiter détecté	O	O

Remarque : L'ajout de CleanAir permettra également de détecter les attaques non-802.11.

Figure 11 - Vue de profil WCS wIPS

Dans la Figure 11, configurez le profil wIPS à partir de WCS, l' icône indique que l'attaque sera détectée uniquement lorsque AP est dans MM, alors que le meilleur effort est dans ELM.

Dépannage d'ELM

Vérifiez ces éléments :

• Assurez-vous que NTP est configuré.

• Assurez-vous que le paramètre d'heure MSE est en UTC.

• Si le groupe de périphériques ne fonctionne pas, utilisez le SSID de profil de superposition avec Any. Redémarrez l'AP.

• Assurez-vous que les licences sont configurées (les AP ELM utilisent actuellement des licences KAM)

• Si les profils wIPS sont modifiés trop souvent, synchronisez à nouveau MSE-Controller. Assurez-vous que le profil est actif sur le WLC.

• Assurez-vous que le WLC fait partie de MSE à l'aide des CLI MSE :

  1. SSH ou telnet vers votre MSE.

  2. Execute /opt/mse/wips/bin/wips_cli - Cette console peut être utilisée pour accéder aux commandes suivantes afin de recueillir des informations sur l'état du système wIPS adaptatif.

  3. show wlc all - Émettez dans la console wIPS. Cette commande permet de vérifier les contrôleurs qui communiquent activement avec le service wIPS sur le MSE. Voir la figure 12.

     Figure 12 - CLI MSE Vérification du WLC actif avec les services wIPS MSE

     wIPS>show wlc all
     
     WLC MAC              Profile             Profile
     Status                  IP
     Onx Status Status
     ------------------------------------------------
     ------------------------------------------------
     ----
     00:21:55:06:F2:80    WCS-Default         Policy
     active on controller     172.20.226.197
     Active

• Assurez-vous que les alarmes sont détectées sur MSE à l'aide des CLI MSE.

  • show alarm list - Émettez un problème dans la console wIPS. Cette commande permet de répertorier les alarmes actuellement contenues dans la base de données de service wIPS. Le champ de clé est la clé de hachage unique affectée à l'alarme spécifique. Le champ Type correspond au type d'alarme. Ce graphique de la Figure 13 présente une liste d'ID d'alarme et de descriptions :

    Figure 13 - Commande show alarm list de l'interface de ligne de commande MSE

    wIPS>show alarm list
    
    Key        Type  Src MAC
    LastTime              Active          First Time
    ------------------------------------------------
    -------------------------------------------
    89         89    00:00:00:00:00:00     2008/09/04
    18:19:26  2008/09/07 02:16:58   1
    65631      95    00:00:00:00:00:00     2008/09/04
    17:18:31  2008/09/04 17:18:31   0
    1989183    99    00:1A:1E:80:5C:40     2008/09/04
    18:19:44  2008/09/04 18:19:44   0

    Les champs Première et Dernière heure indiquent les horodatages lorsque l'alarme a été détectée ; elles sont stockées dans l'heure UTC. Le champ Actif s'affiche si l'alarme est détectée.

• Effacez la base de données MSE.

  • Si la base de données MSE est corrompue ou si aucune autre méthode de dépannage ne fonctionne, il est préférable d'effacer la base de données et de recommencer.

    Figure 14 - Commande MSE services

    1. /etc/init.d/msed stop
    2. Remove the database using the command 'rm
    /opt/mse/locserver/db/linux/server-eng.db'
    3. /etc/init.d/msed start

Informations connexes

• Guide de configuration du contrôleur de réseau local sans fil Cisco, version 7.0.116.0
• Guide de configuration du système de contrôle sans fil Cisco, version 7.0.172.0
• Support et documentation techniques - Cisco Systems