La solution Cisco Adaptive Wireless Intrusion Prevention System (wIPS) ajoute la fonctionnalité ELM (Enhanced Local Mode), permettant aux administrateurs d'utiliser leurs points d'accès déployés pour fournir une protection complète sans avoir besoin d'un réseau de superposition séparé (Figure 1). Avant ELM et dans le déploiement traditionnel Adaptive wIPS, les points d'accès en mode moniteur (MM) dédiés sont requis pour fournir une conformité PCI ou une protection contre les accès, pénétration et attaques non autorisés (Figure 2). ELM présente une offre comparable qui soulage la mise en œuvre d'un système de sécurité sans fil tout en diminuant les dépenses en capital et les coûts d'exploitation. Ce document se concentre uniquement sur ELM et ne modifie aucun avantage de déploiement wIPS existant avec les points d'accès MM.
Figure 1 - Déploiement des points d'accès en mode local amélioré
Aucune spécification déterminée n'est requise pour ce document.
Composants requis ELM et versions de code minimum
Contrôleur LAN sans fil (WLC) - Version 7.0.116.xx ou ultérieure
AP - Version 7.0.116.xx ou ultérieure
Wireless Control System (WCS) - Version 7.0.172.xx ou ultérieure
Mobility Services Engine - Version 7.0.201.xx ou ultérieure
Prise en charge des plates-formes WLC
ELM est pris en charge sur les plates-formes WLC5508, WLC4400, WLC 2106, WLC2504, WiSM-1 et WiSM-2WLC.
AP pris en charge
ELM est pris en charge sur les points d'accès 11n, y compris 3500, 1250, 1260, 1040 et 1140.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Les attaques ne sont pertinentes que lorsqu'elles se produisent sur des points d'accès d'infrastructure de confiance. Les points d'accès ELM détectent et communiquent avec le contrôleur et établissent une corrélation avec le MSE pour la création de rapports avec la gestion WCS. La Figure 3 fournit le flux d'alarme du point de vue d'un administrateur :
Attaque lancée contre un périphérique d'infrastructure ( point d'accès de confiance)
Détecté sur l'AP ELM communiqué par CAPWAP au WLC
Transmis en toute transparence à MSE via NMSP
Connecté à la base de données wIPS sur MSE envoyé à WCS via SNMP trap
Affiché à WCS
Cisco recommande qu'en activant ELM sur chaque point d'accès du réseau, vous répondiez à la plupart des besoins de sécurité des clients lorsqu'une superposition de réseau et/ou des coûts font partie des considérations. La fonction principale ELM fonctionne efficacement pour les attaques sur canal, sans compromettre les performances des clients et services de données, de voix et de vidéo.
La Figure 4 présente un contraste général entre les déploiements standard des points d'accès MM wIPS et ELM. Dans le présent article, la plage de couverture type des deux modes suggère :
Le point d'accès dédié wIPS MM couvre généralement de 15 000 à 35 000 pieds carrés
Le point d'accès au service client couvre généralement de 3 000 à 5 000 pieds carrés
Dans le déploiement traditionnel Adaptive wIPS, Cisco recommande un rapport de 1 MM AP par 5 points d'accès en mode local, qui peut également varier en fonction de la conception du réseau et des conseils d'experts pour une meilleure couverture. En prenant en compte la fonctionnalité ELM, l'administrateur active simplement la fonctionnalité logicielle ELM pour tous les points d'accès existants, ajoutant efficacement les opérations MM wIPS à l'AP en mode de service de données local tout en maintenant les performances.
Un point d'accès MM utilise 100 % du temps de la radio pour analyser tous les canaux, car il ne dessert aucun client WLAN. La fonction principale d'ELM fonctionne efficacement pour les attaques sur canal, sans compromettre les performances des clients et services de données, de voix et de vidéo. La principale différence est dans le mode local, qui varie selon le balayage hors canal ; en fonction de l'activité, l'analyse hors canal offre un temps d'attente minimal pour recueillir suffisamment d'informations disponibles pour classer et déterminer les attaques. Par exemple, les clients vocaux qui sont associés et où l'analyse RRM du point d'accès est différée jusqu'à ce que le client vocal soit dissocié pour s'assurer que le service n'est pas affecté. À cette fin, la détection des ELM en dehors du canal est considérée comme le meilleur effort. Les AP ELM voisins fonctionnant sur tous les canaux, pays ou DCA augmentent l'efficacité, d'où la recommandation d'activer ELM sur chaque AP en mode local pour une couverture de protection maximale. Si l'analyse dédiée est requise sur tous les canaux à temps plein, la recommandation sera de déployer des points d'accès MM.
Ces points examinent les différences entre les points d'accès en mode local et MM :
Point d'accès en mode local - Sert les clients WLAN avec une analyse hors canal par tranches de temps, écoute 50 ms sur chaque canal et offre une analyse configurable pour tous les canaux/pays/DCA.
Point d'accès en mode surveillance : ne dessert pas les clients WLAN, dédiés à l'analyse uniquement, écoute les 1,2 sur chaque canal et analyse tous les canaux.
Cisco a déployé de grands efforts pour optimiser les fonctionnalités dans des scénarios difficiles, tels que le déploiement de points d'accès ELM sur des liaisons WAN à faible bande passante. La fonctionnalité ELM implique un pré-traitement pour déterminer les signatures d'attaque au niveau du point d'accès et est optimisée pour fonctionner sur des liaisons lentes. Il est recommandé de tester et de mesurer la ligne de base afin de valider les performances avec ELM sur WAN.
La fonctionnalité ELM complète fortement les opérations CleanAir avec des performances et des avantages similaires au déploiement des points d'accès MM avec les avantages existants de CleanAir prenant en compte le spectre :
Intelligence RF dédiée au niveau du silicium
Prise en compte du spectre, autoréparation et auto-optimisation
Détection et atténuation des menaces et des interférences des canaux non standard
Détection non Wi-Fi (Bluetooth, micro-ondes, téléphones sans fil, etc.)
Détecter et localiser les attaques DOS de couche RF telles que les brouilleurs RF
Analyse wIPS adaptative dans les données desservant les points d'accès locaux et H-REAP
Protection sans besoin d'un réseau de superposition distinct
Disponible en téléchargement logiciel gratuit pour les clients wIPS existants
Prend en charge la conformité PCI pour les LAN sans fil
Détection complète des attaques 802.11 et non 802.11
Ajoute des fonctionnalités d'analyse et de création de rapports
S'intègre à la gestion CUWM et WLAN existante
Flexibilité pour définir des points d'accès MM intégrés ou dédiés
Le prétraitement au niveau des points d’accès réduit la liaison de données (c’est-à-dire fonctionne sur des liaisons à très faible bande passante)
Faible impact sur les données de service
ELM wIPS ajoute une nouvelle licence à la commande :
AIR-LM-WIPS-xx - Licence Cisco ELM wIPS
AIR-WIPS-AP-xx - Licence Cisco Wireless wIPS
Notes de licence ELM supplémentaires :
Si des références de licence PA wIPS MM sont déjà installées, ces licences peuvent également être utilisées pour les AP ELM.
les licences wIPS et ELM sont prises en compte dans la limite des licences de plate-forme pour le moteur wIPS ; 2000 AP sur 3310 et 3000 AP sur 335x, respectivement.
La licence d'évaluation inclut 10 points d'accès pour wIPS et 10 pour ELM pour une période maximale de 60 jours. Avant ELM, la licence d'évaluation autorisait jusqu'à 20 points d'accès MM wIPS. La configuration minimale requise pour les versions logicielles prenant en charge ELM doit être respectée.
À partir de WCS, désactivez les radios 802.11b/g et 802.11a du point d'accès avant d'activer “ moteur wIPS amélioré. ”
Remarque : Tous les clients associés seront déconnectés et ne se joindront pas tant que les radios ne seront pas activées.
Configurez un point d'accès ou utilisez un modèle de configuration WCS pour plusieurs points d'accès légers. Voir la figure 6.
Figure 6 : sous-mode Enable Enhanced wIPS Engine (ELM)
Choisissez Enhanced wIPS Engine, puis cliquez sur Enregistrer.
L'activation du moteur wIPS amélioré n'entraîne pas le redémarrage de l'AP.
H-REAP est pris en charge ; activer de la même manière que pour le point d'accès en mode local.
Remarque : Si l'une des radios de ce point d'accès est activée, WCS ignorera la configuration et lancera l'erreur dans la Figure 7.
Figure 7 - Rappel WCS pour désactiver les radios AP avant d'activer ELM
La réussite de la configuration peut être vérifiée en observant le changement en mode AP de “ ” Local ou H-REAP à Local/wIPS ou H-REAP/wIPS. Voir la figure 8.
Figure 8 - WCS affichant le mode AP pour inclure wIPS avec Local et/ou H-REAP
Activez les radios qui sont désactivées à l'étape 1.
Créez le profil wIPS et poussez-le sur le contrôleur afin que la configuration soit terminée.
Remarque : Pour obtenir des informations complètes sur la configuration de wIPS, reportez-vous au Guide de déploiement Cisco Adaptive wIPS.
Sélectionnez un point d'accès dans l'onglet Sans fil.
Figure 10 - WLC Modification du sous-mode AP pour inclure wIPS ELM
Dans le menu déroulant du sous-mode AP, sélectionnez wIPS (Figure 10).
Appliquez, puis enregistrez la configuration.
Remarque : pour que la fonctionnalité ELM fonctionne, MSE et WCS sont requis avec la licence wIPS. La modification du sous-mode AP à partir du WLC seul n'activera pas ELM.
Tableau 1 - Matrice de prise en charge des signatures wIPS
Attaques détectées | ELM | MM |
---|---|---|
Attaque DoS contre AP | ||
Inondation d'association | O | O |
Débordement de table d'association | O | O |
Inondation d'authentification | O | O |
Attaque EAPOL-Start | O | O |
Inondation PS-Poll | O | O |
Inondation de la demande de sondage | n | O |
Association non authentifiée | O | O |
Attaque DoS contre l'infrastructure | ||
Inondation CTS | n | O |
Université de technologie du Queensland | n | O |
brouillage RF | O | O |
Inondation RTS | n | O |
Attaque d'opérateur virtuel | n | O |
Attaque DoS contre la station | ||
Attaque d'échec d'authentification | O | O |
Bloquer l'inondation ACK | n | O |
Inondation de diffusion de fin d'août | O | O |
Inondation de De-Auth | O | O |
Inondation de diffusion Dis-Assoc | O | O |
Inondation de Dis-Assoc | O | O |
Attaque EAPOL-Logoff | O | O |
Outil FATA-Jack | O | O |
Échec EAP prématuré | O | O |
EAP prématuré - Réussite | O | O |
Attaques de pénétration de sécurité | ||
Outil ASLEAP détecté | O | O |
Attaque d'Airsnarf | n | O |
Attaque de ChopChop | O | O |
Attaque Day-Zero par anomalie de sécurité WLAN | n | O |
Attaque au jour zéro par anomalie de sécurité des périphériques | n | O |
Recherche de périphériques pour les points d'accès | O | O |
Attaque de dictionnaire sur les méthodes EAP | O | O |
Attaque EAP contre l'authentification 802.1x | O | O |
Faux AP détectés | O | O |
Serveur DHCP défectueux détecté | n | O |
Outil de craquage WEP FAST détecté | O | O |
Attaque de fragmentation | O | O |
Point d'accès honeypot détecté | O | O |
Outil Hotspotter détecté | n | O |
Trames de diffusion incorrectes | n | O |
Paquets 802.11 mal formés détectés | O | O |
L'homme au milieu de l'attaque | O | O |
Netstumbler détecté | O | O |
Victime Netstumbler détectée | O | O |
Violation PSPF détectée | O | O |
Point d'accès logiciel ou point d'accès hôte détecté | O | O |
Adresse MAC usurpée détectée | O | O |
Trafic suspect en dehors des heures de bureau détecté | O | O |
Association non autorisée par liste de fournisseurs | n | O |
Association non autorisée détectée | O | O |
Wellenreiter détecté | O | O |
Remarque : L'ajout de CleanAir permettra également de détecter les attaques non-802.11.
Figure 11 - Vue de profil WCS wIPS
Dans la Figure 11, configurez le profil wIPS à partir de WCS, l' icône indique que l'attaque sera détectée uniquement lorsque AP est dans MM, alors que le meilleur effort est dans ELM.
Vérifiez ces éléments :
Assurez-vous que NTP est configuré.
Assurez-vous que le paramètre d'heure MSE est en UTC.
Si le groupe de périphériques ne fonctionne pas, utilisez le SSID de profil de superposition avec Any. Redémarrez l'AP.
Assurez-vous que les licences sont configurées (les AP ELM utilisent actuellement des licences KAM)
Si les profils wIPS sont modifiés trop souvent, synchronisez à nouveau MSE-Controller. Assurez-vous que le profil est actif sur le WLC.
Assurez-vous que le WLC fait partie de MSE à l'aide des CLI MSE :
SSH ou telnet vers votre MSE.
Execute /opt/mse/wips/bin/wips_cli - Cette console peut être utilisée pour accéder aux commandes suivantes afin de recueillir des informations sur l'état du système wIPS adaptatif.
show wlc all - Émettez dans la console wIPS. Cette commande permet de vérifier les contrôleurs qui communiquent activement avec le service wIPS sur le MSE. Voir la figure 12.
Figure 12 - CLI MSE Vérification du WLC actif avec les services wIPS MSE
wIPS>show wlc all WLC MAC Profile Profile Status IP Onx Status Status ------------------------------------------------ ------------------------------------------------ ---- 00:21:55:06:F2:80 WCS-Default Policy active on controller 172.20.226.197 Active
Assurez-vous que les alarmes sont détectées sur MSE à l'aide des CLI MSE.
show alarm list - Émettez un problème dans la console wIPS. Cette commande permet de répertorier les alarmes actuellement contenues dans la base de données de service wIPS. Le champ de clé est la clé de hachage unique affectée à l'alarme spécifique. Le champ Type correspond au type d'alarme. Ce graphique de la Figure 13 présente une liste d'ID d'alarme et de descriptions :
Figure 13 - Commande show alarm list de l'interface de ligne de commande MSE
wIPS>show alarm list Key Type Src MAC LastTime Active First Time ------------------------------------------------ ------------------------------------------- 89 89 00:00:00:00:00:00 2008/09/04 18:19:26 2008/09/07 02:16:58 1 65631 95 00:00:00:00:00:00 2008/09/04 17:18:31 2008/09/04 17:18:31 0 1989183 99 00:1A:1E:80:5C:40 2008/09/04 18:19:44 2008/09/04 18:19:44 0
Les champs Première et Dernière heure indiquent les horodatages lorsque l'alarme a été détectée ; elles sont stockées dans l'heure UTC. Le champ Actif s'affiche si l'alarme est détectée.
Effacez la base de données MSE.
Si la base de données MSE est corrompue ou si aucune autre méthode de dépannage ne fonctionne, il est préférable d'effacer la base de données et de recommencer.
Figure 14 - Commande MSE services
1. /etc/init.d/msed stop 2. Remove the database using the command 'rm /opt/mse/locserver/db/linux/server-eng.db' 3. /etc/init.d/msed start
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
14-Jan-2015 |
Première publication |