Este documento oferece uma vista geral de diversos aspectos importantes necessários segurar a interação da Segurança entre os controladores do Wireless LAN (WLC) e a rede onde são conectados. Este documento centra-se primeiramente sobre o controle de tráfego, e não se endereça políticas de segurança WLAN, AAA ou WPS.
Os assuntos que afetam o tráfego com destino “ao controlador” são cobertos neste documento, e não relacionados para traficar que é relacionado ao “usuário à rede”.
Nota: Valide mudanças antes de aplicá-las a sua rede, como alguns dos exemplos neste documento podem obstruir o acesso administrativo a seus controladores se aplicados incorretamente.
A Cisco recomenda que você tenha conhecimento destes tópicos:
Conhecimento de como configurar o WLC e o Access point de pouco peso (REGAÇO) para a operação básica
Conhecimento básico do modelo osi
Compreendendo como o Access Control List (ACL) trabalha
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco 2000/2100/4400 Series WLC que executa o firmware 4.2.130.0, 5.2.157.0 ou mais tarde
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Um componente crítico na segurança de rede é controle de tráfego. Em todo o desenvolvimento, é muito importante para os tipos de bloco de tráfego que chegam em dispositivos a fim impedir as edições de segurança potencial (DoS, perda de informação, agravamento do privilégio, etc.).
No WLC, o controle de tráfego é afetado por um fato importante: há dois componentes que seguram o tráfego no dispositivo:
CPU — Processador principal que toma de toda a atividade do Gerenciamento, de controle RRM, LWAPP, de autenticação, de DHCP, etc.
NPU — Processador de rede que toma do encaminhamento de tráfego rápido para os clientes autenticados (prendidos ao Sem fio e vice-versa).
Esta arquitetura permite um encaminhamento de tráfego rápido, e reduz a carga no CPU principal, que podem então dedicar todos seus recursos para tarefas de nível elevado.
Esta arquitetura é encontrada nos 4400, em WiSM e em 3750 controladores integrados. Para 2106 e NM-WLC e controladores relacionados, a transmissão é feita no software, também pelo CPU principal. Consequentemente, toma um imposto mais alto no CPU. É por isso estas Plataformas oferecem um apoio mais baixo do usuário e da contagem AP.
Quando você quer ao filtrar tráfego com relação a um WLC, é importante saber se este é um usuário ao tráfego de rede ou é para o CPU principal.
Para todo o tráfego ao CPU, por exemplo, os protocolos de gestão tais como o SNMP, o HTTPS, o SSH, o telnet, ou os protocolos dos serviços de rede tais como o raio ou o DHCP, usam um “CPU ACL”.
Para todo o tráfego a e de um cliente Wireless, incluindo o tráfego que atravessa um túnel de EoIP (acesso do convidado), uma relação ACL, um WLAN ACL, ou a pelo usuário ACL são usados.
O tráfego é definido “ao CPU”, como o tráfego que está entrando no controlador, com o destino ao endereço IP de gerenciamento, a algum das interfaces dinâmica ou ao endereço de porta do serviço. O gerenciador AP não segura nenhum outro tráfego exceto LWAPP/CAPWAP.
Os WLC têm da “um controle de acesso nivelado sessão” para protocolos de gestão. É importante compreender como trabalham a fim impedir a avaliação incorreta no que é permitido ou não permitido pelo controlador.
Os comandos restringir que protocolos de gestão são permitidos são (em um espaço global):
o ssh da rede da configuração permite|desabilitação — Isto permite ou desabilita o serviço SSH no controlador. Iss está habilitado por padrão. Uma vez deficiente, a porta (TCP 22) não será alcançável.
o telnet da rede da configuração permite|desabilitação — Isto permite ou desabilita o serviço de telnet no controlador. Isto é desabilitado à revelia. Uma vez deficiente, a porta (TCP 23) não será alcançável.
o HTTP da rede da configuração permite|desabilitação — Isto permite ou desabilita o serviço HTTP no controlador. A porta (TCP 80) não é uma alcançável mais longo. Isto é desabilitado à revelia.
os https da rede da configuração permitem|desabilitação — Isto permite ou desabilita o serviço dos https no controlador. Iss está habilitado por padrão. Uma vez deficiente, a porta (TCP 443) não será alcançável.
a versão v1|v2|v3 SNMP da configuração permite|desabilitação — Isto permite ou desabilita versões específicas do serviço SNMP no controlador. Você precisa de desabilitar tudo para impedir o acesso SNMP ao controlador, a menos que usando um ACL.
o Mgmt-através-Sem fio da rede da configuração permite|desabilitação — Isto impede que os clientes associados a este controlador lhe podem protocolos do gerenciamento de acesso (ssh, https, etc.). Isto não impede nem fecha as portas correspondente TCP do ponto de vista do dispositivo Wireless. Isto significa que um dispositivo Wireless, quando este é ajustado para desabilitar, pode abrir uma conexão de SSH, se o protocolo é permitido. O usuário pôde ver uma alerta de nome de usuário gerada pelo demônio SSH, porém a sessão se fecha assim que você tentasse datilografar um username.
a Mgmt-através-dinâmico-relação da rede da configuração permite|desabilitação — Isto impede que os dispositivos no mesmo VLAN que o controlador lhe podem protocolos do gerenciamento de acesso (ssh, https, etc.) ao endereço correspondente da interface dinâmica nesse VLAN. Isto não impede nem fecha as portas correspondente TCP do ponto de vista do dispositivo. Isto significa que um dispositivo, quando este é ajustado para desabilitar, pode abrir uma conexão de SSH, se o protocolo é permitido. O usuário pôde ver uma alerta de nome de usuário gerada pelo demônio SSH, porém a sessão se fecha assim que você tentasse datilografar um username. Adicionalmente, o endereço de gerenciamento permanecerá sempre acessível de uma interface dinâmica VLAN, a menos que um CPU ACL estiver no lugar.
Por exemplo, esta é a configuração usando a informação acima:
(Cisco Controller) >show network summary RF-Network Name............................. 4400 Web Mode.................................... Disable Secure Web Mode............................. Enable Secure Web Mode Cipher-Option High.......... Disable Secure Web Mode Cipher-Option SSLv2......... Enable Secure Shell (ssh).......................... Enable Telnet...................................... Disable Ethernet Multicast Mode..................... Enable Mode: Ucast Ethernet Broadcast Mode..................... Disable AP Multicast Mode........................... Unicast IGMP snooping............................... Disabled IGMP timeout................................ 60 seconds User Idle Timeout........................... 300 seconds ARP Idle Timeout............................ 300 seconds Cisco AP Default Master..................... Disable AP Join Priority............................ Disable Mgmt Via Wireless Interface................. Disable Mgmt Via Dynamic Interface.................. Disable Bridge MAC filter Config.................... Enable Bridge Security Mode........................ EAP Mesh Full Sector DFS........................ Enable Over The Air Provisioning of AP's........... Enable Apple Talk ................................. Disable AP Fallback ................................ Enable Web Auth Redirect Ports .................... 80 Fast SSID Change ........................... Disabled 802.3 Bridging ............................. Disable IP/MAC Addr Binding Check .................. Enabled (Cisco Controller) >show acl cpu CPU Acl Name................................ NOT CONFIGURED Wireless Traffic............................ Disabled Wired Traffic............................... Disabled
Você pode concluir aquele:
O telnet e o HTTP não estarão disponíveis, assim que todo o tráfego de gerenciamento interativo ao controlador será feito com HTTPS/SSH (cifrado).
Um usuário Wireless associado a este controlador não poderá obter o acesso administrativo.
Se um usuário Wireless, associado a este controlador, faz uma varredura da porta, mostrará o SSH e o HTTP como aberto, mesmo que nenhum acesso administrativo seja permitido.
Se um usuário prendido (mesmo VLAN que uma interface dinâmica) faz uma varredura da porta, mostrará o SSH e o HTTP como aberto, mesmo que nenhum acesso administrativo seja permitido.
É importante notar que nos ambientes com o mais de um controlador no mesmo grupo da mobilidade, o relacionamento do que é um cliente Wireless é somente ao controlador atualmente associado. Consequentemente, se um cliente é associado ao controlador A, a seguir para um controlador B no mesmo grupo da mobilidade, este cliente é um dispositivo que vem de uma relação VLAN/dynamic. Isto é importante de levar em consideração no Gerenciamento sobre o ajuste wireless. Veja este diagrama para um exemplo de onde pôr uma limitação do tráfego, e que comandos podem afetar cada ponto de ingresso:
Sempre que você quer controlar que os dispositivos podem falar ao CPU principal, um CPU ACL é usado. É importante mencionar diversas características para estes:
Filtrar tráfego CPU ACL somente para o CPU, e não nenhum tráfego que retira ou gerado pelo CPU.
Nota: Para o 5500 Series WLC nas versões 6.0 e mais recente, o CPU ACL é aplicável para o tráfego originado do WLC também. Para as outras Plataformas WLC, este comportamento é executado nas versões 7.0 e mais recente. Também, ao criar campos de sentido CPU ACL não tenha nenhum impacto.
O apoio total para CPU ACL para todo o gerenciamento IP e endereços dinâmicos do controlador está somente atual em 4.2.130.0 e mais tarde.
O CPU ACL que obstrui o tráfego da porta do serviço está somente dentro 5.0 atuais e mais atrasado.
Quando um CPU ACL é projetado, é importante permitir o tráfego de controle entre controladores. O comando sh das regras pode oferecer uma ideia rápida do tráfego permitida a CPU ACL em condições normal.
O controlador tem um grupo de regras de filtragem para os processos internos, que podem ser verificados com o comando sh das regras. Os ACL não afetam estas regras, nem podem estas regras estar ligada - - mosca alterada. O CPU ACL toma a precedência sobre elas.
O tráfego de dados LWAPP ou CAPWAP não é afetado por regras CPU ACL em 4400 controladores baseados, tráfego de controle é afetado (se fazendo um ACL restrito, você precisa do permitir explicitamente).
Nota: O tráfego de controle CAPWAP não é afetado por CPU ACL.
Por exemplo, você pôde querer obstruir todo o tráfego que vem do interface/VLAN dinâmico (192.168.20.0/24) onde os usuários são associados, para o CPU, mas todo o outro tráfego é permitido. Isto não deve impedir clientes Wireless para obter um endereço negociável DHCP.
Como a primeira etapa, uma lista de acessos é criada:
Clique adicionam a regra nova, e ajustam-na para obstruir todo o tráfego de origem que vem de 192.168.20.0/24 a todo o destino.
Adicionar uma segunda regra, para o tráfego DHCP, com porta de servidor de destino, mas com ação da licença:
Então, por políticas de segurança da empresa, todo tráfego restante é permitido:
A fim validar o efeito do CPU ACL, você pode executar uma varredura rápida de um cliente Wireless associado no estado EXECUTADO a fim ver as portas aberta atuais, com base na configuração, antes de aplicar o CPU ACL:
Vá à Segurança > ao Gerenciamento > ao Access Control List CPU. O clique permite CPU ACL, e seleciona o ACL que foi criado previamente. Então, escolha ambos como o sentido a fim segurar isto é aplicado para traficar dos clientes Wireless, e dos outros dispositivos na interface dinâmica VLAN:
Nota: Não há nenhum sentido para o tráfego processador central acl de 7.0 avante para todas as Plataformas WLC e somente para WLC5500 em 6.0.
Agora, se a mesma varredura usada antes é repetida, todas as portas do controlador são mostradas como fechadas:
Se a procura das políticas de segurança “nega alguma” como por último alinha para uma política, é importante compreender que há diversos tipos de tráfego enviados entre o controlador no mesmo grupo da mobilidade para RRM, a mobilidade e as outras tarefas, e que você pôde ter o tráfego proxied pelo controlador a se para algumas operações, em particular DHCP, onde o controlador no modo de proxy DHCP (o padrão) pode se gerar o tráfego com destino UDP 1067 para processar.
Para uma lista completa das portas permitidas pelas regras internas da transmissão do padrão, verifique a saída do comando sh das regras. A análise da lista completa é além do alcance deste documento.
Você pode verificar que regras ACL estão sendo batidas pelo tráfego com o comando start do contador acl da configuração. Os contadores podem ser indicados com o comando sh do detalhe ACLNAME acl.
Um aspecto de proteger um dispositivo de rede, é certificar-se de que não está oprimido com mais tráfego de gerenciamento que pode processar. Em todos os controladores, após o código 4.1, há uma limitação plana do controle permitida à revelia, que retroceda dentro se o tráfego para o CPU excede o 2 mbps.
Em redes ocupadas, é possível observar a limitação de fato (por exemplo, o monitor deixado cair sibila ao CPU). A característica pode ser controlada com o comando rate avançado configuração. Você pode somente permitir ou desabilitar as, mas taxas não ajustadas ou contra que tráfego atuará primeiramente.
Em operações normal, recomenda-se isto é saido permitido.
À revelia, o controlador oferece ambas as cifras altos e baixos da força segurar a compatibilidade com navegadores mais velhos durante a instalação HTTPS. O controlador tem disponível de 40 bit RC4, 56 bit DES, até bit AES 256. A seleção da cifra a mais forte é feita pelo navegador.
A fim certificar-se de que somente as cifras fortes estão usadas, você pode permiti-los com o comando enable alto da cifra-opção do secureweb da rede da configuração, tão os somente 168 3DES ou o 128 AES e uns comprimentos mais altos da cifra são oferecidos pelo controlador no acesso do gerenciamento HTTPS.
À revelia, o controlador permite um máximo dos usuários simultâneos 5, com um intervalo dos minutos 5. É crítico que estes valores estão configurados adequadamente em seu ambiente, porque os ajustar a ilimitado (zero) pode abrir a porta à recusa de serviço potencial contra controladores, se os usuários deviam tentar um ataque de força bruta contra eles. Este é um exemplo das configurações padrão:
(Cisco Controller) >show sessions CLI Login Timeout (minutes)............ 5 Maximum Number of CLI Sessions......... 5
Recorde isso pelo projeto, mesmo se o Gerenciamento sobre o Sem fio ou a interface dinâmica é desabilitado, um dispositivo pode ainda fazer uma conexão de SSH ao controlador. Este é um CPU que taxa a tarefa, e o WLC limita o número de sessões simultâneas, e durante quanto tempo usando estes parâmetros.
Os valores podem ser ajustados com o comando sessions da configuração.
A porta serial tem um valor de timeout separado, que seja ajustado aos minutos 5 à revelia, mas é mudado geralmente a 0 (ilimitado) durante sessões de Troubleshooting.
Cisco Controller) >show serial Serial Port Login Timeout (minutes)......... 5 Baud Rate................................... 9600 Character Size.............................. 8 Flow Control:............................... Disable Stop Bits................................... 1 Parity Type:................................ none
É aconselhável usar o padrão dos minutos 5. Isto impede qualquer um que tem o acesso físico ao controlador para ganhar o acesso administrativo, caso que um usuário conectado na porta de Console deixa a sessão aberta. Os valores podem ser ajustados com o comando serial da configuração.
Após ter verificado o aspecto diferente de fixar um WLC, isto pode ser resumido:
É importante impedir dispositivos diferentes das estações de gerenciamento recortadas para alcançar o WLC, não somente protocolos NON-usados de desabilitação, mas igualmente limitando o acesso na camada 4/layer 3 com CPU ACL.
A limitação da taxa deve ser permitida (é à revelia).
O acesso de controlo através do Gerenciamento sobre comandos x não é bastante para as instalações seguras, porque os usuários enlatam ainda protocolos do gerenciamento de acesso que falam diretamente ao endereço IP de gerenciamento, usando o CPU e os recursos de memória.
Estão aqui algumas das práticas da Segurança:
Crie o acesso deixando cair CPU ACL de toda a interface dinâmica VLAN ou de sub-redes. Contudo, permita o tráfego DHCP à porta de servidor (67) assim que os clientes podem obter o endereço negociável DHCP se o proxy DHCP é permitido (é à revelia). Se a interface dinâmica tem um endereço IP público, recomenda-se ter a regra ACL que nega todo o tráfego dos origens desconhecida ao endereço da interface dinâmica.
Ajuste todas as regras ACL como de entrada ou com sentido, e marque-as tão aplicadas quanto ambos (opção prendida e wireless).
Como validar:
(Cisco Controller) >show acl cpu CPU Acl Name................................ acl1 Wireless Traffic............................ Enabled Wired Traffic............................... Enabled
Permita a limitação do plano do controle (é permitida à revelia).
Como validar:
(Cisco Controller) >show advanced rate Control Path Rate Limiting....................... Enabled
Use sempre os protocolos de gestão cifrados (HTTPS, SSH). Esta é a configuração padrão para o Gerenciamento interativo. Para o SNMP você pôde precisar de permitir o V3 de permitir tráfego SNMP cifrado/autenticado. Recorde recarregar o controlador se você faz mudanças à configuração de SNMP.
Isto é como validar:
(Cisco Controller) >show network summary RF-Network Name............................. 4400 Web Mode.................................... Disable Secure Web Mode............................. Enable Secure Web Mode Cipher-Option High.......... Enable Secure Web Mode Cipher-Option SSLv2......... Enable Secure Shell (ssh).......................... Enable Telnet...................................... Disable ...
Permita a criptografia alta para o HTTPS (isto é desabilitado à revelia).
É uma boa ideia estabelecer um certificado de servidor validado para o acesso HTTPS a seu controlador (assinado por seu CA confiado), substituindo o certificado assinado do auto instalado à revelia.
Ajuste o intervalo da sessão e do console aos minutos 5.
(Cisco Controller) >show serial Serial Port Login Timeout (minutes)......... 5 Baud Rate................................... 9600 Character Size.............................. 8 Flow Control:............................... Disable Stop Bits................................... 1 Parity Type:................................ none (Cisco Controller) >show sessions CLI Login Timeout (minutes)............ 5 Maximum Number of CLI Sessions......... 5