自适应wIPS ELM配置和部署指南
目录
简介
思科自适应无线入侵防御系统(wIPS)解决方案添加了增强本地模式(ELM)功能,允许管理员使用其部署的接入点(AP)提供全面保护,而无需单独的重叠网络(图1)。 在ELM之前,在传统自适应wIPS部署中,需要专用监控模式(MM)AP来提供PCI合规性需求或防止未经授权的安全访问、渗透和攻击(图2)。ELM有效地提供了可比的产品,可简化无线安全实施,同时降低资本支出和运营成本。本文档仅重点介绍ELM,不会修改任何现有wIPS部署优势和MM AP。
图1 — 增强型本地模式AP部署 
先决条件
要求
本文档没有任何特定的要求。
使用的组件
ELM所需组件和最低代码版本
-
无线局域网控制器(WLC)- 7.0.116.xx版或更高版本
-
AP - 7.0.116.xx版或更高版本
-
无线控制系统(WCS)- 7.0.172.xx版或更高版本
-
移动服务引擎 — 7.0.201.xx版或更高版本
支持WLC平台
WLC5508、WLC4400、WLC 2106、WLC2504、WiSM-1和WiSM-2WLC平台支持ELM。
支持的AP
11n AP支持ELM,包括3500、1250、1260、1040和1140。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
ELM wIPS警报流
只有在受信任的基础设施AP上发生攻击时,攻击才相关。ELM AP将检测并与控制器通信,并与MSE关联,以通过WCS管理进行报告。图3从管理员的角度提供警报流:
-
对基础设施设备(“受信任”AP)发起攻击
-
在通过CAPWAP与WLC通信的ELM AP上检测到
-
通过NMSP透明传递给MSE
-
登录通过SNMP陷阱发送到WCS的MSE上的wIPS数据库
-
显示在WCS
ELM的部署注意事项
思科建议,在考虑网络重叠和/或成本时,通过在网络上的每个AP上启用ELM,可满足大多数客户安全需求。ELM主要功能可以有效地进行信道内攻击,而不会对数据、语音和视频客户端及服务的性能造成任何影响。
ELM与专用MM
图4提供了wIPS MM AP和ELM标准部署的一般对比。在回顾中,两种模式的典型覆盖范围表明:
-
专用wIPS MM AP通常覆盖15,000-35,000平方英尺
-
客户端服务AP通常覆盖3,000至5,000平方英尺
在传统自适应wIPS部署中,思科建议将1 MM AP与每5个本地模式AP的比率比为1 MM,这也可能因网络设计和专家指导而异,以获得最佳覆盖。通过考虑ELM,管理员只需为所有现有AP启用ELM软件功能,在保持性能的同时,有效地将MM wIPS操作添加到本地数据服务模式AP。
通道内和通道外性能
MM AP将无线电的100%时间用于扫描所有信道,因为它不为任何WLAN客户端提供服务。ELM的主要功能可以有效地进行信道内攻击,而不会影响数据、语音和视频客户端及服务的性能。主要区别在于局部模式变化的信道外扫描;根据练习,信道外扫描可以提供最短的停留时间来收集足够的信息,以便对攻击进行分类和确定。例如,关联的语音客户端以及AP的RRM扫描被延迟,直到语音客户端被取消关联,以确保服务不受影响。因此,在信道外进行ELM检测是最好的方法。在所有、国家/地区或DCA信道上运行的相邻ELM AP提高了效率,因此建议在每个本地模式AP上启用ELM以实现最大保护覆盖。如果要求对所有信道进行全时专用扫描,建议部署MM AP。
以下要点回顾了本地模式和MM AP的区别:
-
本地模式AP — 为WLAN客户端提供时间切片脱离通道扫描,侦听每个通道50毫秒,并为所有/国家/地区/DCA通道提供可配置扫描功能。
-
监控模式AP — 不为WLAN客户端提供服务(仅用于扫描),侦听每个通道上的1.2s,并扫描所有通道。
跨广域网链路的ELM
思科已做出巨大努力,以优化各种具有挑战性的功能,例如在低带宽广域网链路上部署ELM AP。ELM功能包括在确定AP上的攻击签名时进行预处理,并经过优化以在慢速链路上运行。作为最佳实践,建议测试和测量基线,以验证ELM在广域网上的性能。
CleanAir集成
ELM功能高度补充了CleanAir操作,与部署MM AP具有以下现有CleanAir频谱感知优势,性能和优势相似:
-
专用芯片级RF智能
-
频谱感知、自我修复和自我优化
-
非标准信道威胁和干扰检测和缓解
-
非Wi-Fi检测,如蓝牙、微波、无绳电话等
-
检测并定位射频层DOS攻击,例如射频干扰器
ELM的功能和优势
-
本地和H-REAP AP数据服务中的自适应wIPS扫描
-
无需单独的重叠网络即可提供保护
-
现有wIPS客户可免费下载软件
-
支持无线局域网的PCI合规性
-
完整的802.11和非802.11攻击检测
-
添加调查分析和报告功能
-
与现有CUWM和WLAN管理集成
-
灵活设置集成或专用MM AP
-
AP的预处理使数据回传最小化(即在极低带宽链路上工作)
-
对服务数据影响小
ELM许可
ELM wIPS为订购添加了新许可证:
-
AIR-LM-WIPS-xx - Cisco ELM wIPS许可证
-
AIR-WIPS-AP-xx — 思科无线wIPS许可证
其他ELM许可说明:
-
如果已安装wIPS MM AP许可证SKU,则这些许可证也可用于ELM AP。
-
wIPS许可证和ELM许可证一起计入wIPS引擎的平台许可证限制;分别在3310和335x上配置2000个AP和3000个AP。
-
评估许可证将包括10个用于wIPS的AP和10个用于ELM的AP,最长60天。在ELM之前,评估许可证最多允许20个wIPS MM AP。必须满足支持ELM的软件版本的最低要求。
使用WCS配置ELM
图5 — 使用WCS配置ELM 
-
在WCS中,在启用“增强的wIPS引擎”之前,禁用AP的802.11b/g和802.11a无线电。
注意:所有关联的客户端都将断开连接,并且在无线电启用之前不会加入。
-
配置一个AP,或对多个轻量AP使用WCS配置模板。请参阅图 6。
图6 — 启用增强型wIPS引擎(ELM)子模式
-
选择“Enhanced wIPS Engine(增强版wIPS引擎)” ,然后单击“Save(保存)”。
-
启用增强版wIPS引擎不会导致AP重新启动。
-
支持H-REAP;启用与本地模式AP相同的方式。
注:如果此AP的任一无线电已启用,WCS将忽略配置并引发图7中的错误。
图7 - WCS提醒在启用ELM之前禁用AP无线电
-
-
通过观察AP模式从“Local or H-REAP”更改为Local/wIPS或H-REAP/wIPS,可以验证配置成功。请参阅图 8。
图8 - WCS显示AP模式以包含带本地和/或H-REAP的wIPS
-
启用步骤1中禁用的无线电。
-
创建wIPS配置文件并将其推送到控制器以完成配置。
注:有关wIPS的完整配置信息,请参阅《思科自适应wIPS部署指南》。
从WLC进行配置
图9 — 使用WLC配置ELM 
-
从Wireless(无线)选项卡中选择AP。
图10 - WLC将AP子模式更改为包括wIPS ELM
-
从AP Sub Mode下拉菜单中,选择wIPS(图10)。
-
应用,然后保存配置。
注意:要使ELM功能正常工作,wIPS许可需要MSE和WCS。仅从WLC更改AP子模式将不启用ELM。
在ELM中检测到的攻击
表1 - wIPS签名支持表
| 检测到的攻击 | ELM | MM |
|---|---|---|
| 针对AP的DoS攻击 | ||
| 关联泛洪 | Y | Y |
| 关联表溢出 | Y | Y |
| 身份验证泛洪 | Y | Y |
| EAPOL-Start攻击 | Y | Y |
| PS-Poll泛洪 | Y | Y |
| 探测请求泛洪 | n | Y |
| 未经身份验证的关联 | Y | Y |
| 针对基础设施的DoS攻击 | ||
| CTS泛洪 | n | Y |
| 昆士兰科技大学利用 | n | Y |
| 射频干扰 | Y | Y |
| RTS泛洪 | n | Y |
| 虚拟运营商攻击 | n | Y |
| DoS攻击站 | ||
| 身份验证失败攻击 | Y | Y |
| 阻止ACK泛洪 | n | Y |
| 取消身份验证广播泛洪 | Y | Y |
| 取消身份验证泛洪 | Y | Y |
| Dis-Assoc广播泛洪 | Y | Y |
| Dis-Assoc泛洪 | Y | Y |
| EAPOL注销攻击 | Y | Y |
| FATA-Jack工具 | Y | Y |
| 过早的EAP失败 | Y | Y |
| EAP-Success过早 | Y | Y |
| 安全渗透攻击 | ||
| 检测到ASLEAP工具 | Y | Y |
| Airsnarf攻击 | n | Y |
| ChopChop攻击 | Y | Y |
| WLAN安全异常的零日攻击 | n | Y |
| 按设备安全异常进行零日攻击 | n | Y |
| AP设备探测 | Y | Y |
| 对EAP方法的字典攻击 | Y | Y |
| 针对802.1x身份验证的EAP攻击 | Y | Y |
| 检测到虚假AP | Y | Y |
| 检测到虚假DHCP服务器 | n | Y |
| 检测到FAST WEP破解工具 | Y | Y |
| 分段攻击 | Y | Y |
| 检测到蜜罐AP | Y | Y |
| 检测到Hotspotter工具 | n | Y |
| 广播帧不正确 | n | Y |
| 检测到格式错误的802.11数据包 | Y | Y |
| 中间攻击的人 | Y | Y |
| 检测到Netstumbler | Y | Y |
| 检测到Netstumbler受害者 | Y | Y |
| 检测到PSPF违规 | Y | Y |
| 检测到软AP或主机AP | Y | Y |
| 检测到欺骗的MAC地址 | Y | Y |
| 检测到可疑的非工作时间流量 | Y | Y |
| 未授权的关联(按供应商列表) | n | Y |
| 检测到未授权的关联 | Y | Y |
| 检测到Wellenreiter | Y | Y |
注意:添加CleanAir也可检测非802.11攻击。
图11 - WCS wIPS配置文件视图 
在图11中,从WCS配置wIPS配置文件 
,该图标表示只有当AP为MM时,才会检测到攻击,而只有在ELM中时,才会尽力而为。
排除ELM故障
检查以下项目:
-
确保已配置NTP。
-
确保MSE时间设置为UTC。
-
如果设备组不工作,请将重叠配置文件SSID与Any一起使用。重新启动AP。
-
确保已配置许可(当前ELM AP正在使用KAM许可证)
-
如果wIPS配置文件更改太频繁,请再次同步MSE-Controller。确保配置文件在WLC上处于活动状态。
-
使用MSE CLI确保WLC是MSE的一部分:
-
SSH或telnet至MSE。
-
执行/opt/mse/wips/bin/wips_cli — 此控制台可用于访问以下命令以收集有关自适应wIPS系统状态的信息。
-
show wlc all — 在wIPS控制台内出现问题。此命令用于验证主动与MSE上的wIPS服务通信的控制器。请参阅图 12。
图12 - MSE CLI使用MSE wIPS服务验证WLC活动
wIPS>show wlc all WLC MAC Profile Profile Status IP Onx Status Status ------------------------------------------------ ------------------------------------------------ ---- 00:21:55:06:F2:80 WCS-Default Policy active on controller 172.20.226.197 Active
-
-
确保使用MSE CLI在MSE上检测到警报。
-
show alarm list — 在wIPS控制台内发生问题。此命令用于列出wIPS服务数据库中当前包含的警报。key字段是分配给特定警报的唯一哈希键。“类型”字段是警报的类型。图13中的此图表显示警报ID和说明的列表:
图13 - MSE CLI show alarm list命令
wIPS>show alarm list Key Type Src MAC LastTime Active First Time ------------------------------------------------ ------------------------------------------- 89 89 00:00:00:00:00:00 2008/09/04 18:19:26 2008/09/07 02:16:58 1 65631 95 00:00:00:00:00:00 2008/09/04 17:18:31 2008/09/04 17:18:31 0 1989183 99 00:1A:1E:80:5C:40 2008/09/04 18:19:44 2008/09/04 18:19:44 0
First Time和Last Time字段表示检测到警报时的时间戳;这些以UTC时间存储。如果当前检测到警报,则“活动”字段会突出显示。
-
-
清除MSE数据库。
-
如果您遇到MSE数据库损坏或其他故障排除方法无法工作的情况,最好清除数据库并重新开始。
图14 - MSE services命令
1. /etc/init.d/msed stop 2. Remove the database using the command 'rm /opt/mse/locserver/db/linux/server-eng.db' 3. /etc/init.d/msed start
-
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
14-Jan-2015 |
初始版本 |
反馈