Cisco可适应的wIPS提高了本地传送方式(榆木)配置和部署指南
Contents
Introduction
Cisco可适应的无线入侵防御系统(wIPS)解决方案添加改进的本地传送方式(榆木)功能,允许管理员使用他们的配置的接入点(APs)提供全面的防护,不用需要对于一个分开的覆盖网络(图1)。在榆木之前和在传统可适应的wIPS配置,要求专用的监控模式(MM) APs提供PCI标准需要或防护免受未授权的安全访问、渗透和攻击(图2)。榆木有效提供一可比较提供那缓和无线安全实施,当降低CapEx和OpEx费用时。本文只着重榆木,并且不修改与MM APs的任何现有的wIPS配置好处。
图1 -改进的本地传送方式AP配置 
Prerequisites
Requirements
There are no specific requirements for this document.
Components Used
榆木必需的组件和最低的代码版本
-
无线局域网控制器(WLC) -版本7.0.116.xx或以上
-
APs -版本7.0.116.xx或以上
-
无线控制System(WCS) -版本7.0.172.xx或以上
-
移动服务引擎-版本7.0.201.xx或以上
支持的WLC平台
WLC5508、WLC4400、WLC 2106,WLC2504, WiSM-1和WiSM-2WLC平台支持榆木。
支持的APs
11n APs支持榆木包括3500, 1250, 1260, 1040和1140。
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
Conventions
Refer to Cisco Technical Tips Conventions for more information on document conventions.
榆木wIPS警报流
当他们在委托的基础设施APs时,发生攻击只是相关的。榆木APs将发现并且沟通到控制器并且关联与报告的MSE与WCS管理。图3提供警报流从管理员的观点:
-
攻击被发起基础设施设备(“委托的” AP)
-
发现在通过CAPWAP被传达的榆木AP对WLC
-
通过透明地对MSE通过NMSP
-
记录到在MSE的wIPS数据库被发送到WCS通过SNMP陷阱
-
显示在WCS
榆木的部署注意事项
Cisco建议通过启用在每个AP的榆木在网络满足多数用户安全需要,当网络重叠和费用是考虑的一部分。榆木主要的功能为在信道攻击有效运行,不用任何妥协对性能对数据、语音和视频客户端和服务。
榆木与专用的MM
图4提供在wIPS MM之间APs和榆木的标准的配置的一个一般对比。在复核,两个模式的典型的覆盖范围建议:
-
专用的wIPS MM AP典型地包括15,000-35,000平方英尺
-
客户端服务AP从3,000-5,000平方英尺将典型地覆盖
在传统可适应的wIPS配置, Cisco推荐1个MM AP比与每5本地传送方式APs,可能也变化基于网络设计和专家指导最佳的覆盖的。通过考虑榆木,管理员enable (event)所有的榆木软件功能现有的APs,有效添加MM wIPS操作到本地数据服务模式AP,当维护性能时。
在信道和脱离信道性能
因为不服务任何WLAN客户端, MM AP使用100%扫描所有信道的无线电的时期。榆木的主要的功能为在信道攻击有效运行,不用任何妥协对性能对数据、语音和视频客户端和服务。主要的区别在本地传送方式变化的脱离信道扫描;根据活动,脱离信道扫描提供最小的停留时间收集足够的有用的资料分类和确定攻击。示例可能是关联的,并且的语音客户端AP的RRM扫描被延迟的地方,直到语音客户端被分离确定服务不受影响。对于此考虑,在脱离信道期间的榆木检测被认为最佳效果。操作在所有的相邻的榆木APs,国家或者DCA信道增量效果,因此推荐对启用榆木在每个本地传送方式AP最大保护覆盖的。如果需求全时是为在所有信道的专用的扫描,推荐将是配置MM APs。
这些点查看本地传送方式和MM APs区别:
-
本地传送方式AP -有时间分割脱离信道扫描的服务WLAN客户端,细听在每条信道和功能可配置扫描的50ms所有/country/DCA信道的。
-
监控模式AP -不服务WLAN客户端,投入只扫描,细听在每条信道的1.2s,并且扫描所有信道。
在广域网链路间的榆木
Cisco做大量精力为了优化在富挑战性方案的功能,例如配置在低带宽广域网链路间的榆木APs。榆木功能在确定介入预先处理攻击签名在AP和优化在低速链接工作。作为最佳实践,推荐测试和测量基准验证与榆木的性能在广域网。
CleanAir集成
榆木功能高度恭维与相似的性能的CleanAir操作和好处对MM APs的配置与这些现有的CleanAir光谱意识好处:
-
专用的硅级的RF智力
-
光谱意识,自恢复性能和自优化
-
非标准信道威胁和干扰侦察和缓解
-
非Wi-Fi检测例如蓝牙、微波、无绳电话等等。
-
发现并且找出RF层DOS攻击例如RF干扰发射台
榆木功能与优点
-
在数据服务本地和H-REAP APs的可适应的wIPS扫描
-
没有要求一个分开的覆盖网络的保护
-
可用作为自由SW下载为现有的wIPS用户
-
支持无线LAN的PCI标准
-
充分的802.11和non-802.11攻击检测
-
添加辩论术和报告功能
-
集成现有的CUWM和WLAN管理
-
灵活性设置集成或专用的MM APs
-
在APs的预处理使数据回程输减到最小(即在非常低带宽链路工作)
-
对服务数据的低影响
榆木准许
榆木wIPS添加一个新的许可证到预定:
-
AIR LMWIPS XX - Cisco榆木wIPS许可证
-
AIR WIPS APxx - Cisco无线wIPS许可证
另外的榆木准许附注:
-
如果wIPS MM AP已经安装许可证SKU,那些许可证可能也用于榆木APs。
-
wIPS许可证和榆木许可证一起计数往wIPS引擎的平台许可证限额;在3310的2000个APs和3000 APs在335x,分别。
-
评估许可证将包括10 APs wIPS的和10榆木的60天的周期。在榆木之前,评估许可证允许20个wIPS MM APs。必须符合支持榆木的软件版本的最低要求。
用WCS配置榆木
图5 -使用配置的WCS榆木 
-
从WCS,请在启用“改进的wIPS引擎前禁用802.11b/g和802.11a AP的无线电”。
Note: 所有相关的客户端将是断开的和不会加入,直到无线电是启用的。
-
配置一个AP或者请使用WCS配置模板多个轻量APs。请参阅图 6。
图6 - Enable (event)提高了wIPS引擎(榆木) sub模式
-
选择改进的wIPS引擎,并且点击“Save”。
-
启用改进的wIPS引擎不会造成AP重新启动。
-
支持H-REAP;enable (event)方式和一样本地传送方式AP的。
Note: 如果此AP无线电之一是启用的, WCS将忽略配置并且投掷在Figure7的错误。
Figure7 -禁用AP无线电的WCS提示在启用榆木前
-
-
配置成功可以通过观察在AP模式上的变化验证从“本地或H-REAP”对本地/wIPS或H-REAP/wIPS。请参阅图 8。
图8 -显示AP模式的WCS包括与本地和H-REAP的wIPS
-
Enable (event)无线电哪里禁用在Step1。
-
创建wIPS配置文件并且推进它到控制器为了配置能完成。
Note: 关于wIPS的完整的配置信息,请参见Cisco可适应的wIPS部署指南。
从WLC的配置
图9 -用WLC配置榆木 
-
从Wireless选项卡选择AP。
图10 -更改AP子模式的WLC包括wIPS榆木
-
从AP Sub模式下拉菜单,请选择wIPS (图10)。
-
运用,然后保存配置。
Note: 为了使工作榆木的功能, MSE和WCS需要与wIPS准许。更改AP sub模式从单独WLC不enable (event)榆木。
在榆木发现的攻击
表1 - wIPS签名支持矩阵
| 被发现的攻击 | 榆木 | MM |
|---|---|---|
| 对AP的DOS攻击 | ||
| 关联溢出 | Y | Y |
| 关联表溢出 | Y | Y |
| 认证溢出 | Y | Y |
| EAPOL开始攻击 | Y | Y |
| PS轮询溢出 | Y | Y |
| 探测请求溢出 | n | Y |
| 未经鉴定的关联 | Y | Y |
| 对基础设施的DOS攻击 | ||
| CTS溢出 | n | Y |
| 昆士兰科技大学检测安全漏洞代码 | n | Y |
| RF阻塞 | Y | Y |
| RTS溢出 | n | Y |
| 虚拟载波攻击 | n | Y |
| 对位置的DOS攻击 | ||
| 认证故障攻击 | Y | Y |
| 块ACK溢出 | n | Y |
| DEAuth广播溢出 | Y | Y |
| DEAuth溢出 | Y | Y |
| DisAssoc广播溢出 | Y | Y |
| DisAssoc溢出 | Y | Y |
| EAPOL注销攻击 | Y | Y |
| FATA杰克工具 | Y | Y |
| 过早的EAP故障 | Y | Y |
| 过早的EAP成功 | Y | Y |
| 安全渗透攻击 | ||
| 被发现的ASLEAP工具 | Y | Y |
| Airsnarf攻击 | n | Y |
| ChopChop攻击 | Y | Y |
| 由WLAN安全异常情况的日零攻击 | n | Y |
| 由设备安全性异常情况的日零攻击 | n | Y |
| 探查为APs的设备 | Y | Y |
| 对EAP方法的词典攻击 | Y | Y |
| 对802.1x认证的EAP攻击 | Y | Y |
| APs被发现的伪造品 | Y | Y |
| 被发现的假DHCP服务器 | n | Y |
| 被发现的快速的WEP破解工具 | Y | Y |
| 碎片攻击 | Y | Y |
| 被发现的蜂蜜AP | Y | Y |
| 被发现的Hotspotter工具 | n | Y |
| 不正确的广播帧 | n | Y |
| 被发现的畸形的802.11信息包 | Y | Y |
| 中间攻击的人 | Y | Y |
| Netstumbler发现了 | Y | Y |
| Netstumbler受害者被发现 | Y | Y |
| 被发现的PSPF侵害 | Y | Y |
| 软奇AP或被发现的主机AP | Y | Y |
| 被发现的用欺骗性MAC地址 | Y | Y |
| 可疑在被发现的几小时数据流以后 | Y | Y |
| 由供应商列表的未授权的关联 | n | Y |
| 被发现的未授权的关联 | Y | Y |
| Wellenreiter发现了 | Y | Y |
Note: 添加CleanAir也non-802.11攻击的enable (event)检测。
图11 - WCS wIPS配置文件视图 
在表11,请配置从WCS的wIPS配置文件, 
图标表明将发现攻击,只有当AP在MM时,当仅最佳效果,当在榆木。
排除榆木故障
检查这些项目:
-
确定配置NTP。
-
确定MSE时间设定在UTC。
-
如果设备组不工作,请使用躺在配置文件SSID与其中任一。重新启动AP。
-
配置Make sure准许(榆木APs当前使用KAM许可证)
-
如果太经常更改wIPS配置文件,再请同步MSE控制器。确定配置文件是活跃的在WLC。
-
确定使用MSE CLIs, WLC是MSE的一部分:
-
SSH或telnet对您的MSE。
-
执行/opt/mse/wips/bin/wips_cli -此控制台可以用于访问到以下命令到关于可适应的wIPS系统的状态的收集信息。
-
显示wlc全问题在wIPS控制台里面。此命令用于验证与在MSE的wIPS服务积极地沟通的控制器。请参阅图 12。
图12 -验证与MSE wIPS服务的MSE CLI WLC激活
wIPS>show wlc all WLC MAC Profile Profile Status IP Onx Status Status ------------------------------------------------ ------------------------------------------------ ---- 00:21:55:06:F2:80 WCS-Default Policy active on controller 172.20.226.197 Active
-
-
确定使用MSE CLIs,警报在MSE获得发现了。
-
显示警报列表-发出在wIPS控制台里面。此命令用于列出在wIPS服务数据库内当前包含的警报。关键字段是唯一哈希键分配到特定警报。Type字段是警报的种类。此图在表13显示警报ID和说明列表:
图13 - MSE CLI显示list命令的警报
wIPS>show alarm list Key Type Src MAC LastTime Active First Time ------------------------------------------------ ------------------------------------------- 89 89 00:00:00:00:00:00 2008/09/04 18:19:26 2008/09/07 02:16:58 1 65631 95 00:00:00:00:00:00 2008/09/04 17:18:31 2008/09/04 17:18:31 0 1989183 99 00:1A:1E:80:5C:40 2008/09/04 18:19:44 2008/09/04 18:19:44 0
第一次和上次字段表示时间戳,当发现了时警报;这些在UTC时间存储。如果当前发现,有效域突出显示警报。
-
-
清除MSE数据库。
-
如果遇到MSE数据库损坏,或者没有的情况其他故障排除方法将工作,清除数据库和开始可能是最佳的。
图14 - MSE服务命令
1. /etc/init.d/msed stop 2. Remove the database using the command 'rm /opt/mse/locserver/db/linux/server-eng.db' 3. /etc/init.d/msed start
-
反馈