دليل تهيئة ونشر نظام منع التسلل (ELM) المتكيف وفقا لمعيار wIPS

المقدمة

يضيف حل نظام منع التسلل اللاسلكي القابل للتكيف (IPS) من Cisco ميزة "الوضع المحلي المحسن" (ELM)، مما يتيح للمسؤولين إستخدام نقاط الوصول التي تم نشرها (AP) الخاصة بهم لتوفير حماية شاملة دون الحاجة إلى شبكة فرعية منفصلة (شكل 1). قبل إدارة بيئة المؤسسة وفي النشر التقليدي لتقنية Adaptive WIPS، يلزم وجود نقاط وصول مخصصة لوضع المراقبة (MM) لتوفير إحتياجات التوافق مع بطاقات PCI أو الحماية من الوصول غير المصرح به إلى الأمان واختراقه والهجمات عليه (الشكل 2). توفر تقنية ELM بشكل فعال عرضا مماثلا يعمل على تسهيل تنفيذ الأمان اللاسلكي مع خفض تكاليف CapEx و OpEx في نفس الوقت. يركز هذا المستند فقط على ELM ولا يقوم بتعديل أية ميزات نشر موجودة ل WIPS باستخدام نقاط الوصول من النوع MM.

الشكل 1 - نشر نقطة الوصول في الوضع المحلي المحسن

الشكل 2 - أهم تهديدات الأمان اللاسلكي

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

مكونات ELM المطلوبة وإصدارات الحد الأدنى للكود

• وحدة التحكم في شبكة LAN اللاسلكية (WLC) - الإصدار 7.0.116.xx أو إصدار أحدث

• APs - الإصدار 7.0.116.xx أو أحدث

• نظام التحكم اللاسلكي (WCS) - الإصدار 7.0.172.xx أو إصدار أحدث

• Mobility Services Engine - الإصدار 7.0.201.xx أو إصدار أحدث

دعم منصات WLC

يتم دعم التحكم في الوصول عن بعد (ELM) على الأنظمة الأساسية WLC5508 و WLC4400 و WLC 2106 و WLC2504 و WiSM-1 و WiSM-2WLC.

دعم نقاط الوصول (AP)

يتم دعم ELM على نقاط الوصول عبر شبكة 11n بما في ذلك 3500 و 1250 و 1260 و 1040 و 1140.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

تدفق تنبيه ELM WIPS

تكون الهجمات ذات صلة فقط عندما تحدث على نقاط الوصول (APs) للبنية الأساسية الموثوقة. وستكشف نقاط الوصول إلى ELM وحدة التحكم وتتصل بوحدة التحكم وتربط مع MSE للإبلاغ عن إدارة WCS. يوفر الشكل 3 تدفق التنبيه من وجهة نظر المسؤول:

1. الهجوم الذي تم شنه على جهاز بنية أساسية ("Trusted" AP)

2. تم الكشف عنها على نقطة الوصول ELM التي تم الاتصال بها من خلال CAPWAP إلى WLC

3. مررت بشفافية إلى MSE عبر NMSP

4. تم تسجيل الدخول إلى قاعدة بيانات wIPS على MSE الذي تم إرساله إلى WCS عبر ملائمة SNMP

5. معروض في WCS

الشكل 3 - اكتشاف التهديدات وتدفق الإنذار

اعتبارات النشر الخاصة بالإدارة الإلكترونية

توصي Cisco بأن يتم تمكين ELM على كل نقطة وصول على الشبكة تلبية معظم إحتياجات أمان العملاء عندما يكون تغشية الشبكة و/أو التكاليف جزءا من الاعتبار. تعمل ميزة ELM الأساسية بفعالية مع الهجمات التي يتم إجراؤها على القنوات، دون أي تضحية بالأداء على عملاء البيانات والصوت والفيديو والخدمات.

ELM مقابل MM المخصص

يوفر الشكل 4 تباينا عاما بين عمليات النشر القياسية لنقاط الوصول من الفئة wIPS MM ونقطة الوصول إلى شبكة Elm. وعند المراجعة، يشير نطاق التغطية النموذجي لكلا الوضعين إلى ما يلي:

• تغطي نقطة الوصول المخصصة من الفئة wIPS MM عادة مساحة تتراوح من 15000 إلى 35000 قدم مربع

• تغطي نقطة الوصول التي تخدم العميل بشكل نموذجي مساحة تتراوح من 3000 إلى 5000 قدم مربع

الشكل 4 - تراكب MM مقابل جميع نقاط الوصول ELM

في النشر التقليدي لنظام منع الاختراقات (IPS) القابل للتكيف، توصي Cisco بوجود نسبة نقطة وصول مقاس 1 ملم إلى كل خمس نقاط وصول (AP) في الوضع المحلي، والتي قد تختلف أيضا استنادا إلى تصميم الشبكة وإرشادات الخبراء للحصول على أفضل تغطية. ومن خلال وضع إدارة الأجهزة الافتراضية (ELM) في الاعتبار، يعمل المسؤول ببساطة على تمكين ميزة برنامج إدارة الأجهزة الافتراضية (ELM) لجميع نقاط الوصول (AP) الموجودة بالفعل، مما يعمل على إضافة عمليات نظام منع التسلل (IPS) إلى نقطة الوصول (AP) في وضع خدمة البيانات المحلية بشكل فعال مع الحفاظ على الأداء في نفس الوقت.

أداء خارج القناة والقناة

تستخدم نقطة الوصول من نوع MM 100٪ من وقت الراديو لمسح جميع القنوات، حيث أنها لا تخدم أي عملاء لشبكة WLAN. وتعمل الميزة الأساسية لإدارة المحتوى الافتراضي بفعالية لمواجهة الهجمات التي يتم تنفيذها عبر القنوات، دون أي تضحية بالأداء على عملاء وخدمات البيانات والصوت والفيديو. الفرق الأساسي في الوضع المحلي في حالة المسح الضوئي المتنوع خارج القناة، اعتمادا على النشاط، يوفر الفحص خارج القناة الحد الأدنى من الوقت المستغرق لجمع ما يكفي من المعلومات المتوفرة لتصنيف وتحديد الهجوم. قد يكون هناك مثال على عملاء الصوت المقترنين والذين يتم فيه تأجيل مسح AP RRM حتى يتم إلغاء اقتران العميل الصوتي للتأكد من عدم تأثر الخدمة. ومن أجل هذا الاعتبار، يعتبر الكشف عن ELM خلال غير القناة أفضل جهد. وتزيد نقاط الوصول المجاورة إلى شبكة ELM التي تعمل على جميع قنوات البلد أو DCA من فعاليتها، ومن ثم، فإن التوصية بتمكين إدارة التعلم الذاتي على كل نقطة وصول في الوضع المحلي من أجل تغطية الحماية القصوى. إذا كان المتطلب هو إجراء مسح ضوئي مخصص على جميع القنوات بدوام كامل، فستكون التوصية بنشر نقاط وصول من طراز MM.

تقوم هذه النقاط بمراجعة الفروق في الوضع المحلي ونقاط الوصول MM:

• نقطة الوصول في الوضع المحلي - توفر الخدمة لعملاء شبكة WLAN باستخدام ميزة تقسيم الوقت للمسح الضوئي خارج القناة، وتستمع ل 50 مللي ثانية على كل قناة، كما تتميز بميزة المسح الضوئي القابل للتكوين لقنوات all/country/DCA.

• نقطة الوصول في وضع المراقبة - لا تخدم عملاء شبكة WLAN، مخصصة للمسح الضوئي فقط، وتستمع إلى 1.2s على كل قناة، وتمسح كل القنوات.

ELM عبر إرتباطات WAN

بذلت Cisco جهودا كبيرة من أجل تحسين الميزات في السيناريوهات المليئة بالتحديات، مثل نشر نقاط الوصول إلى ELM عبر إرتباطات WAN ذات النطاق الترددي المنخفض. تتضمن ميزة ELM المعالجة المسبقة في تحديد توقيعات الهجوم في نقطة الوصول ويتم تحسينها للعمل على الروابط البطيئة. كأفضل الممارسات، يوصى باختبار وقياس خط الأساس للتحقق من الأداء باستخدام إدارة مستوى الإدارة (ELM) عبر شبكة WAN.

تكامل الهواء النظيف

تعمل ميزة إدارة التخلص من المشكلات (ELM) على استكمال عمليات تقنية CleanAir بأداء وفوائد مماثلين لنشر نقاط الوصول من الفئة MM مع الميزات الحالية القائمة على مراعاة طيف CleanAir:

• ذكاء مخصص للتردد اللاسلكي على مستوى السليكون

• طراز يتميز بوعي تام بالطيف، فضلا عن إمكانية حل المشكلات ذاتيا، فضلا عن إمكانية التحسين الذاتي

• تخفيف وتهديد القنوات غير المعيارية واكتشاف التداخل

• اكتشاف الشبكة غير اللاسلكية (Wi-Fi) مثل تقنية Bluetooth والموجات الدقيقة والهواتف التي لا سلكية وما إلى ذلك.

• اكتشاف هجمات رفض الخدمة (DOs) على طبقة التردد اللاسلكي مثل أجهزة تشويش التردد اللاسلكي وتحديد مواقعها

مزايا وفوائد إدارة الهيكل التنظيمي

• مسح ضوئي متكيف لنظام منع الاختراقات (IPS) في البيانات التي تخدم نقاط الوصول (AP) المحلية و H-REAP

• الحماية دون الحاجة إلى شبكة تغشية منفصلة

• متوفر كتنزيل مجاني لبرنامج SW لعملاء نظام منع التسلل (IPS) الحاليين

• يدعم التوافق مع بطاقة PCI للشبكات المحلية اللاسلكية

• الكشف الكامل عن هجمات 802.11 وغير 802.11

• إضافة الطب الشرعي وإمكانات إعداد التقارير

• يمكن دمجه مع الإدارة الحالية لشبكة CUWM وشبكة WLAN

• المرونة في تعيين نقاط وصول MM مدمجة أو مخصصة

• تعمل المعالجة المسبقة عند نقاط الوصول على تقليل نقل البيانات (أي العمل عبر إرتباطات النطاق الترددي المنخفض للغاية)

• تأثير منخفض على بيانات الخدمة

ترخيص ELM

ELM WIPS يضيف ترخيصا جديدا لطلب الشراء:

• ترخيص AIR-LM-WIPS-xx - Cisco ELM wIPS

• ترخيص AIR-WIPS-AP-xx - Cisco Wireless wIPS

ملاحظات ترخيص ELM الإضافية:

• إذا تم بالفعل تثبيت وحدة (وحدات) SKU الخاصة بترخيص نقطة الوصول طراز WIPS MM، يمكن إستخدام هذه التراخيص لنقاط الوصول الخاصة بالمتبرعين (ELM).

• تعد تراخيص نظام منع التسلل (IPS) وتراخيص نظام إدارة التعلم (ELM) معا بحدود ترخيص النظام الأساسي لمحرك نظام منع التسلل (IPS)، و 2000 نقطة وصول في 3310 و 3000 نقطة وصول في 335x على التوالي.

• وسيشمل ترخيص التقييم 10 نقاط وصول من أجل نظام منع الاختراق و 10 لنقاط الوصول من أجل نظام إدارة التعلم لفترة تصل إلى 60 يوما. وقبل إدارة التعلم من بعد (ELM)، كان ترخيص التقييم يسمح بما يصل إلى 20 نقطة وصول من وحدات ذاكرة AP (AP) IPS MM. يجب تلبية الحد الأدنى من متطلبات إصدارات البرامج التي تدعم ELM.

تكوين ELM باستخدام WCS

الشكل 5 - إستخدام WCS لتكوين ELM

1. من WCS، قم بتعطيل كل من أجهزة الراديو 802.11b/g و 802.11a لنقطة الوصول قبل تمكين "محرك Enhanced wIPS".

   ملاحظة: سيتم قطع اتصال جميع العملاء المرتبطين ولن ينضموا حتى يتم تمكين أجهزة الراديو.

2. قم بتكوين نقطة وصول واحدة، أو أستخدم قالب تكوين WCS للعديد من نقاط الوصول في الوضع Lightweight. راجع الشكل 6.

   شكل 6 - تمكين الوضع الفرعي لمحرك IPS المحسن (ELM)

   

3. أختر Enhanced WIPS Engine، وانقر فوق حفظ.

   1. لن يؤدي تمكين محرك wIPS المحسن إلى إعادة تمهيد نقطة الوصول.

   2. يتم دعم ميزة H-REAP، فهي تعمل بنفس الطريقة التي تعمل بها نقاط الوصول في الوضع المحلي.

   ملاحظة: في حالة تمكين أي من أجهزة الإرسال اللاسلكية لنقطة الوصول هذه، سيقوم WCS بتجاهل التكوين وإلقاء الخطأ في الشكل 7.

   شكل 7 - تذكير WCS بتعطيل أجهزة الراديو AP قبل تمكين ELM

   

4. يمكن التحقق من نجاح التكوين من خلال مراقبة التغيير في وضع نقطة الوصول من "محلي أو H-REAP" إلى محلي/wIPS أو H-REAP/wIPS. راجع الشكل 8.

   الشكل 8 - WCS الذي يعرض وضع نقطة الوصول لدمج بروتوكول الإنترنت (wIPS) مع الناتج المحلي و/أو الناتج المحلي الإجمالي

   

5. قم بتمكين أجهزة الراديو التي تم تعطيلها في الخطوة 1.

6. قم بإنشاء ملف تعريف wIPS ودفعه إلى وحدة التحكم حتى يكتمل التكوين.

   ملاحظة: للحصول على معلومات التكوين الكاملة حول بروتوكول الإنترنت (IPS)، ارجع إلى دليل نشر Cisco Adaptive WIPS.

التكوين من WLC

الشكل 9 - تكوين ELM باستخدام WLC

1. أختر نقطة وصول من علامة تبويب اللاسلكي.

   شكل 10 - تغيير الوضع الفرعي لنقطة الوصول (AP) من WLC لتضمين وضع WIPS ELM

   

2. من القائمة المنسدلة الوضع الفرعي لنقطة الوصول (AP)، أختر wIPS (شكل 10).

3. قم بتطبيق التكوين ثم قم بحفظه.

ملاحظة: لكي تعمل وظائف الإدارة المحلية الافتراضية (ELM)، يلزم توفر خدمات الإدارة السليمة بيئيا (MSE) ونظام التحكم في الشبكة اللاسلكية (WCS) مع ترخيص نظام منع الاختراق (IPS). لن يؤدي تغيير الوضع الفرعي لنقطة الوصول من WLC وحده إلى تمكين ELM.

الهجمات التي تم الكشف عنها في ELM

الجدول 1 - مصفوفة دعم توقيعات نظام منع التسلل (IPS)

تم الكشف عن هجمات	إيلم	مم
هجوم رفض الخدمة (DoS) ضد AP
فيضان الاقتران	Y	Y
تجاوز جدول الاقتران	Y	Y
فيض المصادقة	Y	Y
هجوم Eapol-Start	Y	Y
فيضان PS-Poll	Y	Y
فيض طلب المسبار	N	Y
اقتران غير مصدق	Y	Y
هجوم رفض الخدمة (DoS) على البنية الأساسية
سيلز	N	Y
جامعة كوينزلاند للاستغلال التكنولوجي	N	Y
تشويش التردد اللاسلكي	Y	Y
فيضان آر تي اس	N	Y
هجوم شركة الشحن الظاهرية	N	Y
هجوم رفض الخدمة على المحطة
هجوم فشل المصادقة	Y	Y
غروب الماء	N	Y
بث دي أوث فيضان	Y	Y
طوفان دي أوث	Y	Y
إذاعة ديسي-آسوك	Y	Y
فيضان ديس-أسوك	Y	Y
هجوم ايبول-لوجوف	Y	Y
أداة قابس فاتا	Y	Y
فشل EAP السابق لأوانه	Y	Y
نجاح EAP سابق لأوانه	Y	Y
هجمات الاختراق الأمني
تم الكشف عن أداة ASLEAP	Y	Y
هجوم إيرسنارف	N	Y
هجوم الشوب	Y	Y
هجوم يوم-صفر من قبل شاذ أمان WLAN	N	Y
هجوم يوم-صفر حسب شذوذ أمان الجهاز	N	Y
بحث الجهاز عن نقاط الوصول (APs)	Y	Y
هجوم القاموس على أساليب EAP	Y	Y
هجوم EAP مقابل مصادقة 802.1x	Y	Y
تم اكتشاف نقاط وصول مزيفة	Y	Y
تم الكشف عن خادم DHCP مزيف	N	Y
الكشف عن أداة التشقق WEP السريعة	Y	Y
هجوم التجزئة	Y	Y
تم اكتشاف نقطة وصول (AP) مزودة بمصباح العسل	Y	Y
تم الكشف عن أداة مراقب الحرارة	N	Y
إطارات بث غير صحيحة	N	Y
تم الكشف عن حزم 802.11 مشكلة بشكل غير صحيح	Y	Y
رجل في الهجوم المتوسط	Y	Y
تم اكتشاف Netstumbler	Y	Y
تم اكتشاف ضحية Netstumbler	Y	Y
تم الكشف عن انتهاك PSPF	Y	Y
تم اكتشاف نقطة وصول (AP) ناعمة أو نقطة وصول مضيفة	Y	Y
تم الكشف عن عنوان MAC المنتحلة	Y	Y
تم الكشف عن حركة مرور مشبوهة بعد ساعات العمل	Y	Y
اقتران غير مصرح به حسب قائمة الموردين	N	Y
تم الكشف عن اقتران غير مصرح به	Y	Y
تم اكتشاف Wellenreiter	Y	Y

ملاحظة: إضافة CleanAir ستمكن أيضا من اكتشاف الهجمات التي لا تنتمي إلى الفئة 802.11.

شكل 11 - عرض ملف تعريف WCS wIPS

في الشكل 11، قم بتكوين ملف تعريف wIPS من WCS، تشير الأيقونة إلى أنه لن يتم اكتشاف الهجوم إلا عندما تكون نقطة الوصول بالمmm، بينما يتم اكتشاف أفضل جهد فقط عندما تكون في ELM.

أستكشاف أخطاء ELM وإصلاحها

تحقّق من العناصر التالية: 

• تأكد من تكوين بروتوكول NTP.

• تأكد من أن إعداد الوقت MSE في UTC.

• في حالة عدم عمل مجموعة الأجهزة، أستخدم SSID الخاص بالتغشية مع أي. أعد تمهيد نقطة الوصول.

• تأكد من تكوين الترخيص (تستخدم نقاط الوصول من ELM حاليا تراخيص KAM)

• إذا تغيرت توصيفات wIPS كثيرا جدا، قم بمزامنة وحدة التحكم في MSE مرة أخرى. تأكد من أن التوصيف نشط على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

• تأكد من أن WLC هو جزء من MSE باستخدام MSE CLIs:

  1. SSH أو telnet إلى MSE الخاص بك.

  2. التنفيذ /opt/mse/wips/bin/wips_cli - يمكن إستخدام وحدة التحكم هذه للوصول إلى الأوامر التالية لجمع المعلومات المتعلقة بحالة نظام wIPS المتكيف.

  3. show wlc all - إصدار داخل وحدة تحكم wIPS. يتم إستخدام هذا الأمر للتحقق من وحدات التحكم التي تتصل بشكل نشط بخدمة wIPS على MSE. انظر الشكل 12.

     الشكل 12 - MSE CLI التحقق من WLC نشط مع خدمات MSE WIPS

     wIPS>show wlc all
     
     WLC MAC              Profile             Profile
     Status                  IP
     Onx Status Status
     ------------------------------------------------
     ------------------------------------------------
     ----
     00:21:55:06:F2:80    WCS-Default         Policy
     active on controller     172.20.226.197
     Active

• تأكد من اكتشاف أجهزة التنبيه على MSE باستخدام MSE CLIs.

  • show alarm list - مشكلة داخل وحدة تحكم wIPS. يتم إستخدام هذا الأمر لسرد الإنذارات التي تحتوي عليها حاليا قاعدة بيانات خدمة wIPS. حقل المفتاح هو مفتاح التجزئة الفريد الذي تم تعيينه للتحذير المحدد. حقل النوع هو نوع التنبيه. يوضح هذا المخطط في الشكل 13 قائمة بمعرفات التنبيه والأوصاف:

    شكل 13 - أمر قائمة تنبيه MSE CLI

    wIPS>show alarm list
    
    Key        Type  Src MAC
    LastTime              Active          First Time
    ------------------------------------------------
    -------------------------------------------
    89         89    00:00:00:00:00:00     2008/09/04
    18:19:26  2008/09/07 02:16:58   1
    65631      95    00:00:00:00:00:00     2008/09/04
    17:18:31  2008/09/04 17:18:31   0
    1989183    99    00:1A:1E:80:5C:40     2008/09/04
    18:19:44  2008/09/04 18:19:44   0

    يشير الحقلان أول مرة وآخر مرة إلى الطوابع الزمنية عند اكتشاف التنبيه، ويتم تخزين هذه الطوابع في وقت UTC. يبرز الحقل النشط إذا كان التنبيه قد تم اكتشافه حاليا.

• مسح قاعدة بيانات MSE.

  • إذا واجهت حالة تكون فيها قاعدة بيانات MSE تالفة، أو لن تعمل أي أساليب أخرى لاستكشاف الأخطاء وإصلاحها، فقد يكون من الأفضل مسح قاعدة البيانات والبدء من جديد.

    شكل 14 - أمر خدمات MSE

    1. /etc/init.d/msed stop
    2. Remove the database using the command 'rm
    /opt/mse/locserver/db/linux/server-eng.db'
    3. /etc/init.d/msed start

معلومات ذات صلة

• دليل تكوين وحدة تحكم شبكة LAN اللاسلكية من Cisco، الإصدار 7.0.116.0
• دليل تكوين نظام التحكم اللاسلكي من Cisco، الإصدار 7.0.172.0
• الدعم التقني والمستندات - Cisco Systems