Guía de Implementación del Módulo AP Aironet para WSSI

Opciones de descarga

  • PDF     (706.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (851.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de enero de 2013
ID del documento:115612

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona pautas generales de configuración e implementación para Cisco Aironet Access Point Module for Wireless Security and Spectrum Intelligence (WSSI). El WSSI es un módulo complementario que se puede insertar en puntos de acceso modulares (AP) como el Cisco 3600 Series AP.

Aironet_Access_Point_Module_for_WSSI_Guide01.gif

Aironet_Access_Point_Module_for_WSSI_Guide02.gif

Aironet_Access_Point_Module_for_WSSI_Guide03.gif

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

El módulo Wireless Security and Spectrum Intelligence necesita las versiones de código mínimas:

  • Wireless LAN Controller (WLC): versión 7.4.xx.xx o posterior

  • Punto de acceso (AP): versión 7.4.xx.xx o posterior

  • Prime Infrastructure (PI): versión 1.3.xx.xx o posterior

  • Mobility Services Engine (MSE): versión 7.4.xx.xx o posterior

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Descripción general del producto

El módulo Cisco Wireless Security and Spectrum Intelligence, que aprovecha el diseño modular flexible del Cisco Aironet 3600 Series AP, ofrece un análisis de seguridad y una inteligencia de espectro sin precedentes y siempre activos. Esto le ayuda a evitar las interferencias de radiofrecuencia (RF) para obtener una mejor cobertura y un mejor rendimiento en su red inalámbrica.

  • Supervisión y mitigación de espectro completo las 24 horas del día, los 7 días de la semana para aWIPS, CleanAir, identificación del contexto, detección de acceso no deseado y gestión de recursos de radio

  • Protección frente a amenazas WIPS en canal las 24 horas del día, los 7 días de la semana

  • 23 veces más cobertura de espectro y seguridad

  • Más del 30% de ahorro de costes CAPEX en comparación con el punto de acceso del modo de monitor dedicado

  • Configuración sin intervención

El módulo actualizable sobre el terreno WSSI es una radio dedicada que descarga todos los servicios de supervisión y seguridad de las radios de servicio de datos/cliente al módulo de monitor de seguridad. Esto no solo permite un mejor rendimiento del cliente, sino que también reduce los costes al eliminar la necesidad de AP de modo monitor dedicados y la infraestructura Ethernet necesaria para conectar esos dispositivos a su red.

Juntos, los AP de la serie 3600 y el módulo WSSI le permiten proporcionar simultáneamente funciones de seguridad y análisis de espectro de última generación para clientes Wi-Fi en todos los canales, tanto en las bandas de 2,4 GHz como de 5 GHz.

Una vez implementado, el módulo analiza constantemente todos los canales para garantizar la experiencia inalámbrica más segura y sólida disponible en el sector.

Ventajas del modo WSSI

Modo local mejorado (ELM):

  • Reduce los costes de red y las operaciones. Al integrar el módulo WSSI en la serie 3600, puede sustituir hasta tres dispositivos independientes. Esto proporciona tres funciones independientes en un único AP multifuncional serie 3600.

    Aironet_Access_Point_Module_for_WSSI_Guide04.gif

  • Ahora, los clientes pueden aprovechar una única conexión Ethernet (cable y puerto) en su red con cables, en lugar de lo que normalmente requeriría hasta tres cables Ethernet independientes y un puerto de acceso en su red con cables. Esto reduce significativamente su CAPEX.

  • Al integrar todas estas funciones en un único punto de acceso, los clientes simplifican la gestión y supervisión diarias de su red e infraestructura inalámbrica con un número de puntos de acceso muy reducido. El módulo WSSI aparece para el WLC y los sistemas de administración como una radio adicional que soporta dispositivos cliente 802.11b/g/a/n (2,4 y 5 GHz) dentro del AP específico de la serie 3600.

  • Configuración sin interacción, instalación, encendido y marcha. No se requiere ninguna configuración para activar y ejecutar el módulo WSSI, así como para supervisar y proteger inmediatamente la red inalámbrica. El módulo WSSI se inserta y se asegura a cualquier 3600 Series AP. Cuando el AP se enciende, el módulo se inicializa junto con las otras radios en el AP e inmediatamente comienza a monitorear todos los canales en 2,4 y 5 GHz para cualquier amenaza de seguridad potencial y fuentes de interferencia.

  • El wIPS adaptable proporciona una detección de amenazas precisa y eficaz en todos los canales, desde ataques aéreos, puntos de acceso desconocidos y conexiones ad hoc, así como la capacidad de clasificar, notificar, mitigar e informar para una supervisión constante y una gestión proactiva. Funciona junto con Cisco Mobility Services Engine (MSE).

ELM:

Aironet_Access_Point_Module_for_WSSI_Guide05.gif

  • Añade escaneo de seguridad wIPS para el escaneo de canales 7x24 (2,4 GHz y 5 GHz), con el mejor esfuerzo en cuanto a compatibilidad de canales.

  • El AP también presta servicio a los clientes y, con la serie G2 de AP, habilita el análisis del espectro CleanAir en los canales (2,4 GHz y 5 GHz).

Modo Monitor:

  • El AP de modo monitor (MMAP) está dedicado a funcionar en modo monitor y tiene la opción de agregar escaneo de seguridad wIPS de todos los canales (2,4 GHz y 5 GHz).

  • La serie G2 de AP permite el análisis del espectro CleanAir en todos los canales (2,4 GHz y 5 GHz).

  • Los MMAP no sirven a los clientes.

AP3600 con Módulo WSSI: La evolución de la seguridad inalámbrica y el espectro

  • El primer punto de acceso del sector que facilita el servicio al cliente simultáneo, el análisis de seguridad wIPS y el análisis de espectro mediante la tecnología CleanAir.

  • Radio de 2,4 GHz y 5 GHz dedicada con sus propias antenas que permite el escaneo 7x24 de todos los canales inalámbricos en las bandas de 2,4 GHz y 5 GHz.

  • Una única infraestructura Ethernet proporciona un funcionamiento simplificado con menos dispositivos para gestionar y optimizar la rentabilidad de la inversión de la infraestructura inalámbrica AP3600 y la infraestructura cableada Ethernet.

Aironet_Access_Point_Module_for_WSSI_Guide06.gif

  • Tecnología Cisco CleanAir: proporciona inteligencia de espectro proactiva y de alta velocidad para combatir los problemas de rendimiento debidos a las interferencias inalámbricas. La primera tecnología de análisis de radiofrecuencia de última generación del sector que inspecciona y clasifica los patrones de energía (firmas) de los dispositivos que pueden afectar significativamente a la calidad de una red inalámbrica.

  • Gestión de recursos de radio (RRM): gestión de radiofrecuencia avanzada y simplificada, que se adapta automáticamente al entorno de red inalámbrica en función de la información recibida de la tecnología Cisco CleanAir. Una vez que se identifican los interferencias, RRM puede mover los dispositivos cliente a los canales lejos de la interferencia y ajustar la potencia de tránsito para alejarse de la fuente de interferencia. Esto proporciona una mejor calidad de RF al usuario.

  • Detección no autorizada: detecta y notifica el acceso a la red de puerta trasera y el acceso a los clientes inalámbricos.

  • Reconocimiento de ubicación y contexto: ofrece reconocimiento en tiempo real y la capacidad de realizar un seguimiento de los terminales inalámbricos.

Con estas funciones, el módulo Cisco Wireless Security and Spectrum Intelligence, junto con el Cisco 3600 Series AP, proporciona la red inalámbrica de clase empresarial más segura y robusta posible para sus usuarios y datos corporativos.

En el canal frente a fuera de canal mediante el módulo WSSI

Un AP de modo local explora los interferencias CleanAir y los atacantes wIPs en el canal. Esto significa que el AP sólo escanea el canal que está sirviendo. Un AP de modo local con un canal de radio de 2,4 GHz que sirve al canal 1 y 5 GHz que sirve al canal 64, sólo proporciona protección en los canales 1 y 64.

Un MMAP busca interferencias CleanAir y atacantes wIP fuera del canal. Esto significa que el AP escanea todos los canales. La radio de 2,4 GHz escanea todos los canales de 2,4 GHz y el canal de 5 GHz escanea todos los canales de 5 GHz.

Un Cisco 3600 Series AP utiliza una combinación de On-Channel y Off-Channel. Las radios de 2,4 GHz y 5 GHz escanean en el canal y el módulo WSSI escanea fuera del canal, y circula entre todos los canales de 2,4 GHz y 5 GHz.

Aironet_Access_Point_Module_for_WSSI_Guide07.gif

Densidad de implementación sugerida para el módulo WSSI

En la implementación de AP de monitor tradicional, Cisco recomienda una proporción de 1 MMAP por cada 5 AP de modo local. Esto puede variar en función del diseño de la red y de la orientación de los expertos para lograr una mejor cobertura. Con el módulo WSSI, hay diferentes recomendaciones de implementación basadas en la funcionalidad para lograr la paridad de cobertura con un MMAP.

Para CleanAir, se recomienda implementar 1 módulo WSSI por cada 5 AP locales o Flexconnect. Esta implementación 1:5 ofrece el mismo rendimiento que un MMAP habilitado para CleanAir, pero aún permite que el AP atienda a los clientes. Esta es una implementación recomendada para un módulo WSSI que realiza CleanAir:

Aironet_Access_Point_Module_for_WSSI_Guide08.gif

Para la protección wIPS, se recomienda implementar 2 módulos WSSI por cada 5 AP locales o FlexConnect. El tiempo de detección de wIPS para un ataque fuera de canal es aproximadamente dos veces el de un MMAP. Por lo tanto, se requiere una implementación de 2:5 para proporcionar paridad de detección de wIPS. Ésta es la implementación recomendada para un módulo WSSI que realiza la protección wIPS:

Aironet_Access_Point_Module_for_WSSI_Guide09.gif

El Cisco 3600 AP con un módulo WSSI utiliza el escaneo en canal y fuera de canal para proporcionar una solución líder en el sector mientras atiende a los clientes.

Instalación del Módulo WSSI

Aironet_Access_Point_Module_for_WSSI_Guide10.gif

Aironet_Access_Point_Module_for_WSSI_Guide11.gif

Aironet_Access_Point_Module_for_WSSI_Guide12.gif

Aironet_Access_Point_Module_for_WSSI_Guide13.gif

Configuración para el Módulo WSSI AP3600

No se necesita configuración para el módulo WSSI. El módulo escanea automáticamente todos los canales en ambas bandas utilizando sus antenas 0x4 (sólo recepción) 0 Tx x x 4 Rx.

Tenga en cuenta que el módulo WSSI sólo está activo en los AP3600 configurados en el modo local o en el modo FlexConnect. El módulo WSSI está desactivado en todos los demás modos.

Requisito de alimentación para el módulo WSSI

El AP3600 con un módulo WSSI instalado supera los 15,4 vatios (802.3af). El AP requiere (802.3at - PoE+), PoE mejorado, una fuente de alimentación de CA local o el inyector Cisco PoE (AIR-PWRINJ4).

Notas:

  • Cisco ha creado un PoE mejorado, que es un precursor de 802.3at PoE+. Proporciona hasta 20 W de potencia.

  • PoE+ puede proporcionar hasta 30 W de potencia.

Administración de recursos de radio en el módulo WSSI

El módulo WSSI toma todas las medidas RRM tanto en la banda de 2,4 GHz como en la de 5 GHz. Las mediciones se muestran en la GUI del WLC bajo Monitor > Access Points > 802.11a/n > AP_NAME > Details o Monitor > Access Points > 802.11b/g/n > AP_NAME > Details.

Aironet_Access_Point_Module_for_WSSI_Guide14.gif

CleanAir en el módulo WSSI

El módulo WSSI detecta los interferencias de CleanAir con la misma precisión que un MMAP. Cisco recomienda que el módulo WSSI se implemente con una densidad de 1:5, donde debe haber 1 módulo WSSI por cada 5 AP. Ésta es la misma densidad recomendada que para un MMAP.

Cuando el módulo WSSI está habilitado sin submodo, el módulo analiza tanto la banda de 2,4 GHz como la de 5 GHz. El módulo permanece en cada canal durante 1,2 segundos y busca interferencias CleanAir.

CleanAir se puede habilitar sólo en 2,4 GHz, sólo en 5 GHz y tanto en 2,4 GHz como en 5 GHz. Esto se puede seleccionar desde la CLI del WLC o la GUI. Este es un ejemplo de configuración de CleanAir en WLC CLI: 

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

La misma configuración se puede aplicar en la GUI a través de Wireless > Dual-Band Radios > Configure. A continuación se muestra un ejemplo de esto:

Aironet_Access_Point_Module_for_WSSI_Guide15.gif

Para verificar que el módulo WSSI ha detectado el interferente CleanAir, ejecute el comando show cleanair interferers desde la consola AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

La misma configuración se puede aplicar en la GUI a través de Wireless > Dual-Band Radios > Configure. Aquí tiene un ejemplo:

Aironet_Access_Point_Module_for_WSSI_Guide16.gif

Los interferencias de CleanAir se informan en la GUI del WLC. Los interferentes se muestran POR BANDA. Esto significa que los interferencias detectados en el módulo WSSI en la banda de 5 GHz se muestran en Monitor > 802.11a/n > Interference Devices.

Para verificar que el módulo WSSI detectó el interferente CleanAir, ejecute el comando show cleanair interferers desde la consola AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

wIPS en el módulo WSSI

El módulo WSSI detecta los atacantes wIPS con casi la misma precisión que un MMAP. Para wIPS, Cisco recomienda implementar el módulo WSSI con una relación 2:5 entre los AP. Esto significa que para cada 5 AP, dos de los AP deben contener el módulo WSSI.

Hay dos modos wIPS que se pueden configurar:

  • submodo wIPS: habilita la detección de ataques wIPS y explora todos los canales en busca de 1.2s. Este modo permite que el AP aún capture todos los informes RRM además de las detecciones wIPS.

  • Modo wIPS mejorado: permite la detección de ataques wIPS y analiza todos los canales en 250 ms. El menor tiempo de permanencia del canal permite al módulo de seguridad detectar a los atacantes más rápidamente.

En la página Prime Infrastructure (PI), vaya a Configure > Access Points > AP_NAME. El módulo WSSI se puede configurar en submodo wIPS o submodo wIPS + soporte mejorado con motor wIPS. Esto también se puede enviar como parte de una plantilla de configuración AP.

Aironet_Access_Point_Module_for_WSSI_Guide17.gif

Aironet_Access_Point_Module_for_WSSI_Guide18.gif

Los ataques wIPS se muestran en Prime Infrastructure en la ficha Home > Security.

El PI muestra una vista de nivel de red, pero puede mostrar el ataque en un AP3600 con un módulo WSSI ejecutando el comando show capwap am alarm ALARM_NUM desde la consola AP.

Por ejemplo, la alarma 52 es una Denegación de Servicio, saturación de autenticación. Para ver si ese ataque fue detectado en el módulo WSSI, ejecute el comando show capwap am alarm 52:

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

Detección no autorizada en el módulo WSSI

El módulo WSSI detecta los AP rogue con la misma precisión que un MMAP. Se muestra una lista de AP rogue tanto en el WLC como en el PI.

Esta es la lista de AP rogue no clasificados de la GUI del WLC. Los AP rogue se pueden ver en la GUI del WLC bajo Monitor > Rogues.

Aironet_Access_Point_Module_for_WSSI_Guide19.gif

Puede verificar que el módulo WSSI mediante la consola AP detectó un AP Rogue. Desde la consola, ingrese el comando show capwap rm rogue ap d2 all. Esto muestra todos los AP rogue que se ven en la Radio del Módulo WSSI.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

Contención no autorizada mediante el módulo WSSI

El módulo WSSI es un módulo 0x4 (sólo recibe antenas), lo que significa que la contención no autorizada se realizará en la radio de 2,4 GHz o 5 GHz. Para configurar el WSSI para que contenga automáticamente AP rogue, debe asegurarse de que en la GUI del WLC bajo Seguridad > Políticas de Protección Inalámbrica > Políticas Rogue > General que Contención Automática solamente para APs de Modo Monitor no esté habilitada (ver la siguiente captura de pantalla). Se pueden activar todas las demás casillas de verificación.

Aironet_Access_Point_Module_for_WSSI_Guide21.gif

Ubicación sensible al contexto en el módulo WSSI

Cuando se conecta con un Cisco MSE, el módulo WSSI proporciona datos de ubicación sensible al contexto con la misma precisión que un MMAP.

Aironet_Access_Point_Module_for_WSSI_Guide20.gif

Licencia del módulo WSSI

El módulo WSSI utiliza licencias de modo monitor wIPS.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
15-Jan-2013
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos