Guide de déploiement du module AP Aironet pour WSSI

Options de téléchargement

  • PDF     (739.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (850.9 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 janvier 2013
ID du document:115612

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des directives générales de configuration et de déploiement pour le module Cisco Aironet Access Point Module for Wireless Security and Spectrum Intelligence (WSSI). Le WSSI est un module complémentaire qui peut être inséré dans des points d'accès modulaires tels que les points d'accès de la gamme Cisco 3600.

Aironet_Access_Point_Module_for_WSSI_Guide01.gif

Aironet_Access_Point_Module_for_WSSI_Guide02.gif

Aironet_Access_Point_Module_for_WSSI_Guide03.gif

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Le module Wireless Security and Spectrum Intelligence a besoin des versions de code minimales suivantes :

  • Contrôleur de réseau local sans fil (WLC) - Version 7.4.xx.xx ou ultérieure

  • Point d'accès (AP) - Version 7.4.xx.xx ou ultérieure

  • Prime Infrastructure (PI) - Version 1.3.xx.xx ou ultérieure

  • Mobility Services Engine (MSE) - Version 7.4.xx.xx ou ultérieure

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation du produit

Le module Cisco Wireless Security and Spectrum Intelligence, qui tire parti de la conception modulaire flexible des points d'accès de la gamme Cisco Aironet 3600, fournit une analyse de sécurité et une intelligence spectrale sans précédent et permanente. Cela vous permet d'éviter les interférences de radiofréquences (RF) afin d'obtenir une meilleure couverture et de meilleures performances sur votre réseau sans fil.

  • Surveillance et atténuation du spectre complet 24 h/24, 7 j/7 pour aWIPS, CleanAir, Context Awareness, Rogue Detection et Radio Resource Management

  • Protection contre les menaces WIPS sur canal 24 h/24, 7 j/7

  • 23 fois plus de sécurité et de couverture spectrale

  • Plus de 30 % d'économies sur les dépenses d'investissement par rapport au point d'accès en mode moniteur dédié

  • Configuration automatique

Le module WSSI, qui peut être mis à niveau sur site, est une radio dédiée qui décharge tous les services de surveillance et de sécurité des radios de service client/données vers le module de surveillance de sécurité. Cela permet non seulement d'améliorer les performances du client, mais également de réduire les coûts en éliminant le besoin de points d'accès en mode surveillance dédiés et l'infrastructure Ethernet requise pour connecter ces périphériques à leur réseau.

Ensemble, les points d'accès de la gamme 3600 et le module WSSI vous permettent de fournir simultanément des fonctions de sécurité et d'analyse spectrale de pointe pour les clients Wi-Fi sur tous les canaux, dans les bandes 2,4 GHz et 5 GHz.

Une fois déployé, le module analyse constamment tous les canaux pour garantir l'expérience sans fil la plus sécurisée et la plus robuste du secteur.

Avantages du mode WSSI

Mode local amélioré (ELM) :

  • Réduit les coûts et les opérations du réseau. En intégrant le module WSSI à la gamme 3600, vous pouvez remplacer jusqu'à trois périphériques distincts. Cela fournit trois fonctions distinctes en un seul point d'accès polyvalent de la gamme 3600.

    Aironet_Access_Point_Module_for_WSSI_Guide04.gif

  • Les clients peuvent désormais utiliser une seule connexion Ethernet (câble et port) dans leur réseau câblé, au lieu de ce qui nécessiterait généralement jusqu'à trois câbles Ethernet distincts et un port d'accès dans leur réseau câblé. Cela réduit considérablement leur CAPEX.

  • En intégrant toutes ces fonctionnalités à un seul point d'accès, les clients simplifient la gestion et la surveillance quotidiennes de leur infrastructure et de leur réseau sans fil en réduisant considérablement le nombre de points d'accès. Le module WSSI apparaît au WLC et aux systèmes de gestion comme une radio supplémentaire prenant en charge les périphériques clients 802.11b/g/a/n (2,4 et 5 GHz) dans le point d'accès de la gamme 3600 spécifique.

  • Configuration automatique, installation, mise sous tension et démarrage. Il n'y a absolument aucune configuration requise pour permettre au module WSSI d'être opérationnel et pour surveiller et sécuriser immédiatement votre réseau sans fil. Le module WSSI est inséré et sécurisé sur n'importe quel point d'accès de la gamme 3600. Lorsque le point d'accès est mis sous tension, le module est initialisé avec les autres radios du point d'accès et commence immédiatement à surveiller tous les canaux sur 2,4 et 5 GHz pour détecter toute menace de sécurité potentielle et toute source d'interférence.

  • Le système wIPS adaptatif offre une détection précise et efficace des menaces sur tous les canaux, depuis les attaques en direct, les points d'accès indésirables et les connexions ad hoc, ainsi que la possibilité de classer, notifier, atténuer et générer des rapports pour une surveillance constante et une gestion proactive. Fonctionne avec Cisco Mobility Services Engine (MSE).

ELM :

Aironet_Access_Point_Module_for_WSSI_Guide05.gif

  • Ajoute l'analyse de sécurité wIPS pour l'analyse des canaux 7x24 (2,4 GHz et 5 GHz), avec un maximum d'efforts en dehors de la prise en charge des canaux.

  • Le point d'accès dessert également les clients et, avec la série G2 de points d'accès, permet l'analyse du spectre CleanAir sur les canaux (2,4 GHz et 5 GHz).

Mode surveillance :

  • Le point d'accès en mode surveillance (MMAP) est dédié au fonctionnement en mode surveillance et a la possibilité d'ajouter l'analyse de sécurité wIPS de tous les canaux (2,4 GHz et 5 GHz).

  • La série G2 de points d'accès permet l'analyse du spectre CleanAir sur tous les canaux (2,4 GHz et 5 GHz).

  • Les MMAP ne servent pas les clients.

AP3600 avec module WSSI : L'évolution de la sécurité et du spectre sans fil

  • Premier point d'accès du secteur qui facilite le service client simultané, l'analyse de sécurité et l'analyse spectrale wIPS à l'aide de la technologie CleanAir.

  • Radio 2,4 GHz et 5 GHz dédiée avec ses propres antennes qui permet un balayage 7x24 de tous les canaux sans fil dans les bandes 2,4 GHz et 5 GHz.

  • Une infrastructure Ethernet unique simplifie le fonctionnement avec moins de périphériques pour gérer et optimiser le retour sur investissement de l'infrastructure sans fil AP3600 et de l'infrastructure câblée Ethernet.

Aironet_Access_Point_Module_for_WSSI_Guide06.gif

  • Technologie Cisco CleanAir : fournit une intelligence spectrale à haut débit proactive pour lutter contre les problèmes de performances dus aux interférences sans fil. Première technologie d'analyse RF de pointe du secteur qui inspecte et classe les caractéristiques énergétiques (signatures) des périphériques susceptibles d'avoir un impact significatif sur la qualité d'un réseau sans fil.

  • Gestion des ressources radio (RRM) : gestion RF simplifiée et avancée, s'adapte automatiquement à l'environnement réseau sans fil en fonction des informations reçues de la technologie Cisco CleanAir. Une fois les interféreurs identifiés, RRM est en mesure de déplacer les périphériques clients vers des canaux éloignés des interférences et de régler la puissance de transit pour s'éloigner de la source des interférences. Cela améliore la qualité RF de l'utilisateur.

  • Détection de systèmes indésirables: détecte et signale l'accès réseau en porte dérobée et l'accès aux clients sans fil.

  • Connaissance de l'emplacement et du contexte : offre une connaissance en temps réel et la possibilité de suivre les terminaux sans fil.

Grâce à ces fonctionnalités, le module Cisco Wireless Security and Spectrum Intelligence, ainsi que le point d'accès de la gamme Cisco 3600, constituent le réseau sans fil d'entreprise le plus sécurisé et le plus robuste possible pour les utilisateurs et les données de votre entreprise.

Comparaison entre canaux et canaux à l'aide du module WSSI

Un point d'accès en mode local analyse les interféreurs CleanAir et les hackers wIP sur le canal. Cela signifie que le point d'accès analyse uniquement le canal qu'il dessert. Un point d'accès en mode local avec une radio 2,4 GHz desservant les canaux 1 et 5 GHz desservant le canal 64, fournit uniquement une protection sur les canaux 1 et 64.

Un MMAP recherche les interféreurs CleanAir et les hackers wIP hors canal. Cela signifie que le point d'accès analyse tous les canaux. La radio 2,4 GHz analyse tous les canaux 2,4 GHz et le canal 5 GHz analyse tous les canaux 5 GHz.

Un point d'accès de la gamme Cisco 3600 utilise une combinaison de canaux et de canaux. Les radios 2,4 GHz et 5 GHz analysent sur le canal et le module WSSI effectue une analyse hors canal, en passant de tous les canaux 2,4 GHz à 5 GHz.

Aironet_Access_Point_Module_for_WSSI_Guide07.gif

Densité de déploiement suggérée pour le module WSSI

Dans le déploiement traditionnel de points d'accès Monitor, Cisco recommande un ratio de 1 MMAP pour chaque 5 points d'accès en mode local. Cela peut varier en fonction de la conception du réseau et des conseils d'experts pour une meilleure couverture. Avec le module WSSI, il existe différentes recommandations de déploiement basées sur les fonctionnalités pour atteindre la parité de couverture avec un MMAP.

Pour CleanAir, il est recommandé de déployer 1 module WSSI pour 5 points d'accès locaux ou Flexconnect. Ce déploiement 1:5 offre les mêmes performances qu'un MMAP compatible CleanAir, mais permet néanmoins au point d'accès de servir les clients. Il s'agit d'un déploiement recommandé pour un module WSSI exécutant CleanAir :

Aironet_Access_Point_Module_for_WSSI_Guide08.gif

Pour la protection wIPS, il est recommandé de déployer 2 modules WSSI pour 5 points d'accès locaux ou FlexConnect. Le temps de détection wIPS pour une attaque hors canal est environ deux fois supérieur à celui d'un MMAP. Par conséquent, un déploiement 2:5 est nécessaire pour fournir la parité de détection wIPS. Il s'agit du déploiement recommandé pour un module WSSI assurant la protection wIPS :

Aironet_Access_Point_Module_for_WSSI_Guide09.gif

Le point d'accès Cisco 3600 avec un module WSSI utilise l'analyse sur canal et hors canal pour fournir une solution de pointe tout en servant les clients.

Installation du module WSSI

Aironet_Access_Point_Module_for_WSSI_Guide10.gif

Aironet_Access_Point_Module_for_WSSI_Guide11.gif

Aironet_Access_Point_Module_for_WSSI_Guide12.gif

Aironet_Access_Point_Module_for_WSSI_Guide13.gif

Configuration du module WSSI AP3600

Aucune configuration n'est requise pour le module WSSI. Le module analyse automatiquement tous les canaux des deux bandes en utilisant ses antennes 0x4 (réception uniquement) 0 Tx x 4 Rx.

Notez que le module WSSI est actif uniquement sur les AP3600 configurés en mode local ou en mode FlexConnect. Le module WSSI est désactivé dans tous les autres modes.

Alimentation requise pour le module WSSI

L'AP3600 avec un module WSSI installé dépasse 15,4 Watts (802.3af). Le point d'accès nécessite soit (802.3at - PoE+), une alimentation PoE améliorée, un bloc d'alimentation CA local, soit l'injecteur PoE Cisco (AIR-PWRINJ4).

Remarques :

  • La technologie Enhanced PoE a été créée par Cisco et est un précurseur de la technologie 802.3at PoE+. Il fournit jusqu'à 20 W de puissance.

  • PoE+ peut fournir jusqu'à 30 W de puissance.

Gestion des ressources radio sur le module WSSI

Le module WSSI prend toutes les mesures RRM sur la bande 2,4 GHz et la bande 5 GHz. Les mesures sont affichées dans l'interface graphique du WLC sous Monitor > Access Points > 802.11a/n > AP_NAME > Details ou Monitor > Access Points > 802.11b/g/n > AP_NAME > Details.

Aironet_Access_Point_Module_for_WSSI_Guide14.gif

CleanAir sur le module WSSI

Le module WSSI détecte les interféreurs CleanAir avec la même précision qu'un MMAP. Cisco recommande que le module WSSI soit déployé avec une densité de 1:5, où il doit y avoir 1 module WSSI pour chaque 5 AP. Il s'agit de la même densité recommandée que pour un MMAP.

Lorsque le module WSSI est activé sans sous-mode, il analyse la bande 2,4 GHz et la bande 5 GHz. Le module réside sur chaque canal pendant 1,2 seconde et analyse les interféreurs CleanAir.

CleanAir peut être activé sur 2,4 GHz uniquement, 5 GHz uniquement et 2,4 GHz et 5 GHz. Cette option est sélectionnable dans l'interface CLI ou l'interface utilisateur graphique du WLC. Voici un exemple de configuration de CleanAir sur l'interface de ligne de commande du WLC : 

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

La même configuration peut être appliquée sur l'interface utilisateur graphique via Wireless > Dual-Band Radios > Configure. Voici un exemple :

Aironet_Access_Point_Module_for_WSSI_Guide15.gif

Afin de vérifier que l'interféreur CleanAir a été détecté par le module WSSI, émettez la commande show cleanair interers à partir de la console AP :

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

La même configuration peut être appliquée sur l'interface utilisateur graphique via Wireless > Dual-Band Radios > Configure. Voici un exemple :

Aironet_Access_Point_Module_for_WSSI_Guide16.gif

Les interféreurs CleanAir sont signalés à l'interface utilisateur graphique du WLC. Les interféreurs sont affichés PAR BANDE. Cela signifie que les interférences détectées sur le module WSSI sur la bande 5 GHz sont affichées sous Monitor > 802.11a/n > Interference Devices.

Afin de vérifier que l'interféreur CleanAir a été détecté par le module WSSI, émettez la commande show cleanair interers à partir de la console AP :

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

wIPS sur le module WSSI

Le module WSSI détecte les pirates wIPS avec presque la même précision qu'un MMAP. Pour wIPS, Cisco recommande de déployer le module WSSI avec un rapport 2:5 entre les points d'accès. Cela signifie que pour chaque 5 AP, deux des AP doivent contenir le module WSSI.

Deux modes wIPS peuvent être configurés :

  • Sous-mode wIPS : active la détection des attaques wIPS et analyse tous les canaux pour les versions 1.2. Ce mode permet au point d'accès de capturer toujours tous les rapports RRM en plus des détections wIPS.

  • Mode wIPS amélioré : activez la détection des attaques wIPS et analyse tous les canaux pendant 250 ms. Le temps de maintien des canaux réduit permet au module de sécurité de détecter plus rapidement les pirates.

Sur la page Prime Infrastructure (PI), accédez à Configurer > Points d'accès > AP_NAME. Le module WSSI peut être configuré en sous-mode wIPS ou en sous-mode wIPS + Enhanced wIPS Engine Support. Cela peut également être poussé dans le cadre d'un modèle de configuration de point d'accès.

Aironet_Access_Point_Module_for_WSSI_Guide17.gif

Aironet_Access_Point_Module_for_WSSI_Guide18.gif

Les attaques wIPS s'affichent dans l'onglet Prime Infrastructure from the Home > Security.

Le PI affiche une vue au niveau du réseau, mais vous pouvez afficher l'attaque sur un AP3600 avec un module WSSI en émettant la commande show capwap am alarme ALARM_NUM à partir de la console AP.

Par exemple, l'alarme 52 est un déni de service, une inondation d'authentification. Afin de voir si cette attaque a été détectée sur le module WSSI, émettez la commande show capwap am alarme 52 :

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

Détection des anomalies sur le module WSSI

Le module WSSI détecte les points d'accès indésirables avec la même précision qu'un MMAP. Une liste des AP non autorisés s'affiche dans le WLC et le PI.

Il s'agit de la liste des points d'accès non classifiés non fiables de l'interface graphique du WLC. Les points d'accès indésirables peuvent être affichés dans l'interface graphique du WLC sous Monitor > Rogues.

Aironet_Access_Point_Module_for_WSSI_Guide19.gif

Vous pouvez vérifier que le module WSSI à l'aide de la console AP a détecté un point d'accès non autorisé. À partir de la console, entrez la commande show capwap rm rogue ap d2 all. Cette option affiche tous les points d'accès non autorisés affichés sur la radio du module WSSI.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

Confinement non autorisé à l'aide du module WSSI

Le module WSSI est un module 0x4 (antennes de réception uniquement), ce qui signifie que le confinement des indésirables sera effectué sur la radio 2,4 GHz ou 5 GHz. Afin de configurer le WSSI pour qu'il contienne automatiquement des AP non autorisés, vous devez vous assurer que dans l'interface utilisateur graphique du WLC sous Security > Wireless Protection Policies > Rogue Policies > General que la fonction Confinement automatique uniquement pour les AP en mode Surveillance n'est pas activée (voir la capture d'écran suivante). Toutes les autres cases à cocher peuvent être activées.

Aironet_Access_Point_Module_for_WSSI_Guide21.gif

Emplacement sensible au contexte sur le module WSSI

Lorsqu'il est connecté à un MSE Cisco, le module WSSI fournit des données contextuelles avec la même précision qu'un MMAP.

Aironet_Access_Point_Module_for_WSSI_Guide20.gif

Licence de module WSSI

Le module WSSI utilise des licences de mode de surveillance wIPS.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
15-Jan-2013
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits