Aironet AP Module for WSSI 구축 설명서

소개

이 문서에서는 Cisco Aironet Access Point Module for Wireless Security and Spectrum Intelligence(WSSI)에 대한 일반적인 컨피그레이션 및 구축 지침을 제공합니다. WSSI는 Cisco 3600 Series AP와 같은 모듈형 AP(Access Point)에 삽입할 수 있는 애드온 모듈입니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

무선 보안 및 스펙트럼 인텔리전스 모듈에는 최소 코드 버전이 필요합니다.

• WLC(Wireless LAN Controller) - 버전 7.4.xx.xx 이상

• 액세스 포인트(AP) - 버전 7.4.xx.xx 이상

• Prime Infrastructure(PI) - 버전 1.3.xx.xx 이상

• MSE(Mobility Services Engine) - 버전 7.4.xx.xx 이상

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

제품 개요

Cisco Wireless Security and Spectrum Intelligence 모듈은 Cisco Aironet 3600 Series AP의 유연한 모듈형 설계를 활용하여 전례 없는 상시 보안 스캐닝 및 스펙트럼 인텔리전스를 제공합니다. 따라서 무선 네트워크에서 더 우수한 커버리지 및 성능을 얻을 수 있도록 RF(Radio Frequency) 간섭을 방지할 수 있습니다.

• WIPS, CleanAir, 상황 인식, 비인가 탐지 및 무선 리소스 관리를 위한 24 x 7 전체 스펙트럼 모니터 및 완화

• 24 x 7 on-channel Wips 위협 차단

• 보안 및 스펙트럼 커버리지 23배 증가

• 전용 모니터 모드 AP에 비해 30% 이상의 CAPEX 비용 절감

• 제로 터치 컨피그레이션

WSSI 필드 업그레이드 가능 모듈은 모든 모니터링 및 보안 서비스를 클라이언트/데이터 서비스 무선 장치에서 보안 모니터 모듈로 오프로드하는 전용 무선 장치입니다. 따라서 클라이언트 성능이 향상될 뿐만 아니라, 해당 장치를 네트워크에 연결하는 데 필요한 전용 모니터 모드 AP와 이더넷 인프라의 필요성을 없앰으로써 비용을 절감할 수 있습니다.

3600 Series AP와 WSSI 모듈을 함께 사용하면 2.4GHz 및 5GHz 대역에서 모든 채널의 Wi-Fi 클라이언트에 최신 보안 및 스펙트럼 분석 기능을 동시에 제공할 수 있습니다.

구축된 모듈은 모든 채널을 지속적으로 검사하여 업계에서 가장 안전하고 강력한 무선 환경을 보장합니다.

WSSI 모드의 장점

ELM(Enhanced Local Mode):

• 네트워크 비용 및 운영 감소 WSSI 모듈을 3600 Series에 통합하면 최대 3개의 개별 디바이스를 교체할 수 있습니다. 이를 통해 3가지 개별 기능을 다용도 3600 Series AP로 제공합니다.

  

• 이제 고객은 유선 네트워크에 단일 이더넷 연결(케이블 및 포트)을 활용할 수 있습니다. 일반적으로 유선 네트워크에 최대 3개의 개별 이더넷 케이블과 액세스 포트가 필요한 대신 이 연결을 사용할 수 있습니다. 이를 통해 CAPEX가 크게 감소합니다.

• 이러한 모든 기능을 단일 AP에 통합함으로써 고객은 무선 인프라 및 네트워크의 일상적인 관리 및 모니터링을 간소화하고 AP를 크게 줄일 수 있습니다. WSSI 모듈은 특정 3600 Series AP에서 802.11b/g/a/n 클라이언트 디바이스(2.4 및 5GHz)를 지원하는 추가 무선 디바이스로 WLC 및 관리 시스템에 나타납니다.

• 제로 터치 구성, 설치, 전원 켜기 및 이동 WSSI 모듈을 설치 및 실행하고 무선 네트워크를 즉시 모니터링 및 보호하는 데 필요한 컨피그레이션은 전혀 없습니다. WSSI 모듈은 모든 3600 Series AP에 삽입되고 보호됩니다. AP의 전원이 켜지면 모듈은 AP의 다른 무선 장치와 함께 초기화되며 2.4GHz 및 5GHz 모두에서 잠재적 보안 위협 및 간섭 소스에 대한 모든 채널 모니터링을 즉시 시작합니다.

• Adaptive wIPS는 OOTA(over-the-air) 공격, 비인가 AP 및 Ad-hoc 연결에서 모든 채널에 대해 정확하고 효율적인 위협 탐지를 제공할 뿐만 아니라 지속적인 모니터링 및 사전 관리를 위해 분류, 통지, 완화 및 보고까지 수행할 수 있는 기능을 제공합니다. Cisco MSE(Mobility Services Engine)와 함께 작동합니다.

ELM:

• 채널 지원 시 최상의 노력으로 7x24(2.4GHz 및 5GHz)에 대한 wIPS 보안 검사를 추가합니다.

• 또한 AP는 클라이언트 서비스를 제공하고 있으며 G2 Series AP를 통해 채널(2.4GHz 및 5GHz)에서 CleanAir 스펙트럼 분석을 지원합니다.

모니터 모드:

• MMAP(Monitor Mode AP)는 모니터 모드 전용으로 작동하며 모든 채널(2.4GHz 및 5GHz)의 wIPS 보안 검사를 추가하는 옵션이 있습니다.

• G2 Series AP는 모든 채널(2.4GHz 및 5GHz)에서 CleanAir 스펙트럼 분석을 지원합니다.

• MMAP은 클라이언트를 지원하지 않습니다.

AP3600(WSSI 모듈 포함): 무선 보안 및 스펙트럼의 발전

• CleanAir 기술을 사용하여 동시 클라이언트 서비스, wIPS 보안 검사 및 스펙트럼 분석을 지원하는 업계 최초의 AP.

• 2.4GHz 및 5GHz 대역에서 모든 무선 채널을 7x24로 스캔할 수 있는 자체 안테나가 포함된 전용 2.4GHz 및 5GHz 무선 통신.

• 단일 이더넷 인프라는 AP3600 무선 인프라 및 이더넷 유선 인프라의 ROI(투자 수익)를 관리하고 최적화할 수 있는 장치 수를 줄여 운영을 간소화합니다.

• Cisco CleanAir 기술: 무선 간섭으로 인한 성능 문제를 해결할 수 있는 사전 대응적 고속 스펙트럼 인텔리전스를 제공합니다. 무선 네트워크의 품질에 큰 영향을 미칠 수 있는 장치의 에너지 패턴(서명)을 검사하고 분류하는 업계 최초의 최첨단 RF 분석 기술입니다.

• RRM(Radio Resource Management): 간소화된 고급 RF 관리를 통해 Cisco CleanAir Technology에서 수신한 정보를 기반으로 무선 네트워크 환경에 자동으로 적응합니다. 간섭원이 식별되면 RRM은 클라이언트 디바이스를 간섭에서 벗어나 채널로 이동하고 트랜짓 전력을 조정하여 간섭 소스에서 벗어날 수 있습니다. 따라서 사용자에게 더 우수한 RF 품질을 제공합니다.

• 비인가 탐지: 백도어 네트워크 액세스 및 무선 클라이언트 액세스를 탐지하고 보고합니다.

• 위치 및 상황 인식: 실시간 인식 및 무선 엔드포인트 추적 기능을 제공합니다.

Cisco Wireless Security and Spectrum Intelligence 모듈은 Cisco 3600 Series AP와 함께 기업 사용자 및 데이터에 가장 안전하고 강력한 엔터프라이즈급 무선 네트워크를 제공합니다.

WSSI 모듈을 사용하는 온 채널 대 오프 채널

로컬 모드 AP는 CleanAir 간섭 요인 및 wIPs 공격자를 온채널로 검사합니다. 즉, AP는 제공 중인 채널만 스캔합니다. 2.4GHz 무선 서비스 채널 1 및 5GHz 무선 서비스 채널 64가 포함된 로컬 모드 AP는 채널 1 및 64에서만 보호를 제공합니다.

MMAP는 CleanAir 간섭 요인 및 wIP 공격자를 오프채널로 스캔합니다. 이는 AP가 모든 채널을 스캔함을 의미합니다. 2.4GHz 무선은 모든 2.4GHz 채널을 스캔하고 5GHz 채널은 모든 5GHz 채널을 스캔합니다.

Cisco 3600 Series AP는 온 채널 및 오프 채널 조합을 사용합니다. 2.4GHz 및 5GHz 무선 장치는 온채널에서 스캔하고 WSSI 모듈은 오프채널을 스캔하여 모든 2.4GHz 및 5GHz 채널 간에 순환합니다.

WSSI 모듈의 권장 구축 밀도

기존 모니터 AP 구축에서는 5개의 로컬 모드 AP마다 1개의 MMAP이 권장됩니다. 이는 최상의 커버리지를 위한 네트워크 설계 및 전문가 지침에 따라 달라질 수 있습니다. WSSI 모듈에서는 MMAP과 커버리지 패리티를 얻기 위한 기능을 기반으로 다양한 구축 권장 사항이 있습니다.

CleanAir의 경우 5개의 로컬 또는 Flexconnect AP마다 1개의 WSSI 모듈을 구축하는 것이 좋습니다. 이 1:5 구축은 CleanAir를 사용하는 MMAP과 동일한 성능을 제공하지만 AP가 클라이언트에 서비스를 제공할 수 있습니다. CleanAir를 수행하는 WSSI 모듈에 권장되는 구축입니다.

wIPS 보호를 위해 5개의 로컬 또는 FlexConnect AP마다 2개의 WSSI 모듈을 구축하는 것이 좋습니다. 오프채널 공격의 wIPS 탐지 시간은 MMAP의 약 2배입니다. 따라서 wIPS 탐지 패리티를 제공하려면 2:5 구축이 필요합니다. wIPS 보호를 수행하는 WSSI 모듈에 권장되는 구축입니다.

WSSI 모듈이 장착된 Cisco 3600 AP는 온 채널 및 오프 채널 검사를 모두 활용하여 클라이언트 서비스를 제공하는 동시에 업계 최고의 솔루션을 제공합니다.

WSSI 모듈 설치

AP3600 WSSI 모듈의 컨피그레이션

필요한 WSSI 모듈에 대한 컨피그레이션이 없습니다. 이 모듈은 0x4(수신만 해당) 0 Tx 안테나 x 4 Rx 안테나를 사용하여 두 밴드의 모든 채널을 자동으로 스캔합니다.

WSSI 모듈은 로컬 모드 또는 FlexConnect 모드에서 구성된 AP3600에서만 활성화됩니다. WSSI 모듈은 다른 모든 모드에서 비활성화됩니다.

WSSI 모듈의 전원 요구 사항

WSSI 모듈이 설치된 AP3600은 15.4W(802.3af)를 초과합니다. AP에는 (802.3at - PoE+), Enhanced PoE, 로컬 AC 전원 공급 장치 또는 Cisco PoE Injector(AIR-PWRINJ4)가 필요합니다.

참고:

• Enhanced PoE는 Cisco에서 생성했으며 802.3at PoE+의 선구자입니다. 최대 20W의 전력을 제공합니다.

• PoE+는 최대 30W의 전력을 제공할 수 있습니다.

WSSI 모듈의 무선 리소스 관리

WSSI 모듈은 2.4GHz 대역과 5GHz 대역에서 모든 RRM 측정을 수행합니다. 측정은 WLC GUI에서 Monitor(모니터) > Access Points(액세스 포인트) > 802.11a/n > AP_NAME > Details(AP_NAME) 또는 Monitor(모니터) > Access Points(액세스 포인트) > 802.11b/g/n > AP_NAME > Details(세부사항) 아래에 표시됩니다.

WSSI 모듈의 CleanAir

WSSI 모듈은 MMAP과 정밀도가 동일한 CleanAir 간섭 요인을 탐지합니다. Cisco에서는 WSSI 모듈을 1:5의 밀도로 구축하는 것이 좋습니다. 여기서 5개의 AP마다 WSSI 모듈이 1개씩 있어야 합니다. 이는 MMAP와 동일한 권장 밀도입니다.

WSSI 모듈이 하위 모드 없이 활성화되면 모듈은 2.4GHz 대역과 5GHz 대역을 모두 스캔합니다. 이 모듈은 1.2초 동안 각 채널에 있으며 CleanAir 간섭 요인을 검사합니다.

CleanAir는 2.4GHz 전용, 5GHz 전용, 2.4GHz 및 5GHz 모두에서 활성화할 수 있습니다. WLC CLI 또는 GUI에서 선택할 수 있습니다. 다음은 WLC CLI에서 CleanAir를 구성하는 예입니다.

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

Wireless(무선) > Dual-Band Radio(듀얼 밴드 무선) > Configure(구성)를 통해 동일한 컨피그레이션을 GUI에 적용할 수 있습니다. 다음은 그 예입니다.

WSSI 모듈에서 CleanAir 간섭원이 감지되었는지 확인하려면 AP 콘솔에서 show cleanair interferers 명령을 실행합니다.

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

Wireless(무선) > Dual-Band Radio(듀얼 밴드 무선) > Configure(구성)를 통해 동일한 컨피그레이션을 GUI에 적용할 수 있습니다. 예를 들면 다음과 같습니다.

CleanAir 간섭원은 WLC GUI에서 보고됩니다. 간섭원은 PER BAND로 표시됩니다. 즉, 5GHz 대역의 WSSI 모듈에서 탐지된 간섭 요인이 Monitor(모니터) > 802.11a/n > Interference Devices(간섭 디바이스) 아래에 표시됩니다.

WSSI 모듈에서 CleanAir 간섭원이 감지되었는지 확인하려면 AP 콘솔에서 show cleanair interferers를 실행합니다.

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

WSSI 모듈의 wIPS

WSSI 모듈은 MMAP과 거의 동일한 정밀도로 wIPS 공격자를 탐지합니다. wIPS의 경우 AP에서 2:5의 비율로 WSSI 모듈을 구축하는 것이 좋습니다. 이는 5개의 AP마다 2개의 AP에 WSSI 모듈이 있어야 함을 의미합니다.

다음과 같은 두 가지 wIPS 모드를 구성할 수 있습니다.

• wIPS 하위 모드 - wIPS 공격 탐지를 활성화하고 모든 채널에서 1.2s를 검색합니다. 이 모드에서는 AP가 wIPS 탐지 외에 모든 RRM 보고서를 캡처할 수 있습니다.

• 향상된 wIPS 모드 - wIPS 공격 탐지를 활성화하고 250ms의 모든 채널을 검사합니다. 채널 체류 시간이 짧을수록 보안 모듈에서 더 빨리 공격자를 탐지할 수 있습니다.

Prime Infrastructure (PI) 페이지에서 Configure(구성) > Acesss Points(액세스 포인트) > AP_NAME으로 이동합니다. WSSI 모듈은 wIPS 하위 모드 또는 wIPS 하위 모드 + 고급 wIPS 엔진 지원을 사용하도록 구성할 수 있습니다. AP 컨피그레이션 템플릿의 일부로 푸시할 수도 있습니다.

wIPS 공격은 Home(홈) > Security(보안) 탭에서 Prime Infrastructure에 표시됩니다.

PI는 네트워크 레벨 보기를 표시하지만 AP 콘솔에서 show capwap am alarm ALARM_NUM 명령을 실행하여 WSSI 모듈로 AP3600에 대한 공격을 표시할 수 있습니다.

예를 들어 alarm 52는 Denial of Service, 인증 플러드입니다. WSSI 모듈에서 해당 공격이 탐지되었는지 확인하려면 show capwap am alarm 52 명령을 실행합니다.

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

WSSI 모듈에서 비인가 탐지

WSSI 모듈은 MMAP과 정밀도가 동일한 비인가 AP를 탐지합니다. 비인가 AP 목록이 WLC와 PI 모두에 표시됩니다.

WLC GUI의 미분류 비인가 AP 목록입니다. 비인가 AP는 Monitor(모니터) > Rogues(비인가)의 WLC GUI에서 볼 수 있습니다.

AP 콘솔을 사용하는 WSSI 모듈이 비인가 AP를 탐지했는지 확인할 수 있습니다. 콘솔에서 show capwap rm rogue ap d2 all 명령을 입력합니다. 이렇게 하면 WSSI 모듈 라디오에 표시된 모든 비인가 AP가 표시됩니다.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

WSSI 모듈을 사용한 비인가 억제

WSSI 모듈은 0x4 모듈(수신 안테나만 해당)이므로 비인가 컨테인먼트가 2.4GHz 또는 5GHz 라디오에서 수행됩니다. 비인가 AP를 자동으로 포함하도록 WSSI를 구성하려면 WLC GUI의 Security(보안) > Wireless Protection Policies(무선 보호 정책) > Rogue Policies(비인가 정책) > General(일반)에서 Auto Containment only for Monitor mode APs(모니터 모드 AP에만 대한 자동 억제)가 활성화되지 않았는지 확인해야 합니다(다음 스크린샷 참조). 다른 모든 확인란을 사용할 수 있습니다.

WSSI 모듈의 컨텍스트 인식 위치

Cisco MSE와 연결된 경우, WSSI 모듈은 MMAP와 동일한 정확도로 상황 인식 위치 데이터를 제공합니다.

WSSI 모듈 라이센싱

WSSI 모듈은 wIPS 모니터 모드 라이센스를 사용합니다.

관련 정보

• 기술 지원 및 문서 − Cisco Systems