Guia de implantação do módulo AP Aironet para WSSI

Opções de download

  • PDF     (707.0 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (850.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.1 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de janeiro de 2013
ID do documento:115612

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece as diretrizes gerais de configuração e implantação do Cisco Aironet Access Point Module for Wireless Security and Spectrum Intelligence (WSSI). O WSSI é um módulo complementar que pode ser inserido em pontos de acesso modulares (APs), como o AP da série Cisco 3600.

Aironet_Access_Point_Module_for_WSSI_Guide01.gif

Aironet_Access_Point_Module_for_WSSI_Guide02.gif

Aironet_Access_Point_Module_for_WSSI_Guide03.gif

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

O módulo Wireless Security and Spectrum Intelligence precisa das versões de código mínimas:

  • Wireless LAN Controller (WLC) - Versão 7.4.xx.xx ou posterior

  • Access Point (AP) - Versão 7.4.xx.xx ou posterior

  • Prime Infrastructure (PI) - Versão 1.3.xx.xx ou posterior

  • Mobility Services Engine (MSE) - Versão 7.4.xx.xx ou posterior

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Visão geral do produto

O módulo Cisco Wireless Security and Spectrum Intelligence, aproveitando o design modular flexível do AP Cisco Aironet 3600 Series, oferece uma varredura de segurança e inteligência de espectro sem precedentes e sempre conectada. Isso ajuda a evitar interferências de radiofrequência (RF) para que você obtenha melhor cobertura e desempenho em sua rede sem fio.

  • Monitor de espectro completo 24 horas por dia, 7 dias por semana e mitigação para a aWIPS, CleanAir, consciência de contexto, detecção de invasores e gerenciamento de recursos de rádio

  • Proteção contra ameaças 24 horas por dia, 7 dias por semana no canal aWIPS

  • 23 vezes mais segurança e cobertura de espectro

  • Mais de 30% de economia de CAPEX em relação ao AP do modo de monitor dedicado

  • Configuração zero touch

O módulo atualizável em campo WSSI é um rádio dedicado que descarrega todos os serviços de monitoramento e segurança do cliente/dados servindo rádios para o módulo de monitor de segurança. Isso não só permite um melhor desempenho do cliente, como também reduz custos eliminando a necessidade de APs dedicados do modo de monitor e a infraestrutura Ethernet necessária para conectar esses dispositivos à rede.

Juntos, os APs 3600 Series e o módulo WSSI permitem fornecer simultaneamente funções de segurança e análise de espectro avançadas para clientes Wi-Fi em todos os canais, tanto nas bandas de 2,4 GHz como de 5 GHz.

Depois de implantado, o módulo está constantemente analisando todos os canais para ajudar a garantir a experiência sem fio mais segura e robusta disponível no setor.

Vantagens do modo WSSI

Modo local avançado (ELM):

  • Reduz os custos e as operações da rede. Ao integrar o módulo WSSI na série 3600, você pode substituir até três dispositivos separados. Isso fornece três funções separadas em um único AP 3600 Series multiuso.

    Aironet_Access_Point_Module_for_WSSI_Guide04.gif

  • Os clientes agora podem aproveitar uma única conexão Ethernet (cabo e porta) em sua rede com fio, em vez do que normalmente exigiria até três cabos Ethernet separados e uma porta de acesso em sua rede com fio. Isso reduz significativamente o CAPEX.

  • Ao integrar todos esses recursos a um único AP, os clientes simplificam o gerenciamento e o monitoramento cotidianos de sua infraestrutura e rede sem fio com um número muito reduzido de APs. O módulo WSSI aparece para a WLC e para os sistemas de gerenciamento como um rádio adicional suportando dispositivos clientes 802.11b/g/a/n (2,4 e 5 GHz) dentro do AP 3600 Series específico.

  • Configuração Zero Touch, Instalação, Ligação e Ir. Não há absolutamente nenhuma configuração necessária para ativar e executar o módulo WSSI, além de monitorar e proteger imediatamente sua rede sem fio. O módulo WSSI é inserido e protegido para qualquer AP 3600 Series. Quando o AP é ligado, o módulo é inicializado junto com os outros rádios no AP e começa imediatamente a monitorar todos os canais em 2,4 e 5 GHz em busca de possíveis ameaças à segurança e fontes de interferência.

  • O wIPS adaptável oferece detecção de ameaças precisa e eficiente em todos os canais, desde ataques aéreos, APs invasores e conexões ad hoc, bem como a capacidade de classificar, notificar, atenuar e gerar relatórios para monitoramento constante e gerenciamento pró-ativo. Funciona em conjunto com o Cisco Mobility Services Engine (MSE).

ELM:

Aironet_Access_Point_Module_for_WSSI_Guide05.gif

  • Adiciona verificação de segurança wIPS para verificação de canal 24 horas por dia, 7 dias por semana (2,4 GHz e 5 GHz), com o melhor esforço de suporte de canal.

  • O AP também está servindo clientes e, com a série G2 de APs, permite a análise do espectro CleanAir em canais (2,4 GHz e 5 GHz).

Modo de monitor:

  • O modo de monitor AP (MMAP) é dedicado a operar no modo de monitor e tem a opção de adicionar a verificação de segurança wIPS de todos os canais (2,4 GHz e 5 GHz).

  • A série G2 de APs permite a análise do espectro CleanAir em todos os canais (2,4 GHz e 5 GHz).

  • Os MMAPs não atendem clientes.

AP3600 com módulo WSSI: A evolução da segurança e do espectro sem fio

  • O primeiro AP do setor que facilita o atendimento simultâneo ao cliente, a verificação de segurança wIPS e a análise de espectro usando a tecnologia CleanAir.

  • Rádio dedicado de 2,4 GHz e 5 GHz com suas próprias antenas que permite a varredura 7x24 de todos os canais sem fio nas bandas de 2,4 GHz e 5 GHz.

  • Uma única infraestrutura Ethernet fornece operação simplificada com menos dispositivos para gerenciar e otimizar o retorno sobre o investimento da infraestrutura sem fio AP3600 e da infraestrutura com fio Ethernet.

Aironet_Access_Point_Module_for_WSSI_Guide06.gif

  • Tecnologia Cisco CleanAir: fornece inteligência de espectro proativa e de alta velocidade para combater problemas de desempenho devido à interferência sem fio. A primeira tecnologia de análise de RF de última geração do setor que inspeciona e classifica os padrões de energia (assinaturas) de dispositivos que podem afetar significativamente a qualidade de uma rede sem fio.

  • RRM (Radio Resource Management, gerenciamento de recursos de rádio): gerenciamento de RF avançado e simplificado, adapta-se automaticamente ao ambiente de rede sem fio com base nas informações recebidas da tecnologia Cisco CleanAir. Depois que as interferências são identificadas, o RRM é capaz de mover os dispositivos clientes para canais longe da interferência e ajustar a potência de trânsito para se afastar da fonte de interferência. Isso proporciona melhor qualidade de RF ao usuário.

  • Detecção de invasores: detecta e relata o acesso à rede de backdoor e o acesso a clientes sem fio.

  • Reconhecimento de local e contexto: fornece reconhecimento em tempo real e a capacidade de rastrear endpoints sem fio.

Com esses recursos, o módulo Cisco Wireless Security and Spectrum Intelligence, junto com o Cisco 3600 Series AP, fornece a rede sem fio corporativa mais segura e robusta possível para seus usuários corporativos e dados.

No canal versus fora do canal usando o módulo WSSI

Um AP de modo local verifica se há interferentes CleanAir e invasores wIP no canal. Isso significa que o AP verifica apenas o canal que está servindo. Um AP de modo local com um canal de serviço de rádio de 2,4 GHz de 1 e 5 GHz, que serve o canal 64, fornece proteção somente nos canais 1 e 64.

Um MMAP verifica se há interferentes CleanAir e invasores wIP fora do canal. Isso significa que o AP verifica todos os canais. O rádio de 2,4 GHz verifica todos os canais de 2,4 GHz e o canal de 5 GHz verifica todos os canais de 5 GHz.

Um AP da série Cisco 3600 usa uma combinação de canais no canal e fora dele. Os rádios de 2,4 GHz e 5 GHz verificam no canal e o módulo WSSI verifica fora do canal, alternando entre todos os canais de 2,4 GHz e 5 GHz.

Aironet_Access_Point_Module_for_WSSI_Guide07.gif

Densidade de implantação sugerida para o módulo WSSI

Na implantação tradicional do monitor AP, a Cisco recomenda uma proporção de 1 MMAP para cada 5 APs de modo local. Isso pode variar com base no projeto de rede e na orientação de especialistas para obter a melhor cobertura. Com o módulo WSSI, há diferentes recomendações de implantação baseadas na funcionalidade para alcançar a paridade de cobertura com um MMAP.

Para o CleanAir, é recomendável implantar 1 módulo WSSI para cada 5 APs locais ou Flexconnect. Essa implantação 1:5 oferece o mesmo desempenho de um MMAP habilitado para CleanAir, mas ainda permite que o AP atenda aos clientes. Esta é uma implantação recomendada para um módulo WSSI executando o CleanAir:

Aironet_Access_Point_Module_for_WSSI_Guide08.gif

Para proteção wIPS, é recomendável implantar 2 módulos WSSI para cada 5 APs locais ou FlexConnect. O tempo de detecção do wIPS para um ataque fora do canal é cerca de duas vezes maior que o de um MMAP. Portanto, uma implantação de 2:5 é necessária para fornecer paridade de detecção wIPS. Esta é a implantação recomendada para um módulo WSSI que executa a proteção wIPS:

Aironet_Access_Point_Module_for_WSSI_Guide09.gif

O AP Cisco 3600 com um módulo WSSI utiliza varreduras no canal e fora do canal para fornecer uma solução líder do setor enquanto atende clientes.

Instalação do módulo WSSI

Aironet_Access_Point_Module_for_WSSI_Guide10.gif

Aironet_Access_Point_Module_for_WSSI_Guide11.gif

Aironet_Access_Point_Module_for_WSSI_Guide12.gif

Aironet_Access_Point_Module_for_WSSI_Guide13.gif

Configuração do módulo AP3600 WSSI

Não há necessidade de configuração para o módulo WSSI. O módulo verifica automaticamente todos os canais em ambas as bandas usando suas antenas 0x4 (somente recepção) 0 Tx x x 4 Rx.

Observe que o módulo WSSI só está ativo nos AP3600s configurados no modo local ou no modo FlexConnect. O módulo WSSI é desabilitado em todos os outros modos.

Requisito de alimentação para o módulo WSSI

O AP3600 com um módulo WSSI instalado excede 15,4 Watts (802.3af). O AP requer (802.3at - PoE+), PoE avançado, uma fonte de alimentação CA local ou o injetor Cisco PoE (AIR-PWRINJ4).

Notas:

  • O PoE aprimorado foi criado pela Cisco e é um precursor do 802.3at PoE+. Fornece até 20 W de energia.

  • O PoE+ pode fornecer até 30 W de energia.

Gerenciamento de recursos de rádio no módulo WSSI

O módulo WSSI faz todas as medições de RRM na banda de 2,4 GHz e na banda de 5 GHz. As medidas são exibidas na GUI da WLC em Monitor > Access Points > 802.11a/n > AP_NAME > Details ou Monitor > Access Points > 802.11b/g/n > AP_NAME > Details.

Aironet_Access_Point_Module_for_WSSI_Guide14.gif

CleanAir no módulo WSSI

O módulo WSSI detecta as interferências do CleanAir com a mesma precisão de um MMAP. A Cisco recomenda que o módulo WSSI seja implantado com uma densidade de 1:5, onde deve haver 1 módulo WSSI para cada 5 APs. Essa é a mesma densidade recomendada de um MMAP.

Quando o módulo WSSI está ativado sem submodo, ele verifica a banda de 2,4 GHz e a banda de 5 GHz. O módulo se aloja em cada canal por 1,2 segundos e verifica se há interferências do CleanAir.

O CleanAir pode ser ativado apenas em 2,4 GHz, apenas em 5 GHz e em 2,4 GHz e 5 GHz. Isso pode ser selecionado na CLI ou na GUI da WLC. Aqui está um exemplo de configuração do CleanAir na CLI da WLC: 

(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz

A mesma configuração pode ser aplicada na GUI via Wireless > Dual-Band Radios > Configure. Aqui está um exemplo disso:

Aironet_Access_Point_Module_for_WSSI_Guide15.gif

Para verificar se a interferência do CleanAir foi detectada pelo módulo WSSI, execute o comando show cleanair interferers no console do AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

A mesma configuração pode ser aplicada na GUI via Wireless > Dual-Band Radios > Configure. Aqui está um exemplo:

Aironet_Access_Point_Module_for_WSSI_Guide16.gif

Os interferentes do CleanAir são relatados na GUI do WLC. Os interferentes são exibidos POR BANDA. Isso significa que as interferências detectadas no módulo WSSI na banda de 5 GHz são exibidas em Monitor > 802.11a/n > Interference Devices.

Para verificar se a interferência do CleanAir foi detectada pelo módulo WSSI, execute o comando show cleanair interferers no console do AP:

SJC14-21A-AP-DUNGENESS-X# show cleanair interferers 
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
     ISI=0, -74 dBm, duty=100
     c=00180000 sig(4)=1057CA80
     on/report/seen 22/22/22 secs ago

wIPS no módulo WSSI

O módulo WSSI detecta invasores de wIPS com quase a mesma precisão de um MMAP. Para o wIPS, a Cisco recomenda a implantação do módulo WSSI com uma proporção de 2:5 entre os APs. Isso significa que para cada 5 APs, dois dos APs devem conter o módulo WSSI.

Há dois modos wIPS que podem ser configurados:

  • Submodo wIPS - Permite a detecção de ataque wIPS e verifica todos os canais em busca de 1,2 s. Esse modo permite que o AP ainda capture todos os relatórios do RRM além das detecções do wIPS.

  • Modo wIPS aprimorado - Habilita a detecção de ataque wIPS e verifica todos os canais por 250 ms. O menor tempo de permanência do canal permite que o módulo de segurança detecte invasores mais rapidamente.

Na página Prime Infrastructure (PI), vá para Configure > Access Points > AP_NAME. O módulo WSSI pode ser configurado para submodo wIPS ou submodo wIPS + suporte avançado para mecanismo wIPS. Isso também pode ser enviado como parte de um modelo de configuração de AP.

Aironet_Access_Point_Module_for_WSSI_Guide17.gif

Aironet_Access_Point_Module_for_WSSI_Guide18.gif

Os ataques de wIPS são exibidos na infraestrutura Prime na guia Home > Security.

O PI exibe uma exibição em nível de rede, mas você pode exibir o ataque em um AP3600 com um módulo WSSI emitindo o comando show capwap am alarm ALARM_NUM do console do AP.

Por exemplo, o alarme 52 é uma Negação de serviço, inundação de autenticação. Para ver se esse ataque foi detectado no módulo WSSI, execute o comando show capwap am alarm 52:

SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52
capwap_am_show_alarm = 52

<A id='47C30C9E'> 
<AT>52</AT> 
<FT>2012/10/01 21:04:22</FT> 
<LT>2012/10/01 21:04:49</LT> 
<DT>2012/10/01 18:49:08</DT> 
<SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> 
<DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> 
 <CH>11</CH> 
 <FID>0</FID> 
 pAlarm.bPendingUpload = 0

Detecção de invasor no módulo WSSI

O módulo WSSI detecta APs não autorizados com a mesma precisão de um MMAP. Uma lista de APs não autorizados é exibida na WLC e no PI.

Esta é a lista de APs não classificados invasores da GUI da WLC. Os APs não autorizados podem ser vistos na GUI da WLC em Monitor > Rogues.

Aironet_Access_Point_Module_for_WSSI_Guide19.gif

Você pode verificar se o módulo WSSI usando o console AP detectou um AP invasor. No console, insira o comando show capwap rm rogue d2 all. Isso exibe todos os APs invasores vistos no rádio do módulo WSSI.

SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all
 ****************** CURRENT ROGUE APS ****************

ROGUE AP: 0  BSSID = 64:D9:89:42:24:3E, channel = 149
	SSID = alpha_phone
	heard 7 seconds ago
	authFailedCount=0
	NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2
	antenna 1 pkts 2 avgRssi -81 avgSnr 13


 ****************** MASTER ROGUE APS ****************

ROGUE AP: 0  BSSID = C4:3D:C7:8A:EE:90, channel = 1
	SSID = NETGEAR_11ng
	heard 7 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2
	antenna 1 pkts 16108 avgRssi -73 avgSnr 12

ROGUE AP: 1  BSSID = EC:44:76:81:C0:02, channel = 1
	SSID = alpha_byod
	heard 151 seconds ago
	authFailedCount=0
	isBeingContained = 0 
	seen at 0 seconds for 0 times and valid = 1
	NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2
	antenna 1 pkts 413 avgRssi -84 avgSnr 5

Contenção invasora usando o módulo WSSI

O módulo WSSI é um módulo 0x4 (somente antenas de recepção), o que significa que a contenção não autorizada será executada no rádio de 2,4 GHz ou 5 GHz. Para configurar o WSSI para que contenha automaticamente APs não autorizados, você deve garantir que na GUI do WLC em Security > Wireless Protection Policies > Rogue Policies > General que Auto Containment only for Monitor mode APs não esteja habilitado (consulte a próxima captura de tela). Todas as outras caixas de seleção podem ser habilitadas.

Aironet_Access_Point_Module_for_WSSI_Guide21.gif

Context Aware-Location no módulo WSSI

Quando conectado a um Cisco MSE, o módulo WSSI fornece dados de local sensível ao contexto com a mesma precisão de um MMAP.

Aironet_Access_Point_Module_for_WSSI_Guide20.gif

Licenciamento do módulo WSSI

O módulo WSSI usa licenças do modo de monitor wIPS.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
15-Jan-2013
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos