Презентации / CiscoWLAN_CVD_2018_2020-01-06_CW_prev-разблокирован
.pdf
WLAN recommendations
Атаки On-wire
Точка доступа в режиме, оптимизированном для wIPS, будет выполнять оценку мошеннической угрозы
иустранит угрозу, используя ту же лог ику, что и в текущих реализациях Cisco Unified Wireless Network. Это позволяет точке доступа wIPS сканировать, обнаруживать и хранить мошеннические точки доступа
испециальные сети. После обнаружения вся информация, касающаяся мошеннических беспроводных
устройств, передается в Cisco PI, где происходит агрегирование мошеннических сигналов. О днако с этой функциональностью приходит предостережение о том, что если атака сдерживания запускаетсяlyс использованием точки доступа в режи ме wIPS, ее способность выполнять методическое с канирование каналов, ориентированное на атаки, прерывается на время сдерживания.
инфраструктуре беспроводной сети, чтобы обеспечить наиболее комплексное, точное и экономически эффективное решение для обеспечения безопасности беспроводной сети.
Non-802.11 Threats |
|
|
|
|
on |
|
|
|
|
|
|
Технология Cisco CleanAir обнаруживает non-802.11 threats. Технология CleanAir - э ффективный |
|||||
инструмент для мониторинга и управления радиочастотными условиями вашей сети. Cisco MSE |
|||||
расширяет эти возможности. |
|
|
|
w |
|
Адаптивная система Cisco wIPS |
|
|
|
|
|
|
|
e |
|
||
|
|
|
|
||
Основные компоненты для системы Cisco Adaptive wIPS включаютiв себя: |
|
|
|||
● AP в режиме мониторинга Cisc o wIPS, в расширенном локальном режиме или с Cisc o WSM; |
|||||
● Контроллер(ы) WLAN; |
|
v |
|
|
|
|
|
|
|
||
● Cisco MSE, на котором запущен а служба Cisco wIPS; |
|
|
|
||
● Cisco Prime Infrastructure. |
e |
|
|
|
|
|
|
|
|
||
Интегрированное развертывание wIPS представляет собой системный дизайн, в котором точки доступа |
|||||
|
r |
|
|
|
|
не в режиме wIPS и точки доступа в режиме wIPS смешиваются на одном контроллере и управляются |
|||||
одной и той же основной инфраструк турой. Это может быть любая комбинация локальн ого режима, |
|||||
режима FlexConnect, расширенного локальногоpрежима, режима мониторинга и модульных точек |
|||||
доступа, которые поддерживают WSM. Наложение защиты APP и общего доступа к данны м с помощью |
|||||
WSM на точках доступа позволяет-снизить затраты на инфраструктуру. |
|
|
|||
FT |
|
|
|
|
|
DRA |
|
|
|
|
|
21
WLAN recommendations
Рис. 1 9. Работа по wIPS с Cisco MSE
Режимы развертывания wIPS
Cisco Adaptive Wireless IPS имеет три варианта для точек доступа в режиме wIPS. Ч тобы лучше объяснить различия между AP режима wIPS, этот раздел описывает каждый режим.
|
|
|
|
|
ly |
|
|
|
|
w |
on |
|
|
|
|
|
|
|
|
|
e |
|
|
|
|
i |
|
|
|
|
|
v |
|
|
|
|
|
e |
|
|
|
|
Ри с. 20. Режимы работы wIPS |
|
|
||
Расширенный локальный режим |
p |
|
|
|
|
ELM обеспечивает обнаружение WIPS на канале, что означает, что злоумышленники обнаруживаются |
|||||
на канале, который обслуживает клиентов. Дляrвсех остальных каналов ELM обеспечивает наилучшее |
|||||
|
- |
|
|
|
|
обнаружение WIPS. Это означает, что каждый кадр радиостанции будет отключен от канала на короткий |
|||||
период времени. Когда радиостанция о тключена, если атака происходит во время сканирования этого |
|||||
канала, атака будет обнаружена. |
|
|
|
|
|
Особенности ELM включают в себя: |
|
|
|
|
|
FT |
|
|
|
|
|
● Безопасное сканирование WIPS для сканирования в режиме 7x24 (2,4 ГГц и 5 ГГц) с наилучшей |
|||||
поддержкой вне канала; |
|
|
|
|
|
● AP, дополнительно обслуживающий клиентов и с точками доступа серии Cisco Aironet 2-го |
|||||
поколения (G2), анализ спектра CleanAir включен на канале (2,4 ГГц и 5 ГГц); |
|
||||
DRA |
|
|
|
|
|
● Адаптивное сканирование WIPS в канале данных, обслуживающем локальные точки доступа и точки доступа lexConnect;
● Защита без необходимости отдельной оверлейной сети; ● Поддержка соответствия PCI дл я WLAN;
● Полное обнаружение атак 802.1 1 и не-802.11; ● Криминалистические и отчетны е возможности;
● Гибкость настройки встроенных или выделенных точек доступа в режиме монитори нга; ● Предварительная обработка в точках доступа, которая минимизирует транзит данных (то есть
работает по каналам с очень низкой пропускной способностью); ● Низкое влияние на точку доступа, обслуживающую данные клиента.
Режим мониторинга
Режим мониторинга обеспечивает обнаружение wIPS вне канала, что означает, что точка доступа будет находиться на каждом канале в течени е продолжительного периода времени, позволяя точке доступа обнаруживать атаки на всех каналах. Радио 2,4 ГГц сканирует все каналы 2,4 ГГц, а канал 5 ГГц
22
WLAN recommendations
сканирует все каналы 5 ГГц. Дополнительная точка доступа должна быть установлена для доступа клиента.
Некоторые особенности режима монитора:
● Точка доступа в режиме мониторинга (MMAP) предназначена для работы в режиме мониторинга и может дополнительно добавить сканирование безопасности wIPS для всех каналов (2,4 ГГц и 5 ГГц);
● Для точек доступа Cisco Aironet серии G2 анализ спектра CleanAir включен на всех каналах (2,4
ГГц и 5 ГГц); |
ly |
|
● MMAP не обслуживают клиентов;
● Точка доступа Cisco с модулем WSM использует комбинацию работы в канале и вне канала. Это
означает, что внутренние радиомодули AP 2,4 ГГц и 5 ГГц будут сканировать канал, которым они обслуживают клиентов, а модуль WSM будет дополнительно работать в режиме мониторинга и сканировать все каналы.
Обнаружение нелигитимных устройств
Можно рассматривать любое устройство, которое разделяет ваш спектр сигнала и которое не находится под вашим управлением, как нелигитимное устройство. Нелигитимные устройства становятся опасными
on
вследующих сценариях:
●Нелигитимная точка доступа с тем же SSID, что и ваша сеть (honeypot);
●Нелигитимное устройство AP также в проводной сети;i
●Ad-hoc мошенники;
●Мошеннические устройства, созданные человеком вне компании со злым умыслом. В решении CUWN есть три основных этапа управления мошенническими устройствами:
●Обнаружение - решение использует сканирование RRM для обнаружения присутствия нелигитимных устройств;
●Классификация - этом решении используются протокол обнаружения мошеннических местоположений, мошеннические детекторы и трассировка портов коммутатора, чтобы определить, подключено ли мошенническое устройство к проводной сети. Правила
мошеннической классификации также помогают фильтровать мошенников по конкретным категориям на основе их характеристик;
●Смягчение - решение использует отслеживание и отключение порта коммутатора,
местоположение угрозы и политика сдерживания, чтобы отследить физическое местоположение и устранить угрозу мошеннических устройств.- w
FT
DRA
23
WLAN recommendations
|
|
|
|
|
ly |
|
|
|
|
w |
on |
|
|
|
|
|
|
|
|
|
e |
|
|
|
|
i |
|
|
|
|
|
v |
|
|
|
|
e |
|
|
|
|
|
r |
|
|
|
|
|
p |
|
|
|
|
|
- |
|
|
|
|
|
Рис. 21. Схема работы C isco при обнаружении мошеннических устройств |
||||
Управление радиоресурсами |
|
|
|
|
|
Для |
FT |
|
|
|
|
оптимизации эффективности п рограммное обеспечение RRM, встроенное в контроллер |
|||||
беспроводной локальной сети Cisco, выступает в качестве менеджера для постоянного мониторинга |
|||||
беспроводных показателей и управления передаваемой RF. Он измеряет: |
|
|
|||
● Сигнал - ваши собственные то чки доступа, принадлежащие к той же сети RF; |
|
||||
DRA |
|
|
|
|
|
● |
Помехи - другие устройства 802.11, работающие поблизости, которые могут быт ь услышаны |
||||
|
вашей сетью; |
|
|
|
|
● Шум - любая энергия в радиочастотном спектре, которая не может быть демодулирована как |
|||||
|
протокол 802.11; |
|
|
|
|
● |
Загрузка - мгновенная загрузка пользователя в сети; |
|
|
|
|
● Покрытие - RSSI и отношение сигнал / шум, оцененные системой для клиентов, по дключенных к вашей сети.
Используя эту информацию, RRM может периодически переконфигурировать сеть 802.11 RF для лучшей эффективности. Для этого RRM выполняет следующие функции:
●Мониторинг радиоресурсов - сбор метрик;
●Управление мощностью передачи - настройка на оптимальный уровень мощности ;
●Динамическое назначение каналов (DCA) - обеспечение того, чтобы назначения каналов не перекрывались;
●Обнаружение и исправлени е дыр в покрытии - обеспечение достаточного покрытия и обнаружение клиентов, которые могут находиться в дыре в покрытии.
24
WLAN recommendations
RRM автоматически обнаруживает и настраивает новые WLC Cisco и облегченные точки доступа по мере их добавления в сеть. Затем он автоматически настраивает ассоциированные и близлежащие легкие точки доступа для оптимизации покрытия и емкости.
Управление мощностью передачи
Cisco WLC динамически управляет мощностью передачи AP на основе условий WLAN в реальном времени. Вы можете выбрать одну из двух версий управления мощностью передачи: TPCv1 и TPCv2. С TPCv1 обычно можно поддерживать низкую мощность, чтобы получить дополнительную емкость и уменьшить помехи. С TPCv2 мощность передачи динамически регулируется с целью минимализации помех. TPCv2 подходит для плотных сетей. TPCv1 является настройкой по умолчанию и
хорошо подходит для использования в большинстве развертываний. ly
Переопределение алгоритма TPC настройками минимальной и максимальной мощности передачи
on
Алгоритм TPC уравновешивает мощность RF во многих разнообразных средах RF. Тем не менее, возможно, что автоматическое управление питанием не сможет разрешить некоторые сценарии, в которых не удалось реализовать адекватный RF-проект из-за архитектурных ограничений или ограничений площадки - например, когда все точки доступа должны быть установлены в центральном
применяются ко всем точкам доступа, принадлежащим к однойiгруппеeточек доступа, с использованием профиля RF. При использовании в качестве eпараметра глобальной конфигурации параметры применяются ко всем точкам доступа, подключенным к конкретному контроллеру.
коридоре, размещая точки доступа близко друг к другу, но требуя покрытия к краю здания.
В этих сценариях вы можете настроить максимальные и минимальные пределы мощности передачи для
v |
|
переопределения рекомендаций TPC. Настройки максимальной и минимальнойw |
мощности TPC |
Если вы настраиваете минимальную мощностьrпередачи, RRM не позволяет любой точке доступа, подключенной к контроллеру, опускаться ниже этого уровня мощности передачи, независимо от того, какая функция направляет изменение мощностиp(RRM TPC или обнаружение дыры в зоне покрытия). Например, если вы настроите минимальную мощность передачи 11 дБм, то ни одна AP не будет передавать ниже 11 дБм, если только AP не настроена вручную и больше не управляется RRM.
Динамическое назначение каналов-
Спецификация 802.11 определяет несколько каналов для работы. Каналы имеют существенно разные частотныеFTдиапазоны, которые не перекрываются и могут быть назначены с использованием обозначения канала. Поведение аналогично полосам движения на шоссе - вы получаете полную выгоду от полосы, только если она полностью отделена от другой полосы на той же трассе. Если полосы перекрывают друг друга (или, что еще хуже, объединяются в одну полосу), то шоссе замедляется.
Каналы в сети R работают аналогично. Тем не менее, существует дополнительный фактор мощности, DRAэквивалентный увеличению или уменьшению полосы движения (охват AP). Задача динамического назначения каналов состоит в том, чтобы отслеживать доступные полосы (каналы), которые различаются правилами в зависимости от страны установки. Во-вторых, DCA назначает каналы точкам доступа, которые не конфликтуют с уже назначенными каналами. Для данной AP потенциальная пропускная способность зависит от работы без помех. DCA знает, по каким каналам вам разрешено работать, и назначает эти каналы максимально свободными от помех, основываясь на данных
наблюдений в эфире.
После установки всех точек доступа рекомендуется выполнить калибровку DCA, вызвав режим запуска RRM. Режим запуска RRM вызывается в следующих условиях:
● В среде с одним контроллером режим запуска RRM вызывается после успешного обновления программного обеспечения контроллера; в противном случае он запускается вручную (см. ниже);
● В среде с несколькими контроллерами режим запуска RRM вызывается после того, как руководитель группы RF успешно обновил программное обеспечение; в противном случае он вызывается вручную из CLI.
25
WLAN recommendations
Вы можете запустить режим запуска RRM из CLI, используя следующую команду: config 802.11a/b channel global restart
Режим запуска RRM работает в течение 100 минут (10 итераций с 10-минутными интервалами). Режим запуска состоит из 10 циклов DCA с высокой чувствительностью и отсутствием демпфирования (что делает переключение каналов простым и чувствительным к окружающей среде) для перехода к стационарному плану канала. После завершения режима запуска DCA продолжает работать с интервалом и чувствительностью, указанными организацией.
Обнаружение и исправление дыр в покрытии
Алгоритм обнаружения дыр в зоне покрытия RRM может обнаруживать зоны слабого радиопокрытия в WLAN, которые находятся ниже уровня, необходимого для надежной работы
радиосвязи. Эта функция может предупредить вас о необходимости дополнительной (или |
|
перемещенной) облегченной точки доступа. |
ly |
процент ошибочных пакетов и количество неудачных пакетов. Предупреждение указывает на наличие области, где клиенты постоянно испытывают плохое покрытие сигнала, не имея жизнеспособной точки доступа, на которую можно перемещаться. Контроллер различает дыры покрытия, которые можно и
Если клиенты на облегченной точке доступа обнаруживаются при пороговых уровнях, меньших, чем те, |
|
которые указаны в конфигурации RRM, точка доступа отправляет предупреждение «дыра в зоне |
|
покрытия» на контроллер. Пороговые значения включают RSSI, количество неудачных клиентов, |
|
w |
on |
нельзя исправить. Для дыр в покрытии, которые можно исправить, контроллер уменьшает дыру в покрытии, увеличивая уровень мощности передачи для этой конкретной точки доступа. Для клиентов,
которые принимают плохие |
решения о роуминге (так называемые «липкие клиенты»), алгоритм |
|
«покрытия дыр» сообщает о ложном положительном результате. Системаeпроверяет, чтобы убедиться, |
||
|
|
i |
что клиент лучше слышен на другой AP и не перемещается без необходимости по другой AP по |
||
произвольной причине. |
|
v |
|
|
|
Преимущества RRM |
e |
|
|
||
RRM создает сеть с оптимальной емкостью, производительностью и надежностью. Это |
||
|
r |
|
освобождает вас от необходимости постоянного мониторинга сети на предмет помех и помех, которые |
||
могут быть временными и их трудно устранить. RRM обеспечивает беспроблемное и бесперебойное |
||
соединение клиентов в унифицированной беспроводной сети Cisco. |
||
|
p |
|
ВЫБОР ДИАПАЗОНА |
- |
|
Большинство потребительских устройств, выпускаемых сегодня, работают в одном или обоих |
||
из двух диапазонов частот, или диапазонов. Двухдиапазонные устройства довольно распространены; |
||
однако полосы, поддерживаемые устройствами, не создаются одинаково. Свойства и количество частот, |
||
доступных для устройствFTс частотой 2,4 ГГц и 5 ГГц, существенно различаются: 5 ГГц имеют DRAдоступную полосу пропускания в 8 раз больше 2,4 ГГц. Тем не менее, физические свойства 2,4 ГГц
позволяют устройству быть услышанным намного дальше (в 1,5 раза), чем устройства с частотой 5 ГГц, работающие с тем же уровнем мощности.
Выбор диапазона позволяет идентифицировать двухдиапазонных клиентов и помогает устройствам принимать обоснованные решения о выборе диапазона частот и точки доступа. Система делает это, просто не отвечая на зонды 2,4 ГГц от клиента и немедленно отвечая клиенту, когда клиент использует зонды 5 ГГц. Такое поведение системы побуждает клиентов использовать доступную улучшенную полосу пропускания в 5 ГГц и увеличивает общую пропускную способность сети.
Организациям рекомендуется включить Band Select во всех средах.
ГИБКОЕ НАЗНАЧЕНИЕ РАДИОСВЯЗИ
Гибкое назначение радиосвязи (FRA) - это новая функция, которая использует преимущества выбора аппаратного обеспечения, доступного в точках доступа Cisco серии 2800/3800. Обратите внимание на обсуждение выбора диапазона, что существуют ограничения до 2,4 ГГц.
26
WLAN recommendations
Если вы развертываете точки доступа для оптимального покрытия и плотности 5 ГГц, у вас, скорее всего, будет чрезмерно высокая плотность радиостанций 2,4 ГГц и их ограниченный выбор каналов, что вызовет проблемы с помехами. FRA измеряет это и идентифицирует точки доступа, радиосвязь которых 2,4 ГГц может быть выборочно назначена на роль, которая оптимизирует использование радиочастотного спектра.
FRA сначала идентифицирует избыточные AP, а затем управляет сменой одного радиостанции XOR на другой диапазон. FRA полагается на аппаратное обеспечение, а также на существующий DCA для управления переключением ролей интерфейса. FRA также предлагает новую метрику, коэффициент перекрытия покрытия, которую администраторы могут использовать для ручного выбора и настройки избыточных радиостанций в рамках развертывания.
Для администратора кампуса, развертывающего модели Cisco 2800i/3800i, FRA в автоматическом режиме очень консервативна и прекрасно справится с обеспечением достаточной плотности покрытия,
не доводя его до уровней, когда помехи снова становятся проблемой. |
ly |
|
Для тех, кто развертывает модели Cisco 2800i / 3800i, рекомендуется оставить точки доступа в авто-FRA |
||
и включить авто-FRA из GUI. |
on |
|
CISCO CLIENTLINK |
||
|
||
Технология беспроводных сетей Cisco ClientLink использует формирование луча для улучшения
отношения сигнал/шум для всех беспроводных клиентов и не ограничивается теми, которые |
||
|
i |
|
поддерживают стандарт 802.11n (который имеет минимальное внедрение для клиентов) или стандарт |
||
802.11ac. |
v |
w |
Все точки доступа Cisco 2800 Series и 3800 поддерживают C sco Cli ntLink, которая автоматически |
||
включается и обеспечивает более высокое воспринимаемое отношениеeсигнал/шум для всех клиентов |
||
(даже устаревшие 802.11a, b, g). В результате сеть обеспечивает более высокую скорость передачи
|
r |
данных и эффективность эфирного времени. Короче говоря, общение происходит быстрее, поэтому для |
|
всех доступно больше времени. |
p |
ClientLink - это инновация Cisco, доступная с 2010 года для повышения надежности сетей 802.11. |
|
Реализация ClientLink является уникальной, посколькуeне требует поддержки на стороне клиента, а это |
|
означает, что она не полагается на то, что производитель клиента будет реализовывать что-либо для достижения преимуществ ClientLink.-
Клиентский стандарт был введен для формирования луча с 802.11n; однако, стандарт никогда не был широко реализован на рынке. В стандарте 802.11ac формирование луча на стороне клиента является требованием, котороеFTхорошо поддерживается, но только для новейших сертифицированных клиентов. ClientLink устраняет пробел в поддержке и позволяет всем клиентам видеть преимущества в производительности.
ДИНАМИЧЕСКИЙ ВЫБОР ДИАПАЗОНА - DBS
DRAС появлением 802.11n, а затем с 802.11ac Wave 1 и Wave 2 у вас есть возможность использовать несколько каналов вместе в качестве одного назначения для данной точки доступа. Это увеличивает количество полосы пропускания, доступной для данного канала, и улучшает пропускную способность и кажущуюся скорость, воспринимаемую клиентом. Однако, чтобы использовать эти объединенные каналы, точка доступа и клиент должны поддерживать эту возможность, что невозможно для клиентов 802.11n. Клиенты с ограниченным набором функций и почти все смартфоны 802.11n ограничены шириной канала 20 МГц; в то время как клиент 802.11ac должен поддерживать ширину канала до 80 МГц для своей сертификации.
Клиентами в большинстве современных сетей в основном являются устройства 802.11n, а также некоторые клиенты 802.11ac. Ожидается, что такая смешанная среда будет распространена еще некоторое время на рынке.
Соединение каналов - использование нескольких отдельных каналов для создания одного суперканала - имеет преимущество в том, что обеспечивает более полезную пропускную способность для клиента с возможностью использования канала. Однако при использовании нескольких каналов для создания одного канала расходуются более крупные фрагменты спектра, что уменьшает общее количество
27
WLAN recommendations
каналов без помех для использования с DCA. Это может привести к агрессивному повторному использованию канала, если имеется достаточно точек доступа (каждая требует рабочего канала) и повышенным помехам в совмещенном канале (полная противоположность эффективности).
Динамический выбор пропускной способности работает с алгоритмом DCA для мониторинга точек доступа, а также типов и возможностей клиентов с использованием точек доступа. Основываясь на этом анализе, DBS назначает соответствующие ширины канала AP, чтобы динамически сбалансировать выбор полосы пропускания для типов клиентов и трафика, который использует каждый AP.
клиентов, избегать потери нескольких каналов для устройств, которые, вероятно, не могут использовать добавленную емкость, и избегать связанных помех, создаваемых этими устройствами. По этим
DBS позволяет использовать пропускную способность подходящего размера для обслуживаемыхly
причинам DCA должна запускаться в режиме DBS. |
on |
|
Cisco CleanAir - это решение для анализа спектра, разработанное для упреждающего управления помехами, не связанными с Wi-Fi, которое также работает в спектрах 2,4 и 5 ГГц. Многие потребительские устройства также используют те же частоты, что и в 802.11 Wi-Fi. Такие устройства, как Bluetooth-гарнитуры, микроволновые печи и многие новые устройства IoT, используют разные протоколы, но занимают те же частоты, которые необходимы для работы WLAN.
Cisco CleanAir - это инновация, доступная только при реализации в кремнии точек доступа с |
||
|
i |
|
поддержкой CleanAir. CleanAir посвящен обнаружению и идентификации источников помех, которые в |
||
противном случае были бы просто шумом для чипсета Wi-Fi. |
|
w |
v |
|
|
Все точки доступа Cisco серии 2800 и 3800 включают набор микросхем Cl anAir. Технология была |
||
выпущена в 2010 году и постоянно адаптировалась, чтобы идтиeв ногу с рынком и меняющимся |
||
характером спектра WLAN. CleanAir контролирует полную полосу пропускания канала AP с
|
|
r |
поддержкой CleanAir независимо от требований развертывания и, как следствие, контролирует диапазон |
||
каналов от 20 МГц до 160 МГц. |
p |
|
CleanAir может сообщать об анализе и результатах через контроллер WLAN. Вы можете использовать |
||
определенные реализации CMX и Cisco Prime, чтобыeотобразить как помехи, так и влияние помехи для |
||
упрощения анализа и устранения неполадок. |
|
|
|
- |
|
На уровне контроллера вы можете использовать две стратегии смягчения, чтобы помочь поддерживать |
||
вашу сеть и предотвратить сбои, связанные с распространенными источниками помех, отличными от
Wi-Fi:
● УстранениеFTпостоянных помех - позволяет WLC отслеживать и сообщать источники помех, отличные от Wi-Fi, в DCA. Например, может быть микроволновая печь, которая становится достаточно активной каждый день после обеда. Функция предотвращения постоянных помех запоминает это устройство и инструктирует DCA выбирать каналы для затронутых точек доступа, которым не будет мешать этот источник периодических помех.
DRA● ED-RRM - помогает смягчить сбои от источников помех (например, видеокамеры), которые используют 100% доступного эфирного времени при включении. Поскольку эти помехи не распознаются как что-либо, кроме шума для набора микросхем 802.11, все клиенты и точки доступа обычно ждут, когда канал станет менее занятым. ED-RRM обеспечивает безопасность, выполняя две вещи:
○ Признание того, что что-то не является шумом, а преднамеренно передает и мешает работе сети;
○ Вынудить точку доступа от проблемного канала к каналу, где операции могут возобновиться. Разрешение действует очень быстро (30 секунд или меньше), и информация о помехах включается в RRM через DCA, предупреждая DCA о нарушениях помех, связанных с только что оставленным каналом.
Рекомендуется включить CleanAir, предотвращение постоянных устройств и ED-RRM.
SECURE WLANS
28
WLAN recommendations
Беспроводные устройства должны по возможности безопасно подключаться к сетевой инфраструктуре. В корпоративной среде необходимо настроить WLAN для поддержки WPA2 с шифрованием AES-CCMP и аутентификацией устройств 802.1x. Это иногда упоминается как WPA Enterprise на беспроводных устройствах. Большинство современных беспроводных устройств поддерживают WPA2. Использование более старых методов безопасности, таких как WEP или WPA, не рекомендуется из-за известных уязвимостей безопасности. Для аутентификации 802.1x требуется сервер AAA, например Cisco ISE, который обеспечивает централизованное управление и контроль на основе
политик для конечных пользователей, имеющих доступ к беспроводной сети. |
ly |
|
Обычно сервер AAA будет реализовывать протокол RADIUS между собой и WLC. Аутентификация конечных пользователей осуществляется через сеанс расширяемого протокола аутентификации (EAP) между беспроводным устройством и сервером AAA. Сеанс EAP транспортируется через RADIUS между WLC и сервером AAA. В зависимости от возможностей беспроводного устройства, возможностей сервера AAA и требований безопасности организации могут быть реализованы несколько вариантов EAP, таких как PEAP и EAP-TLS. PEAP использует стандартные учетные данные пользователя (идентификатор пользователя и пароль) для аутентификации. EAP-TLS использует цифровые
сертификаты для аутентификации. |
|
w |
|
|
|
Настоятельно рекомендуется развернуть избыточные серверы AAA для обеспечения высокой |
||
доступности на случай, если один или несколько серверов станут временно недоступныon. Часто сервер |
||
|
e |
|
AAA настроен на обращение к внешнему каталогу или хранилищу данных, такому как Microsoft Active |
||
|
i |
|
Directory (AD). Это позволяет сетевому администратору использовать существующие учетные данные AD вместо дублирования их на сервере AAA. Это также может быть расширено для обеспечения
контроля доступа на основе ролей (RBAC) для конечныхvпользователей посредством использования групп AD. Например, может быть желательно предоставить ограниченный доступ к сети для долгосрочных подрядчиков, в отличие от доступа, предоставленного сотрудникам. Использование
re ресурсам в организации. Сам сервер AAApможет применять дополнительные правила на основе политик
внешнего каталога или хранилища данных также может предоставить единую точку для предоставления или отзыва учетных данных не только для доступа к сетевой инфраструктуре, но и для доступа к другим
для авторизации в сети, такие как тип устройства, время суток, местоположение и т.д., в зависимости от возможностей сервера AAA. Журналы и учет AAA могут использоваться для предоставления контрольного журнала доступа каждого-сотрудника к инфраструктуре беспроводной сети.
Использование WPA2 с шифрованием AES CCMP в WLAN не распространяется на кадры управления. Следовательно, необязательное использование защищенных кадров управления (PMF) рекомендуется для сетей WLAN, FTгде это возможно. PMF является частью стандарта IEEE 802.11, который обеспечивает уровень криптографической защиты для надежных кадров управления, таких как кадры де- аутентификации и диссоциации, предотвращая их подделку. Следует отметить, что преимущества PMF требуют беспроводных клиентов для поддержки PMF. Cisco также предлагает более раннюю версию Management rame Protection (MFP), которая имеет инфраструктуру и клиентские компоненты.
DRAВ среде домашнего офиса может потребоваться настроить WLAN для поддержки WPA2 с предварительным общим ключом (PSK). Иногда это называется WPA Personal на беспроводных устройствах. Это может быть необходимо, поскольку реализация сервера AAA не является экономически эффективной для числа конечных пользователей, которые получают доступ к WLAN. Это также может быть необходимо в других средах, если конечный пользователь не связан с беспроводным устройством, беспроводное устройство не поддерживает возможность настройки идентификатора пользователя и пароля или беспроводное устройство не может поддерживать цифровой сертификат. Поскольку PSK является общим для всех устройств, которые обращаются к беспроводной инфраструктуре, может потребоваться изменить PSK, если сотрудник, который знает PSK, покидает организацию. Кроме того, благодаря WPA PSK не существует простого аудита доступа каждого сотрудника к сети.
Использование выделенного открытого WLAN по-прежнему распространено, но не идеально, для беспроводного гостевого доступа. Следовательно, конфигурация незащищенного WLAN в сетевой инфраструктуре все еще может быть необходима. Гостевые WLAN с открытым доступом часто реализуются для того, чтобы минимизировать сложность подключения гостя, которому требуется только
29
WLAN recommendations
временное подключение к беспроводной сети. Как правило, гостевой WLAN завершается за пределами корпоративного брандмауэра, который не допускает доступа к корпоративным ресурсам, поэтому гостям может быть разрешен только доступ к Интернету. В зависимости от требований организации, гости могут быть обязаны пройти проверку подлинности, прежде чем им будет разрешен доступ в Интернет. Как правило, модель портала авторизации используется с WebAuth, в котором сеансы гостевого веб- сайта перенаправляются на портал, который аутентифицирует гостя, прежде чем разрешить доступ в Интернет.
реализовать административный контроль доступа через локальную пользовательскую базу данныхlyв каждом устройстве инфраструктуры или через централизованный сервер AAA, такой как Cisco ISE.
Административный контроль доступа
Рекомендуется реализовать безопасный административный контроль доступа к компонентам
администратора была уникальная учетная запись. Общая учетная запись администратораonограничивает возможность аудита того, кто получил доступ к определенному сетевому устройству и, возможно, внес
беспроводной инфраструктуры, чтобы избежать несанкционированного доступа. Обычно вы можете
Для небольшого числа устройств сетевой инфраструктуры настройка отдельных учетных записей
локальных администраторов на каждом устройстве инфраструктуры может быть приемлемой.
административный доступ должен быть немедленно отменен. В случаеwотдельных учетных записей администратора необходимо отозвать только учетную запись для конкретного сотрудника.
Рекомендуется, чтобы количество администраторов было ограничено, и чтобы у каждого
По мере роста количества устройств инфраструктуры в сетиiадминистративнаяe нагрузка по настройке
изменения конфигурации Когда сотрудники покидают организацию или переходят в другие группы, их
стать неуправляемой. Поэтому рекомендуется контролироватьvадминистративный доступ через сервер AAA, который обеспечивает централизованное управление и контроль на основе политик. Рекомендуется развернуть избыточные серверы AAA для обеспечения высокой доступности на случай,
отдельных учетных записей локальных администраторов на каждом устройстве инфраструктуры может
если один или несколько серверов станут временно недоступны. Сетевые администраторы могут по- |
|
прежнему настраивать отдельную учетную записьeлокального администратора на каждом устройстве |
|
|
r |
инфраструктуры для локального доступа через консольный порт, если весь сетевой доступ к устройству |
|
инфраструктуры будет потерян. |
|
Сервер ААА может сам ссылаться на внешний каталог или хранилище данных, такое как AD. Это |
|
|
p |
|
- |
позволяет сетевому администратору использовать существующие учетные данные AD вместо дублирования их FTна сервере AAA. Это также может быть расширено, чтобы обеспечить RBAC для администраторов посредством использования групп AD. Использование внешнего каталога или
хранилища данных также может предоставить единую точку для предоставления или отзыва учетных данных не только для административного контроля доступа к нескольким устройствам инфраструктуры, но и для доступа к другим ресурсам в организации.
DRAТам, где это возможно, следует выбирать надежный пароль, состоящий из минимальной длины и комбинации букв, цифр и/или специальных символов. Там, где это возможно, также должно
применяться максимальное количество неудачных попыток доступа к устройству до отключения учетной записи на определенный период времени. Успешные и неудачные попытки должны регистрироваться либо локально, либо на центральном сервере регистрации. Это помогает смягчить (и/или предупредить соответствующих сотрудников сетевых операций) попытки перебора получить доступ к устройствам инфраструктуры. Если поддерживается несколько уровней административного доступа, рекомендуется применять их с минимальным уровнем доступа, необходимым администраторам для выполнения соответствующих задач. Также рекомендуется ограничить количество одновременных входов в систему от одного имени пользователя.
Может быть выгодно ограничить, откуда инициируется доступ к устройству беспроводной инфраструктуры и какие протоколы разрешены. Это можно осуществить несколькими способами. Например, можно развернуть интерфейс управления контроллеров WLAN в отдельной VLAN (и, следовательно, в отдельной IP-подсети) из трафика беспроводного клиента. В таком развертывании список контроля доступа (ACL), развернутый на коммутаторе уровня 3, смежном с контроллером
30