思科自适应wIPS增强本地模式ELM配置和部署指引简介-Cisco.PDF

思科自适应wIPS 增强本地模式（ELM） 配置和部署指南 简介 思科自适应无线入侵防御系统（wIPS ）解决方案增加了增强本地模式（ELM）功能，允许管 理员使用其部署的无线接入点提供全面的保护，而不需要单独建立一套叠加网络（如图 1 所示）。增强本地模式推出之前，传统的自适应wIPS 部署需要专门的监视模式（MM）无线 接入点，来满足PCI 法规遵从的要求或防止未经授权的安全访问、渗透、攻击（如图2 所示）。 增强本地模式有效地提供类似的功能，简化了无线网络安全的实施，同时降低了 CAPEX 和 OPEX 成本。本文档只集中描述增强本地模式，并不修改任何现有采用监视模式无线接入点 的wIPS 部署的好处。 图1 -增强本地模式无线无线接入点的部署 图2 -无线安全威胁 先决条件 要求 本文档没有具体要求。 组件使用 增强本地模式所需的组件和基本的软件版本 * 7.0.116.xx 或更高版本的无线局域网无线控制器 * 7.0.116.xx 或更高版本的无线接入点 * 7.0.172.xx 或更高版本的无线控制系统（WCS ） * 7.0.201.xx 或更高版本的移动服务引擎 支持的无线控制器平台：增强本地模式支持WLC5508，WLC4400，WLC2504 WLC2106，WiSM-1 和WiSM-2 平台. 支持的无线接入点：增强本地模式支持的11n 无线接入点包括3500，1250，1260，1040 和 1140。 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 增强本地模式wIPS 报警流程 当攻击出现在受信的基础设施无线接入点上时是具有唯一相关性的。增强本地模式无线接入 点检测到攻击后和无线控制器通信并关联到移动服务引擎，最后由无线控制系统产生相关的 报告。图3 提供了从管理员的角度来看的报警流程： 1. 对基础设施设备（“可信的”无线接入点）发起攻击 2. 增强本地模式无线接入点检测到攻击事件并通过CAPWAP 协议传送到无线控制器 3. 通过NMSP 协议透明的传送到移动服务引擎 4. 记录到移动服务引擎上的wIPS 数据库，通过SNMP 陷阱发送到WCS 5. 在WCS 中显示报警 图3 -威胁检测和报警流程 增强本地模式的部署注意事项 当对于叠加另外一套网络来进行防护的成本有所顾虑时，思科建议网络上的每个无线接入点 均启用增强本地模式以满足大多数客户的安全需求。增强本地模式的主要功能是有效的检测 信道内攻击而无需影响为任何数据，语音和视频客户端提供高性能的服务。 增强本地模式与专用的监视模式 图4 提供了增强本地模式与专用的监视模式在标准部署时的对比。这两种模式的典型覆盖范 围建议如下： * wIPS 专用的监视模式无线接入点通常覆盖15,000-35,000 平方英尺 * 服务客户端的无线接入点通常覆盖3000-5000 平方英尺 图4 –监视模式无线无线接入点叠加部署与所有的无线无线接入点工作在增强本地模式 传统的自适应wIPS 部署，思科建议每5 个本地模式无线接入点就应部署一个监视模式的无 线接入点，基于网络的设计和专家的指导下，最佳的覆盖范围可能也会有所不同。对于增强 本地模式，管理员只需简单的让现有的无线接入点开启增强本地模式软件功能即可，它有效 地增加了wIPS 监视能力到本地数据服务模式的无线接入点，同时还能保持网络性能。 信道内扫描和信道外扫描的性能 监视模式无线接入点利用100％的无线电时间扫描所有频道的，它不服务任何无线局域网客 户端。增强本地模式的主要功能是有效的检测信道内攻击而无需影响为任何数据，语音和视 频客户端提供高性能的服务。两者的主要区别是本地模式对于信道外的扫描模式；其信道外 扫描的驻留时间很小，收集到足够的信息进行攻击检测和分类即可。一个例子是语音客户端 关联到无线接入点时，该无线接入点的无线资源管理扫描将推迟到语音客户端取消关联，以 确保语音服务不会受到影响。出于这种考虑，增强本地模式在信道外的检测被认为是“尽力 而为”的。增强本地模式无线接入点和其邻近无线接入点工作在所有/按照国家/ DCA 信道， 这大大增加了检测的有效性，因此建议为每一个本地模式无线接入点都启用增强本地模式特 性以最大化的保护覆盖范围。如果要求在所有信道上全时专用扫描，建议部署监视模式无线 接入点。 本地模式和监视