统一无线网络的恶意检测-Cisco.PDF

统一无线网络的恶意检测 目录 简介 功能概述 基础架构恶意程序发现 恶意程序详细信息 确定活动的恶意程序 活动恶意程序遏制 恶意程序检测 – 配置步骤 故障排除命令 结论 相关信息 简介 无线网络是对有线网络的延伸，它提高了工作人员的工作效率，便于工作人员访问信息。然而，未 授权的无线网络却存在其他的安全层问题。对有线网络上的端口安全问题关注较少，并且无线网络 相对于有线网络来说，更易于推广。所以，若员工将自己的 Cisco 接入点 (AP) 带入受到良好保护 的无线或有线基础架构，并且允许未经授权的用户访问此安全网络，这样很容易对安全网络造成危 害。 恶意程序检测允许网络管理员监控和排除此类安全问题。Cisco 统一网络体系结构提供两种恶意程 序检测方法，可实现全面的恶意程序识别和遏制解决方案，无需高额成本和难以证明的覆盖网络和 工具。 功能概述 恶意程序检测不受任何法规限制，操作时也无需遵守任何法律要求。然而，恶意程序遏制通常会带 来法律问题，如果让其自动操作，则使基础架构提供商处于比较尴尬的境地。Cisco 对此类问题非 常敏感，所以提供了以下解决方案。每个控制器都以配置 RF 组命名。一旦轻量 AP 注册到控制器 ，会在其所有信标/信号响应帧中嵌入特定于控制器上配置的 RF 组的认证信息元素 (IE)。当轻量 AP 侦听到来自另一 AP 的没有此 IE 或具有错误 IE 的信标/信号响应帧时，轻量 AP 会将此 AP 作为 恶意程序报告，将 BSSID 记录在一个恶意程序表中，然后把此表发送到控制器。下文详细介绍了两 个方法，即恶意程序位置发现协议 (RLDP) 和被动操作；请参阅确定活动的恶意程序部分。 基础架构恶意程序发现 在活动的无线环境中发现恶意程序的代价可能十分昂贵。此进程请求服务中（或本地模式）的 AP 停止服务，监听噪声然后进行恶意程序检测。网络管理员配置扫描信道，并配置对所有站点进行扫 描的时间段。AP 监听 50 毫秒以检测恶意客户端信标，然后回到已配置的信道以再次为客户端提供 服务。这种活动扫描，与邻接消息相结合，可识别恶意 AP 和有效且从属于网络的 AP。为配置扫描 信道和扫描时间段，请浏览 Wireless > 802.11b/g Network （“b/g”或“a”，根据网络要求），然后在 浏览器窗口右上角选择 Auto RF 按钮。 您可以向下滚动到 Noise/Interference/Rogue Monitoring Channels 以配置要进行恶意程序和噪音扫 描的信道。可用的选择是：所有信道（1 至 14），国家/地区信道（1 至 11）或动态信道关联 (DCA) 信道（默认为 1、6 和 11）。可在同一窗口中配置扫描这些信道的时间段，先是监控间隔 （60 到 3600 秒），然后是噪音测量间隔。默认情况下，信道外的噪声和恶意程序的监听间隔是 180 秒。这意味着每个信道每 180 秒扫描一次。以下示例对每 180 秒扫描一次的 DCA 信道进行说 明： 如图所示，配置的要扫描的信道数量巨大，但扫描间隔却很短，这样使得 AP 实际服务于数据客户 端的时间就极少。 轻量 AP 等待以将客户端和 AP 标记为恶意程序，因为在另一个周期完成之前，这些恶意程序可能 不会被另一个 AP 报告。相同的 AP 再次移动到同一个信道以监控恶意 AP、客户端以及噪声和干扰 。如果检测出同样的客户端和/或 AP，它们将再次作为控制器上的恶意程序列出。控制器开始确定 这些恶意程序是连接到本地网络，还是仅仅连接到相邻 AP。在任何情况下，不属于受管本地无线 网络的 AP 都被认定为恶意程序。 恶意程序详细信息 轻量 AP 脱离信道 50 毫秒以监听恶意客户端，监控噪声和信道干扰。所有检测到的恶意客户端或 AP 被发送到用于收集此信息的控制器： 恶意 AP MAC 地址 恶意 AP 名称 恶意程序连接的客户端 MAC 地址 是否用 WPA 或 WEP 保护帧 报头 信噪比 (SNR) 接收信号强度指示符 (RSSI) 恶意探测器接入点 您可以将 AP 当做恶意探测器使用，这样就可以将其放置于中继端口以便侦听所有有线端连接的 VLAN。它继续查找所有 VLAN 上的有线子网上的客户端。恶意探测器 AP 监听地址解析协议 (ARP) 数据包以确定由控制器发送的已标识的恶意客户端或恶意 AP 的第 2 层地址。如果找到匹配 的第 2 层地址，控制器会发出将恶意 AP 或客户端认定为威胁的警报。此警报表明在有