Draadloze LAN-controllers (WLC’s) beveiligen
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Conventies
Verkeersverwerking in WLC’s Beheer van verkeer
Toegang voor beheerbeheer CPU ACL’s
Voorbeeld
Testen vóór CPU ACL Testen na de CPU-ACL Streng CPU’s
Toezicht besturingsplane
Sterke encryptie voor HTTP-verkeer Sessiebeheer
Telnet/SSH-instellingen console-poort
Alles samenvoegen Security praktijken Gerelateerde informatie
Inleiding
Dit document biedt een overzicht van verschillende belangrijke aspecten die nodig zijn om de beveiligingsinteractie tussen draadloze LAN-controllers (WLC's) en het netwerk waarin deze worden aangesloten, aan te pakken. Dit document richt zich voornamelijk op verkeerscontrole, en richt zich niet op WLAN’s beveiligingsbeleid, AAA of WPS.
Onderwerpen die van invloed zijn op het verkeer met bestemming "naar de controller" worden in dit document behandeld en niet gerelateerd aan verkeer dat verband houdt met "gebruiker naar netwerk".
Opmerking: Wijzigingen valideren voordat u deze op uw netwerk toepast, omdat een aantal voorbeelden in dit document de administratieve toegang tot de controllers kan blokkeren indien deze niet correct wordt toegepast.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Kennis van de manier waarop u het WLC- en lichtgewicht access point (LAP) kunt configureren voor basisgebruik
●
Basiskennis van het OSI-model
●
Begrijpen hoe ACL-toegangscontrolelijst (toegangscontrolelijst) werkt
●
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 2000/2100/4400 Series WLC-software met firmware 4.2.130.0, 5.2.157.0 of hoger
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Verkeersverwerking in WLC’s
Een cruciaal onderdeel op netwerkbeveiliging is verkeerscontrole. Bij elke installatie is het van groot belang om typen verkeer die op apparaten aankomen te blokkeren om mogelijke
veiligheidsproblemen (DOS, verlies van informatie, escalatie van voorrechten, enz.) te voorkomen.
Op de WLC wordt de verkeerscontrole beïnvloed door een belangrijk feit: er zijn twee onderdelen die het verkeer in het apparaat afhandelen :
CPU-hoofdprocessor die zorgt voor alle beheeractiviteit, RRM, LWAPP-controle, verificatie, DHCP, enz.
●
NPU-Network processor die zorgt voor snel doorsturen van verkeer voor geauthenticeerde clients (verbonden met draadloze verbindingen en omgekeerd).
●
Deze architectuur staat een snel verkeer toe, en vermindert de lading op de belangrijkste CPU, die dan al zijn middelen voor taken op hoog niveau kan gebruiken.
Deze architectuur wordt gevonden op de 4400, WiSM en 3750 geïntegreerde controllers. Voor 2106 en NM-WLC en bijbehorende controllers wordt het verzenden in software gedaan, ook door de hoofdCPU. Daarom is er een hogere belasting op de CPU nodig. Dat is de reden dat deze platforms een lagere gebruiker en AP tellen steun bieden.
Beheer van verkeer
Wanneer u verkeer met betrekking tot een WLC wilt filteren, is het belangrijk om te weten of deze
gebruiker met het netwerkverkeer is of op de hoofdCPU gericht is.
Voor elk verkeer naar de CPU, bijvoorbeeld, gebruiken beheerprotocollen zoals SNMP, HTTPS, SSH, telnet, of netwerkserviceprotocollen zoals Straal of DHCP, een "CPU ACL".
●
Voor elk verkeer van en naar een draadloze client, inclusief verkeer dat door een EoIP-tunnel gaat (gasttoegang), wordt er een ACL-interface, een WLAN-ACL of een ACL per gebruiker gebruikt.
●
Het verkeer wordt gedefinieerd "naar de CPU" als een verkeer dat de controller invoert, met
bestemming naar het IP-adres van het beheer, naar een van de dynamische interfaces of naar het servicepoortadres. AP-Manager behandelt geen ander verkeer behalve LWAPP/CAPWAP.
Toegang voor beheerbeheer
WLC's hebben een toegangscontrole op "sessieniveau" voor beheerprotocollen. Het is belangrijk om te begrijpen hoe zij werken om te voorkomen dat de voor de verwerking verantwoordelijke onjuist beoordeelt wat wel of niet is toegestaan.
De opdrachten om te beperken welke beheerprotocollen toegestaan zijn, zijn (op een mondiale schaal):
enig netwerk in werking stellen-Dit maakt de SSH-service op de controller in of uit. Dit is standaard ingeschakeld. Als de poort (TCP 22) eenmaal uitgeschakeld is, is deze niet bereikbaar.
●
Configureer het netwerk en schakelt|-Dit schakelt de telnet-service op de controller in of uit.
Dit wordt standaard uitgeschakeld. Als de poort (TCP 23) eenmaal uitgeschakeld is, is deze niet bereikbaar.
●
vanaf het vanaf-tot-netwerk http|Schakel de http-service in op de controller. De poort (TCP 80) is niet langer bereikbaar. Dit wordt standaard uitgeschakeld.
●
Configuratie-netwerk https schakelt|uit-Dit maakt de https-service op de controller in of schakelt deze uit. Dit is standaard ingeschakeld. Als de poort (TCP 443) eenmaal uitgeschakeld is, is deze niet bereikbaar.
●
Configuratie-versie v1|v2|v3 schakelt|uit-Dit maakt specifieke versies van SNMP-service op de controller mogelijk of onmogelijk. U moet alles uitschakelen om SNMP-toegang tot controller te voorkomen, tenzij u een ACL gebruikt.
●
Schakel netwerk in via-Wireless |Schakel deze optie in: dit voorkomt dat klanten die aan deze controller zijn gekoppeld, er beheerprotocollen aan kunnen koppelen (ssh, https, enz.). Dit verhindert of sluit de TCP-corresponderende poorten niet vanuit het standpunt van het
draadloze apparaat. Dit betekent dat een draadloos apparaat, wanneer dit wordt ingesteld om uit te schakelen, een SSH-verbinding kan openen als het protocol is ingeschakeld. De
gebruiker kan een gebruikersnaam zien die door de SSH-datum gegenereerd is. De sessie sluit echter zodra u probeert een gebruikersnaam in te voeren.
●
Configureer het netwerk-via-dynamisch-interface|Schakel-Dit voorkomt dat apparaten op hetzelfde VLAN als de controller er beheerprotocollen aan kunnen koppelen (ssh, https, etc) naar het corresponderende dynamische interfaceadres op dat VLAN. Dit verhindert of sluit de TCP-corresponderende poorten niet vanuit het gezichtspunt van het apparaat. Dit betekent dat een apparaat, wanneer dit wordt ingesteld om uit te schakelen, een SSH-verbinding kan openen als het protocol is ingeschakeld. De gebruiker kan een gebruikersnaam zien die door de SSH-datum gegenereerd is. De sessie sluit echter zodra u probeert een gebruikersnaam in
●
te voeren. Daarnaast zal het beheeradres altijd toegankelijk blijven vanaf een dynamische interface-VLAN, tenzij er een CPU-ACL is.
Dit is bijvoorbeeld de configuratie die de bovenstaande informatie gebruikt:
(Cisco Controller) >show network summary
RF-Network Name... 4400 Web Mode... Disable Secure Web Mode... Enable Secure Web Mode Cipher-Option High... Disable Secure Web Mode Cipher-Option SSLv2... Enable Secure Shell (ssh)... Enable Telnet... Disable
Ethernet Multicast Mode... Enable Mode: Ucast Ethernet Broadcast Mode... Disable
AP Multicast Mode... Unicast IGMP snooping... Disabled IGMP timeout... 60 seconds User Idle Timeout... 300 seconds ARP Idle Timeout... 300 seconds Cisco AP Default Master... Disable AP Join Priority... Disable Mgmt Via Wireless Interface... Disable Mgmt Via Dynamic Interface... Disable Bridge MAC filter Config... Enable Bridge Security Mode... EAP Mesh Full Sector DFS... Enable Over The Air Provisioning of AP's... Enable Apple Talk ... Disable AP Fallback ... Enable Web Auth Redirect Ports ... 80 Fast SSID Change ... Disabled 802.3 Bridging ... Disable IP/MAC Addr Binding Check ... Enabled
(Cisco Controller) >show acl cpu
CPU Acl Name... NOT CONFIGURED Wireless Traffic... Disabled Wired Traffic... Disabled
U kunt concluderen dat:
Telnet en HTTP zijn niet beschikbaar, dus al het interactieve beheerverkeer naar de controller zal worden uitgevoerd via HTTPS/SSH (versleuteld).
●
Een draadloze gebruiker die aan deze controller is gekoppeld, kan geen administratieve toegang krijgen.
●
Als een draadloze gebruiker, die aan deze controller is gekoppeld, een poortscan maakt, zullen SSH en HTTP als open worden weergegeven, ook al is geen administratieve toegang toegestaan.
●
Als een bekabelde gebruiker (hetzelfde VLAN als een dynamische interface) een poortscan uitvoert, zal deze SSH en HTTP als open tonen, ook al is geen administratieve toegang toegestaan.
●
Het is belangrijk op te merken dat in omgevingen met meer dan één controller op dezelfde mobiliteitsgroep de relatie van wat een draadloze client is alleen betrekking heeft op de
momenteel gekoppelde controller. Daarom, als één client is gekoppeld aan controller A, dan voor
een controller B op dezelfde mobiliteitsgroep, is deze client een apparaat dat afkomstig is van een VLAN/dynamische interface. Dit is belangrijk om rekening te houden met Management over
draadloze instelling. Zie dit diagram voor een voorbeeld van waar om een verkeersbeperking te plaatsen, en welke opdrachten elk ingangspunt kunnen beïnvloeden:
CPU ACL’s
Wanneer u wilt controleren welke apparaten met de hoofdCPU kunnen praten, wordt een CPU ACL gebruikt. Het is belangrijk om verschillende kenmerken te vermelden voor deze:
CPU ACL’s filteren alleen verkeer naar de CPU’s en geen verkeer dat door de CPU wordt gegenereerd of gegenereerd.Opmerking: Voor de WLC 5500-serie in versies 6.0 en hoger is de CPU ACL ook van toepassing op verkeer dat afkomstig is van de WLC. Voor de andere WLC-platforms wordt dit gedrag geïmplementeerd in versies 7.0 en hoger. Wanneer u ACL’s- directievelden maakt, heeft dit ook geen invloed.
●
Volledige ondersteuning voor CPU ACL’s voor alle controller-IP-beheer en dynamische adressen zijn alleen aanwezig op 4.2.130.0 en hoger.
●
CPU ACL’s die servicepoortverkeer blokkeren, zijn alleen aanwezig in 5.0 en later.
●
Wanneer een CPU ACL wordt ontworpen, is het belangrijk om beheerverkeer tussen
controllers toe te staan. De opdracht sh rules kan een snelle weergave van verkeer bieden dat aan CPU ACL onder normale omstandigheden is toegestaan.
●
De controller heeft een set filterregels voor interne processen, die kunnen worden
gecontroleerd met de opdracht sh regels. ACL’s hebben geen invloed op deze regels en kunnen ook niet tijdens de vlucht worden gewijzigd. CPU ACL krijgt voorrang op deze servers.
●
LWAPP- of CAPWAP-gegevensverkeer wordt niet beïnvloed door CPU-regels voor 4400 gebaseerde controllers, het controleverkeer wordt beïnvloed (indien u een strikte ACL doet, moet u dit expliciet toestaan).Opmerking: CAPWAP-regelverkeer wordt niet beïnvloed door CPU-ACL’s.
●
Voorbeeld
U kunt bijvoorbeeld al het verkeer dat afkomstig is van de dynamische interface/VLAN
(192.168.20.0/24) waar gebruikers zijn gekoppeld, naar de CPU’s blokkeren maar er mag ook ander verkeer zijn. Dit zou draadloze klanten niet moeten verhinderen om een door DHCP bepaald adres te krijgen.
Als eerste stap wordt er een toegangslijst gemaakt:
1.
Klik op Add new regel en stel deze in om al bronverkeer dat van 192.168.20.0/24 naar elke bestemming komt te
blokkeren.
2.
Voeg een tweede regel toe, voor het verkeer van DHCP, met de poort van de bestemmingsserver, maar met vergunning
actie:
3.
Vervolgens is per beveiligingsbeleid van het bedrijf alle andere beveiliging toegestaan:
Testen vóór CPU ACL
Om het effect van de CPU ACL te valideren, kunt u een snelle scan van een aangesloten
draadloze client op de RUN-status uitvoeren om de huidige open poorten te zien, gebaseerd op de configuratie, voordat u de CPU ACL toepast:
Testen na de CPU-ACL
Ga naar Security > Management > CPU-toegangscontrolelijst. Klik op CPU ACL inschakelen en selecteer de ACL die eerder is gemaakt. Kies vervolgens Beide in de richting om er zeker van te zijn dat dit is toegepast op verkeer vanaf draadloze klanten en vanaf andere apparaten op Dynamische VLAN’s:
Opmerking: er is geen richting voor cpu acl-verkeer vanaf 7,0 voor alle WLC-platforms en alleen voor WLC5500 in 6,0.
Indien dezelfde scan opnieuw wordt gebruikt, worden alle poorten van de controller als gesloten weergegeven:
Streng CPU’s
Als het beveiligingsbeleid een "ontkennen" als laatste regel voor een beleid vereist, is het belangrijk te begrijpen dat er verschillende soorten verkeer zijn tussen controller op dezelfde mobiliteitsgroep voor RRM, mobiliteit en andere taken, en dat de controller het verkeer voor bepaalde bewerkingen, in het bijzonder DHCP, waarbij controller op DHCP-proxymodus (de
standaard) verkeer naar zichzelf kan genereren met bestemming UDP 1067 voor verwerking.
Voor een volledige lijst van havens die door de interne standaard verzendregels zijn toegestaan, controleer de output van de sh regels opdracht. De volledige lijstanalyse valt buiten het
toepassingsgebied van dit document.
U kunt controleren welke ACL-regels door verkeer worden geraakt met de opdracht vanaf de configuratiescherm. De tellers kunnen met de opdracht van de sh ACL de detail van de ACL worden weergegeven.
Toezicht besturingsplane
Eén aspect van het beschermen van een netwerkapparaat is te verzekeren dat het niet
overweldigd is door meer beheerverkeer dat het kan verwerken. Op alle controllers, na 4.1 code, is er een regelvlak dat standaard is ingeschakeld, dat in werking treedt als het verkeer voor CPU de 2 mbps overschrijdt.
Op drukke netwerken is het mogelijk om het limiteren in effect te observeren (bijvoorbeeld gedaald monitor pings aan CPU). De eigenschap kan met het configuratie geavanceerde tarief bevel
worden gecontroleerd. U kunt deze alleen in- of uitschakelen, maar u kunt geen snelheden instellen of instellen tegen welk verkeer de gebruiker het eerst reageert.
Bij normale bediening wordt aanbevolen deze ingeschakeld te laten.
Sterke encryptie voor HTTP-verkeer
Standaard biedt de controller zowel hoge als lage scrampers om compatibiliteit met oudere browsers tijdens HTTPS-instellingen te garanderen. De controller is beschikbaar bij 40 bits RC4, 56 bits DES en tot AES 256 bits. De selectie van het sterkste algoritme wordt uitgevoerd door de browser.
Om ervoor te zorgen dat alleen sterke ciphers worden gebruikt, kunt u ze inschakelen met de ingebouwde web-optie van het netwerk met een hoge selectiemogelijkheid, zodat alleen 168 3DES of 128 AES en hogere algoritmische lengtes door de controller op HTTPS-beheertoegang worden aangeboden.
Sessiebeheer
Telnet/SSH-instellingen
Standaard staat de controller maximaal 5 gelijktijdige gebruikers toe, met een tijd van 5 minuten.
Het is van cruciaal belang dat deze waarden voldoende zijn geconfigureerd in uw omgeving, omdat het instellen ervan op onbeperkt (nul) de deur kan openen naar een mogelijk 'denial of service'-aanvallen tegen controllers, als gebruikers een brute krachtaanval tegen hen zouden proberen. Dit is een voorbeeld van standaardinstellingen:
(Cisco Controller) >show sessions
CLI Login Timeout (minutes)... 5
Maximum Number of CLI Sessions... 5
Onthoud dat door ontwerp, zelfs als het beheer over een draadloze of dynamische interface is uitgeschakeld, een apparaat nog steeds een SSH-verbinding met de controller kan maken. Dit is een CPU-belasting en WLC beperkt het aantal gelijktijdige sessies en voor hoe lang u deze parameters gebruikt.
De waarden kunnen met het bevel van de configuratiesessies worden aangepast.
console-poort
De seriële poort heeft een gescheiden waarde voor de tijdelijke oplossing, die standaard op 5 minuten wordt ingesteld, maar deze wordt tijdens de probleemoplossing tijdens de sessies vaak veranderd in 0 (onbeperkt).
Cisco Controller) >show serial
Serial Port Login Timeout (minutes)... 5 Baud Rate... 9600 Character Size... 8 Flow Control:... Disable Stop Bits... 1 Parity Type:... none
Geadviseerd wordt de standaard 5 minuten te gebruiken. Dit voorkomt dat iedereen fysieke toegang tot de controller heeft om toegang tot het beheer te verkrijgen, voor het geval een ingelogde gebruiker op de console-poort de sessie opent. De waarden kunnen met het configuratie seriële bevel worden aangepast.
Alles samenvoegen
Na het controleren van het verschillende aspect van het beveiligen van een WLC, kan dit worden samengevat:
Het is belangrijk om andere apparaten dan ingesloten beheerstations te verhinderen om toegang te krijgen tot WLC, niet alleen niet-gebruikte protocollen uit te schakelen, maar ook door de toegang op laag 4/laag 3 te beperken met CPU-ACL’s.
●
Snelheidsbeperking moet worden ingeschakeld (dit is standaard het geval).
●
Het controleren van toegang door beheer over X opdrachten is niet genoeg voor beveiligde installaties, aangezien gebruikers nog steeds toegang hebben tot beheerprotocollen die rechtstreeks naar het IP-adres van het beheer gaan, met behulp van CPU- en
geheugenbronnen.
●
Security praktijken
Hier zijn een aantal van de veiligheidspraktijken:
Maak CPU ACL-verlammende toegang van alle dynamische interface-VLAN’s of
subnetwerken. Laat echter DHCP-verkeer naar serverpoort (67) toe zodat clients met DHCP onderhandeld adres kunnen verkrijgen als DHCP-proxy is ingeschakeld (dit is standaard). Als de dynamische interface een openbaar IP-adres heeft, wordt aanbevolen om ACL-regel te
●
hebben die al het verkeer uit onbekende bronnen naar het dynamische interfaceadres ontzegt.
Stel alle ACL-regels in als inkomend of met enige richting en teken ze als zowel bekabeld als draadloos toegepast.Hoe valideren:
(Cisco Controller) >show acl cpu
CPU Acl Name... acl1 Wireless Traffic... Enabled Wired Traffic... Enabled
●
Beperken van het bedieningspaneel inschakelen (dit is standaard ingeschakeld).Hoe valideren:
(Cisco Controller) >show advanced rate
Control Path Rate Limiting... Enabled
●
Gebruik altijd gecodeerde beheerprotocollen (HTTPS, SSH). Dit is de standaardconfiguratie voor interactief beheer. Voor SNMP zou u V3 kunnen moeten toelaten om gecodeerd/echt bevonden SNMP verkeer toe te staan. Vergeet niet de controller te herladen als u wijzigingen aanbrengt in de SNMP-configuratie.Dit is hoe te valideren:
(Cisco Controller) >show network summary
RF-Network Name... 4400 Web Mode... Disable Secure Web Mode... Enable Secure Web Mode Cipher-Option High... Enable Secure Web Mode Cipher-Option SSLv2... Enable Secure Shell (ssh)... Enable Telnet... Disable ...
●
Hoge encryptie voor HTTPS inschakelen (dit wordt standaard uitgeschakeld).
●
Het is een goed idee om een gevalideerd servercertificaat voor HTTPS-toegang tot uw
controller in te stellen (ondertekend door uw vertrouwde CA) ter vervanging van het standaard geïnstalleerde zelfgetekende certificaat.
●
Stel sessie en console-tijd in op 5 minuten.
(Cisco Controller) >show serial
Serial Port Login Timeout (minutes)... 5 Baud Rate... 9600 Character Size... 8 Flow Control:... Disable Stop Bits... 1 Parity Type:... none
(Cisco Controller) >show sessions
CLI Login Timeout (minutes)... 5 Maximum Number of CLI Sessions... 5
●
Gerelateerde informatie
Lichtgewicht access point FAQ
●
WLC (Wireless LAN Controller) probleemoplossing in FAQ
●
Cisco draadloze LAN-controlemodule voor Q&A
●
Beheer van radio en resources op Unified draadloze netwerken
●
Technische ondersteuning en documentatie – Cisco Systems
●
