12/08/2018, 15:50

Tìm hiểu tính năng Rogue Policies trên thiết bị Cisco WLC

I. Giới thiệu: Hiện tại ở hầu hết các công ty đều có hệ thống mạng dây và hệ thống mạng wifi để phục vụ cho nhu cầu công việc, tuy nhiên với hệ thống mạng dây có nhiều giải pháp bảo mật hỗ trợ thì hệ thống mạng wifi lại kém bảo mật hơn. Lấy ví dụ trường hợp người dùng tự ý mang thiết bị phát wifi ...

I. Giới thiệu: Hiện tại ở hầu hết các công ty đều có hệ thống mạng dây và hệ thống mạng wifi để phục vụ cho nhu cầu công việc, tuy nhiên với hệ thống mạng dây có nhiều giải pháp bảo mật hỗ trợ thì hệ thống mạng wifi lại kém bảo mật hơn. Lấy ví dụ trường hợp người dùng tự ý mang thiết bị phát wifi cá nhân đến công ty và cho các thiết bị không được cấp phép kết nối vào, điều này khiến tăng nguy cơ hệ thống công ty cũng như dữ liệu bị xâm nhập tăng lên, ngoài ra quá nhiều thiết bị phát sóng wifi cũng gây nhiễu sóng làm ảnh hưởng đến khả năng làm việc của các thiết bị wifi công ty. Để tránh việc này xay ra, trên thiết bị Cisco WLC có một tính năng gọi là Rogue Policies. WLC sẽ nhận dạng các thiết bị phát wifi không được cấp phép (rogue devices) và ngăn chặn các thiết bị này một cách tự động.

II. Cơ chế hoạt động: Quá trình hoạt động của Rogue policies gồm 3 bước là:

  • Detection: WLC quét toàn bộ mạng để xác định các thiết bị phát trái phép.
  • Classification: Bước này sẽ sử dụng các giao thức Rogue Location Discovery Protocol (RLDP), Rogue Detectors và switch port tracing
  • Mitigation: Sử dụng các giao thức Switch port shutting, rogue location, và rogue containment để ngắt kết nối mạng của các thiết bị phát trái phép.

Quá trình Detection: Cisco UWN ( Cisco unified wireless network ) sử dụng một số phương pháp để phát hiện các thiết bị rogue bao gồm: quét sóng và các chế độ giám sát dành riêng. Giải pháp Cisco Spectrum Expert cũng được sử dụng để phát hiện các thiết bị không sử dụng giap thức 802.11 như là bluetooth ...

  • Off-Channel Scanning Quá trình quét sóng được thực hiện bởi Local mode và H−REAP APs và sử dụng phương pháp chia thời gian cho phép cacs service clint và quá trình quét kênh sử dụng cùng 1 tần số. Bằng cách tắt kênh trong khoảng thời gian 50ms mỗi 16 giây của AP. Ngoài ra, có 1 khoảng thời gian là 10ms xảy ra thay đổi kênh. Trong khoảng thời gian quét mặc định là 180 giây, mỗi kênh 2.4Ghz được quét ít nhất 1 lần.

Hình ảnh trên mô tả quá trình quét kênh cho một AP ở dải tần 2.4GHz. Tương tự với dải tần 5GHz nếu AP mở cả dải tần đó. Mỗi hình vuông đỏ đại diện cho thời gian hoạt động bình thường của AP, còn mỗi hình vuông xanh biểu thị cho khoảng thời gian dừng dịch vụ của AP và quét kênh dò rogue.

  • Monitor Mode Scanning Quá trình này được thực hiện bởi chế độ Monitor mode và chế độ Adaptive wIPS sử dụng 100% thời gian để quét tất cả kênh trong mỗi dải tần tương ứng. Điều này cho phép tốc độ phát hiện nhanh hơn và cho phép dành nhiều thời gian hơn cho mỗi kênh riêng lẻ. Các chế độ giám sát AP cũng vượt trội hơn nhiều trong việc phát hiện các thiết bị rogue vì chúng có cái nhìn toàn diện hơn về hoạt động xảy ra trong mỗi kênh.

RLDP

Mục đích của RLDP là xác định một rogue AP kết nối đến cơ sở hạ tầng mạng. Tính năng này chủ yếu sử dụng AP gần nhất để kết nối với thiết bị rogue AP như một máy khách không dây. Sau khi kết nối, một gói tin được gửi cùng địa chỉ đích của WLC nếu AP được kết nối với mạng có dây. Nếu rogue AP được kết nối vào hạ tầng mạng thì sẽ được gửi cảnh báo lại WLC.

Thuật toán RLDP bao gồm các bước:

  • Xác định các rogue AP
  • AP sau đó kết nối với rogue như là một WLAN client
  • Nếu kết nối thành công, AP sẽ sử dụng DHCP để lấy địa chỉ IP
  • Khi có địa chỉ IP, AP gửi gói tin UDP tới địa chỉ IP của WLC
  • Nếu WLC nhận được gói tin đó thì thiết bị rogue đó sẽ bị đánh dấu.

Một số lưu ý của giao thức RLDP

  • RLDP chỉ hoạt động với rogue AP phát SSID mà không authen và mã hóa.
  • RLDP yêu cầu AP hoạt động như một máy khách có thể nhận IP qua DHCP.
  • Trong quá trình RLDP, AP không thể phục vụ dịch vụ, điều này sẽ ảnh hưởng tiêu cực đến hiệu suất và kết nối của AP.

Switch Port Tracing Switch Port Tracing là một kỹ thuật chạy trên các switch cisco mà chạy IOS có enabled CDP và CDP cũng được enable trên WLC.

Thuật toán Switch Port Tracing bao gồm các bước:

  • WCS tìm kiếm các AP gần nhất
  • WCS sau đó sử dụng SNMP để kiểm tra bảng CAM để tìm kiếm vị trí rogue.
  • Nếu không tìm thấy rogue nào trên switch gần nhất, WCS sẽ tiếp tục tìm kiếm ở các switch lân cận.
0