Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 3906 сообщений
Cообщения с меткой

wi-fi - Самое интересное в блогах

Следующие 30  »
rss_rss_hh_new

Угрозы для корпоративной сети WPA2-Enterprise и способы защиты

Пятница, 28 Апреля 2017 г. 11:12 (ссылка)





Не так давно совместно с Digital Security мы провели пентест своей корпоративной wi-fi-сети. Сегодня с коллегами расскажем, что может угрожать беспроводной сети, построенной на базе WPA2-Enterprise с аутентификацией по доменному аккаунту, и как от этого защититься.



Про WPA2-Enterprise



Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.



Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).



Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (802.1X), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.





Схема работы WPA2-Enterprise.



Процесс подключения клиента к беспроводной сети кратко можно описать так.

При подключении данные клиента передаются на точку доступа/контроллер при участии протокола 802.1x. Далее информация отправляется на RADIUS-сервер, где происходит аутентификация клиента: RADIUS-сервер проверяет, есть ли в его списках такой клиент с указанным логином и паролем и можно ли его подключать.

После успешной аутентификации точка доступа подключает клиента в сеть.



Рассмотрим подробнее процесс аутентификации на RADIUS-сервере:




  1. Клиент, желающий пройти аутентификацию, дает запрос на начало сеанса связи.

  2. В ответ на это вызываемая сторона (RADIUS-сервер) посылает произвольную, но всякий раз разную информацию (challenge) клиенту.

  3. Клиент добавляет к полученному запросу пароль и от этой строки вычисляет хэш.

  4. RADIUS-cервер проделывает с отправленным значением аналогичные действия и сравнивает результат. Если значения хэшей совпадают, то аутентификация считается успешной.

    Периодически RADIUS-сервер отправляет клиенту новый challenge, и процедура аутентификации повторяется снова.

    Такой механизм аутентификации называется “challenge–response” и происходит по одному из протоколов EAP – PEAP-MSCHAPv2.



От чего защищаемся



Врага надо знать в лицо, поэтому ниже кратко пройдемся по механике возможных атак против сети WPA2-Enterprise с аутентификацией по доменным аккаунтам.



Подключение клиентов к ложной точке доступа. Зная имя сети SSID (ESSID, если сеть построена на нескольких точках доступа) и MAC-адрес точки доступа (BSSID), злоумышленник может развернуть нелегитимную точку доступа.

Чтобы увеличить свои шансы на успех, злоумышленники используют следующие нехитрые приемы:




  • нелегитимная точка доступа обладает более мощным сигналом, чем легитимная;

  • нелегитимная точка доступа развернута там, куда не доходит сигнал легитимных точек доступа, но где есть клиенты, которые обычно подключаются к этой сети.



Чтобы было куда подключить эту точку доступа, злоумышленник разворачивает свой RADIUS-сервер, к которому будет подключаться нелегетимная точка доступа. У этого RADIUS-сервера нет задачи аутентифицировать клиента и проверить, указал ли он правильный пароль. Главное – получить от клиента авторизационные данные, логин и ответ на предоставленный ложным Radius-сервером challenge. Их злоумышленник будет использовать для оффлайн подбора пароля и последующего подключения к целевой корпоративной беспроводной сети.



Без мониторинга эфира обнаружить местонахождение нелегитимной точки доступа не всегда просто. Злоумышленник вряд ли будет выглядеть, как человек с огромным рюкзаком, кучей антенн и дизель-генератором на тележке.

Например, для своих пентестов коллеги из Digital Security используют портативный бытовой роутер со встроенной батарейкой (типа этого). Перепрошивают с помощью OpenWRT и устанавливают кастомный пакет. На выходе получается точка доступа со встроенным RADIUS-сервером, которая может при необходимости прослушивать эфир и собирать данные. При желании можно и вовсе воспользоваться обычным телефоном.



Места размещения таких точек доступа ограничиваются только изобретательностью взломщика. Если офис жертвы находится в бизнес-центре, то можно развернуть точку доступа в фойе до турникетов или лобби с диванчиками. Удобно разместить такую точку доступа в кабине лифта: она с большой скоростью удаляется от легитимных точек доступа, поэтому клиентское устройство оказывается в ловушке и с большой вероятностью подключится к ложной точке доступа. Злоумышленник может даже кататься с ложной точкой доступа на корпоративном транспорте, который развозит сотрудников до метро после работы.



Принудительная деаутентификация. Если клиент уже подключен к легитимной точке доступа, то его нужно как-то отключить от нее (принудительно деаутентифицировать), чтобы переподключить к ложной. Злоумышленник прослушивает эфир. Для этого он переводит свой wi-fi-адаптер в режим monitor-mode. Обычно для этого используют набор утилит aicrack-ng. С его же помощью злоумышленник начинает рассылать беспроводным клиентам сообщения о том, что легитимная точка доступа, к которой уже подключен клиент, отключается и уходит из эфира. Такой эффект достигается с помощью инъекции фреймов управления wi-fi (Management Frame), а именно: фреймов деассоциации и деаутентификации.



В результате клиент отключается от точки доступа и начинает искать новую точку доступа с таким же ESSID. В этой ситуации как раз пригождается точка доступа с более мощным сигналом. Клиентское устройство пытается к ней подключиться. Если клиент пройдет аутентификацию на ложном RADIUS-сервере, злоумышленник может захватить имя пользователя и аутентификационную MSCHAPv2-сессию.



Как защищаемся



Рассмотренные атаки можно предотвратить, если использовать следующие меры защиты:




















Атака Мера
Подключение клиентов к ложной точке доступа мониторинг эфира для выявления фейковых точек доступа; аутентификация пользователей с использованием клиентских сертификатов
Принудительная деаутентификация клиента мониторинг эфира для выявления попыток принудительной деаутентификации клиентов беспроводных сетей; активация 802.11w (Protected Management Frames, PMF) на контроллере


Далее расскажем, как реализован каждый из способов защиты в нашем случае.



Мониторинг эфира и выявление ложных точек доступа. Организовать мониторинг эфира можно с помощью штатных средств точек доступа и контроллера WLAN. Далее речь пойдет об устройствах Cisco.

Для этого на точках доступа активируется механизм Off Channel Scanning, в котором он периодически сканирует эфир по всем каналам. В результате такого мониторинга он выявляет наименее загруженный канал и сторонние точки доступа (в терминологии Cisco – Rogue AP). Данные с точек доступа отправляются на контроллер, к которому они подключены.

На самом контроллере настраивается правило классификации сторонних точек доступа, согласно которому все посторонние точки доступа с SSID, эквивалентным нашему, считаются нелегитимными (malicious в терминологии Cisco). Подробно о настройке контроллера Cisco можете почитать в этой серии статей.





Так выглядит сообщение о найденной нелегитимной точке доступа в веб-интерфейсе контроллера.



681 Mon Apr 10 12:10:55 2017 Rogue AP: 14:2d:27:ef:f8:2b with Contained mode added to the Classified AP List.

682 Mon Apr 10 12:10:55 2017 Rogue AP 14:2d:27:ef:f8:2b is advertising our SSID. Auto containing as per WPS policy

Сообщения в логах контроллера при обнаружении нелегитимной точки доступа.



В системе мониторинга (в нашем случае это Nagios) настроен SNMP-опрос контроллера. При обнаружении нелегитимной точки доступа на экран мониторинга выводится сообщение, содержащее:




  • МАС-адрес нелегитимной точки доступа;

  • МАС-адрес точки доступа, которая ее обнаружила.



С помощью таблицы соответствия MAC-адреса точки доступа и ее месторасположения можно определить примерное расположение нелегитимной точки доступа.





Сообщение в системе мониторинга о том, что была зафиксирована нелегитимная точка доступа.



Мониторинг эфира на предмет попыток принудительной деаутентификации беспроводных клиентов. В рамках системы обнаружения вторжений (intrusion detection system, IDS) у контроллера Cisco есть штатный набор стандартных сигнатур, с помощью которых он может распознавать потенциально опасное поведение клиентов и соседских точек доступа. Сюда как раз относятся множественные попытки деаутентификации, аутентификации, ассоциации и пр.



Wed Apr 12 10:17:53 2017 IDS Signature attack detected. Signature Type: Standard, Name: Auth flood, Description: Authentication Request flood, Track: per-signature, Detecting AP Name: OST_Reception, Radio Type: 802.11b/g, Preced: 5, Hits: 500, Channel: 11, srcMac: 14:2d:27:ef:f8:2b

Сообщения о множественной аутентификации в логах контроллера Cisco



Рассматриваемый контроллер также имеет механизмы предотвращения вторжений (IPS). Например, при выявлении нелегитимной точки доступа можно противодействовать вторжению теми же средствами, которые используются и при атаках, – деаутентификацией и деассоциацией. Контроллер можно настроить так, что при появлении точки доступа с SSID, совпадающим с анонсируемым контроллером, будет запускаться механизм auto contain: точки доступа, фиксирующие сигнал нелегитимной точки доступа, начинают отправлять клиентам кадры деаутентификации от имени этой точки доступа. В результате клиенту становится очень сложно работать и передавать данные нелегитимной точке доступа.





Настройка автоматической деаутентификации клиентов, подключившихся к нелегитимной точке доступа, на контроллере Cisco.



Получать информацию от контроллера о событиях IDS можно двумя способами: отправка SNMP-трапов в систему мониторинга или парсинг журнала контроллера.

В систему мониторинга также приходит сообщение с МАС-адресом нелегитимной точки доступа и МАС-адрес легитимной точки доступа, которая ее обнаружила.



Для защиты от принудительной деаутентификации на контроллере активируется 802.11w (Protected Management Frames, PMF). Этот режим предотвращает атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной. При использовании 802.11w фреймы Disassociation, Reassociation, Deauthentication подписываются ключом, известным только авторизованным клиентам и легитимным точкам доступа. В результате клиент может определить, получен данный фрейм от легитимной точки или нет.





Активация 802.11w PMF в веб-интерфейсе контроллера Cisco.



Аутентификация по пользовательским сертификатам. Суть метода заключается в том, что клиент аутентифицируется по пользовательскому сертификату, выписанному доверенным удостоверяющим центром. Этот сертификат помещается в пользовательского хранилище сертификатов каждого беспроводного устройства. При подключении сервер аутентификации (AAA-сервер) сверяет сертификат, предъявленный устройством, с установленными политиками.



Проникнуть в сеть с аутентификацией под клиентским сертификатом злоумышленник сможет, только украв устройство с сертификатом и имея логин/пароль для входа на устройство. Но и здесь лазейка быстро закрывается: когда о краже станет известно, сертификат можно быстро отозвать в удостоверяющем центре. Сервер аутентификации оповещается о том, что сертификат отозван, соответственно злоумышленник не сможет с помощью сертификата подключиться к целевой сети.



Ниже схема того, как беспроводная сеть WPA2-Enterprise c аутентификацией по пользовательским сертификатам реализована у нас.





Рассмотрим подробнее следующие составляющие этой схемы.



RADIUS-сервер. Принимает запросы от устройств на подключение беспроводных устройств (radius-clients).



Network Policy Server, NPS. Выполняет аутентификацию и проверку подлинности. Здесь же настраиваются условия подключения к беспроводной сети. Например:




  • запрос сертификата;

  • издатель сертификата;

  • расписание подключения.



Доменный сервер Active Directory (AD DS). Содержит базу с учетными записями пользователей и групп пользователей. Чтобы NPS мог получать данные о пользователях, необходимо зарегистрировать NPS на AD DS.



Active Directory Certificate services. Инфраструктура открытых ключей (Public Key Infrastructure, PKI).




  • Root-сервер. Корневой удостоверяющий центр. Здесь на основе закрытого ключа генерируется сертификат удостоверяющего центра. С помощью этого сертификата подписывается сертификат для промежуточного удостоверяющего центра.

    Обычно этот сертификат вместе с ключом экспортируют на флешку, прячут в подвал, в сейф, чтобы к нему не было никакого физического доступа для посторонних. Сам сервер отключают.




  • Subordinate-сервер. Промежуточный удостоверяющий центр. Здесь хранится сертификат промежуточного удостоверяющего центра. В дальнейшем здесь издаются клиентские сертификаты, которые подписываются промежуточным сертификатом. Средствами групповых политик Active Directory дает команду клиентским устройствам запросить сертификат для пользователя. Сертификат выпускается и попадает в пользовательское хранилище устройства.



Схема с subordinate-сервером выгодна тем, что при компрометации промежуточного сертификата корневой сертификат никак не будет затронут. В этом случае скомпрометированный сертификат просто отзывается через root-сервер, а subordinate-сервер удаляется.



На сегодня все, задавайте свои вопросы в комментариях.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/327542/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
fmw5511

Без заголовка

Воскресенье, 23 Апреля 2017 г. 22:00 (ссылка)

Wi-Fi бесплатно на территории мини-отеля для отдыха в Алуште - https://vk.com/page-129469335_54661177

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Afatarwm

Как раздать интернет с планшета/смартфона Android.

Суббота, 22 Апреля 2017 г. 20:41 (ссылка)


Рассмотрим три способа раздачи Интернета с планшета/смартфона: по Wi-Fi, через USB-кабель, по Bluetooth.



I. Wi-Fi. Чтобы сделать из Android смартфона/планшета точку доступа Wi-Fi, нужно зайти в Настройки и в разделе «Беспроводные сети» нажать «Еще…». Открыть «Режим модема». Напротив пункта «Точка доступа Wi-Fi» поставьте галочку/вкл. Теперь ваш телефон/планшет раздаёт Интернет по Wi-Fi.



Чтобы изменить название сети, способ защиты или пароль, в том же меню нажмите «Настройки точки доступа Wi-Fi».



В планшете Aser этот пункт меню можно увидеть, кликнув по строке «Точка доступа Wi-Fi».



II. Через USB. В комплекте к каждому смартфону/планшету прилагается USB-кабель USB. Подключите телефон/планшет к ПК/ноутбуку по USB. На смартфоне включите мобильный интернет. Далее перейдите в настройки и выберите пункт «Другие сети» (на более ранних версиях – раздел «Еще»). Войдите в категорию «Модем и точка доступа». Осталось только поставить галочку в строке «USB-модем».



3427777_cherez_usb (700x495, 178Kb) Читать далее

Метки:   Комментарии (4)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Флагманы линейки Cisco Wi-Fi появились в России

Среда, 12 Апреля 2017 г. 09:12 (ссылка)

В феврале этого года в России открылись к заказу точки доступа Cisco Aironet серий 2800 и 3800 — флагманские точки портфолио Cisco с поддержкой стандарта 802.11ac Wave 2. Эти продукты позволяют достичь невиданной ранее производительности в сети Wi-Fi – 5.2Гб/с

Производство точек доступа серий 2800, 3800 находится в России, в городе Тверь.





Cisco Aironet серий 2800 и 3800 разработаны для надежной, продолжительной и высокопроизводительной работы.







Дизайн



Традиционно для передовых точек доступа Cisco разрабатывает аппаратную платформу (чипсет) самостоятельно. Такой стратегии Cisco придерживается уже в третьем поколении точек доступа и все для того, чтобы представить рынку ряд уникальных инноваций, о которых речь пойдет далее.



Новое поколение точек доступа имеет еще более совершенный дизайн: пластик корпуса еще более прочный и устойчивый к обработке средствами, используемыми, медицинскими и детскими учреждениями. Между внутренними элементами установлены экраны для снижения взаимодействий радиоэлементов внутри корпуса. Тепло внутри точки распределяется равномерно, благодаря чему при работе она еле теплая, не смотря на отсутствие вентиляционных отверстий.

Точки доступа серии 2800, 3800 имеют высокую надежность, могут выжить в условиях интерференций, разброса температур, микроволнового излучения мебельных фабрик, в многоэтажных домах.

Точки имеют распределенную дублированную архитектуру с использованием процессоров с частотой 1.8ГГц, что дает им право называться самыми производительными точками доступа в отрасли.

Точки поддерживают работу на каналах в 160МГц, как нам это и определено 802.11ас Wave 2.



Точка серии 3800 имеет слот для будущих модулей, и это важно, т.к. потребности в функционале динамично меняются. Модули, разработанные как Cisco, так и технологическими партнерами, появятся в будущем.



Теперь об инновациях:



— Flexible Radio Assignment (FRA) или гибкое назначение одного из радиодиапазонов

В традиционном варианте точка доступа Wi-Fi работает в 2х диапазонах – 2.4ГГц и 5ГГц. Однако сегодня мы все больше наблюдаем потребность в сетях с высокой плотностью клиентов, когда количество точек доступа определяется количеством клиентских устройств, а не радиусом покрытия. На практике в таких сетях диапазон 2.4ГГц приходится выключать, т.к. из-за ограниченного спектра наблюдается высокий уровень помех. В то же время в диапазоне 5ГГц доступно в 5 раз больше спектра, да и производительность благодаря модуляциям 802.11ас возможна гораздо более высокая.





Количество устройств, работающих в 5ГГц неуклонно растет. Показателен опыт проведения Cisco Live 2017 в Берлине, где в Wi-Fi сети одновременно подключились более 14000 человек, из которых 92,5% использовали диапазон 5ГГц. Ниже приведены ключевые цифры по Wi-Fi подключениям на мероприятии в 2016 и 2017 годах:



Cisco Live 2017 стал первым мероприятием Cisco, на котором гарантированное покрытие было реализовано только в 5ГГц.



Flexible Radio Assignment позволяет гибко назначать радио, ранее используемое только для работы в 2.4ГГц, для работы в 5ГГц и в режиме монитора (прослушивание эфира с целью контроля его использования и обнаружения атак «с воздуха»).

Т.о. возможен режим двойного использования 5ГГц одной точкой доступа! Вместо выключения 2.4ГГц теперь это радио можно включить в 5ГГц, добавив производительности в сети.





Кроме того Flexible Radio Assignment дает широкие возможности по инсталляции — антенны 2х радио могут быть как внутренними, так и внешними. При использовании опции с внутренними антеннами можно определить первое радио как макросоту, а второе как микросоту. В таком режиме два радио будут работать с разными мощностями на разных зонах покрытия. Достигается эффект высочайшей производительности в определенном помещении, в то же время покрытие есть также и в зонах вокруг.



Технология Flexible Radio Assignment — прорывной успех разработчиков Cisco. ранее подобные решения не работали — слишком малое расстояние между радиопередатчиками, работающими в одном диапазоне, создавало существенные помехи внутри устройства и общая производительность решения с двойным радио в итоге не превышала производительности типового. Сегодня двойное радио в 5ГГц — реальность. Это достигнуто максимальным разнесением и экранированием радиоэлементов внутри корпуса. Спектрально оба радио разнесены не менее, чем на 100МГц, благо выделенный сегодня для Wi-Fi спектр это позволяет.



На Cisco Live 2017 в Берлине точки доступа Aironet серии впервые были использованы для высокоплотного покрытия на масштабном объекте и показали себя прекрасно. В зоне Keynote Arena наблюдалась следующая картина:







Крайне мало включенных интерфейсов в 2.4ГГц, в то же время активно используется 5ГГц, точки в режиме двойного 5ГГц.



Т.к. реализован сценарий покрытия с высокой плотностью клиентов, активно использовались направленные антенны. Их к каждой точке доступа может быть 2 благодаря порту Smart Antenna.

Варианты установки смотрите на примерах с Cisco Live 2017 в Берлине:









— CleanAir

Cleanair – это спектральный анализатор, встроенный в точку доступа, а точнее в чипсет разработки Cisco. CleanAir обнаружит беспроводную видеокамеру, чужую точку доступа или любое не Wi-Fi устройство, работающее в диапазоне Wi-Fi. В результате системный администратор имеет карту помех на временной шкале, оценку влияния помех на качество эфира и производительность сети, а также при определении пороговых значений этих параметров сеть начнет перенастройку на более чистые каналы, при необходимости адаптировав ширину канала и мощность излучения каждой точки доступа.

Теперь CleanAir работает в каналах шириной 160 МГц.



— Clientlink

Запатентованная технология Cisco для формирования диаграммы направленности, которая улучшает производительность клиентских устройств стандарта 802.11ac и предыдущих стандартов. Клиентское устройство по сути сообщает точке доступа как усилить сигнал к нему наилучшим образом.

Теперь технология поддерживает широкие каналы и MU-MIMO.



Материалы

Cisco Flexible Radio Assignment (Гибкое определение радио)

Точки доступа Cisco Aironet серии 2800

Точки доступа Cisco Aironet серии 3800

Презентация особенностей дизайна Cisco Aironet 3800 (англ.)

Тест на производительность точки доступа Aironet 2800 c сотней лаптопов (англ.)

Тестирование работы на двух каналах в 5ГГц Cisco Dual 5GHz Wi-Fi (англ.)

Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/326274/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

AP Failover и AP Fallback в реализации Cisco Unified Wireless

Пятница, 31 Марта 2017 г. 13:20 (ссылка)

Когда точка доступа уже подключилась к контроллеру (AP Join), есть два механизма, которые влияют на выбор контроллера:




  • Если точка доступа теряет связь с существующим контроллером, то запускается механизм AP Failover.

  • Если точке доступа, не теряя связь с контроллером, требуется перейти на другой контроллер, для этого существует механизм AP Fallback



AP Failover



image



AP Failover использует следующую информацию в порядке приоритета (cначала наибольший приоритет).




  1. Per AP Primary, Secondary и Tertiary controller

  2. Global Backup Primary/Secondary WLC


    • Эти параметры начинают работать только когда активирован FastHeartbeat Timeout.

    • Данная информация не сразу активируется на точке, а через какое то время. Она должна появиться в так называемом Backup WLС arrey.


  3. WLC Mobility Group Membership



    WLC Mobility Group Membership




Проведем тестирование, начиная с наименьшего приоритета, постепенно увеличивая его.

В нашем распоряжении есть точка доступа, подключенная к контроллеру vwlc2 (10.0.194.4), на котором настроен только Mobility Group member vwlc (10.0.193.4).



LAP1#sh capwap cli con
mwarName
mwarIPAddress 0.0.0.0
mwarName
mwarIPAddress 0.0.0.0
mwarName
mwarIPAddress 0.0.0.0
Configured Switch 1 Addr 10.0.193.4
Configured Switch 2 Addr 10.0.194.4


Далее выключаем все интерфейсы на vwlc2.



config port adminmode all disable


И смотрим за реакцией точки доступа.



*Mar 20 09:29:18.207: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.0.194.4:5246
*Mar 20 09:29:54.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.193.4 peer_port: 5246
*Mar 20 09:29:54.520: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.193.4 peer_port: 5246
*Mar 20 09:29:54.521: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.193.4


Без фазы Discovery точка доступа подключилась к 10.0.193.4, то есть к имеющемуся в памяти Mobility Group member.



Global Backup Primary/Secondary WLC



Теперь протестируем следующий по приоритету механизм — Backup Primary/Secondary WLC. Пропишем на контроллере vwlc2 адрес Backup Primary 10.0.191.4 (wlc2504), его нет в mobility group members.



config advanced backup-controller primary wlc2504 10.0.191.4


Посмотреть, как "спустились" данные настройки на точку, можно с помощью команды



LAP1#sh capwap cli ha
fastHeartbeatTmr disabled
primaryDiscoverTmr(sec) 120
primaryBackupWlcIp 10.0.191.4
primaryBackupWlcName wlc2504
secondaryBackupWlcIp 0.0.0.0
secondaryBackupWlcName
DHCP renew try count 0
Fwd traffic stats get 0
Fast Heartbeat sent 0
Discovery attempt 0
Backup WLC array:


Теперь выключаем все интерфейсы на подключенном контроллере. Подключение произошло на контроллер в той же самой mobility group (10.0.193.4). Это произошло, так как не были настроены FastHeartbeat Timeout. Настроим их.



config advanced timers ap-fast-heartbeat local enable 10


Проверим, что данная настройка "спустилась" на точку



LAP1#sh capwap cli ha
fastHeartbeatTmr(sec) 10 (enabled)
primaryDiscoverTmr(sec) 120
primaryBackupWlcIp 10.0.191.4
primaryBackupWlcName wlc2504
secondaryBackupWlcIp 0.0.0.0
secondaryBackupWlcName
DHCP renew try count 0
Fwd traffic stats get 12
Fast Heartbeat sent 12
Discovery attempt 0
Backup WLC array:
Index [3] System name wlc2504
Index [3] IP 10.0.191.4
Index [3] Aging Count 0


Видны значительные изменения: счетчик "Fast Heartbeat sent" и "Fwd traffic stats get" увеличивается, в Backup WLC arrey появился контроллер wlc2504 (он появляется не сразу, а через какое-то время, только после этого механизм начинает работать!)

Теперь выключаем все интерфейсы на подключенном контроллере.



*Mar 20 09:29:18.207: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.0.194.4:5246
*Mar 20 09:29:54.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.520: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.521: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.191.4


Теперь все работает, точка доступа подключилась к Backup Primary.



Per AP Primary, Secondary и Tertiary controller



Настроим Primary контроллер снова на vwlc — 10.0.193.4 и убедимся, что Backup Primary так же настроен.



LAP1#sh capwap cli con
mwarName wvlc
mwarIPAddress 10.0.193.4
LAP1#sh capwa cli ha
fastHeartbeatTmr(sec) 10 (enabled)
primaryDiscoverTmr(sec) 120
primaryBackupWlcIp 10.0.191.4
primaryBackupWlcName wlc2504
secondaryBackupWlcIp 0.0.0.0
secondaryBackupWlcName
DHCP renew try count 0
Fwd traffic stats get 32
Fast Heartbeat sent 32
Discovery attempt 0
Backup WLC array:
Index [3] System name wlc2504
Index [3] IP 10.0.191.4
Index [3] Aging Count 0


Теперь выключим контроллер.



*Mar 20 09:29:18.207: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.0.194.4:5246
*Mar 20 09:29:54.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.193.4 peer_port: 5246
*Mar 20 09:29:54.520: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.193.4 peer_port: 5246
*Mar 20 09:29:54.521: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.193.4


Как видно, точка доступа подключилась к Primary controller, проигнорировав настройку Backup Primary.



AP Fallback



Когда функция AP Fallback активирована ( закладка CONTROLLER->General), точка доступа может поменять контроллер даже в том случае, если связь с текущим контроллером не потеряна.

Это может произойти в следующих случаях.




  • Если на точке настроен Per AP Primary, Secondary и Tertiary controller и точка доступа не находится на одном из этих трех контроллеров. С Secondary точка доступа не будет переходить на Primary.

  • Если на контроллере настроен Global Backup Primary/Secondary WLC, на котором в свою очередь настроен режим Master Controller Mode.



Постараемся проверить оба варианта.

Точка доступа подключена к контроллеру vwlc2 (10.0.194.4), пропишем на контроллере Primary контроллер 2504(10.0.191.4) и посмотрим, что произойдет. Через какое-то время точка переключается самостоятельно на контроллер, при этом mobility members на обоих контроллерах не прописаны.



*Mar 20 09:29:18.207: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.0.194.4:5246
*Mar 20 09:29:54.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.520: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.521: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.191.4


Во втором случае пропишем на wlc2504 Master Controller Mode (все остальные настройки, а именно Global Backup Primary WLC, остались с проверки AP Failover. Через какое-то время точка доступа подключается к 10.0.191.4!



*Mar 20 09:29:18.207: %DTLS-5-SEND_ALERT: Send FATAL : Close notify Alert to 10.0.194.4:5246
*Mar 20 09:29:54.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.520: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.191.4 peer_port: 5246
*Mar 20 09:29:54.521: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.191.4

Original source: habrahabr.ru.

https://habrahabr.ru/post/325354/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

CAPWAP State Machine в реализации Cisco Unified Wireless: состояние Join

Четверг, 30 Марта 2017 г. 14:24 (ссылка)

После поиска точкой всеми доступными способами контроллеров, посылки им Discovery request, получении Discovery response, формируется список контроллеров (controller list), после чего решается, к какому контроллеру попробовать подключиться (послать Join Request).



Каким же образом точка доступа выбирает, к какому контроллеру подключиться?



CAPWAP Join Phase IPv4 (WLC Selection process) в Cisco Wireless AireOS



image



В Discovery response от контроллера возвращается следующая информация




  • Ap-Manager интерфейс контроллера (именно к нему подключаются точки доступа, это может быть один и тот же логический IP интерфейс, что и Management);

  • sysname контроллера;

  • тип контроллера;

  • количество подключенных точек (к AP-Manager интефрейсу) и свободная емкость контроллера (сколько еще точек доступа можно подключить);

  • флаг Master Controller Mode.



Точка доступа посылает Join Request в следующей очередности, последовательно (только тем, от которых получила Discovery response, то есть которые присутствуют в controller list):




  1. Точка доступа пытается послать Join Request контроллеру Primary Controller. Sysname в discovery response и прописанный на точке доступа должны совпадать!

  2. Если в сontroller list нет контроллера, который прописан как Primary, то точка доступа пытается послать Join Request следующему, Secondary Controller

  3. Если в controller list нет контроллеров, которые прописаны как Primary, Secondary, то точка доступа пытается послать Join Request контроллеру Tertiary.

  4. Контроллер с установленным флагом Master Controller Mode

  5. Если точке доступа не удалось подключиться на этапе 1-4, то она из оставшегося списка выбирает контроллер с наибольшей свободной ёмкостью. Тем самым, точки доступа балансируются между контроллерами (AP-Manager) интерфейсами контроллера(ов).



    Как можно настроить Primary, Secondary и Tertiary контроллеры, указано в предыдущей статье.

    Master Controller через CLI настраивается (по умолчанию этот режим выключен) с помощью команды

    config network master-base enable


    Через web интерфейс Master Controller можно настроить через закладку CONTROLLER->Advanced->Master Controller Mode





    В фазе Discovery не происходит какая либо проверка точек доступа. Но на этапе Join она присутствует.




    1. Точка доступа посылает Join Request, в котором присутствует X.509 сертификат.

    2. Контроллер проверяет сертификат точки доступа и посылает Join Response, в котором так же присутствует X.509 сертификат.

    3. Точка доступа проверяет сертификат контроллера.



    Если на каком-то этапе проверка не проходит, точка доступа пробует послать Join Request следующему по списку контроллеру.



    Для демонстрации фазы Join возьмем два контроллера: 2504 с 5 лицензиями, vwlc с 12 лицензиями. А так же в нашем распоряжении четыре точки доступа.



    Пропишем на точках доступа в NVRAM (с помощью Mobility members, заодно проверим, что они запоминаются), все два контроллера, перезагрузим их и посмотрим, как они распределились между контроллерами.



    LAP2#sh cap cli con
    Configured Switch 1 Addr 10.0.191.5
    Configured Switch 2 Addr 10.0.193.4


    По умолчанию, без каких либо настроек, все четыре точки доступа подключаются к контроллеру vwlc (он не является ни Primary, Secondary и Tertiary, ни Master Controller Mode, а проходит по последнему пункту "наибольшая свободная ёмкость"). Наибольшая свободная ёмкость, очевидно, считается по количеству свободных слотов для точек доступа (а не, к примеру, в процентах, иначе, хотя бы одна точка доступа подключилась бы к 2504).

    Далее, не меняя настроек, пропишем Master Controller Mode на 2504 и снова перезагрузим все точки доступа.



    config network master-base enable


    В результате все точки доступа подключаются к 2504, ни одна не подключается к vwlc, несмотря на то, что на ней очень много свободной ёмкости.

    Далее на контроллере последовательно пропишем Tertiary контроллер и перезагрузим, затем добавим Secondary и перезагрузим, затем Primary и перезагрузим. Каждый раз точка доступа подключается к наиболее приоритетному контроллеру.



    В процессе тестов выяснилось несколько интересных моментов (которые можно встретить, вероятно, только в лаборатории).




    1. Технически Master controller Mode можно прописать на нескольких контроллерах. Как в этом случае поступает точка доступа? Частично ответ я нашел в старом документе: "There should never be more than one WLC configured as a Master Controller." То есть в правильно настроенной сети такого быть не должно.




    2. У меня в наличии был старый контроллер 4402 с ПО 7.0 (выше он не поддерживает). В случае, когда я пытался балансировать точки между 4402 и vwlc точки доступа, если на них не было прописано ни Primary, Secondary и Tertiary, ни Master Controller Mode, всегда выбирали контроллер с той же версией ПО, что и на них ( балансировки по "свободной ёмкости" не было). Если на 4402 было прописано Master Controller Mode — точки доступа, несмотря на старую версию ПО, сразу переключались на него.

      Правильно настроенная сеть должна исключать оба этих варианта.



    В следующей статье речь пойдет о AP Failover и AP Fallback.

    Изначально данная статья была опубликована на сайте supportforums.cisco.com



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/325274/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Как хакеры атакуют корпоративный WiFi: разбор атаки

Четверг, 30 Марта 2017 г. 04:57 (ссылка)





Изображение: Manuel Iglesias, Flickr



Беспроводные сети являются неотъемлемой частью корпоративной инфраструктуры большинства современных компаний. Использование WiFi позволяет разворачивать сети без прокладки кабеля, а также обеспечивает сотрудников мобильностью – подключение возможно из любой точки офиса с целого ряда устройств. Определенное значение имеет и удобство клиентов компании, которым, например, необходимо использование высокоскоростного доступа в Интернет. Развернутая беспроводная сеть позволяет сделать это быстро и комфортно.



Однако небезопасное использование или администрирование беспроводных сетей внутри организации влечет за собой серьезные угрозы. В случае успешной реализации подобных атак на корпоративный Wi-Fi злоумышленники имеют возможность перехватывать чувствительные данные, атаковать пользователей беспроводной сети, а также получить доступ к внутренним ресурсам компании.



Разбор атаки: из гостевой сети в корпоративную



Получить ключ доступа к гостевому WiFi в большинстве организаций достаточно просто. Это обычная практика, удобство клиентов или посетителей – важный аспект бизнеса, но такое удобство зачастую создается в ущерб безопасности. Как показывает опыт работ по анализу защищенности, во многих случаях после подключения к гостевой сети может быть получен доступ к другим сетевым сегментам, в том числе к ресурсам ЛВС. Некоторые системы, к которым удавалось получить доступ из гостевой беспроводной сети организаций, представлены на рисунке Рисунок 1.







Рисунок 1. Доступ к ряду ресурсов ЛВС из гостевой беспроводной сети



Интересен тот факт, что сотрудники компаний сами регулярно используют гостевую сеть, не подозревая, что это небезопасно. Для гостевой сети не всегда используются механизмы шифрования. А если при этом точка доступа не изолирует пользователей между собой, то злоумышленник, получивший доступ к гостевой сети, может атаковать сотрудников компании, прослушивать их трафик и перехватывать чувствительную информацию, в том числе учетные данные для доступа к различным системам. Нарушитель может также сочетать данный недостаток с использованием поддельной точки доступа.







Рисунок 2. Отсутствие механизмов шифрования для гостевой сети







Рисунок 3. Доступ к рабочей станции сотрудника







Рисунок 4. Демонстрация возможности прямого обмена информации между клиентами гостевой корпоративной сети



Для повышения безопасности гостевой сети необходимо использовать режим изоляции пользователей точки доступа, запрет на использование гостевой сети сотрудниками компании, а также надежные механизмы шифрования (WPA2).



Где узнать о других атаках



Успешный взлом Wi-Fi позволяет не только перехватывать чувствительную информацию, атаковать других пользователей беспроводной сети, но и развивать атаку для получения доступа к внутренним ресурсам компании.



Выше мы рассмотрели лишь один пример возможной атаки на корпоративный WiFi, но их гораздо больше — Организация поддельных точек доступа, выход из гостевой Wi-Fi-сети в корпоративную, или эксплуатация уязвимостей небезопасных протоколов аутентификации и т.д.



В четверг, 30 марта в 14:00 в ходе бесплатного вебинара аналитик отдела аналитики информационной безопасности Positive Technologies Дмитрий Каталков разберет несколько показательных сценариев атак на корпоративный WiFi, которые встречались в 2016 году.



Участие в вебинаре бесплатное. Ссылка для регистрации www.ptsecurity.com/ru-ru/research/webinar/194213/
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/325226/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

CAPWAP State Machine в реализации Cisco Unified Wireless: состояние Discovery

Среда, 29 Марта 2017 г. 18:48 (ссылка)

Архитектура Unified Wireless Network предполагает централизованное управление всеми точками доступа (далее ТД) с единого интерфейса — контроллера беспроводной сети, на который точки доступа должны предварительно зарегистрироваться.



Для быстрого устранения неисправностей в беспроводной сети очень полезно понимание CAPWAP State Machine (последовательности перехода состояний) при взаимодействии точки доступа и контроллера. CAPWAP State Machine описан в стандарте RFC 5415 (CAPWAP Protocol Specification). В данной статье детально описаны состояния Discovery в реализации Cisco Unified Wireless. В последующих статьях будут описаны состояния Join, Failover и Fallback в реализации Cisco Unified Wireless.



CAPWAP Discovery Phase IPv4 в Cisco Wireless AireOS



image



Регистрация точки доступа на определенный контроллер состоит из следующих этапов:




  1. Discovery Phase (фаза обнаружения);


    • Точка доступа посылает CAPWAP Discovery Request всем известным контроллерам;

    • Каждый контроллер, получивший CAPWAP Discovery Request отвечает сообщением CAPWAP Discovery Response;


  2. Join Phase (фаза подключения)


    • Исходя из данных, собранных в СAPWAP Discovery Response пакетах, точка доступа выбирает, к какому контроллеруподключиться и посылает ему CAPWAP Join request

    • Контроллер проверяет точку доступа и посылает CAPWAP Join response

    • Точка доступа проверяет контроллер.






CAPWAP discovery request посылается на IP адрес Management интерфейса контроллера.

Чтобы точка доступа определила, куда посылать CAPWAP discovery request, предусмотрено несколько инструментов, но для начала работы механизмов поиска точке доступа необходимо получить IP адрес. Это можно сделать по DHCP или задать его вручную. Далее начинают работать механизмы поиска. Точка доступа посылает CAPWAP discovery request всем контроллерам, которые удалось обнаружить и формирует список контроллеров, из которого уже выбирает, к какому конкретному контроллеру подключиться (послать CAPWAP Join Request).




  1. ТД посылает широковещательный запрос третьего уровня (layer 3 local broadcast на адрес 255.255.255.255;

  2. ТД смотрит в локальный список контроллеров, хранящийся на NVRAM;

  3. ТД при запросе DHCP адреса смотрит в DHCP Option 43 в DHCP offer сообщении;

  4. Точка доступа пытается разрешить DNS имена CISCO-CAPWAP-CONTROLLER.local-domain или CISCO-LWAPP-CONTROLLER.local-domain



Работа механизмов CAPWAP Discovery Phase IPv4



Посмотреть текущие настройки ТД можно через консоль с помощью команды:

show capwap client config

Если на точке доступа были сделаны какие-то изменения, можно восстановить первоначальную конфигурацию, удалив private-config и настройки IP адреса.

clear capwap private-config

clear capwap ap ip address

clear capwap ap ip default-gateway

В текущих испытаниях всегда хватало команды clear capwap private-config, но в книге Deploying and Troubleshooting Cisco Wireless LAN Controllers автор рекомендует, чтобы ТД точно забыла все известные контроллеры, использовать команду erase /all nvram: для которой, в свою очередь, нужно активировать debugging/troubleshooting режим командой debug capwap console cli.

debug capwap console cli

erase /all nvram:

Далее перезагрузить точку доступа.

reload

После перезагрузки можно убедиться (если сервис DHCP не запущен), что пока точка доступа не получила IP адрес, она не может начать Discovery Phase:

%CAPWAP-3-ERRORLOG: Not sending discovery request AP does not have an Ip !!

%CAPWAP-3-DHCP_RENEW: Could not discover WLC using DHCP IP. Renewing DHCP IP.

Для того, чтобы начать Discovery Phase, точке доступа нужно выдать адрес по DHCP или задать статически через консоль с помощью команд:

capwap ap ip address ip mask

capwap ap ip default-gateway ip



1) Layer 3 local broadcast



Точка доступа посылает широковещательный Discovery request на адрес 255.255.255.255 по UPD порту 5246. Discovery request обрабатывается Management интерфейсом контроллера. Если Management интерфейс контроллера и интерфейс ТД находятся в одном VLAN, то контроллер обработает этот запрос и отправит Discovery response.

После того, как точке доступа получает адрес, она активирует все возможные механизмы поиска и в результате получает Discovery response благодаря широковещательной рассылки Discovey request.



%DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.0.191.7, mask 255.255.255.0, hostname AP001b.d542.1d2c
AP001b.d542.1d2c#
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (255.255.255.255)
AP001b.d542.1d2c#
*Dec 28 02:26:04.306: %CAPWAP-3-ERRORLOG: Did not get log server settings from DHCP.
Translating "CISCO-LWAPP-CONTROLLER"...domain server (255.255.255.255)
*Dec 28 02:26:13.307: %CAPWAP-3-ERRORLOG: Could Not resolve CISCO-CAPWAP-CONTROLLER
*Dec 28 02:26:22.308: %CAPWAP-3-ERRORLOG: Could Not resolve CISCO-LWAPP-CONTROLLER
*Dec 28 02:26:32.309: %CAPWAP-3-ERRORLOG: Go join a capwap controller
*Mar 16 10:18:26.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.0.191.4 peer_port: 5246
*Mar 16 10:18:28.500: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 10.0.191.4 peer_port: 5246
*Mar 16 10:18:28.502: %CAPWAP-5-SENDJOIN: sending Join Request to 10.0.191.4


Теперь попробуем поместить точку доступа в другой VLAN, предварительно обнулив её конфигурацию. Подключения не происходит.



*Dec 28 01:55:27.942: %DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.0.192.3, mask 255.255.255.0, hostname AP001b.d542.1d2c
Translating "CISCO-CAPWAP-CONTROLLER"...domain server (255.255.255.255)
*Dec 28 01:55:32.817: %CAPWAP-3-ERRORLOG: Did not get log server settings from DHCP.
Translating "CISCO-LWAPP-CONTROLLER"...domain server (255.255.255.255)
*Dec 28 01:55:41.817: %CAPWAP-3-ERRORLOG: Could Not resolve CISCO-CAPWAP-CONTROLLER
*Dec 28 01:55:50.818: %CAPWAP-3-ERRORLOG: Could Not resolve CISCO-LWAPP-CONTROLLER*Dec 28 01:56:36.324: %CAPWAP-3-DHCP_RENEW: Could not discover WLC using DHCP IP. Renewing DHCP IP.


Широковещательный запрос не попадает на Management интерфейс контроллера, так как точка доступа находится в другом VLAN.

В этом случае можно принудительно перенаправить широковещательных запрос на Management интерфейс контроллера. Для этого необходимо активировать перенаправление широковещательного трафика именно по UDP порту 5246 с помощью команды

forward-protocol udp 5246

и на интерфейсе третьего уровня прописать

ip helper-address [адрес контроллера]

В конфигурации коммутатора это выглядит так:

CAT2(config)#ip forward-protocol udp 5246

CAT2(config)#int vlan 192

CAT2(config-if)#ip helper-address 10.0.191.4

Тогда широковещательный запрос так же попадет на контроллер и точка подключится к контроллеру.



2) Локальный список NVRAM



Точка доступа смотрит в собственный список контроллеров, который хранится в энергонезависимой памяти NVRAM. В NVRAM хранится следующая информация.

Primary, Secondary и Tertiary контроллер, сконфигурированный предварительно на точке доступа. Эти настройки могут быть заданы как на самой точке доступа через CLI, так и, в случае если точка доступа подключена к контроллеру, через контроллер ( через CLI или web).

Последний подключенный контроллер и его Mobility Members в той же группе. По поводу этой части в документации есть небольшие расхождения, про которые будет рассказано ниже в соответствующем разделе.



Primary, Secondary и Tertiary контроллер



На точке доступа данные об контроллере можно задать двумя командами. Одна из них — capwap ap controller ip address.



AP001b.d542.1d2c#capwap ap controller ip address 10.0.191.4
*Dec 28 01:57:11.888: %CAPWAP-3-ERRORLOG: Go join a capwap controller


Действие этой команды отображается в двух выводах:



AP001b.d542.1d2c#sh capwap ip config
LWAPP Static IP Configuration
IP Address 10.0.192.102
IP netmask 255.255.255.0
Default Gateway 10.0.192.1
Primary Controller 10.0.191.3


AP001b.d542.1d2c#sh capwap cli con 
...
mwarName
mwarIPAddress 10.0.191.4


То есть с одной стороны контроллер его прописывает в конфигурацию статического IP, с другой стороны, он его прописывает как Primary. Если хитрыми манипуляциями оставлять или в одном месте или в другом, то все равно происходит подключение к данном контроллеру.

Primary, Secondary или Tertiary на точке доступа можно задать с помощью команд:

capwap ap primary-base [wlc_sysname] [IP];

capwap ap secondary-base [wlc_sysname] [IP];

capwap ap tertiary-base [wlc_sysname] [IP];



AP001b.d542.1d2c#capwap ap primary-base wlc2504 10.0.191.4
*Dec 28 01:57:44.901: %CAPWAP-3-ERRORLOG: Selected MWAR 'wlc2504'(index 0).
*Dec 28 01:57:44.901: %CAPWAP-3-ERRORLOG: Go join a capwap controller
AP001b.d542.1d2c#sh capwap client config
..
mwarName wlc2504
mwarIPAddress 10.0.191.4


Не обязательно указывать Primary, можно указать только Secondary:



AP001b.d542.1d2c#capwap ap secondary-base wlc2504 10.0.191.4
*Dec 28 01:57:04.097: %CAPWAP-3-ERRORLOG: Selected MWAR 'wlc2504'(index 1).
*Dec 28 01:57:04.097: %CAPWAP-3-ERRORLOG: Go join a capwap controller


Primary, Secondary, Tertiary контроллеры можно так же прописать не только через консоль точки доступа, но и через CLI или web интерфейсе контроллера (если точка уже подключена к какому-то контроллеру).

(Cisco Controller) >config ap secondary-base wlc2 AP001b.d542.1d2c 10.0.191.5



AP001b.d542.1d2c#sh capwap cli con
..
mwarName wlc2
mwarIPAddress 10.0.191.5


Последний подключенный контроллер и его Mobility Members в той же группе.



Как было описано выше, по данному пункту есть небольшие расхождения. К примеру




  • в Configuration Guide на версию ПО 8.0 не написано про это, только про Primary, Secondary или Tertiary контроллеры, так же, как и в Troubleshooting Technote

  • если посмотреть другой Troubleshooting Technote и ранее упомянутую книгу "Deploying and Troubleshooting Cisco Wireless LAN Controllers", то там написано про то, что в NVRAM хранится информация о последнем подключенном контроллере и его Mobilibty Members в той же группе.

  • еще в одном документе написано, что точка доступа забывает при перезагрузке всю информацию о mobilibty members, но помнит последний подключенный контроллер: "Remember that the AP forgets the mobility members across reboots."

    Для начала, с помощью тестов, я постарался выяснить, действительно ли при перезагрузке точка доступа забывает о всех mobility members.



Mobility members отображаются в стройках "Configured Switch Х" вывода show capwap client config:



AP001b.d542.1d2c#sh capw cli con
...
Configured Switch 1 Addr 10.0.191.4
Configured Switch 2 Addr 10.0.193.4


Предварительно точки доступа были помещены в изолированный VLAN и все механизмы Discovery, кроме как через NVRAM исключены ( в том числе Primary, Secondary и Tertiary). Тесты проводились на ПО 8.0.140.0 (15.3(3)JA10).

Точка доступа подключалась к контроллеру 10.0.193.4, на котором в той же Mobilibty Group был прописан контроллер 10.0.191.4. При перезагрузке точка доступа подключалась к контроллеру 10.0.191.4 (точка находилась в другом VLAN и broadcast discovery не мог работать).

То есть в данных тестах все же подтверждалась информация из заголовка: точка доступа по крайней мере в данной версии ПО хранит в NVRAM информацию о mobility members той же группы и посылает им discovery request.

Последний контроллер, к которому подключена точка доступа, технически так же является mobility member той же группы. При тестах точка доступа сохраняла данные о последнем подключенном контроллере в записи "Configured Switch 1".



3) DHCP Option 43



Наиболее часто используемым в инсталляциях способом является передача адреса контроллера в 43-й опции DHCP offer пакета, вместе с IP адресом.

Адрес контроллера записывается следующим образом (в шестнадцатиричной форме):

f1[количество контроллеров * 4][IP адрес контроллера(ов)]

К примеру для контроллеров 10.0.191.4 и 10.0.191.5 опция 43 выглядит следующим образом:

f1080a00bf040a00bf05

Для коммутатора синтаксис выглядит так:

CAT2(dhcp-config)#option 43 hex f108.0a00.bf04.0a00.bf05

Вывод с точки доступа:



*Dec 28 01:56:13.045: %DHCP-6-ADDRESS_ASSIGN: Interface BVI1 assigned DHCP address 10.0.192.2, mask 255.255.255.0, hostname AP001b.d542.1d2c
*Dec 28 01:56:23.945: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.0.191.4 obtained through DHCP
*Dec 28 01:56:23.945: %CAPWAP-5-DHCP_OPTION_43: Controller address 10.0.191.5 obtained through DHCP
*Dec 28 01:56:51.950: %CAPWAP-3-ERRORLOG: Go join a capwap controller


Если настроить только опцию 43, то в данном случае она будет возвращаться всем без исключения, не только точкам доступа.

Если требуется, чтобы эта опция возвращалась только точкам доступа Cisco, то существует возможность проверки VCI (Vendor class identifier) в DHCP discover. Каждая модель точки доступа передаёт определенный VCI в DHCP discover. Если на DHCP сервере прописать Option 60 с соответствующим VCI, то опция 43 будет выдаваться только тем клиентам, которые в запросе передают точно такой же VCI.

Идея состоит в том, чтобы не передавать 43-ю опцию тем, кому это не надо. Но тут есть и другой момент. Если в одном пуле присутствуют точки доступа двух разных серий, не все DHCP серверы поддерживают возможность задания нескольких VCI, это необходимо предварительно проверить.



4)DNS



очка доступа пытается разрешить DNS имена CISCO-CAPWAP-CONTROLLER.local-domain или CISCO-LWAPP-CONTROLLER.local-domain

Для этого на точке доступа ( в пуле DHCP) необходимо прописать DNS сервер и домен. Настраиваем соответствующим образом DNS сервер.

CAT2(dhcp-config)#dns-server 10.0.191.8

CAT2(dhcp-config)#domain test.local

После получения адреса контроллер может разрешить имя и использовать IP адрес в Discovery Phase.



Translating "CISCO-CAPWAP-CONTROLLER.test.local"...domain server (10.0.191.4)
[OK]


После поиска всеми возможными способами контроллеров, посылки им Discovery request, получении Discovery response, формируется список контроллеров, на основании которого решается, к какому контроллеру попробовать подключиться ( послать Join Request).


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/325196/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Коммуникации для всех: новинки Grandstream Networks

Пятница, 24 Марта 2017 г. 13:35 (ссылка)

https://habrahabr.ru/post/324782/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
colombina_vale

Как узнать пароль wifi

Четверг, 23 Марта 2017 г. 07:08 (ссылка)
https://chaynikam.net/view_...php?id=152

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<wi-fi - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda