시스코 wips 소개자료


• 무선랜 공격은 다른 국가의 해커 등 원격지에서 이루어지는 공격이 아니라, 무선랜의 서비스를 받는 지역, 근거리에서이루어지는 공격임

Layer 3 ~ 7 보안솔루션으로 위협 차단

WIPS 솔루션으로 위협차단

위협 차단 솔루션

회사 무선 네트워크

Internet

중국 해커

데이터 무단 취득Malware 배포

무선 보안 공격이 아님

회사 무선 네트워크

임직원 PC 해커 PC

다양한 무선 공격 무선 보안 공격은 해커가무선 네트워크 서비스지역에서 하는 공격임

공격 유형


Denial of Service

DENIAL OFSERVICE

Service disruption

Ad-hoc Wireless Bridge

Client-to-client backdoor access

HACKER

Rogue Access Points

Backdoor network access

HACKER

Evil Twin/Honeypot APHACKER’S

AP

Connection to malicious AP

Reconnaissance

Seeking network vulnerabilities

HACKER

Cracking Tools

Sniffing and eavesdropping

HACKER

Non-802.11 Attacks

Backdoor access

BLUETOOTH AP RADARRF-JAMMERSBLUETOOTHMICROWAVEService disruption

Cisco WIPS Solution

으로 탐지/차단

Cisco CleanAir로탐지/차단


NMSP

Controller

ELM Mode AP

PI

WIPSMode AP

Mobility Services Engine

wIPS (Monitor) Mode AP

Controller

MSE (Mobility Services Engine)

PI (Prime Infrastructure)

Cisco Adaptive WIPS 구성요소별 기능

• 24x7 채널 스캐닝을 통한 공격 Detection 및 Forensic (패킷 캡쳐) 기능

• 로그 AP / 클라이언트 무선 차단 (Deauth 패킷 전송)

• 모니터 모드 및 ELM 모드 AP에 대한 설정/제어/관리

• WIPS AP의 공격정보를 MSE로 전달

• 기본 17개의 Signature 제공

• AP의 공격정보 / Forensic 파일을 컨트롤러를 통하여 취합 저장

• 로그 AP/클라이언트/Attacker에 대한 위치 정보 제공

• 기본 컨트롤러 Signature 이외에 추가 Signature 제공 (45개)

• WIPS 서비스 관련 설정 및 모니터링

• SPT (SwitchPort Tracing) 기능 제공

• WIPS 관련 리포팅

Adaptive wIPS

Configuration Flow

Alarm Detection Flow


WIPS 모드 AP

Aironet 1140 Aironet 1600 Aironet 3500

Aironet 2600 Aironet 3600

단독형 컨트롤러 모듈형 컨트롤러

클라우드형 컨트롤러

WLC5508

WLC2500

ISR G2 Module

WiSM2 Module

Flex7500

컨트롤러

• 외장형, 내장형 AP 등 다양한 센서 AP 포트폴리오 보유

• 다양한 안테나 (Omni, Directional, Yagi 등) 로 다양한 커버리지설계 가능

• 센서 AP 수의 따라 단독형, 모듈형, 클라우드형 등 다양한포트폴리오 제공

• 컨트롤러 모델에 따라 지원 센서 AP 수량 상이

Security module for AP 3600


Prime Infrastructure MSE (Mobility Service Engine)

• 하드웨어 어플라이언스, Virtual Appliance형 제공

• WIPS 관련 알람/모니터링/레포팅 등 제공하는 관리 플랫폼

• 하드웨어 어플라이언스, Virtual Appliance형 제공

• WIPS 관련 서비스 / 위치 추적 서비스 제공 플랫폼

License(Context-Aware & aWIPS)

Hardware

Virtual Appliance

Application & Components

OS


OS ApplianceType

Software

UCS Server(ESXi)

Hardware

Virtual Appliance


OS ApplianceType

Software

UCS Server(ESXi)

License(Context-Aware & aWIPS)


OS


• 3600 AP에 삽입 되어 Security와 스펙트럼 관련 역할을 수행하는 모듈

• 모니터 모드 장점 (각 채널당 긴 스캐닝 시간) 과 로컬 모드의 장점 (비용적 측면– 케이블 비용 감소, 컨트롤러/PI상 AP 라이선스 수 감소) 이 결합된 제품

• 모듈에 안테나 내장 (0 x 4 MIMO, 2.4GHz와 5GHz XOR 디자인)

• 송신 안테나가 없기 때문에 Security 모듈 자체에서 Containment / RLDP 기능지원 불가

• 아래 해당하는 보안 및 모니터링 관련 역할을 Security 모니터 모듈에서수행함으로 데이터 서비스 영향 최소화

ü CleanAir Technology

ü Basic wIPS (Detection) and Adaptive wIPS

ü Location-Context Aware

ü Radio Resource Management

• Security 모니터 모듈 사용시 802.3af 지원 불가

à EPoE / PoE+ 필요, 혹은 파워 어댑터를 사용하여 필요 전원 공급 가능


Monitor Mode APData Serving Monitor Mode

ELMSingle Data and WIPS AP

Security Monitor ModuleAP 3600 with Security Module

• 세가지 구축 모델: ELM, Monitor Mode AP, Security Monitor module

• 데이터를 서비스하는 AP가 센서역할까지 담당

• 데이터 서비스 하는 AP와는별도로 센서 AP 구축

• 하나의 AP 내에 AP는 데이터서비스 담당, Security 모듈은센서 역할 담당


ELM Monitor Mode3600 AP (Security 모듈탑재)

AP 구축 Ratio 1:1 1:5 이상 2:5 이상

로그 탐지 효율성

해당 AP가 서비스하는 채널에대하여 빠른 탐지 가능비 탐지 채널에 대해서 탐지시간 증가

해당 AP 서비스 채널 이외에모든 채널에 대한 빠른 탐지가능

해당 AP 서비스 채널 이외에모든 채널에 대한 빠른 탐지가능

로그 차단 시 데이터서비스 영향

로그 차단 시 AP가서비스하는 데이터 서비스에영향 존재

모니터 모드만 차단에참여하게 설정한 경우 데이터서비스에 영향 없음

로그 차단 시 AP가서비스하는 데이터서비스에 영향 존재

성능 향상을 위한 모니터링기능 Off-load 여부

미지원 미지원 지원

aWIPS Signature 지원여부

지원 지원 지원

GoodGood BetterBetter BestBest


1단계로그 탐지

2단계로그 분류

3단계로그 차단

• WIPS AP에서 무선 시스템 Beacon 혹은 Probe Response 프레임을 통하여 주변 AP 및 클라이언트 탐지

• RF group가 다를 경우 혹은 동일 Mobility Group에 있지 않은 경우 로그 AP로 판단

• 해당 로그 AP에 접속된 로그 클라이언트 탐지

• 다양한 기준 (RSSI, SSID, 암호화 여부, 클라이언트 접속 여부) 에 따른 규칙 생성

• 해당 규칙에 의거 Malicious, Friendly, Custom으로 분류

• 로그 AP가 내부 네트워크와 유선으로 연결되어 있는지, 연결되어 있으면 어떤 포트에 연결되어 있는지 판단

• 로그 클라이언트 / 로그 AP에 De-authentication 패킷 전송하여 로그 클라이언트와 AP간 접속 차단

• 연결되어 있는 스위치포트 차단

• 로그 AP / 로그 클라이언트에 대한 위치 추적


로그 탐지 방식 비교 – 로컬 모드 AP vs 모니터 모드 AP

로컬 모드 AP 모니터 모드 AP

• 클라이언트 데이터 서비스를 하면서 Time-sling 방식으로 스캐닝

• 각 채널당 50ms 만큼 스캐닝

• 모든 채널, DCA 채널, 해당 도메인 채널 스캐닝 하도록 설정 가능

[ 210sec / 13 channel = 약 16s ]

• 210초 기준 각 채널 당 약 50ms 스캐닝 수행

• 클라이언트 데이터 서비스 없이 스캐닝 역할만 담당

• 각 채널당 1.2s 만큼 스캐닝

• 모든 채널 스캐닝

[ 210sec / 13 channel = 약 16s ]

• 210초 기준 채널당 약 16s 스캐닝 수행

1 2 1 3 1 4 1 5 1 6 1

16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s

…

50ms

10ms 10ms

AP on channel 1 - 802.11 b/g/n

10ms 10ms

1 2 3 4 5 6

1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s

7 9 10 118 …

1.2s

모든 채널 스캐닝 - 802.11 b/g/n


로그 AP 분류

낮은 위협 수준 높은 위협 수준

§Off-Network

§인증 사용

§외부 SSID 사용

§RSSI 신호 감도 약함

§접속 클라이언트 없음

§On-Network

§인증 미사용

§내부 SSID 사용

§RSSI 신호 감도 강함

§접속 클라이언트 존재

로그 분류 예시

로그 AP 유선 연결 Malicious – Critical

로그 AP에 자사

Client 연결Malicious – Critical

Off-Network + 높은

RSSI 값 + 다른 SSIDMalicious – Major

Off-Network + 낮은

RSSI 값 + 다른 SSIDFriendly - low

확인된 인접 SSID +

낮은 RSSI 값Friendly - Info

• 로그 AP를 RSSI, 사용 SSID, 인증 사용 여부, 접속 클라이언트 유무에 따라 규칙 생성

• 생성된 규칙에 따라 Malicious, Friendly, Custom (7.4 추가 기능) 으로 분류


로그 AP 유선 네트워크 연결 여부 판단

• Cisco WIPS는 에서는 RLDP (Rogue Location Discovery Protocol), Rogue Detector mode AP, SwitchPort Tracing의 세가지방법을 통하여 로그 AP가 유선 네트워크에 연결되어 있는지 판단

Network Core

Distribution

Access

SiSi

SiSi

SiSi

Rogue AP

RogueAP

PrimeInfrastructure

Wireless LANController

RogueDetector

RRM Scanning

Rogue AP

RLDP

WIPS AP

Switchport Tracing

RLDP (Rogue Location Discovery Protocol)

• 내부 AP가 로그 AP에 클라이언트에 연결하여 컨트롤러로 패킷전송하여 전송이 이루어지면 내부 네트워크 연결된 것으로 간주

• 로그 AP가 암호화되어 있을 경우 사용 불가

Rogue Detector 모드 AP

• 전용 로그 디텍터 모드 AP가 유선단의 모든 ARP packet에대하여 sniffing 수행, 로그 클라이언트의 MAC 주소가 유선 ARP 패킷에서 발견되면 내부 네트워크 연결된 것으로 간주

• 로그 AP가 NAT 되어 있을 경우 사용 불가

SPT (SwitchPort Tracing)

• 스위치의 CAM table의 로그 AP의 MAC이 있는지 확인하는방법

• Cisco 스위치 사용시에만 가능


유선 네트워크 연결여부 판단 - Rogue Detector AP

• 모든 로그 AP / 클라이언트의 ARP를 Sniffing

• 컨트롤러는 로그 클라이언트의 MAC 주소를 무선스캐닝을 통하여 인지

• 컨트롤러에서 로그 디텍터 AP에 Query 전송

무선 스캐닝을 통해 탐지된 로그 클라이언트 MAC 주소와 동일 MAC이 ARP Sniffing을 통해발견되었는지 확인

Rogue APAuthorized AP

L2 Switched NetworkTrunk Port

Rogue Detector

Client ARP

0009.5b9c.8768

0021.4458.6652

> debug capwap rm rogue detectorROGUE_DET: Found a match for rogue entry 0021.4458.6652ROGUE_DET: Sending notification to switchROGUE_DET: Sent rogue 0021.4458.6652 found on net msg

• 로그 디텍터 모드 사용시 모든 라디오는 비활성화 됨

• 로그 디텍터 모드는 스위치와 Trunk로 연결

• 로그 AP가 NAT된 경우 탐지 불가

Rogue Detector 동작방식


유선 네트워크 연결여부 판단 - RLDP (Rogue Location Discovery Protocol)

Rogue APManaged AP

Controller

Routed/Switched NetworkSend Packet

to WLC

Connect asClient

• 내부 AP가 서비스하는 클라이언트의 접속을 끊고, 로그 AP에 클라이언트로 접속

• WLC에 패킷 전송

• WLC에서 해당 패킷 수신 시, 로그 AP가 유선네트워크에 연결된 것으로 판단

RLDP 동작방식

• 로그 AP에 암호화 설정된 경우 탐지 불가

RLDP 사용 시, 데이터 서비스에 영향 없도록 Monitor mode AP로 설정 권고


유선 네트워크 연결여부 판단 - SwitchPort Tracing

• Cisco WIPS는 에서는 RLDP (Rogue Location Discovery Protocol), Rogue Detector mode AP, Switchport Tracing의 세가지방법을 통하여 로그 AP가 유선 네트워크에 연결되어 있는지 판단

• 로그 AP를 탐지한 센서 AP에서 CDP Neighbor를 통해 연결된 스위치의CAM table에서 아래사항에Match되는 MAC이 있는지 확인

• 미 발견시 연결된 다른 스위치에동일한 방법으로 확인

• 해당 조건 만족시 유선 네트워크에연결된 것으로 판단

Rogue APManaged AP

CAM Table

22

PI

CAM Table

33

Show CDPNeighbors

11

MatchFound

SPT Matches On:Rogue Client MAC AddressRogue Vendor OUIRogue MAC +1/-1Rogue MAC Address

SPT 동작방식


로그 클라이언트 내부 사용자 여부 판단

• 내부 사용자의 외부 AP로의 접속 후 데이터 유출 방지를 위해, 로그 클라이언트가 내부 사용자 여부 판단 필요

• 내부 컨트롤러 접속 후 외부 AP 접속 시 내부 사용자로 판단

• AAA 서버에 내부 사용자의 MAC을 등록하고 로그 클라이언트 탐지 시 AAA 서버에 Query를 통해 내부 사용자 여부 판단

모든 내부 단말의 MAC 주소를 수동으로 AAA 서버에 등록시켜 줘야 하기 때문에 관리적 효율성 저하

• 내부 무선에 한번이라도 접속한 사용자를 일정 기간동안 MSE에 저장 후 로그 클라이언트 탐지 시 MSE에 Query를 통해내부 사용자 여부 판단 (8.0 추가 기능)

• 자동 차단 기능과 같이 설정 시 내부 사용자가 외부 AP로 접속하는 것 미연에 탐지


로그 AP 차단 방식 – 무선 Containment

• 로그 AP의 MAC 주소를 Spoofing 하여 De-authentication (or Dis-association) 프레임을 전송하여 로그클라이언트가 로그 AP로 부터 접속을 하지 못하도록방지하는 방식

• 모니터모드, 로컬모드, FlexConnect 모드에서 가능(로컬모드/FlexConnect 모드에서 사용시 데이터 서비스성능에 영향)

Rogue APAuthorized AP

Rogue Client

로컬 모드 AP와 모니터 모드 AP 차단 방식 비교

로컬 모드

Broadcast and Unicast Deauth frames500ms 마다 프레임 전송

모니터 모드

Unicast Deauth and Unicast Disassociation Frames100ms 마다 프레임 전송


• 차단에 참여하는 AP숫자에 대해, 최적의 차단효과를 낼수있도록 다이나믹한 최적 AP설정

이전까지는 자동차단에 참여하는 AP의 숫자를 수동으로 1~4대까지 선택하기로 되어 있으나, 8.0부터는 Auto 설정이추가됨

• 차단 트래픽이 비인가 AP와의 거리(RSSI)에 따라 동적으로 최대 속도로 맞춰 차단

기존의 차단 트래픽은 Lowest Mandatory Data rate (기본값은 1Mbps)만을 사용하므로 차단트래픽이 늘어날 경우, 네트워크에 부담을 줌

가까운 거리에서 발견된 비인가 디바이스의 경우, 높은 데이타레이트를 사용하므로 네트워크의 부담은 1/n 로 줄어듬. (최대네트워크 부담은 1/10로 줄이면서, 차단 성능은 끌어올림.)

config rogue auto-contain level <level>

로그 차단에 의한 네트워크 부하를 줄이는 최적의 메커니즘


로그 AP 차단 방식 – 자동 차단

• 4가지 옵션에 대한 자동 차단 기능 제공

로그 AP 유선 네트워크 연결, 내부 SSID와 동일 SSID 사용, 내부 사용자가 로그 AP에 접속 되어 있을 때, AdHoc 로그 AP

• 사용자 정의 룰에 의한 자동 차단 (7.4 New Feature)

무선 서비스에 대한 영향을 없애기 위해모니터 모드 AP만 자동 차단에

참여하도록 설정 가능.


• Auto MAC learning of valid clients connected to rogue AP

• 인증서버 수동 등록과정 불필요한 Zero Touch 자동 차단

• 7.4 버전까지는 비인가AP에 접속한 사용자 단말의 파악을 위해서 인증서버에 단말장치의 MAC주소를사전등록할 필요가 있었으나, 8.0부터는 MSE의 내장 DB를 이용, 성공적으로 인증, 접속한 내부 직원의MAC주소가 자동등록됨. Auto-Contain on valid client 의 기능과 함께 적용시, 내부직원의 비인가AP 접속확인이 자동차단 동작

• 일단 MSE에 등록된 단말의 경우,

이후 7일동안 DB에 등록 정보가 유지

config rogue client mse enable/disable

PI / MSE필요

로그 AP 차단 방식 – 내부 직원의 로그 AP 접속에 대한 Zero-Touch 차단


• Custom Rogue Rule Type 추가

• 기존 버전에서 지원하는 사용자 정의 룰 기반 탐지에 차단 옵션 추가

• 특정 룰에 의한 자당 차단 가능으로 유연한 차단 정책 제공

EX) SSID가 xxxx인 경우 자동 차단

SSID가 xxxx이면서 RSSI 값이 -60dBM인 경우 자동 차단

Rule Type Notify / Action Custom Severity

Friendly • Alert• Internal• External

No

Malicious • Alert• Contain

No

Custom • Alert• Contain

Yes(1…100)

Step1: Create Rogue Rule withContainment Action

Step2: Filtered Rogue list will be automatically contained

로그 AP 차단 방식 – 사용자 정의 룰에 의한 자동 차단


로그 AP 차단 방식 – 스위치 포트 차단

• Prime Infrastructure에서 Switchport Tracing을 통해 어떤 스위치 / 어떤 포트에 로그 AP가 연결되어 있는지 확인하고 해당포트를 원격지에서 Disable 시킴으로 로그 AP 차단

Number of MACsfound on the port.

Match TypeUncheckto Shut the Port

PI 필요


Signature 기반의 무선 보안 공격 탐지

• 무선 보안 공격은 크게 무선 서비스를 방해하는 DoS (Denial of Service) 공격과 내부 침입을 목적으로 하는 Security Penetration 공격으로 나뉨

• 시스코는 무선 보안 공격 관련 Signature를 제공하여 해당 무선 공격 탐지 가능

• Signature는 컨트롤러 혹은 MSE를 통해 제공

• 탐지 뿐만 아니라 해당 공격에 대한 Containment, Immune, Blacklisting 등 방어 기능 제공 (8.0 New Feature)

• 무선 보안 공격 탐지 Mechanism은 Base IDS와 Adaptive wIPS로 나뉨

• Controller 자체 제공 Signature와 AP의 조합만으로 제공

• 모니터 모드 / 로컬 모드 / FlexConnect 모드에서 제공

• 기본 17개의 Signature 제공

Base IDS Adaptive WIPS

• Controller와 AP 이 외에, MSE와 PI 필요

• WIPS 모니터 모드 / Enhanced Local mode (ELM) AP 사용

• 45개의 Signature 제공

• Signature 관련 Description 및 Forensic 기능 제공


Adaptive wIPS 장점 – Correlation 기능

Base IDS Adaptive WIPS

WCS

AP

WLC

WCS

AP

WLC

MSECorrelation 기능이없어 하나의 공격을탐지한 여러대의AP가 각각 다른공격으로 보고함

하나의 공격에 대한다수의 알람 발생

여러대의 AP가 하나의공격에 대하여 각각보고 하더라도MSE에서 하나의알람으로 Correlation 시킴

PI / MSE필요


Adaptive wIPS 장점 – 증가된 Signature & 알람 정보 이력 제공

Base IDS

Adaptive WIPS

• aWIPS는 wIDS의 기본 17개 보다 많은 45개 Signature 제공

SOAP/XML

PI ReportsMSE

Alarm Database

• 최대 6만개 알람 정보 저장

• WIPS 관련 다양한 리포팅 제공

wIPS ‘Alarm List’ Report - Historic reporting of attacks

wIPS ‘Top 10 AP’ Report - Identifying ‘hot zones’ of attack

알람 정보 이력 제공

PI / MSE필요


Adaptive wIPS 장점 – 무선 공격 및 침투 시 Signature 기반 자동 차단 제공

종류 자동 차단 기법

SoftAP or HostAP Rogue AP (or client) Containment

Airsnarf Detected Rogue AP (or client) Containment

Honeypot Rogue AP Containment

Hotspotter Rogue AP Containment

Karma Rogue AP Containment

Device Broadcasting XSS SSID

Rogue AP Containment

종류 자동 차단기법

Suspicious After Hours traffic Per wlan

Fake DHCP Server Blacklisting

Unauthorized Association by vendor list

Blacklisting

Blacklisting 방식 차단De-auth 기반 차단

종류

Re-Association Request Flood

If the association frame parsing fails in Controller, it will drop the frame so that real client is not impacted

프레임 드랍 방식 – Auto Immune

• WIPS 자동차단이 비인가AP에 대해서만이 아니라 외부 공격탐지시 이에대한 자동 차단작업 수행 가능

PI / MSE필요


Adaptive wIPS 장점 – Forensic (Packet Capture) 기능 제공

• 무선 보안 공격 발생 시, 해당 Signature 관련 초기 Packet을 자동 Capture 하여 MSE에 저장

• PI에서 Wireshark를 통해 접속하여 사후 분석을 위한 툴로 사용

PI / MSE필요


Adaptive wIPS 장점 – Forensic (Packet Capture) 기능 제공

• 글로벌 포렌직 기능은 언제든지 관리자가 패킷캡춰를 시작할 수 있도록 함.

• 캡춰된 패킷은 NCS의 FTP 서버에 저장되며, UI에서 다운로드 가능.

PI / MSE필요


로그 위치 추적

• 무선 클라이언트 위치 추적과 같이, 로그 AP / 로그 클라이언트 / AdHoc 클라이언트 위치 추적 가능

• 로그 위치 이력 저장하여 위치 이동 정보 확인 가능

• Prime Infrastructure와 Location Service 라이선스가 활성화된 MSE 필요PI

PI / MSE필요


• 로그 AP의 출력 파워 / 접속되어 있는 클라이언트수에 따라 Rogue Impact Zone 표시

ü Radius of Zone: 로그 AP 출력 파워에 의해 결정됨

ü Color of Zone: 로그 AP와 연결된 클라이언트 수에 따라 결정됨

PI / MSE필요


• 무선 보안 공격을 발생 시키는 Attacker에 대한 위치 추적하여 Map 상에 표시 (인프라 기반 A 벤더 대비 우위 사항)

PI / MSE필요


• 화면상에서 공격 유형, 종류별로 필터링 해서 표시가능

• AP의 MAC Spoofing 을 통해 공격을 시도하는 AP MAC Spoofing 공격자에 대한 위치표시

• 공격자(Attacker), 공격 타겟(Victim) 및미확인(Unknown) 장치에 대해 각기 다른 Icon을사용해서 표시

Attacker

Victim

Unknown device

PI / MSE필요


• 무선 Management Frame의 취약성

암호화, 인증, Integrity에 대한 확인 과정이 없기 때문에 보안 공격에노출되어 있음

• Cisco Solution #1: MFP

ü Integrity 확인 데이터를 관리 프레임 데이터에 포함시킴

ü AP와 클라이언트는 MIC 정보를 보고 공격 위협 확인(Infrastructure MFP) 혹은 방지 (Client MFP)

ü 시스코는 업계 유일하게 CCX 프로그램을 통하여 Management Frame에 대한 공격을 방지할 수 있는 Client MFP 출시

• Cisco Solution #2: 802.11w

ü Client MFP를 기반으로 시스코가 주도하여 만들어진 표준프로토콜

ü 현재 Window 8에서 802.11w 디폴트로 지원

ü 향후 WFA의 필수 기능으로 추가되면 이후 출시되는 모든 무선단말에서 802.11w 지원해야함

ü 시스코는 업계 유일하게 802.11w 인프라에서 지원


자동 치유Wireless LAN 컨트롤러

Maintain Air Quality

GOODPOOR

CH 1 CH 11

위치 확인NCS, MSE

간섭체의 위치 임팩트 정도 확인 가능

탐지 및 분류별도 ASIC

78 ~ 156KHz 높은 해상도

Microwave oven

BlueTooth

Cisco CleanAir

무선 간섭의 여파를 자동으로 회피하게 해주는 칩셋 레벨의 기능으로 네트워크 성능을 최적화해주고 동시에 문제해결 등의 지원 비용을 최소화 시켜줌


IP and ApplicationAttacks & Exploits

WiFi ProtocolAttacks & Exploits

RF SignalingAttacks & Exploits

Traditional IDS/IPSLayer 3-7

wIPSLayer 2

CleanAirLayer 1

Monitors Exploits Invisible to existing Systems

New RogueThreats

Detects new ‘undetectable’ Rogue/Clients

WiFi Jammers

Locates and Expedite Interference Removal

2.4GHz

5GHz

• CleanAir 기술을 통하여 WiFi Jammer 혹은 Off-channel 로그 AP와 같은 Layer 1 보안 공격으로 부터 네트워크 보호 가능


• WIPS 관련 다양한 리포팅 제공

• 일부 Customization 제공

• 스케쥴링 기능을 통하여 자동으로 일별/주별/월별 리포팅 제공 가능

PI / MSE필요

WIPS 관련 제공 리포팅 스케쥴링 기능 제공

Thank you.

시스코 wips 소개자료

Engineering