시스코 wIPS 소개자료

• 무선랜 공격은 다른 국가의 해커 등 원격지에서 이루어지는 공격이 아니라, 무선랜의 서비스를 받는 지역, 근거리에서
이루어지는 공격임
Layer 3 ~ 7 보안
솔루션으로 위협 차단
WIPS 솔루션으로 위협
차단
위협 차단 솔루션
회사 무선 네트워크
Internet
중국 해커
데이터 무단 취득
Malware 배포
무선 보안 공격이 아님
회사 무선 네트워크
임직원 PC 해커 PC
다양한 무선 공격 무선 보안 공격은 해커가
무선 네트워크 서비스
지역에서 하는 공격임
공격 유형

Denial of Service
DENIAL OF
SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP
HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Non-802.11 Attacks
Backdoor access
BLUETOOTH AP RADARRF-JAMMERSBLUETOOTHMICROWAVE
Service disruption
Cisco WIPS
Solution
으로 탐지/차단
Cisco
CleanAir로
탐지/차단

NMSP
Controller
ELM
Mode AP
PI
WIPS
Mode AP
Mobility Services Engine
wIPS (Monitor) Mode AP
Controller
MSE (Mobility Services Engine)
PI (Prime Infrastructure)
Cisco Adaptive WIPS 구성요소별 기능
• 24x7 채널 스캐닝을 통한 공격 Detection 및 Forensic (패킷 캡쳐) 기능
• 로그 AP / 클라이언트 무선 차단 (Deauth 패킷 전송)
• 모니터 모드 및 ELM 모드 AP에 대한 설정/제어/관리
• WIPS AP의 공격정보를 MSE로 전달
• 기본 17개의 Signature 제공
• AP의 공격정보 / Forensic 파일을 컨트롤러를 통하여 취합 저장
• 로그 AP/클라이언트/Attacker에 대한 위치 정보 제공
• 기본 컨트롤러 Signature 이외에 추가 Signature 제공 (45개)
• WIPS 서비스 관련 설정 및 모니터링
• SPT (SwitchPort Tracing) 기능 제공
• WIPS 관련 리포팅
Adaptive wIPS
Configuration Flow
Alarm Detection Flow

WIPS 모드 AP
Aironet 1140 Aironet 1600 Aironet 3500
Aironet 2600 Aironet 3600
단독형 컨트롤러 모듈형 컨트롤러
클라우드형 컨트롤러
WLC5508
WLC2500
ISR G2 Module
WiSM2 Module
Flex7500
컨트롤러
• 외장형, 내장형 AP 등 다양한 센서 AP 포트폴리오 보유
• 다양한 안테나 (Omni, Directional, Yagi 등) 로 다양한 커버리지
설계 가능
• 센서 AP 수의 따라 단독형, 모듈형, 클라우드형 등 다양한
포트폴리오 제공
• 컨트롤러 모델에 따라 지원 센서 AP 수량 상이
Security module
for AP 3600

Prime Infrastructure MSE (Mobility Service Engine)
• 하드웨어 어플라이언스, Virtual Appliance형 제공
• WIPS 관련 알람/모니터링/레포팅 등 제공하는 관리 플랫폼
• 하드웨어 어플라이언스, Virtual Appliance형 제공
• WIPS 관련 서비스 / 위치 추적 서비스 제공 플랫폼
License(Context-Aware & aWIPS)
Hardware
Virtual Appliance
Application & Components
OS
OS Appliance
Type
Software
UCS Server
(ESXi)
Hardware
Virtual Appliance
OS Appliance
Type
Software
UCS Server
(ESXi)
License(Context-Aware & aWIPS)
OS

• 3600 AP에 삽입 되어 Security와 스펙트럼 관련 역할을 수행하는 모듈
• 모니터 모드 장점 (각 채널당 긴 스캐닝 시간) 과 로컬 모드의 장점 (비용적 측면
– 케이블 비용 감소, 컨트롤러/PI상 AP 라이선스 수 감소) 이 결합된 제품
• 모듈에 안테나 내장 (0 x 4 MIMO, 2.4GHz와 5GHz XOR 디자인)
• 송신 안테나가 없기 때문에 Security 모듈 자체에서 Containment / RLDP 기능
지원 불가
• 아래 해당하는 보안 및 모니터링 관련 역할을 Security 모니터 모듈에서
수행함으로 데이터 서비스 영향 최소화
ü CleanAir Technology
ü Basic wIPS (Detection) and Adaptive wIPS
ü Location-Context Aware
ü Radio Resource Management
• Security 모니터 모듈 사용시 802.3af 지원 불가
à EPoE / PoE+ 필요, 혹은 파워 어댑터를 사용하여 필요 전원 공급 가능

Monitor Mode AP
Data Serving Monitor Mode
ELM
Single Data and WIPS AP
Security Monitor Module
AP 3600 with Security Module
• 세가지 구축 모델: ELM, Monitor Mode AP, Security Monitor module
• 데이터를 서비스하는 AP가 센서
역할까지 담당
• 데이터 서비스 하는 AP와는
별도로 센서 AP 구축
• 하나의 AP 내에 AP는 데이터
서비스 담당, Security 모듈은
센서 역할 담당

ELM Monitor Mode
3600 AP (Security 모듈
탑재)
AP 구축 Ratio 1:1 1:5 이상 2:5 이상
로그 탐지 효율성
해당 AP가 서비스하는 채널에
대하여 빠른 탐지 가능
비 탐지 채널에 대해서 탐지
시간 증가
해당 AP 서비스 채널 이외에
모든 채널에 대한 빠른 탐지
가능
해당 AP 서비스 채널 이외에
모든 채널에 대한 빠른 탐지
가능
로그 차단 시 데이터
서비스 영향
로그 차단 시 AP가
서비스하는 데이터 서비스에
영향 존재
모니터 모드만 차단에
참여하게 설정한 경우 데이터
서비스에 영향 없음
로그 차단 시 AP가
서비스하는 데이터
서비스에 영향 존재
성능 향상을 위한 모니터링
기능 Off-load 여부
미지원 미지원 지원
aWIPS Signature 지원
여부
지원 지원 지원
GoodGood BetterBetter BestBest

1단계
로그 탐지
2단계
로그 분류
3단계
로그 차단
• WIPS AP에서 무선 시스템 Beacon 혹은 Probe Response 프레임을 통하여 주변 AP 및 클라이언트 탐지
• RF group가 다를 경우 혹은 동일 Mobility Group에 있지 않은 경우 로그 AP로 판단
• 해당 로그 AP에 접속된 로그 클라이언트 탐지
• 다양한 기준 (RSSI, SSID, 암호화 여부, 클라이언트 접속 여부) 에 따른 규칙 생성
• 해당 규칙에 의거 Malicious, Friendly, Custom으로 분류
• 로그 AP가 내부 네트워크와 유선으로 연결되어 있는지, 연결되어 있으면 어떤 포트에 연결되어 있는지 판단
• 로그 클라이언트 / 로그 AP에 De-authentication 패킷 전송하여 로그 클라이언트와 AP간 접속 차단
• 연결되어 있는 스위치포트 차단
• 로그 AP / 로그 클라이언트에 대한 위치 추적

로그 탐지 방식 비교 – 로컬 모드 AP vs 모니터 모드 AP
로컬 모드 AP 모니터 모드 AP
• 클라이언트 데이터 서비스를 하면서 Time-sling 방식으로 스캐닝
• 각 채널당 50ms 만큼 스캐닝
• 모든 채널, DCA 채널, 해당 도메인 채널 스캐닝 하도록 설정 가능
[ 210sec / 13 channel = 약 16s ]
• 210초 기준 각 채널 당 약 50ms 스캐닝 수행
• 클라이언트 데이터 서비스 없이 스캐닝 역할만 담당
• 각 채널당 1.2s 만큼 스캐닝
• 모든 채널 스캐닝
[ 210sec / 13 channel = 약 16s ]
• 210초 기준 채널당 약 16s 스캐닝 수행
1 2 1 3 1 4 1 5 1 6 1
16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s
…
50ms
10ms 10ms
AP on channel 1 - 802.11 b/g/n
10ms 10ms
1 2 3 4 5 6
1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s
7 9 10 118 …
1.2s
모든 채널 스캐닝 - 802.11 b/g/n

로그 AP 분류
낮은 위협 수준 높은 위협 수준
§Off-Network
§인증 사용
§외부 SSID 사용
§RSSI 신호 감도 약함
§접속 클라이언트 없음
§On-Network
§인증 미사용
§내부 SSID 사용
§RSSI 신호 감도 강함
§접속 클라이언트 존재
로그 분류 예시
로그 AP 유선 연결 Malicious – Critical
로그 AP에 자사
Client 연결
Malicious – Critical
Off-Network + 높은
RSSI 값 + 다른 SSID
Malicious – Major
Off-Network + 낮은
RSSI 값 + 다른 SSID
Friendly - low
확인된 인접 SSID +
낮은 RSSI 값
Friendly - Info
• 로그 AP를 RSSI, 사용 SSID, 인증 사용 여부, 접속 클라이언트 유무에 따라 규칙 생성
• 생성된 규칙에 따라 Malicious, Friendly, Custom (7.4 추가 기능) 으로 분류

로그 AP 유선 네트워크 연결 여부 판단
• Cisco WIPS는 에서는 RLDP (Rogue Location Discovery Protocol), Rogue Detector mode AP, SwitchPort Tracing의 세가지
방법을 통하여 로그 AP가 유선 네트워크에 연결되어 있는지 판단
Network
Core
Distribution
Access
SiSi
SiSi
SiSi
Rogue
AP
Rogue
AP
Prime
Infrastructure
Wireless LAN
Controller
Rogue
Detector
RRM
Scanning
Rogue
AP
RLDP
WIPS
AP
Switchport Tracing
RLDP (Rogue Location Discovery Protocol)
• 내부 AP가 로그 AP에 클라이언트에 연결하여 컨트롤러로 패킷
전송하여 전송이 이루어지면 내부 네트워크 연결된 것으로 간주
• 로그 AP가 암호화되어 있을 경우 사용 불가
Rogue Detector 모드 AP
• 전용 로그 디텍터 모드 AP가 유선단의 모든 ARP packet에
대하여 sniffing 수행, 로그 클라이언트의 MAC 주소가 유선 ARP
패킷에서 발견되면 내부 네트워크 연결된 것으로 간주
• 로그 AP가 NAT 되어 있을 경우 사용 불가
SPT (SwitchPort Tracing)
• 스위치의 CAM table의 로그 AP의 MAC이 있는지 확인하는
방법
• Cisco 스위치 사용시에만 가능

유선 네트워크 연결여부 판단 - Rogue Detector AP
• 모든 로그 AP / 클라이언트의 ARP를 Sniffing
• 컨트롤러는 로그 클라이언트의 MAC 주소를 무선
스캐닝을 통하여 인지
• 컨트롤러에서 로그 디텍터 AP에 Query 전송
무선 스캐닝을 통해 탐지된 로그 클라이언트 MAC
주소와 동일 MAC이 ARP Sniffing을 통해
발견되었는지 확인
Rogue AP
Authorized AP
L2 Switched Network
Trunk Port
Rogue
Detector
Client ARP
0009.5b9c.8768
0021.4458.6652
> debug capwap rm rogue detector
ROGUE_DET: Found a match for rogue entry 0021.4458.6652
ROGUE_DET: Sending notification to switch
ROGUE_DET: Sent rogue 0021.4458.6652 found on net msg
• 로그 디텍터 모드 사용시 모든 라디오는 비활성화 됨
• 로그 디텍터 모드는 스위치와 Trunk로 연결
• 로그 AP가 NAT된 경우 탐지 불가
Rogue Detector 동작방식

유선 네트워크 연결여부 판단 - RLDP (Rogue Location Discovery Protocol)
Rogue APManaged AP
Controller
Routed/Switched Network
Send Packet
to WLC
Connect as
Client
• 내부 AP가 서비스하는 클라이언트의 접속을 끊고,
로그 AP에 클라이언트로 접속
• WLC에 패킷 전송
• WLC에서 해당 패킷 수신 시, 로그 AP가 유선
네트워크에 연결된 것으로 판단
RLDP 동작방식
• 로그 AP에 암호화 설정된 경우 탐지 불가
RLDP 사용 시, 데이터 서비스에 영향 없도록 Monitor
mode AP로 설정 권고

유선 네트워크 연결여부 판단 - SwitchPort Tracing
• Cisco WIPS는 에서는 RLDP (Rogue Location Discovery Protocol), Rogue Detector mode AP, Switchport Tracing의 세가지
방법을 통하여 로그 AP가 유선 네트워크에 연결되어 있는지 판단
• 로그 AP를 탐지한 센서 AP에서 CDP
Neighbor를 통해 연결된 스위치의
CAM table에서 아래사항에
Match되는 MAC이 있는지 확인
• 미 발견시 연결된 다른 스위치에
동일한 방법으로 확인
• 해당 조건 만족시 유선 네트워크에
연결된 것으로 판단
Rogue APManaged AP
CAM
Table
22
PI
CAM
Table
33
Show CDP
Neighbors
11
Match
Found
SPT Matches On:
Rogue Client MAC Address
Rogue Vendor OUI
Rogue MAC +1/-1
Rogue MAC Address
SPT 동작방식

로그 클라이언트 내부 사용자 여부 판단
• 내부 사용자의 외부 AP로의 접속 후 데이터 유출 방지를 위해, 로그 클라이언트가 내부 사용자 여부 판단 필요
• 내부 컨트롤러 접속 후 외부 AP 접속 시 내부 사용자로 판단
• AAA 서버에 내부 사용자의 MAC을 등록하고 로그 클라이언트 탐지 시 AAA 서버에 Query를 통해 내부 사용자 여부 판단
모든 내부 단말의 MAC 주소를 수동으로 AAA 서버에 등록시켜 줘야 하기 때문에 관리적 효율성 저하
• 내부 무선에 한번이라도 접속한 사용자를 일정 기간동안 MSE에 저장 후 로그 클라이언트 탐지 시 MSE에 Query를 통해
내부 사용자 여부 판단 (8.0 추가 기능)
• 자동 차단 기능과 같이 설정 시 내부 사용자가 외부 AP로 접속하는 것 미연에 탐지

로그 AP 차단 방식 – 무선 Containment
• 로그 AP의 MAC 주소를 Spoofing 하여 De-authentication
(or Dis-association) 프레임을 전송하여 로그
클라이언트가 로그 AP로 부터 접속을 하지 못하도록
방지하는 방식
• 모니터모드, 로컬모드, FlexConnect 모드에서 가능
(로컬모드/FlexConnect 모드에서 사용시 데이터 서비스
성능에 영향)
Rogue APAuthorized AP
Rogue
Client
로컬 모드 AP와 모니터 모드 AP 차단 방식 비교
로컬 모드
Broadcast and Unicast Deauth frames
500ms 마다 프레임 전송
모니터 모드
Unicast Deauth and Unicast Disassociation Frames
100ms 마다 프레임 전송

• 차단에 참여하는 AP숫자에 대해, 최적의 차단효과를 낼수있도록 다이나믹한 최적 AP설정
이전까지는 자동차단에 참여하는 AP의 숫자를 수동으로 1~4대까지 선택하기로 되어 있으나, 8.0부터는 Auto 설정이
추가됨
• 차단 트래픽이 비인가 AP와의 거리(RSSI)에 따라 동적으로 최대 속도로 맞춰 차단
기존의 차단 트래픽은 Lowest Mandatory Data rate (기본값은 1Mbps)만을 사용하므로 차단트래픽이 늘어날 경우,
네트워크에 부담을 줌
가까운 거리에서 발견된 비인가 디바이스의 경우, 높은 데이타레이트를 사용하므로 네트워크의 부담은 1/n 로 줄어듬. (최대
네트워크 부담은 1/10로 줄이면서, 차단 성능은 끌어올림.)
config rogue auto-contain level <level>
로그 차단에 의한 네트워크 부하를 줄이는 최적의 메커니즘

로그 AP 차단 방식 – 자동 차단
• 4가지 옵션에 대한 자동 차단 기능 제공
로그 AP 유선 네트워크 연결, 내부 SSID와 동일 SSID 사용, 내부 사용자가 로그 AP에 접속 되어 있을 때, AdHoc 로그 AP
• 사용자 정의 룰에 의한 자동 차단 (7.4 New Feature)
무선 서비스에 대한 영향을 없애기 위해
모니터 모드 AP만 자동 차단에
참여하도록 설정 가능.

• Auto MAC learning of valid clients connected to rogue AP
• 인증서버 수동 등록과정 불필요한 Zero Touch 자동 차단
• 7.4 버전까지는 비인가AP에 접속한 사용자 단말의 파악을 위해서 인증서버에 단말장치의 MAC주소를
사전등록할 필요가 있었으나, 8.0부터는 MSE의 내장 DB를 이용, 성공적으로 인증, 접속한 내부 직원의
MAC주소가 자동등록됨. Auto-Contain on valid client 의 기능과 함께 적용시, 내부직원의 비인가AP 접속
확인이 자동차단 동작
• 일단 MSE에 등록된 단말의 경우,
이후 7일동안 DB에 등록 정보가 유지
config rogue client mse enable/disable
PI / MSE
필요
로그 AP 차단 방식 – 내부 직원의 로그 AP 접속에 대한 Zero-Touch 차단

• Custom Rogue Rule Type 추가
• 기존 버전에서 지원하는 사용자 정의 룰 기반 탐지에 차단 옵션 추가
• 특정 룰에 의한 자당 차단 가능으로 유연한 차단 정책 제공
EX) SSID가 xxxx인 경우 자동 차단
SSID가 xxxx이면서 RSSI 값이 -60dBM인 경우 자동 차단
Rule Type Notify / Action Custom
Severity
Friendly • Alert
• Internal
• External
No
Malicious • Alert
• Contain
No
Custom • Alert
• Contain
Yes
(1…100)
Step1: Create Rogue Rule with
Containment Action
Step2: Filtered Rogue list will be automatically contained
로그 AP 차단 방식 – 사용자 정의 룰에 의한 자동 차단

로그 AP 차단 방식 – 스위치 포트 차단
• Prime Infrastructure에서 Switchport Tracing을 통해 어떤 스위치 / 어떤 포트에 로그 AP가 연결되어 있는지 확인하고 해당
포트를 원격지에서 Disable 시킴으로 로그 AP 차단
Number of MACs
found on the port.
Match Type
Uncheck
to Shut
the Port
PI 필요

Signature 기반의 무선 보안 공격 탐지
• 무선 보안 공격은 크게 무선 서비스를 방해하는 DoS (Denial of Service) 공격과 내부 침입을 목적으로 하는 Security
Penetration 공격으로 나뉨
• 시스코는 무선 보안 공격 관련 Signature를 제공하여 해당 무선 공격 탐지 가능
• Signature는 컨트롤러 혹은 MSE를 통해 제공
• 탐지 뿐만 아니라 해당 공격에 대한 Containment, Immune, Blacklisting 등 방어 기능 제공 (8.0 New Feature)
• 무선 보안 공격 탐지 Mechanism은 Base IDS와 Adaptive wIPS로 나뉨
• Controller 자체 제공 Signature와 AP의 조합만으로 제공
• 모니터 모드 / 로컬 모드 / FlexConnect 모드에서 제공
• 기본 17개의 Signature 제공
Base IDS Adaptive WIPS
• Controller와 AP 이 외에, MSE와 PI 필요
• WIPS 모니터 모드 / Enhanced Local mode (ELM) AP 사용
• 45개의 Signature 제공
• Signature 관련 Description 및 Forensic 기능 제공

Adaptive wIPS 장점 – Correlation 기능
Base IDS Adaptive WIPS
WCS
AP
WLC
WCS
AP
WLC
MSE
Correlation 기능이
없어 하나의 공격을
탐지한 여러대의
AP가 각각 다른
공격으로 보고함
하나의 공격에 대한
다수의 알람 발생
여러대의 AP가 하나의
공격에 대하여 각각
보고 하더라도
MSE에서 하나의
알람으로 Correlation
시킴
PI / MSE
필요

Adaptive wIPS 장점 – 증가된 Signature & 알람 정보 이력 제공
Base IDS
Adaptive WIPS
• aWIPS는 wIDS의 기본 17개 보다 많은 45개 Signature 제공
SOAP/XML
PI ReportsMSE
Alarm Database
• 최대 6만개 알람 정보 저장
• WIPS 관련 다양한 리포팅 제공
wIPS ‘Alarm List’ Report - Historic reporting of attacks
wIPS ‘Top 10 AP’ Report - Identifying ‘hot zones’ of attack
알람 정보 이력 제공
PI / MSE
필요

Adaptive wIPS 장점 – 무선 공격 및 침투 시 Signature 기반 자동 차단 제공
종류 자동 차단 기법
SoftAP or HostAP Rogue AP (or client) Containment
Airsnarf Detected Rogue AP (or client) Containment
Honeypot Rogue AP Containment
Hotspotter Rogue AP Containment
Karma Rogue AP Containment
Device
Broadcasting
XSS SSID
Rogue AP Containment
종류 자동 차단
기법
Suspicious After Hours traffic Per wlan
Fake DHCP Server Blacklisting
Unauthorized Association by vendor
list
Blacklisting
Blacklisting 방식 차단De-auth 기반 차단
종류
Re-
Association
Request
Flood
If the association frame parsing fails
in Controller, it will drop the frame so
that real client is not impacted
프레임 드랍 방식 – Auto Immune
• WIPS 자동차단이 비인가AP에 대해서만이 아니라 외부 공격탐지시 이에대한 자동 차단작업 수행 가능
PI / MSE
필요

Adaptive wIPS 장점 – Forensic (Packet Capture) 기능 제공
• 무선 보안 공격 발생 시, 해당 Signature 관련 초기 Packet을 자동 Capture 하여 MSE에 저장
• PI에서 Wireshark를 통해 접속하여 사후 분석을 위한 툴로 사용
PI / MSE
필요

Adaptive wIPS 장점 – Forensic (Packet Capture) 기능 제공
• 글로벌 포렌직 기능은 언제든지 관리자가 패킷캡춰를 시작할 수 있도록 함.
• 캡춰된 패킷은 NCS의 FTP 서버에 저장되며, UI에서 다운로드 가능.
PI / MSE
필요

로그 위치 추적
• 무선 클라이언트 위치 추적과 같이, 로그 AP / 로그 클라이언트 / AdHoc 클라이언트 위치 추적 가능
• 로그 위치 이력 저장하여 위치 이동 정보 확인 가능
• Prime Infrastructure와 Location Service 라이선스가 활성화된 MSE 필요
PI
PI / MSE
필요

• 로그 AP의 출력 파워 / 접속되어 있는 클라이언트수에 따라 Rogue Impact Zone 표시
ü Radius of Zone: 로그 AP 출력 파워에 의해 결정됨
ü Color of Zone: 로그 AP와 연결된 클라이언트 수에 따라 결정됨
PI / MSE
필요

• 무선 보안 공격을 발생 시키는 Attacker에 대한 위치 추적하여 Map 상에 표시 (인프라 기반 A 벤더 대비 우위 사항)
PI / MSE
필요

• 화면상에서 공격 유형, 종류별로 필터링 해서 표시가능
• AP의 MAC Spoofing 을 통해 공격을 시도하는 AP MAC
Spoofing 공격자에 대한 위치표시
• 공격자(Attacker), 공격 타겟(Victim) 및
미확인(Unknown) 장치에 대해 각기 다른 Icon을
사용해서 표시
Attacker
Victim
Unknown device
PI / MSE
필요

• 무선 Management Frame의 취약성
암호화, 인증, Integrity에 대한 확인 과정이 없기 때문에 보안 공격에
노출되어 있음
• Cisco Solution #1: MFP
ü Integrity 확인 데이터를 관리 프레임 데이터에 포함시킴
ü AP와 클라이언트는 MIC 정보를 보고 공격 위협 확인
(Infrastructure MFP) 혹은 방지 (Client MFP)
ü 시스코는 업계 유일하게 CCX 프로그램을 통하여 Management
Frame에 대한 공격을 방지할 수 있는 Client MFP 출시
• Cisco Solution #2: 802.11w
ü Client MFP를 기반으로 시스코가 주도하여 만들어진 표준
프로토콜
ü 현재 Window 8에서 802.11w 디폴트로 지원
ü 향후 WFA의 필수 기능으로 추가되면 이후 출시되는 모든 무선
단말에서 802.11w 지원해야함
ü 시스코는 업계 유일하게 802.11w 인프라에서 지원

자동 치유
Wireless LAN 컨트롤러
Maintain Air Quality
GOODPOOR
CH 1 CH 11
위치 확인
NCS, MSE
간섭체의 위치 임팩트 정도 확인 가능
탐지 및 분류
별도 ASIC
78 ~ 156KHz 높은 해상도
Microwave oven
BlueTooth
Cisco CleanAir
무선 간섭의 여파를 자동으로 회피하게 해주는 칩셋 레벨의 기능으로 네트워크 성능을 최적화
해주고 동시에 문제해결 등의 지원 비용을 최소화 시켜줌

IP and Application
Attacks & Exploits
WiFi Protocol
Attacks & Exploits
RF Signaling
Attacks & Exploits
Traditional IDS/IPS
Layer 3-7
wIPS
Layer 2
CleanAir
Layer 1
Monitors Exploits Invisible to existing Systems
New Rogue
Threats
Detects new ‘undetectable’ Rogue/Clients
WiFi Jammers
Locates and Expedite Interference Removal
2.4
GHz
5
GHz
• CleanAir 기술을 통하여 WiFi Jammer 혹은 Off-channel 로그 AP와 같은 Layer 1 보안 공격으로 부터 네트워크 보호 가능

• WIPS 관련 다양한 리포팅 제공
• 일부 Customization 제공
• 스케쥴링 기능을 통하여 자동으로 일별/주별/월별 리포팅 제공 가능
PI / MSE
필요
WIPS 관련 제공 리포팅 스케쥴링 기능 제공

시스코 wIPS 소개자료

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 시스코 wIPS 소개자료

Similar to 시스코 wIPS 소개자료 (20)

More from 활 김

More from 활 김 (20)

Recently uploaded

Recently uploaded (8)

시스코 wIPS 소개자료