ELM wIPS Сигнальный Поток
Атаки только релевантны, когда они происходят на AP инфраструктуры, которым доверяют. AP ELM обнаружат и свяжутся с контроллером и коррелятом с MSE для того, чтобы сообщить с управлением WCS. Рисунок 3 предоставляет сигнал тревоги, вытекают из точки зрения администратора:
1. Атака запустила против устройства, относящегося к инфраструктуре ("доверял" AP),
2. Обнаруженный на AP ELM связался через CAPWAP с WLC
3. Переданный прозрачно к MSE через NMSP
4. Зарегистрированный в wIPS Базу данных по MSE, Передаваемому WCS через SNMP-сообщение
5. Отображенный в WCS
Рис. 3. Обнаружение угрозы и сигнальный поток
Вопросы развертывания для ELM
Cisco рекомендует, чтобы путем включения ELM на каждом AP в сети соответствовали большинству потребностей безопасности клиента, когда наложение сети и/или затраты являются частью рассмотрения. ELM основная функция работает эффективно для атак на канале, без любого компромисса к производительности на данных, голосе и видео клиентах, и службах. По вопросам обслуживания компьютеров вы сможете обратиться к нам.
ELM по сравнению с выделенным MM
Рисунок 4 предоставляет общий контраст между стандартными развертываниями wIPS AP MM и ELM. В анализе предлагает типичная зона охвата для режимов Both:
· Выделенный wIPS AP MM, как правило, покрывает 15 000-35 000 квадратных футов
· Служащий клиенту AP будет, как правило, покрывать от 3 000-5 000 квадратных футов
Рис. 4. Наложение MM по сравнению со всеми AP ELM
В традиционных Адаптивных wIPS развертываниях Cisco рекомендует соотношение AP на 1 MM к каждым 5 AP автономного режима, которые могут также варьироваться на основе организации сети и опытного руководства для лучшего покрытия. Путем рассмотрения ELM администратор просто включает программную характеристику ELM для всех существующих AP, эффективно добавляя MM wIPS операции к служащему локальным данным AP режима при поддержании производительности. Выработайте оптимальный путь дальнейшего развития сетевой инфраструктуры вместе с ит аудитом от нашей компании.
Производительность вне канала и на канале
AP MM использует 100% времени радио для того, чтобы просмотреть все каналы, поскольку это не служит любым клиентам WLAN. Основная функция ELM работает эффективно для атак на канале, без любого компромисса к производительности на данных, голосе и видео клиентах и службах. Основное различие находится в автономном режиме, варьирующемся сканирование вне канала; в зависимости от действия сканирование вне канала предоставляет минимальный, живут время для сбора достаточного количества доступной информации, чтобы классифицировать и определить атаку. Пример может быть с речевыми клиентами, которые привязаны и где сканирование RRM AP отсрочено, пока речевой клиент не разъединен, чтобы удостовериться, что не влияют на службу. Для этого рассмотрения обнаружение ELM во время вне канала считают оптимальным уровнем. Гранича с AP ELM, воздействующими на все, каналы страны или DCA увеличивают эффективность, следовательно рекомендация для того, чтобы включить ELM на каждом AP автономного режима для покрытия максимальной защиты. Если требование для выделенного сканирования на всем полном рабочем дне каналов, рекомендация будет состоять в том, чтобы развернуть AP MM.
Эти точки рассматривают различия AP MM и автономного режима:
· AP Автономного режима - Служит клиентам WLAN с квантованием времени сканирование вне канала, прислушивается к 50 мс на каждом канале, и функциям конфигурируемое сканирование для all/country/DCA каналов.
· AP Режима отслеживания - не служит клиентам WLAN, выделенным сканированию только, прислушивается 1.2s на каждом канале, и просматривает все каналы.