扫一扫
关注微信公众号

Cisco无线LAN控制器多个漏洞
2007-08-16   网络

影响系统:

Cisco Wireless LAN Controller 4.1

Cisco Wireless LAN Controller 4.0

Cisco Wireless LAN Controller 3.2

不受影响系统:

Cisco Wireless LAN Controller 4.1.181.0

描述:

Cisco无线LAN控制器(WLC)可在轻型接入点和其他无线提供LAN控制器之间提供实时通讯,以执行集中的系统范围WLAN配置和管理功能。

WLC在处理单播ARP通讯时存在漏洞,移动组无线LAN控制器之间的LAN链路可能会充满单播ARP请求。

有漏洞的WLC可能错误地处理无线客户端的单播ARP请求,导致ARP风暴。附着到同组2层VLAN的两个WLC必须均拥有无线客户端环境才会暴露这个漏洞。在使用3层(跨子网)漫游后或使用访客WLAN(auto-anchor)时会出现这种情况。

如果客户端所发送的单播ARP请求的目标MAC地址为2层基础架构所未知地址的话,在离开WLC后该请求就会充满2层域的所有端口。 这允许第二个WLC重新处理ARP请求并错误的将这个包含重新转发回网络。这个漏洞记录为CSCsj69233。

如果WLC上启用了arpunicast功能的话,WLC就会向已知客户端环境的IP地址重新转发广播ARP报文,如果相应的VLAN上安装了多个WLC的话就会导致ARP风暴。这个漏洞记录为CSCsj50374。

在3层(L3)漫游的情况下,无线客户端从一个控制器移动到另一个控制器,而不同控制器上所配置的无线LAN接口处于不同的IP子网中。在这种情况下,单播ARP可能不会被隧道传输回anchor控制器,而是由外部控制器发送到其本地VLAN。这个漏洞记录为CSCsj70841。

临时解决方法:

* 对所有的WLAN配置DHCP Required设置,禁用客户端静态IP地址。

* 配置WLC禁止通过CLI处理arpunicast:

config network arpunicast disable

* 使用GUI配置DHCP

1. 在web用户界面中,导航到WLAN页面。

2. 锁定希望配置DHCP服务器的WLAN,点击相关的Edit链接显示WLANs > Edit页面。

3. 在General Policies下检查DHCP Relay/DHCP Server IP Addr复选框确认是否已为WLAN分配了有效的DHCP服务器。如果没有为WLAN分配DHCP服务器,请到4,否则请到9。

4. 在General Policies下清除选择Admin Status复选框。

5. 点击Apply禁用WLAN。

6. 在DHCP Relay/DHCP Server IP Addr编辑框中,为这个WLAN输入有效的DHCP服务器IP地址。

7. 在General Policies下选择Admin Status复选框。

8. 点击Apply为WLAN分配DHCP服务器并启用WLAN,然后返回到WLAN页面。

9. 在WLANs页面的右上角,点击Ping然后输入DHCP服务器IP地址确认WLAN可以与DHCP服务器通讯。

* 使用CLI配置DHCP

1. 在CLI中输入show wlan确认是否已为WLAN分配了有效的DHCP服务区。如果没有分配,请继续2,否则到4。

2. 如果需要的话,使用以下命令:

config wlan disable

config wlan dhcp_server

config wlan enable

在这些命令中,wlan-id = 1到16,dhcp-server-ip-address = DHCP服务器的IP地址。

3. 输入show wlan确认已经为WLAN分配了有效的DHCP服务器。

4. 输入ping dhcp-ip-address确认WLAN可以与DHCP服务器通讯。

厂商补丁:

Cisco已经为此发布了一个安全公告(cisco-sa-20070724-arp)以及相应补丁:

cisco-sa-20070724-arp:Wireless ARP Storm Vulnerabilities

链接:http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml

热词搜索:

上一篇:企业无线局域网如何进行安全防护
下一篇:专家讲解主流自动精简配置技术

分享到: 收藏