无线LAN控制器存在多个ARP风暴拒绝服务漏洞
影响系统:
Cisco Wireless LAN Controller 4.1
Cisco Wireless LAN Controller 4.0
Cisco Wireless LAN Controller 3.2
不受影响系统:
Cisco Wireless LAN Controller 4.1.181.0
描述:
Cisco无线LAN控制器(WLC)可在轻型接入点和其他无线提供LAN控制器之间提供实时通讯,以执行集中的系统范围WLAN配置和管理功能。
WLC在处理单播ARP通讯时存在漏洞,移动组无线LAN控制器之间的LAN链路可能会充满单播ARP请求。
有漏洞的WLC可能错误地处理无线客户端的单播ARP请求,导致ARP风暴。附着到同组2层VLAN的两个WLC必须均拥有无线客户端环境才会暴露这个漏洞。在使用3层(跨子网)漫游后或使用访客WLAN(auto-anchor)时会出现这种情况。
如果客户端所发送的单播ARP请求的目标MAC地址为2层基础架构所未知地址的话,在离开WLC后该请求就会充满2层域的所有端口。 这允许第二个WLC重新处理ARP请求并错误的将这个包含重新转发回网络。这个漏洞记录为CSCsj69233。
如果WLC上启用了arpunicast功能的话,WLC就会向已知客户端环境的IP地址重新转发广播ARP报文,如果相应的VLAN上安装了多个WLC的话就会导致ARP风暴。这个漏洞记录为CSCsj50374。
在3层(L3)漫游的情况下,无线客户端从一个控制器移动到另一个控制器,而不同控制器上所配置的无线LAN接口处于不同的IP子网中。在这种情况下,单播ARP可能不会被隧道传输回anchor控制器,而是由外部控制器发送到其本地VLAN。这个漏洞记录为CSCsj70841。
临时解决方法:
* 对所有的WLAN配置DHCP Required设置,禁用客户端静态IP地址。
* 配置WLC禁止通过CLI处理arpunicast:
config network arpunicast disable
* 使用GUI配置DHCP
1. 在web用户界面中,导航到WLAN页面。
2. 锁定希望配置DHCP服务器的WLAN,点击相关的Edit链接显示WLANs > Edit页面。
3. 在General Policies下检查DHCP Relay/DHCP Server IP Addr复选框确认是否已为WLAN分配了有效的DHCP服务器。如果没有为WLAN分配DHCP服务器,请到4,否则请到9。
4. 在General Policies下清除选择Admin Status复选框。
5. 点击Apply禁用WLAN。
6. 在DHCP Relay/DHCP Server IP Addr编辑框中,为这个WLAN输入有效的DHCP服务器IP地址。
7. 在General Policies下选择Admin Status复选框。
8. 点击Apply为WLAN分配DHCP服务器并启用WLAN,然后返回到WLAN页面。
9. 在WLANs页面的右上角,点击Ping然后输入DHCP服务器IP地址确认WLAN可以与DHCP服务器通讯。
* 使用CLI配置DHCP
1. 在CLI中输入show wlan确认是否已为WLAN分配了有效的DHCP服务区。如果没有分配,请继续2,否则到4。
2. 如果需要的话,使用以下命令:
config wlan disable <wlan-id>
config wlan dhcp_server <wlan-id> <dhcp-server-ip-address>
config wlan enable <wlan-id>
在这些命令中,wlan-id = 1到16,dhcp-server-ip-address = DHCP服务器的IP地址。
3. 输入show wlan确认已经为WLAN分配了有效的DHCP服务器。
4. 输入ping dhcp-ip-address确认WLAN可以与DHCP服务器通讯。
厂商补丁:
Cisco已经为此发布了一个安全公告(cisco-sa-20070724-arp)以及相应补丁:
cisco-sa-20070724-arp:Wireless ARP Storm Vulnerabilities
链接:http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml
