BUGTRAQ ID: 25043 Cisco无线LAN控制器(WLC)可在轻型接入点和其他无线提供LAN控制器之间提供实时通讯,以执行集中的系统范围WLAN配置和管理功能。 WLC在处理单播ARP通讯时存在漏洞,移动组无线LAN控制器之间的LAN链路可能会充满单播ARP请求。 有漏洞的WLC可能错误地处理无线客户端的单播ARP请求,导致ARP风暴。附着到同组2层VLAN的两个WLC必须均拥有无线客户端环境才会暴露这个漏洞。在使用3层(跨子网)漫游后或使用访客WLAN(auto-anchor)时会出现这种情况。 如果客户端所发送的单播ARP请求的目标MAC地址为2层基础架构所未知地址的话,在离开WLC后该请求就会充满2层域的所有端口。 这允许第二个WLC重新处理ARP请求并错误的将这个包含重新转发回网络。这个漏洞记录为CSCsj69233。 如果WLC上启用了arpunicast功能的话,WLC就会向已知客户端环境的IP地址重新转发广播ARP报文,如果相应的VLAN上安装了多个WLC的话就会导致ARP风暴。这个漏洞记录为CSCsj50374。 在3层(L3)漫游的情况下,无线客户端从一个控制器移动到另一个控制器,而不同控制器上所配置的无线LAN接口处于不同的IP子网中。在这种情况下,单播ARP可能不会被隧道传输回anchor控制器,而是由外部控制器发送到其本地VLAN。这个漏洞记录为CSCsj70841。 Cisco Wireless LAN Controller 4.1 Cisco Wireless LAN Controller 4.0 Cisco Wireless LAN Controller 3.2 临时解决方法: * 对所有的WLAN配置DHCP Required设置,禁用客户端静态IP地址。 * 配置WLC禁止通过CLI处理arpunicast: config network arpunicast disable * 使用GUI配置DHCP 1. 在web用户界面中,导航到WLAN页面。 2. 锁定希望配置DHCP服务器的WLAN,点击相关的Edit链接显示WLANs > Edit页面。 3. 在General Policies下检查DHCP Relay/DHCP Server IP...
BUGTRAQ ID: 25043 Cisco无线LAN控制器(WLC)可在轻型接入点和其他无线提供LAN控制器之间提供实时通讯,以执行集中的系统范围WLAN配置和管理功能。 WLC在处理单播ARP通讯时存在漏洞,移动组无线LAN控制器之间的LAN链路可能会充满单播ARP请求。 有漏洞的WLC可能错误地处理无线客户端的单播ARP请求,导致ARP风暴。附着到同组2层VLAN的两个WLC必须均拥有无线客户端环境才会暴露这个漏洞。在使用3层(跨子网)漫游后或使用访客WLAN(auto-anchor)时会出现这种情况。 如果客户端所发送的单播ARP请求的目标MAC地址为2层基础架构所未知地址的话,在离开WLC后该请求就会充满2层域的所有端口。 这允许第二个WLC重新处理ARP请求并错误的将这个包含重新转发回网络。这个漏洞记录为CSCsj69233。 如果WLC上启用了arpunicast功能的话,WLC就会向已知客户端环境的IP地址重新转发广播ARP报文,如果相应的VLAN上安装了多个WLC的话就会导致ARP风暴。这个漏洞记录为CSCsj50374。 在3层(L3)漫游的情况下,无线客户端从一个控制器移动到另一个控制器,而不同控制器上所配置的无线LAN接口处于不同的IP子网中。在这种情况下,单播ARP可能不会被隧道传输回anchor控制器,而是由外部控制器发送到其本地VLAN。这个漏洞记录为CSCsj70841。 Cisco Wireless LAN Controller 4.1 Cisco Wireless LAN Controller 4.0 Cisco Wireless LAN Controller 3.2 临时解决方法: * 对所有的WLAN配置DHCP Required设置,禁用客户端静态IP地址。 * 配置WLC禁止通过CLI处理arpunicast: config network arpunicast disable * 使用GUI配置DHCP 1. 在web用户界面中,导航到WLAN页面。 2. 锁定希望配置DHCP服务器的WLAN,点击相关的Edit链接显示WLANs > Edit页面。 3. 在General Policies下检查DHCP Relay/DHCP Server IP Addr复选框确认是否已为WLAN分配了有效的DHCP服务器。如果没有为WLAN分配DHCP服务器,请到4,否则请到9。 4. 在General Policies下清除选择Admin Status复选框。 5. 点击Apply禁用WLAN。 6. 在DHCP Relay/DHCP Server IP Addr编辑框中,为这个WLAN输入有效的DHCP服务器IP地址。 7. 在General Policies下选择Admin Status复选框。 8. 点击Apply为WLAN分配DHCP服务器并启用WLAN,然后返回到WLAN页面。 9. 在WLANs页面的右上角,点击Ping然后输入DHCP服务器IP地址确认WLAN可以与DHCP服务器通讯。 * 使用CLI配置DHCP 1. 在CLI中输入show wlan确认是否已为WLAN分配了有效的DHCP服务区。如果没有分配,请继续2,否则到4。 2. 如果需要的话,使用以下命令: config wlan disable <wlan-id> config wlan dhcp_server <wlan-id> <dhcp-server-ip-address> config wlan enable <wlan-id> 在这些命令中,wlan-id = 1到16,dhcp-server-ip-address = DHCP服务器的IP地址。 3. 输入show wlan确认已经为WLAN分配了有效的DHCP服务器。 4. 输入ping dhcp-ip-address确认WLAN可以与DHCP服务器通讯。 厂商补丁: Cisco ----- Cisco已经为此发布了一个安全公告(cisco-sa-20070724-arp)以及相应补丁: cisco-sa-20070724-arp:Wireless ARP Storm Vulnerabilities 链接:<a href="http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml" target="_blank">http://www.cisco.com/warp/public/707/cisco-sa-20070724-arp.shtml</a>
