Usar la detección extendida de dispositivos (con ARP y WAP)

La detección extendida de dispositivos (XDD) funciona fuera de los métodos de detección UDD normales basados en el rastreo. El agente XDD puede configurarse e implementarse en dispositivos administrados para usar los métodos de detección ARP y/o WAP. Esta sección describe ambos métodos.

Método de detección ARP

Los dispositivos administrados configurados con el agente de detección XDD para la detección ARP escuchan difusiones ARP (Protocolo de resolución de direcciones) y mantienen una memoria caché (en la memoria y en un archivo de la unidad local) de los dispositivos que las emiten. Los dispositivos en red utilizan el ARP apara asociar una dirección TCP/IP con una dirección MAC de hardware de red de un dispositivo específico. Esta comunicación se realiza a un nivel muy bajo y no depende de que los dispositivos respondan a los ping o a la comunicación del agente en puertos de red específicos. Incluso los dispositivos protegidos con servidores de seguridad dependen del ARP. Debido a ello, la detección extendida de dispositivos puede ayudar a encontrar los dispositivos que los rastreos de detección normales no encuentran.

Cuando un dispositivo configurado con el agente de detección extendida de dispositivos reconoce una difusión ARP, los agentes que escucharon la difusión ARP esperan dos minutos para que el dispositivo detectado se inicie y luego cada uno de ellos espera una cantidad aleatoria de tiempo. El agente que tiene el tiempo de espera aleatoria más breve primero hace un ping en el dispositivo nuevo y busca los agentes Ivanti. Luego el agente envía una difusión UDP a la subred para que los otros agentes sepan que se ocupó del ping de dicho dispositivo detectado recientemente. Si hay varios agentes de detección extendida de dispositivos instalados, los dispositivos no pueden generar tráfico en exceso y hacen ping al mismo tiempo.

Las tablas ARP que almacena el agente de detección extendida de dispositivos expiran luego de 48 horas de forma predeterminada. Esto significa que se hará ping en todos los dispositivos de red una vez por período de tiempo de espera. Incluso los dispositivos que generan mucho tráfico ARP reciben un solo ping por cada período de tiempo de espera.

Se supone que los dispositivos que tienen agentes Ivanti se encuentran administrados y por lo tanto no se envían informes al servidor central. Los dispositivos que no tienen agentes Ivanti se informan al servidor central como dispositivos no administrados. Estos dispositivos aparecen en la lista Equipos de la ventana Detección de equipos no administrados. Los dispositivos detectados por ARP indican Verdadero en la columna Detectado por ARP. Para dispositivos no administrados detectados por ARP, XDD informa la siguiente información en las columnas de vista de lista:

  • Dirección IP
  • Dirección MAC
  • Primera exploración
  • Última exploración
  • Número de exploraciones

Método de detección WAP

Pueden configurarse los dispositivos administrados para que escuchen a dispositivos de punto de acceso wireless (WAP) de la red, y agregar los dispositivos WAP detectados al grupo Puntos de acceso wireless en la herramienta de detección de dispositivos no administrados.

Para dispositivos WAP detectados, XDD informa la siguiente información en las columnas de vista de lista:

  • Nombre de dispositivo
  • Dirección MAC
  • Primera exploración
  • Última exploración
  • Número de exploraciones
  • Estado de WAP (permitido, no autorizado, excepción activa)
  • Fuerza de la señal (usar para determinar la ubicación aproximada del dispositivo WAP)
  • Nivel de cifrado (esquema de cifrado utilizado por el dispositivo WAP)
  • Fabricante

NOTE: Información de la dirección MAC
XDD usa la detección inalámbrica API en dispositivos que ejecutan Windows 7 y posterior para obtener la dirección MAC del dispositivo y mostrarla en la vista de la lista.

Configuración de dispositivos para el uso de la detección extendida de dispositivos (ARP y WAP)

XDD utiliza los Servicios de subred autoseleccionados (SESS) Servicios de subred autoseleccionados. Después de habilitar SESS en una subred, los dispositivos:

  • Se organizan en la misma subred para proporcionar servicios, lo que permite la conmutación por error automática y evitar la repetición de servicios.
  • Utilizan un proceso de elección inteligente que clasifique los dispositivos disponibles por configuración y capacidad para proporcionar el servicio.
  • Confían unos en otros si informan al mismo servidor central.
  • Utilizan mensajes firmados por motivos de seguridad de SESS, para evitar la suplantación.
  • Utilizan los mismos certificados de cliente que se utilizan para el acceso de CSA.

Para obtener más información, consulte la sección Servicios de subred de elección automática.

Puede utilizar la herramienta Valores del agente y la herramienta Servicios de subred autoseleccionados para habilitar la detección ARP y WAP. La detección ARP se habilita de manera predeterminada en los dispositivos de Windows administrados.

Tenga en cuenta que para que SESS funciones, tanto la configuración del agente SESS implementado y el estado de la red deseado en la herramienta Servicios de subred autoseleccionados deben estar habilitados. Si no habilita el servicio SESS que desee en los Valores del agente implementado, al habilitar SESS para ese servicio en la herramienta Servicios de subred autoseleccionados no tendrá ningún efecto porque no habrán dispositivos seleccionables en la subred.

Para implementar el agente de detección extendida de dispositivos para la detección ARP y/o WAP
  1. Haga clic en Herramientas > Configuración > Configuración del agente.
  2. En el árbol Valores del agente, haga clic en Mis valores del agente > Conectividad del cliente.
  3. Haga clic en el botón Nuevo de la barra de herramientas.
  4. Introduzca un Nombre de configuración.
  5. En la página Servicios de subred autoseleccionado, asegúrese que Habilitar los servicios de subred autoseleccionado está seleccionado.
  6. En la página Detección extendida de dispositivos, configure las opciones que desee.
  7. Implemente el ajuste del agente en todos los dispositivos de cada subred. SESS administrará los dispositivos que hagan detección.
  8. Haga clic en Herramientas > Configuración > Servicios de subred de elección automática.
  9. Bajo el árbol Servicios de subred de elección automática, haga clic en Detección extendida de dispositivos (ARP). Haga clic con el botón derecho en la subred que desee habilitar y haga clic en Habilitar.
  10. Si desea realizar la detección WAP, repita el paso 9 para Detección extendida de dispositivos (&WAP).