ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

Unified Wireless Network の不正な管理

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2012 年 1 月 19 日) | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

ワイヤレス ネットワークを導入すると有線ネットワークが拡張され、作業者の生産性が向上し、情報へのアクセスが拡大します。 しかし、不正なワイヤレス ネットワークにより、セキュリティの問題がさらに大きくなります。 有線ネットワークではポートのセキュリティにあまり注意が向けられていませんが、ワイヤレス ネットワークもその延長上で考えられがちです。 そのため、セキュリティでしっかりと保護されているワイヤレスまたは有線のインフラストラクチャに、従業員が各自のアクセス ポイント(シスコまたはシスコ以外)を持ち込むと、せっかくセキュリティで保護されているネットワークに対して不正なユーザ アクセスが許可されてしまうため、セキュアなネットワークが簡単に危険にさらされてしまいます。

ネットワーク管理者は不正検出を行うことで、このセキュリティの問題を監視して、解消することができます。 Cisco Unified Network アーキテクチャには、不正の特定と抑止を高度に実行するソリューションを提供する不正検出の方法が用意されています。高価で有効性を検証しにくい追加のネットワークとツールは必要ありません。

前提条件

要件

本ドキュメントでは、ユーザが基本のコントローラの設定に精通していることを前提としています。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.0 を実行する Cisco Unified Controller(2100、5500、4400、WiSM、NM-WLC シリーズ)

  • Control and Provisioning of WirelessAccess Points Protocol(CAPWAP)ベースの LAP:1130AG、1140、3500、1200、1230AG、1240AG、1250、1260 シリーズ LAP

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

不正の概要

スペクトルを共有し、管理者によって管理されていないデバイスは不正と見なされます。 不正が危険と見なされるのは、次のような状況です。

  • デバイスがネットワークの SSID と同じ SSID を使用するように設定されたとき(ハニーポット)。

  • デバイスが有線ネットワークでも検出されたとき。

  • アドホックの不正も大きな脅威である。

  • (多くの場合、悪意ある目的で)部外者によって設定されたとき。

Cisco Unified Wireless Network(UWN)ソリューションの不正デバイス管理には、3 つの主な段階があります。

  • 検出:Radio Resource Management(RRM)スキャニングを使用して、不正デバイスの存在を検出します。

  • 分類:Rogue Location Discovery Protocol(RLDP)、Rogue Detector、スイッチ ポート トレースを使用して、不正デバイスが有線ネットワークに接続されているかどうかを特定します。 不正分類ルールを使用すると、不正の特性に基づいて、特定のカテゴリにフィルタリングします。

  • 緩和:スイッチ ポートの閉鎖、不正場所、および不正抑止を使用して、不正の物理的な場所を突き止め、不正デバイスの脅威を無効にします。

handling-rogue-cuwn-01.gif

不正管理の動作理論

不正検出

基本的に不正検出の対象となるのは、スペクトルを共有しているが管理者の管理対象ではない、あらゆるデバイスです。 これには、不正アクセス ポイント(AP)、ワイヤレス ルータ、不正クライアント、不正アドホック ネットワークなどが含まれます。 Cisco UWN では、オフチャネル スキャニング機能および専用監視モード機能など、さまざまな方法を使用して、Wi-Fi ベースの不正デバイスを検出します。 また、Cisco Spectrum Expert を使用して、Bluetooth ブリッジなどの 802.11 プロトコルに基づかない不正デバイスを特定できます。

オフチャネル スキャニング

この操作はローカル モードおよび H−REAP(接続済みモード)AP によって実行され、同じ無線を使用してクライアント サービスとチャネル スキャニングを許可するタイム スライシング技法を活用します。 16 秒ごとに 50 ミリ秒間オフ チャネルになることにより、AP にはデフォルトでクライアントにサービスを提供しない短い時間が生じます。 また、10 ミリ秒のチャネル変更間隔が発生することに注意してください。 デフォルトの 180 秒のスキャン間隔では、それぞれの 2.4Ghz FCC チャネル(1−11)が少なくとも一度はスキャンされます。 ETSI などのその他の規制区域では、多少長い時間 AP がオフ チャネルになります。 RRM 設定では、チャネルのリストとスキャン間隔の両方を調整できます。 これにより、パフォーマンスの影響を最大で 1.5 % に制限します。また、インテリジェンスがアルゴリズムに組み込まれ、音声などの優先度が高い QoS フレームを配信する必要があるときには、スキャニングを停止します。

handling-rogue-cuwn-03.gif

この図は、2.4GHz の周波数帯域におけるローカル モード AP のオフチャネル スキャニング アルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。 それぞれの赤い四角は AP ホーム チャネルで費やされた時間を表します。また、それぞれの青い四角は隣接するチャネルでスキャニングのために費やされた時間を表します。

モニタ モード スキャニング

この操作は、モニタ モード AP と Adaptive wIPS モニタ モード AP で実行されます。このモードでは、無線の 100 % の時間を活用して、それぞれの周波数帯域のチャネルをすべてスキャニングします。 これにより、検出の速度が大幅に向上し、より多くの時間をそれぞれのチャネルに費やすことができます。 モニタ モード AP も、各チャネルで発生しているアクティビティをより幅広く把握しているため、不正クライアントの検出においても非常に優れています。

/image/gif/paws/112045/handling-rogue-cuwn-04.gif

この図は、2.4GHz の周波数帯域におけるモニタ モード AP のオフチャネル スキャニング アルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。

ローカル モードとモニタ モードの比較

ローカル モード AP では、そのサイクルが WLAN クライアントへのサービスとチャネルに対する脅威のスキャニングに分割されます。 その結果、ローカル モード AP では、すべてのチャネルを一巡する時間がより長くかかります。また、クライアント操作が中断されないようにするため、特定のチャネルでデータを収集する時間が短くなります。 そのため、不正と攻撃の検出時間がより長くなり(3 分~ 60 分)、検出できる地上波攻撃がモニタ モード AP よりも狭い範囲に限られます。 さらに、AP はトラフィックの送受信中にトラフィックのチャネル上にある必要があるため、不正クライアントなどのバースト トラフィックの検出の決定性が低下します。 これにより、確率に課題が生じます。 モニタ モード AP はすべてのサイクルをチャネルのスキャニングに費やして、不正および地上波攻撃を探します。 モニタ モード AP は Adaptive wIPS、場所(状況認識)サービス、およびその他のモニタ モード サービスで同時に使用できます。 モニタ モード AP を導入する利点は、検出にかかる時間が短いことです。 モニタ モード AP が Adaptive wIPS とともに追加で設定されている場合、より幅広い地上波の脅威と攻撃を検出できます。

handling-rogue-cuwn-05.gif

不正の特定

不正デバイスからのプローブ応答またはビーコンが、ローカル モード、H-REAP モード、モニタ モード AP のいずれかで受信されると、この情報は CAPWAP を経由してワイヤレス LAN コントローラ(WLC)に通信されて処理されます。 誤検知を防ぐために、さまざまな方法を使用して、他のシスコベースの管理対象 AP が不正デバイスとして識別されないようにします。 これらの方法には、モビリティ グループのアップデート、RF ネイバー パケット、Wireless Control System(WCS)経由の Autonomous AP のホワイト リスト化などがあります。

不正レコード

不正デバイスのコントローラのデータベースには、現在検出された不正のセットだけが含まれていますが、WCS にはすでになくなったイベント履歴と不正のログも含まれています。

不正の詳細

CAPWAP AP は、不正クライアント、ノイズ、チャネル干渉を監視するために、50 ミリ秒間オフチャネルになります。 検出された不正クライアントや不正 AP はコントローラに送信され、次の情報が収集されます。

  • 不正 AP の MAC アドレス

  • 不正が検出された AP の名前

  • 不正な接続クライアントの MAC アドレス

  • WPA または WEP でフレームが保護されているかどうか

  • プリアンブル

  • 信号対雑音比(SNR)

  • Receiver Signal Strength Indicator(RSSI)

  • 不正検出のチャネル

  • 不正が検出された無線

  • 不正 SSID(不正 SSID がブロードキャストされている場合)

  • 不正 IP アドレス

  • 不正がレポートされた最初と最後の時間

  • チャネル幅

不正イベントのエクスポート

不正イベントをサード パーティのネットワーク管理システム(NMS)にエクスポートしてアーカイブするために、WLC には追加の SNMP トラップ レシーバを追加できます。 コントローラによって不正が検出されたり、クリアされたりした場合、この情報が含まれるトラップは、すべての SNMP トラップ レシーバと通信します。 SNMP 経由でイベントをエクスポートする場合、複数のコントローラによって同じ不正が検出され、WCS でのみ修正が行われると、重複するイベントが NMS に表示されることに注意してください。

不正レコードのタイムアウト

不正 AP が WLC のレコードに追加されると、その不正 AP がなくなるまで保持されます。 ユーザが設定できるタイムアウト(デフォルトでは 1200 秒)を過ぎると、_unclassified_ カテゴリにある不正はエージング アウトします。 _Contained_ および _Friendly_ など他の状態にある不正は保持され、それらが再び現れると、適切な分類が適用されます。

不正レコードのデータベースの最大サイズは、コントローラ プラットフォームによって異なります。

  • 21XX および WLCM:125 個の不正

  • 44XX:625 個の不正

  • WiSM:1250 個の不正

  • 5508:2000 個の不正

不正分類

デフォルトでは、Cisco UWN で検出されたすべての不正は未分類と見なされます。 この図で説明されているとおり、不正は RSSI、SSID、セキュリティ タイプ、オン/オフ ネットワーク、クライアントの数などのさまざまな基準に基づいて分類できます。

handling-rogue-cuwn-06.gif

Rogue Detector AP

Rogue Detector AP は地上波で受信された不正情報を有線ネットワークから取得した ARP 情報と関連付けることを目的とします。 MAC アドレスが不正 AP または不正クライアントとして地上波で受信され、有線ネットワークでも受信されると、有線ネットワーク上に不正が存在することが決定します。 不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は _critical_ に引き上げられます。 NAT を使用しているデバイスの背後では、Rogue Detector AP で不正クライアントを特定できないことに注意してください。

handling-rogue-cuwn-07.gif

スケーラビリティに関する考慮事項

Rogue Detector AP は最大 500 個の不正と 500 個の不正クライアントを検出できます。 不正デバイスが多すぎるトランク上に Rogue Detector が配置されると、これらの制限を超過し、問題が生じます。 この問題を防止するには、Rogue Detector AP をネットワークのディストリビューション レイヤまたはアクセス レイヤに配置します。

RLDP

RLDP の目的は、特定の不正 AP が有線インフラストラクチャに接続されているかどうかを特定することです。 基本的に、この機能は最も近い Unified AP を使用して、ワイヤレス クライアントとして不正デバイスに接続します。 クライアントとして接続すると、WLC の宛先アドレスを持ったパケットが送信され、AP が有線ネットワークに接続されているかどうかを確認します。 不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は重大に引き上げられます。

handling-rogue-cuwn-08.gif

次に、RLDP のアルゴリズムを示します。

  1. 信号強度値を使用して、不正に最も近い Unified AP を特定します。

  2. 次に、AP は WLAN クライアントとして不正に接続し、タイムアウト前に 3 つのアソシエーションを試行します。

  3. アソシエーションが成功すると、AP は DHCP を使用して IP アドレスを取得します。

  4. IP アドレスを取得すると、AP(WLAN クライアントとして動作)は UDP パケットをそれぞれのコントローラの IP アドレスに送信します。

  5. コントローラがクライアントから RLDP パケットを 1 つでも受信すると、その不正は接続済みとマーキングされ、重大度は重大になります。

注: コントローラのネットワークと不正デバイスがあるネットワーク間にフィルタリング ルールが設定されている場合、RLDP パケットはコントローラに到達できません。

RLDP の注意事項

  • RLDP は、認証と暗号化が無効になっており、SSID をブロードキャストしている開かれた不正 AP でのみ動作します。

  • RLDP では、クライアントとして動作している管理対象 AP が、不正ネットワーク上の DHCP を経由して、IP アドレスを取得できる必要があります。

  • 手動 RLDP を使用して、不正に対して RLDP トレースを何度も試行できます。

  • RLDP の処理中、AP はクライアントにサービスを提供できません。 これにより、ローカル モード AP のパフォーマンスと接続性に悪い影響を与えます。

  • RLDP は 5GHz DFS チャネルで動作している不正 AP への接続は試行しません。

スイッチ ポート トレース

スイッチ ポート トレースは、5.1 リリースで初めて導入された不正 AP の緩和技法です。 スイッチ ポート トレースは WCS で起動できますが、CDP と SNMP の両方の情報を使用して、ネットワークの特定のポートまで不正を突き止めます。 スイッチ ポート トレースを実行するには、ネットワーク内のすべてのスイッチが SNMP クレデンシャルとともに WCS に追加されている必要があります。 読み取り専用クレデンシャルでも不正のあるポートを特定できますが、読み書き可能なクレデンシャルを使用すると、WCS でポートのシャットダウンも可能になるため、脅威を抑止できます。 現在、この機能は CDP をイネーブルにして IOS を実行するシスコ スイッチでのみ動作します。また、CDP が管理対象 AP でイネーブルになっている必要があります。

handling-rogue-cuwn-09.gif

次に、スイッチ ポート トレースのアルゴリズムを示します。

  • WCS は最も近い AP を見つけ、その AP は不正 AP を地上波で検出し、その CDP ネイバーを取得します。

  • 次に、WCS は SNMP を使用して、隣接するスイッチ内で CAM テーブルを検証し、不正場所を特定する正一致を探します。

  • 正一致は、完全に一致する不正 MAC アドレス、不正 MAC アドレスの +1/−1、任意の不正クライアント MAC アドレス、または MAC アドレスに継承されたベンダー情報に基づく OUI の一致に基づきます。

  • 最も近いスイッチに正一致が見つからない場合、WCS は引き続き最大で 2 つの離れたホップの隣接のスイッチを探します(デフォルト)。

handling-rogue-cuwn-10.gif

不正分類ルール

5.0 リリースで導入された不正分類ルールを使用すると、条件を定義して、不正に対し、悪意のある不正または友好的な不正のいずれかをマーキングすることができます。 これらのルールは WCS または WLC で設定しますが、新しい不正が発見されるたびにコントローラ上で実行されます。

WLC での不正ルールの詳細は、『ワイヤレス LAN コントローラ(WLC)および Wireless Control System(WCS)でのルール ベースの不正分類』のドキュメントをお読みください。

不正緩和

不正抑止

抑止とは、地上波パケットを使用して、不正デバイスが物理的に削除されるまで、不正デバイス上のサービスを一時的に中断する方法です。 抑止は、不正 AP のスプーフィングされた送信元アドレスを使って、認証解除パケットをスプーフィングすることによって機能します。これにより、関連するすべてのクライアントが追放されます。

handling-rogue-cuwn-11.gif

不正抑止の詳細

クライアントがない不正 AP で起動された抑止は、ブロードキャスト アドレスに送信された認証解除フレームだけを使用します。

handling-rogue-cuwn-12.gif

クライアントのある不正 AP で起動された抑止は、ブロードキャスト アドレスとクライアント アドレスに送信された認証解除フレームを使用します。

handling-rogue-cuwn-13.gif

抑止パケットは、管理対象 AP の出力レベルと、イネーブルになっている最小のデータ レートで送信されます。

抑止は 100 ミリ秒ごとに少なくとも 2 つのパケット送信します。

handling-rogue-cuwn-14.gif

注: 6.0 リリースから、モニタ モード AP 以外で実行される抑止は、モニタ モード AP で使用されていた 100 ミリ秒間隔ではなく、500 ミリ秒間隔で送信されます。

  • 個別の不正デバイスは、1 つから 4 つの管理対象 AP によって抑止されます。管理対象 AP は連係して脅威を一時的に緩和します。

  • 抑止はローカル モード、モニタ モード、H-REAP(接続済み)モードの AP を使用して実行できます。 H-REAP AP のローカル モードの場合、無線あたり最大 3 つの不正デバイスを抑止できます。 モニタ モード AP の場合、無線あたり最大 6 つの不正デバイスを抑止できます。

自動抑止

WCS または WLC GUI から不正デバイスに対して手動で抑止を起動する方法の他に、特定の状況において自動で抑止を起動する機能もあります。 この設定は、WCS またはコントローラのインターフェイスの [Rogue Policies] の [General] セクションにあります。 これらの機能はそれぞれデフォルトでディセーブルになっています。最も危険な脅威を無効にするためだけにイネーブルにしてください。

  • Rogue on Wire:不正デバイスが有線ネットワークに接続されていることが特定されると、自動的に抑止状態になります。

  • Using our SSID:不正デバイスが、コントローラに設定されている SSID と同じ SSID を使用している場合、自動的に抑止されます。 この機能は、障害を引き起こす前にハニーポット攻撃に対応するための機能です。

  • Valid client on Rogue AP:ACS の一覧にあるクライアントが不正デバイスに関連付けられていることが見つかると、そのクライアントに対してのみ抑止が起動して、管理対象ではない AP に関連付けられないようにします。

  • アド ホックな悪党 AP -アド ホックなネットワークが検出される場合、自動的に含まれています。

不正抑止の注意事項

  • 抑止では、管理対象 AP の無線時間の一部を使用して認証解除フレームを送信するため、データ クライアントと音声クライアントの両方のパフォーマンスに、最大 20 % の悪影響が出ることがあります。 データ クライアントの場合、この影響によりスループットが低下します。 音声クライアントの場合、抑止によって、会話が中断されたり、音声品質が低下したりすることがあります。

  • 隣接のネットワークに対して抑止を起動するとき、抑止には法的な影響が生じることがあります。 抑止を起動する前に、不正デバイスがネットワーク内にあり、セキュリティ リスクを引き起こすことを確認してください。

スイッチ ポートの閉鎖

SPT を使用してスイッチ ポートをトレースすると、WCS のそのポートをディセーブルにするオプションがあります。 管理者はこの操作を手動で行う必要があります。 不正が物理的にネットワークから削除されたら、WCS を介してスイッチ ポートをイネーブルにするオプションを利用できます。

不正管理の設定

不正検出の設定

デフォルトでは、コントローラでの不正検出はイネーブルです。

グラフィカル インターフェイスを使用して不正の詳細をコントローラで見つけるには、[Monitor] > [Rogues] の順に進みます。

handling-rogue-cuwn-15.gif

このページでは、不正のさまざまな分類を利用できます。

  • Friendly APs:管理者によって友好的とマーキングされている AP です。

  • Malicious APs:RLDP または Rogue Detector AP を使用して、悪意のある AP として特定された AP です。

  • Unclassified APs:デフォルトでは、不正 AP は未分類リストとしてコントローラに表示されます。

  • Rogue Clients:不正 AP に接続されているクライアント です。

  • Adhoc Rogues:アドホックの不正クライアントです。

  • Rogue AP ignore list:WCS からリストが作成された AP です。

注: WLC および Autonomous AP が同じ WCS で管理されている場合、WLC は自動的にこの Autonomous AP を不正 AP 無視リストに表示します。 この機能をイネーブルにするために、WLC での追加の設定は必要ありません。

CLI を使用する場合:

(Cisco Controller) >show rogue ap summary

Rogue on wire Auto-Contain....................... Disabled
Rogue using our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200

MAC Address        Classification     # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------
00:14:1b:5b:1f:90  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:14:1b:5b:1f:91  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:14:1b:5b:1f:92  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:14:1b:5b:1f:93  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:14:1b:5b:1f:96  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:17:df:a9:08:00  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:10  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:17:df:a9:08:11  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:17:df:a9:08:12  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:16  Unclassified       1     0         Thu Jun 10 19:04:51 2010



特定の不正エントリをクリックして、その不正の詳細を取得します。

handling-rogue-cuwn-16.gif

CLI を使用する場合:

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90

Rogue BSSID...................................... 00:14:1b:5b:1f:90
Is Rogue on Wired Network........................ No
Classification................................... Unclassified
Manual Contained................................. No
State............................................ Alert
First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010
Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010
Reported By
    AP 1
        MAC Address.............................. 00:24:97:8a:09:30
        Name..................................... AP_5500
        Radio Type............................... 802.11g
        SSID..................................... doob
        Channel.................................. 6
        RSSI..................................... -51 dBm
        SNR...................................... 27 dB
        Encryption............................... Disabled
        ShortPreamble............................ Enabled
        WPA Support.............................. Disabled
        Last reported by this AP................. Thu Jun 10 19:04:51 2010

不正検出のチャネル スキャニングの設定

ローカル モード、Hreap モード、モニタ モードの AP の場合、不正をスキャンするチャネルを選択できるオプションが RRM の設定にあります。 設定に応じて、AP はすべてのチャネル/カントリー チャネル/DCA チャネルで不正をスキャンします。

GUI からこれを設定するには、[Wireless] > [802.11a/802.11b] > [RRM] [General] の順に進みます。

handling-rogue-cuwn-17.gif

CLI を使用する場合:

(Cisco Controller) >config  advanced 802.11a monitor channel-list ?

all            Monitor all channels
country        Monitor channels used in configured country code
dca            Monitor channels used by automatic channel assignment

これらのオプションを設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [General] の順に選択します。

  1. 不正 AP のタイムアウトを変更します。

  2. アドホック不正ネットワークの検出をイネーブルにします。

handling-rogue-cuwn-18.gif

CLI を使用する場合:

(Cisco Controller) >config rogue ap timeout ?

<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

不正分類の設定

不正 AP の手動分類

友好的、悪意あり、または未分類として不正 AP を分類するには、[Monitor] [Rogue]> [Unclassified APs] の順に進み、特定の不正 AP 名をクリックします。 ドロップダウン リストからオプションを選択します。

handling-rogue-cuwn-19.gif

CLI を使用する場合:

(Cisco Controller) >config rogue ap ?

classify       Configures rogue access points classification.
friendly       Configures friendly AP devices.
rldp           Configures Rogue Location Discovery Protocol.
ssid           Configures policy for rogue APs advertsing our SSID.
timeout        Configures the expiration time for rogue entries, in seconds.
valid-client   Configures policy for valid clients using rogue APs.

不正エントリを不正リストから手動で削除するには、[Monitor] > [Rogue] > [Unclassified APs] の順に進み、[Remove] をクリックします。

handling-rogue-cuwn-20.gif

不正 AP を友好的 AP として設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [Friendly Rogues] の順に進み、不正 MAC アドレスを追加します。

追加した友好的な不正エントリは、[Monitor] > [Rogues] > [Friendly Rogue] ページから確認できます。

handling-rogue-cuwn-21.gif

handling-rogue-cuwn-22.gif

Rogue Detector AP の設定

GUI を使用して、AP を Rogue Detector として設定するには、[Wireless] > [All AP] の順に進みます。 AP 名を選択して、AP モードを変更します。

handling-rogue-cuwn-23.gif

CLI を使用する場合:

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.
Are you sure you want to continue? (y/n) y

Rogue Detector AP のスイッチ ポートの設定


interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk encapsulation dot1q
switchport trunk native vlan 113
switchport mode trunk
spanning−tree portfast trunk

注: この設定でのネイティブ VLAN は、WLC への IP 接続のある VLAN の 1 つです。

RLDP の設定

コントローラの GUI で RLDP を設定するには、[Security] [Wireless Protection Policies] > [Rogue Policies] > [General] の順に進みます。

handling-rogue-cuwn-24.gif

Monitor Mode APs:モニタ モードの AP にのみ RLDP への参加を許可します。

All APs:ローカル/Hreap/モニタ モードの AP が RLDP プロセスに参加します。

Disabled:RLDP は自動的にトリガーされません。 ただし、ユーザは CLI から特定の MAC アドレスに対して RLDP を手動でトリガーできます。

注: モニタ モード AP とローカル/Hreap の AP の両方が、-85dbm 以上の RSSI で特定の不正を検出した場合、RLDP の実行では、モニタ モード AP の方がローカル/Hreap の AP よりも優先されます。

CLI を使用する場合:

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only     Enables RLDP and alarm if rogue is detected
auto-contain   Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP scheduling and triggering manually is configurable only through Command 
    prompt

To Initiate RLDP manually:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr>     Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
For Scheduling RLDP

Note: RLDP scheduling and option to configure RLDP retries are two options 
    introduced in 7.0 through CLI

RLDP Scheduling :

(Cisco Controller) >config rogue ap rldp schedule ?

add            Enter the days when RLDP scheduling to be done.
delete         Enter the days when RLDP scheduling needs to be deleted.
enable         Configure to enable RLDP scheduling.
disable        Configure to disable RLDP scheduling.


(Cisco Controller) >config rogue ap rldp schedule add ?

mon            Configure Monday for RLDP scheduling.
tue            Configure Tuesday for RLDP scheduling.
wed            Configure Wednesday for RLDP scheduling.
thu            Configure Thursday for RLDP scheduling.
fri            Configure Friday for RLDP scheduling.
sat            Configure Saturday for RLDP scheduling.
sun            Configure Sunday for RLDP scheduling.



RLDP retries can be configured using the command 

(Cisco Controller) >config rogue ap rldp retries ?

<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

不正クライアントの AAA 検証を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進みます。

このオプションをイネーブルにすると、不正クライアントや AP アドレスが悪意ありと分類される前に、AAA サーバで必ず検証されます。

handling-rogue-cuwn-25.gif

CLI を使用する場合:

(Cisco Controller) >config rogue client aaa ?

disable        Disables use of AAA/local database to detect valid mac addresses.
enable         Enables use of AAA/local database to detect valid mac addresses.

特定の不正クライアントが有線の不正であることを検証するために、コントローラから特定の不正の到達可能性をチェックするオプションがあります(コントローラが不正クライアントの IP アドレスを検出できる場合)。 このオプションは、不正クライアントの詳細ページでアクセスでき、グラフィカル インターフェイスからのみ利用できます。

handling-rogue-cuwn-26.gif

スイッチ ポート トレースを設定するには、不正管理のホワイト ペーパーを参照してください(登録ユーザのみ)。

不正緩和の設定

手動抑止の設定:

不正 AP を手動で抑止するには、[Monitor] > [Rogues] [Unclassified] の順に進みます。

handling-rogue-cuwn-27.gif

CLI を使用する場合:

(Cisco Controller) >config rogue client ?

aaa            Configures to validate if a rogue client is a valid client using
                   AAA/local database.
alert          Configure the rogue client to the alarm state.
contain        Start containing a rogue client.

(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?

<num of APs>   Enter the maximum number of Cisco APs to actively contain the
                   rogue client [1-4].

注: 1 ~ 4 の AP を使用して、特定の不正を抑止できます。 デフォルトでは、コントローラは 1 つの AP を使用して、クライアントを抑止します。 2 つの AP で特定の不正が検出される場合、AP のモードにかかわらず、最も高い RSSI を持つ AP がクライアントを抑止します。

自動抑止を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進み、ネットワークに適用可能なすべてのオプションをイネーブルにします。

handling-rogue-cuwn-28.gif

CLI を使用する場合:

(Cisco Controller) >config rogue adhoc ?

alert          Stop Auto-Containment, generate a trap upon detection of the
                   adhoc rogue.
auto-contain   Automatically containing adhoc rogue.
contain        Start containing adhoc rogue.
disable        Disable detection and reporting of Ad-Hoc rogues.
enable         Enable detection and reporting of Ad-Hoc rogues.
external       Acknowledge presence of a adhoc rogue.

(Cisco Controller) >config rogue adhoc auto-contain ?
(Cisco Controller) >config rogue adhoc auto-contain
 Warning! Using this feature may have legal consequences
         Do you want to continue(y/n) :y

トラブルシューティング

不正が検出されない場合:

  • 次のコマンドを使用して、AP で不正検出がイネーブルになっていることを確認します。 デフォルトでは、AP での不正検出はイネーブルになっています。

    (Cisco_Controller) >show ap config general Managed_AP
    
    Cisco AP Identifier.............................. 2
    Cisco AP Name.................................... Managed_AP
    Country code..................................... US  - United States
    Regulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-A
    AP Country code.................................. US  - United States
    AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A
    Switch Port Number .............................. 2
    MAC Address...................................... 00:1d:a1:cc:0e:9e
    IP Address Configuration......................... DHCP
    IP Address....................................... 10.8.99.104
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 10.8.99.1
    CAPWAP Path MTU.................................. 1485
    Telnet State..................................... Enabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ india-banaglore
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_e9:d9:23
    Primary Cisco Switch IP Address.................. 10.44.81.20
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Disabled
    AP SubMode ...................................... Not Configured
    Remote AP Debug ................................. Disabled
    Logging trap severity level ..................... informational
    Logging syslog facility ......................... kern
    S/W  Version .................................... 7.0.98.0
    Boot  Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 209
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Override
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1242AG-A-K9
    AP Image......................................... C1240-K9W8-M
    IOS Version...................................... 12.4(23c)JA
    Reset Button..................................... Enabled
    AP Serial Number................................. FTX1137B22V
    AP Certificate Type.............................. Manufacture Installed
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... Not Configured
    AP Dot1x User Mode............................... GLOBAL
    AP Dot1x User Name............................... Cisco12
    Cisco AP system logging host..................... 255.255.255.255
    AP Up Time....................................... 13 days, 15 h 01 m 33 s
    AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s
    Join Date and Time............................... Tue Jun  1 10:36:38 2010
    
    Join Taken Time.................................. 0 days, 00 h 00 m 52 s
    Ethernet Port Duplex............................. Auto
    Ethernet Port Speed.............................. Auto
    AP Link Latency.................................. Enabled
     Current Delay................................... 0 ms
     Maximum Delay................................... 56 ms
     Minimum Delay................................... 2 ms
     Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s
    Rogue Detection.................................. Enabled
    AP TCP MSS Adjust................................ Disabled
    

    次のコマンドを使用して、AP で不正検出をイネーブルにできます。

    (Cisco Controller) >config rogue detection enable ?
    all                    Applies the configuration to all connected APs.
    <Cisco AP>     Enter the name of the Cisco AP.
    
  • ローカル モード AP では、設定に応じて、カントリー チャネル/DCA チャネルのみをスキャンします。 不正が他のチャネルにある場合、ネットワークにモニタ モード AP がなければ、コントローラではその不正を特定できません。 確認するため、次のコマンドを発行します。

    (Cisco Controller) >show advanced 802.11a monitor
    
    Default 802.11a AP monitoring
      802.11a Monitor Mode........................... enable
      802.11a Monitor Mode for Mesh AP Backhaul...... disable
      802.11a Monitor Channels....................... Country channels
      802.11a AP Coverage Interval................... 180 seconds
      802.11a AP Load Interval....................... 60 seconds
      802.11a AP Noise Interval...................... 180 seconds
      802.11a AP Signal Strength Interval............ 60 seconds
    
  • 不正 AP は SSID をブロードキャストしていない場合があります。

  • 不正 AP の MAC アドレスが WCS から友好的な不正リストまたはホワイト リストに追加されていないことを確認します。

  • 不正 AP からのビーコンは、不正を検出している AP に到達できない場合があります。 これは、AP を検出している不正の近くにあるスニファを使用して、パケットをキャプチャすることによって検証できます。

  • ローカル モード AP は、不正を検出するために最大で 9 分かかることがあります(3 サイクル 180 X 3)。

  • Cisco AP では、パブリック セーフティ チャネル(4.9 Ghz)のような周波数上にある不正を検出できません。

  • Cisco AP では、FHSS(周波数ホッピング スペクトラム拡散)上で動作している不正を検出できません。

便利なデバッグ

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 
    Looking for Rogue 00:27:0d:8d:14:12 in known AP table
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1 
    for rogue AP 00:27:0d:8d:14:12
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report 
    00:1b:0d:d4:54:20  rssi -74, snr -9 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP: 
    00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue 
    00:24:97:2d:bf:90 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1 
    for rogue AP 00:24:97:2d:bf:90
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report 
    00:1b:0d:d4:54:20  rssi -56, snr 34 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP: 
    9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP: 
    9c:af:ca:0f:bd:40 

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue 
    9c:af:ca:0f:bd:40 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40
    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62 
    Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 
*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP: 
    00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP: 
    00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP: 
    00:24:c4:ad:c0:40

一般的なトラップ ログ

不正が検出された場合


9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:
1 and Classification: unclassified 

10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18
and Classification: unclassified 
	
11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20
and Classification: unclassified 

12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2
and Classification: unclassified

不正エントリが不正リストから削除された場合

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio 
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

推奨事項

  1. 潜在的な不正がネットワークに存在することが疑われる場合、チャネル スキャニングをすべてのチャネルに設定してください。

  2. Rogue Detector AP の数と場所は、有線ネットワークのレイアウトに応じて、フロアあたり 1 つから建物あたり 1 つまでさまざまです。 フロアまたは建物ごとに少なくとも 1 つの Rogue Detector AP を配備することをお勧めします。 Rogue Detector AP には、監視するすべてのレイヤ 2 ネットワーク ブロードキャスト ドメインへのトランクが必要であるため、配置はネットワークの論理レイアウトによって異なります。

不正が分類されない場合

  • 不正ルールが適切に設定されているかどうか確認します。

  • 不正が DFS チャネルにある場合、RLDP は動作しません。

  • RLDP は不正の WLAN が開いていて、DHCP が利用できる場合にのみ動作します。

  • ローカル モード AP が DFS チャネルでクライアントとして動作している場合、RLDP プロセスには参加しません。

便利なデバッグ

(Cisco Controller) > debug dot11 rogue rule enable
(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0
00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44
Found RAD: 0x158f1ea0, slotId = 1
rldp started association, attempt 1
Successfully associated with rogue: 00:1A:1E:85:21:B0 


!--- ASSOCIATING TO ROGUE AP


Starting dhcp
00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0
.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0
Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 


!--- GETTING IP FROM ROGUE


Found Gateway MacAddr: 00:1D:70:F0:D4:C1
Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de
Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)
Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de
Send ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  


!--- SENDING ARLDP PACKET


Received 32 byte ARLDP message from: 172.20.226.24642
Packet Dump:
sourceIp: 172.20.226.246
destIp: 172.20.226.197
Rogue Mac: 00:1A:1E:85:21:B0 


!--- RECEIVING ARLDP PACKET


security: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

推奨事項

  1. 疑わしい不正エントリ上で RLDP を手動で起動してください。

  2. RLDP が定期的に実行されるようにスケジュールを設定してください。

  3. 既知の不正エントリがある場合、それらを友好的リストに追加するか、AAA での検証をイネーブルにして、既知のクライアント エントリが AAA データベースに含まれるようにしてください。

  4. RLDP はローカル AP またはモニタ モード AP に配備できます。 ほとんどの大規模な展開では、クライアント サービスへの影響を排除するため、できる限り RLDP をモニタ モード AP 上に展開してください。 ただし、この推奨事項では、5 つのローカル モード AP ごとに 1 つのモニタ モード AP という一般的な比率で、モニタ モード AP のオーバーレイを配備する必要があります。 この作業には、Adaptive wIPS モニタ モードの AP を活用することもできます。

Rogue Detector AP

AP コンソールで次のコマンドを使用すると、Rogue Detector の不正エントリを表示できます。 有線の不正の場合、フラグが設定されます。

Rogue_Detector_5500#show capwap rm rogue detector
 CAPWAP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1
  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1


!--- once the flag is set, rogue is detected on wire


  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1
  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1
  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

AP コンソール内の便利なデバッグ コマンド

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

不正抑止が実行されない場合

  1. ローカル/Hreap モードの AP では、無線あたり 3 つのデバイスを一度に抑止でき、モニタ モード AP では無線あたり 6 つのデバイスを抑止できます。 そのため、AP に許可されている最大数のデバイスがすでに抑止されていないかどうかを確認してください。 最大数のデバイスが抑止されていると、クライアントは抑止の保留状態にあります。

  2. 自動抑止ルールを検証してください。

一般的なトラップ ログ

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1
    has been contained manually by 2 APs 8

Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added 
    to the Classified AP List.

結論

シスコの中央集中型コントローラ ソリューションの不正検出と抑止は、業界でも最も効果的で影響の少ない不正検出/抑止手法です。 ネットワーク管理者はさらに柔軟にソリューションをカスタマイズして、ネットワークの要件に対応できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112045