Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Administración rogue en una red inalámbrica unificada

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Diciembre 2015) | Comentarios


Contenido


Introducción

Las redes inalámbricas amplían las redes alámbricas y aumentan la productividad de los trabajadores y el acceso a la información. Sin embargo, una red inalámbrica no autorizada representa un problema de seguridad añadido. Se pone menos cuidado en la seguridad de los puertos de las redes alámbricas, y las redes inalámbricas son una extensión fácil de las redes alámbricas. Por lo tanto, un empleado que trae su propio Punto de acceso (Cisco o no Cisco) en una Tecnología inalámbrica o una infraestructura cableada bien-asegurada y no prohibe a acceso de usuarios no autorizados a esto de otra manera la red segura, puede comprometer fácilmente una red segura.

La detección rogue permite que el administrador de la red monitoree y elimine estos problemas de seguridad. Cisco unificó la arquitectura de red proporciona los métodos para la detección rogue que habilitan una solución rogue completa de la identificación y de la contención sin la necesidad de costoso y duro-a-alinean las redes y las herramientas de recubrimiento.

prerrequisitos

Requisitos

Este documento asume que usted es familiar con las configuraciones de controlador básicas.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco unificó la versión 7.0 corriente de los reguladores (serie de 2100, de 5500, 4400,WiSM, y NM-WLC)

  • Control y aprovisionamiento del protocolo del unto de acceso de red inalámbrica (CAPWAP) - revestimientos basados - 1130AG, 1140, 3500, 1200, 1230AG, 1240AG, 1250, y revestimientos de las 1260 Series

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Elimine las plantas débiles la descripción

Cualquier dispositivo que comparta su espectro y no es manejado por usted se puede considerar un granuja. Un granuja hace peligroso en estos escenarios:

  • Cuando está puesto para utilizar el mismo SSID que su red (honeypot).

  • Cuando se detecta en la red alámbrica también.

  • Los granujas ad hoc son también una amenaza grande.

  • Ponga por un forastero, la mayoría de las veces, con el intento malicioso.

Hay tres fases principales de Administración de dispositivo ficticio en la solución de la red del Cisco Unified Wireless (UWN):

  • Detección – El analizar del Administración de recursos de radio (RRM) se utiliza para detectar la presencia de dispositivos ficticios.

  • Clasificación – El Discovery Protocol rogue de la ubicación (RLDP), los detectores rogue y el seguimiento del puerto del switch se utilizan para identificar si el dispositivo ficticio está conectado con la red alámbrica. Las reglas rogue de la clasificación también ayudan a los granujas de filtración en las categorías específicas basadas en sus características.

  • Mitigación – El cerrar del puerto del switch, la ubicación rogue, y la contención rogue se utilizan en el rastreo de su ubicación física y anular la amenaza del dispositivo ficticio.

handling-rogue-cuwn-01.gif

Teoría de operación rogue de la Administración

Detección rogue

Un granuja es esencialmente cualquier dispositivo que esté compartiendo su espectro, pero no está en su control. Esto incluye el (APS) de los puntos de acceso no autorizado, el router inalámbrico, los clientes rogue, y las redes ad-hoc del granuja. Cisco UWN utiliza varios métodos para detectar los dispositivos ficticios Wi-Fi-basados incluyendo la exploración del apagado-canal y las capacidades dedicadas del modo monitor. El Cisco Spectrum Expert puede también ser utilizado para identificar los dispositivos ficticios no basados en el protocolo del 802.11, tal como Bridges de Bluetooth.

Exploración del Apagado-canal

Esta operación es realizada por el modo local y H−REAP (en el modo conectado) AP y utiliza una técnica time-slicing que permita la exploración del Servicio al cliente y del canal usando la misma radio. Yendo apagado canal por un período de 50ms cada 16 segundos, el AP, por abandono, pasa solamente un pequeño porcentaje de su tiempo que no sirve a los clientes. También, observe allí es un intervalo del cambio del canal 10ms que ocurrirá. En el intervalo predeterminado de la exploración de 180 segundos, cada FCC 2.4Ghz canaliza (1−11) se analiza por lo menos una vez. Para otros dominios reguladores, tales como ETSI, el AP estará de canal para un porcentaje levemente más alto del tiempo. La lista de canales y de intervalo de la exploración se puede ajustar en RRM la configuración. Esto limita el impacto del rendimiento a un máximo de 1.5% y la inteligencia se incorpora al algoritmo de suspender la exploración cuando las tramas prioritarias de QoS, tales como Voz, necesitan ser entregadas.

handling-rogue-cuwn-03.gif

Este gráfico es una pintura del algoritmo de la exploración del apagado-canal para un modo local AP en la banda de frecuencia 2.4GHz. Una operación similar se está realizando paralelamente en la radio 5GHz si el AP tiene un presente. Cada cuadrado rojo representa el tiempo pasado en el canal AP a casa, mientras que cada cuadrado azul representa la hora pasada en los canales adyacentes para analizar los propósitos.

El analizar del modo monitor

Esta operación es realizada por el modo monitor y el modo monitor adaptante AP del wIPS que utiliza el 100% de la época de la radio para analizar todos los canales en cada banda de frecuencia respectiva. Esto permite una mayor velocidad de la detección y habilita más hora de estar pasado en cada canal individual. El modo monitor AP es también superior lejano en la detección de los clientes rogue pues tienen un más panorama amplio de la actividad que ocurre en cada canal.

/image/gif/paws/112045/handling-rogue-cuwn-04.gif

Este gráfico es una pintura del algoritmo de la exploración del apagado-canal para un modo monitor AP en la banda de frecuencia 2.4GHz. Una operación similar se está realizando paralelamente en la radio 5GHz si el AP tiene un presente.

Comparación del modo local y del modo monitor

Un modo local AP parte sus ciclos entre los clientes WLAN de la porción y los canales de la exploración para las amenazas. Como consecuencia, dura un modo local AP para completar un ciclo a través de todos los canales, y pasa menos tiempo que recoge los datos en cualquier canal particular para no interrumpir los funcionamientos del cliente. Por lo tanto, el granuja y los tiempos de la Detección de ataque son más largos (3 a 60 minutos) y un rango más pequeño sobre del - los ataques aéreos se pueden detectar que con un modo monitor AP. Además, la detección para el tráfico congestionado, tal como clientes rogue, es mucho menos determinista porque el AP tiene que estar en el canal del tráfico al mismo tiempo que el tráfico se está transmitiendo o que se está recibiendo. Esto se convierte en un ejercicio en las probabilidades. Un modo monitor AP gasta todos de sus ciclos que analizan los canales que buscan a los granujas y sobre - los ataques aéreos. Un modo monitor AP puede ser utilizado simultáneamente para el wIPS adaptante, los servicios (sensibles al contexto) de la ubicación, y otros servicios del modo monitor. Cuando despliegan al modo monitor AP, las ventajas son una tiempo-a-detección más baja. Cuando configuran al modo monitor AP además con el wIPS adaptante, una gama más amplia sobre - las amenazas y los ataques de aire pueden ser detectados.

handling-rogue-cuwn-05.gif

Identificación rogue

Si la respuesta o los faros de la sonda de un dispositivo ficticio es oída por el modo local, el modo H-REAP, o el modo monitor AP, después esta información se comunica vía CAPWAP al regulador del Wireless LAN (WLC) para procesar. Para prevenir los falsos positivos, varios métodos se utilizan para asegurarse que otros AP basados en Cisco manejados no están identificados como dispositivo ficticio. Estos métodos incluyen las actualizaciones del grupo de la movilidad, los paquetes vecinos RF, y el anuncio blanco AP autónomos vía el sistema de control inalámbrico (WCS).

Expedientes del granuja

Mientras que la base de datos del regulador de los dispositivos ficticios contiene solamente el conjunto actual de los granujas detectados, el WCS también incluye un historial de eventos y registra a los granujas que se ven no más.

Detalles rogue

UN CAPWAP AP va apagado-canal para 50ms para estar atenta los clientes rogue, el monitor para el ruido, e interferencia del canal. Envían cualesquiera clientes o AP rogue detectados al regulador, que recopila esta información:

  • La dirección MAC del granuja el AP

  • Nombre del granuja detectado AP

  • La dirección MAC rogue del cliente conectado

  • Si las tramas están protegidas con el WPA o el WEP

  • El preámbulo

  • El relación señal-ruido (SNR)

  • El indicador de la potencia de la señal del receptor (RSSI)

  • Canal de detección rogue

  • Radio en la cual detectan al granuja

  • SSID rogue (si transmiten al granuja SSID)

  • Dirección IP rogue

  • Primero y última vez que señalan el granuja

  • Ancho del canal

Exportación de los eventos rogue

Para exportar los eventos rogue a un sistema de administración de red (NMS) de tercera persona para archival, los receptores de trampa SNMP adicionales de los permisos del WLC que se agregarán. Cuando el regulador detecta o es borrado a un granuja, un desvío que contiene esta información se comunica a todos los receptores de trampa SNMP. Una advertencia con la exportación de los eventos vía el SNMP es que si los controladores múltiples detectan al mismo granuja, los eventos duplicados son considerados por el NMS como la correlación se hace solamente en el WCS.

Descanso de registro rogue

Una vez un granuja que el AP se ha agregado a los expedientes WLC, él permanecerá allí hasta que se vea no más. Después de un descanso configurable del usuario (1200 segundos omiten), envejecen a un granuja en la categoría del _unclassified_ hacia fuera. Los granujas en otros estados tales como _Contained_ y _Friendly_ persistirán para aplicar la clasificación apropiada a ellos si reaparecen.

Hay un tamaño de la base de datos máximo para los expedientes rogue que es variable a través de las Plataformas del regulador:

  • 21XX y WLCM - 125 granujas

  • 44XX - 625 granujas

  • WiSM - 1250 granujas

  • 5508 - 2000 granujas

Clasificación rogue

Por abandono, consideran a todos los granujas que son detectados por Cisco UWN sin clasificar. Según lo representado en este gráfico, los granujas pueden ser clasificados en varios criterios incluyendo el RSSI, el SSID, el tipo de la Seguridad, la red con./desc., y el número de clientes:

handling-rogue-cuwn-06.gif

Detector rogue AP

Objetivos rogue del detector Un AP para correlacionar la información rogue oída sobre el aire con la información ARP obtenida de la red alámbrica. Si un MAC address se oye sobre el aire como un granuja AP o cliente y también se oye en la red alámbrica, después determinan al granuja para estar en la red alámbrica. Si detectan al granuja para estar en la red alámbrica, después la gravedad de la alarma para ese granuja AP se aumenta al _critical_. Debe ser observado que un detector rogue AP no es acertado en la identificación de los clientes rogue detrás de un dispositivo usando el NAT.

handling-rogue-cuwn-07.gif

Consideraciones del scalability

Un detector rogue AP puede detectar hasta 500 granujas y a 500 clientes rogue. Si el detector rogue se coloca en un trunk con demasiados dispositivos ficticios, después estos límites pudieron ser excedidos, que causa los problemas. Para evitar que esto ocurra, guarde el detector rogue AP en la distribución o la capa de acceso de su red.

RLDP

El objetivo de RLDP es identificar si un granuja específico AP está conectado con la infraestructura cableada. Esta característica esencialmente utiliza el AP unificado más cercano para conectar con el dispositivo ficticio como cliente de red inalámbrica. Después de conectar como cliente, un paquete se envía con la dirección destino del WLC para evaluar si el AP está conectado con la red alámbrica. Si detectan al granuja para estar en la red alámbrica, después la gravedad de la alarma para ese granuja AP se aumenta a crítico.

handling-rogue-cuwn-08.gif

El algoritmo de RLDP se enumera aquí:

  1. Identifique el AP unificado más cercano al granuja que usa los valores de la potencia de la señal.

  2. El AP entonces conecta con el granuja como cliente WLAN, intentando tres asociaciones antes de medir el tiempo hacia fuera.

  3. Si la asociación es acertada, el AP después utiliza el DHCP para obtener una dirección IP.

  4. Si una dirección IP fue obtenida, el AP (que actúa como cliente WLAN) envía un paquete UDP a cada uno de los IP Addresses del regulador.

  5. Si el regulador recibe incluso uno de los paquetes RLDP del cliente, marcan a ese granuja como en-alambre con una gravedad de crítico.

Nota: Los paquetes RLDP no pueden alcanzar el regulador si las reglas para filtros existen entre la red de regulador y la red donde se localiza el dispositivo ficticio.

Advertencias de RLDP

  • Los trabajos RLDP solamente con el granuja abierto AP que transmitía su SSID con la autenticación y el cifrado inhabilitaron.

  • RLDP requiere que el AP manejado que actúa como cliente pueda obtener una dirección IP vía el DHCP en la red rogue

  • RLDP manual se puede utilizar para intentar y traza RLDP en las épocas múltiples rogue.

  • Durante el proceso RLDP, el AP no puede servir a los clientes. Esto afectará negativamente el funcionamiento y la Conectividad para el modo local AP.

  • RLDP no intenta conectar con un granuja AP que actúa en un canal 5GHz DF.

Seguimiento del puerto del switch

El seguimiento del puerto del switch es una técnica de mitigación del granuja AP primero implementada en la versión 5.1. Aunque el seguimiento del puerto del switch se inicie en el WCS, utiliza el CDP y la información de SNMP para rastrear a un granuja a un puerto específico en la red. Para que el seguimiento del puerto del switch se ejecute, todo el Switches en la red se debe agregar al WCS con las credenciales SNMP. Aunque las credenciales solo lecturas trabajen para identificar el puerto el granuja está encendido, las credenciales de lectura/grabación permite que el WCS también cierre el puerto, así conteniendo la amenaza. Ahora, esta característica trabaja solamente con los switches Cisco que ejecutan el IOS con el CDP habilitado, y el CDP se debe también habilitar en los AP manejados.

handling-rogue-cuwn-09.gif

El algoritmo para el seguimiento del puerto del switch se enumera aquí:

  • El WCS encuentra el AP más cercano, que detecta al granuja AP sobre - ventila, y extrae a sus vecinos CDP.

  • El WCS entonces utiliza el SNMP para examinar la tabla CAM dentro del switch de vecindad, buscando una coincidencia positiva para identificar la ubicación de los granujas.

  • Una coincidencia positiva se basa en la dirección MAC rogue exacta, +1/−1 la dirección MAC rogue, ninguna elimina las plantas débiles los MAC Address del cliente, o una coincidencia OUI basada en la información del vendedor inherente en una dirección MAC.

  • Si una coincidencia positiva no se encuentra en el Switch más cercano, el WCS continúa buscando los switches de vecindad hasta dos saltos lejos (por abandono).

handling-rogue-cuwn-10.gif

Reglas rogue de la clasificación

Las reglas rogue de la clasificación, introducidas en la versión 5.0, permiten que usted defina un conjunto de condiciones que marcan a un granuja como malévolo o cómodo. Estas reglas se configuran en el WCS o el WLC, pero se realizan siempre en el regulador como descubren a los nuevos granujas.

Lea la clasificación rogue basada en las reglas del documento en los reguladores del Wireless LAN (WLC) y el sistema de control inalámbrico (WCS) para más información en las reglas rogue en el WLCs.

Elimine las plantas débiles la mitigación

Elimine las plantas débiles la contención

La contención es un método de usar sobre - los paquetes del aire para interrumpir temporalmente el servicio en un dispositivo ficticio hasta que pueda ser quitada físicamente. La contención trabaja por los paquetes de la de-autenticación del spoofing con la dirección de origen del spoofed del granuja AP para golpear cualquier cliente con el pie asociado apagado.

handling-rogue-cuwn-11.gif

Detalles rogue de la contención

Una contención iniciada en un granuja AP sin los clientes utilizará solamente las tramas de la de-autenticación enviadas a la dirección de broadcast:

handling-rogue-cuwn-12.gif

Una contención iniciada en un granuja AP con los clientes utilizará las tramas de la de-autenticación enviadas a la dirección de broadcast y a la dirección cliente:

handling-rogue-cuwn-13.gif

Los paquetes de la contención se envían en el nivel de potencia del AP manejado y a la velocidad de datos habilitada más baja.

La contención envía un mínimo de 2 paquetes cada 100ms:

handling-rogue-cuwn-14.gif

Nota: A partir de la versión el 6.0, una contención realizada por el modo AP del NON-monitor se envía en un intervalo de 500ms en vez del intervalo 100ms usado por el modo monitor AP.

  • Un dispositivo ficticio individual se puede contener por 1 a 4 AP manejados que trabajen en la conjunción para atenuar la amenaza temporalmente.

  • La contención se puede realizar usando el modo local, el modo monitor y el modo AP H-REAP (conectado). Para el modo local de H-REAP AP, un máximo de tres dispositivos ficticios por la radio puede ser contenido. Para el modo monitor AP, un máximo de seis dispositivos ficticios por la radio puede ser contenido.

Auto-contención

Además manualmente de iniciar la contención en un dispositivo ficticio vía WCS o el WLC GUI, hay también la capacidad de poner en marcha automáticamente la contención bajo ciertos escenarios. Esta configuración se encuentra bajo el general en la sección rogue de las directivas de la interfaz WCS o del regulador. Cada uno de estas características se inhabilita por abandono y se debe habilitar solamente para anular las amenazas más perjudiciales.

  • Granuja en el alambre - Si un dispositivo ficticio se identifica para ser asociado a la red alámbrica, después se pone automáticamente bajo contención.

  • Usando nuestro SSID - Si un dispositivo ficticio está utilizando un SSID que sea lo mismo que ése configurado en el regulador, se contiene automáticamente. Esta característica apunta dirigir un ataque del miel-crisol antes de que estropee.

  • Cliente válido en el granuja AP - Si encuentran a un cliente enumerado en el ACS para ser asociado a un dispositivo ficticio, la contención se inicia contra ese cliente solamente, evitando que se asocie a cualquier AP NON-manejado.

  • Granuja ad hoc AP - Si se descubre una red ad-hoc, se contiene automáticamente.

Advertencias rogue de la contención

  • Porque la contención utiliza una porción de la época de la radio AP manejado de enviar las tramas de la de-autenticación, el funcionamiento a ambos clientes de los datos y de la Voz es afectado negativamente por el hasta 20%. Para los clientes de los datos, el impacto es rendimiento de procesamiento reducido. Para los clientes de la Voz, la contención puede causar las interrupciones en las conversaciones y la Calidad de voz reducida.

  • La contención puede tener implicaciones legales cuando está iniciada contra las redes vecinas. Asegúrese de que el dispositivo ficticio esté dentro de su red y plantee un riesgo de seguridad antes de que usted ponga en marcha la contención.

El cerrar del puerto del switch

Una vez que un puerto del switch se localiza usando el SPT, hay una opción para inhabilitar ese puerto en el WCS. El administrador tiene que hacer este ejercicio manualmente. Una opción está disponible habilitar el puerto del switch con el WCS si quitan al granuja físicamente de la red.

Administración rogue de la configuración

Detección rogue de la configuración

La detección rogue se habilita en el regulador por abandono.

Para encontrar los detalles rogue en un regulador que usa la interfaz gráfica, vaya al monitor > a los granujas.

handling-rogue-cuwn-15.gif

En esta página, diversa clasificación para los granujas está disponible:

  • AP cómodos – Aps que son marcados como cómodo por el administrador.

  • AP malévolos – Aps que se identifican como malévolos usando RLDP o el detector rogue AP.

  • AP sin clasificar – Por abandono los AP rogue serán mostrados como lista sin clasificar en el regulador.

  • Clientes rogue – Clientes conectados para eliminar las plantas débiles los AP.

  • Granujas ad hoc – Clientes rogue ad hoc.

  • El AP rogue ignora la lista – Aps enumerados con el WCS.

Nota: Si el WLC y el AP autónomo es manejado por el mismo WCS, el WLC enumerará automáticamente este AP autónomo en el granuja que el AP ignora la lista. No hay configuración adicional requerida en el WLC para habilitar esta característica.

Del CLI:

(Cisco Controller) >show rogue ap summary

Rogue on wire Auto-Contain....................... Disabled
Rogue using our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200

MAC Address        Classification     # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------
00:14:1b:5b:1f:90  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:14:1b:5b:1f:91  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:14:1b:5b:1f:92  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:14:1b:5b:1f:93  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:14:1b:5b:1f:96  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:17:df:a9:08:00  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:10  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:17:df:a9:08:11  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:17:df:a9:08:12  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:16  Unclassified       1     0         Thu Jun 10 19:04:51 2010



Haga clic una entrada rogue determinada para conseguir a los detalles de ese granuja.

handling-rogue-cuwn-16.gif

Del CLI:

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90

Rogue BSSID...................................... 00:14:1b:5b:1f:90
Is Rogue on Wired Network........................ No
Classification................................... Unclassified
Manual Contained................................. No
State............................................ Alert
First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010
Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010
Reported By
    AP 1
        MAC Address.............................. 00:24:97:8a:09:30
        Name..................................... AP_5500
        Radio Type............................... 802.11g
        SSID..................................... doob
        Channel.................................. 6
        RSSI..................................... -51 dBm
        SNR...................................... 27 dB
        Encryption............................... Disabled
        ShortPreamble............................ Enabled
        WPA Support.............................. Disabled
        Last reported by this AP................. Thu Jun 10 19:04:51 2010

Exploración del canal de la configuración para la detección rogue

Para un modo/un modo monitor locales/de Hreap AP hay una opción bajo RRM configuración que permita que el usuario elija qué canal se analiza para los granujas. Dependiendo de los config, el AP analiza todo el canal/el canal del país channel/DCA para los granujas.

Para configurar esto del GUI, vaya a la Tecnología inalámbrica > a 802.11a/802.11b > RRM > general.

handling-rogue-cuwn-17.gif

Del CLI:

(Cisco Controller) >config  advanced 802.11a monitor channel-list ?

all            Monitor all channels
country        Monitor channels used in configured country code
dca            Monitor channels used by automatic channel assignment

Para configurar estas opciones, vaya a la Seguridad > las directivas inalámbricas de la protección > las directivas > general del granuja.

  1. Cambie el descanso para el granuja AP.

  2. Habilite la detección de redes rogue ad hoc.

handling-rogue-cuwn-18.gif

Del CLI:

(Cisco Controller) >config rogue ap timeout ?

<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

Clasificación rogue de la configuración

Clasifique manualmente a un granuja AP

Para clasificar a un granuja AP como cómodo, malévolo, o sin clasificar, ir al monitor > al granuja > AP sin clasificar, y hacer clic el nombre determinado del granuja AP. Elija la opción de la lista desplegable.

handling-rogue-cuwn-19.gif

Del CLI:

(Cisco Controller) >config rogue ap ?

classify       Configures rogue access points classification.
friendly       Configures friendly AP devices.
rldp           Configures Rogue Location Discovery Protocol.
ssid           Configures policy for rogue APs advertsing our SSID.
timeout        Configures the expiration time for rogue entries, in seconds.
valid-client   Configures policy for valid clients using rogue APs.

Para quitar una entrada rogue manualmente de la lista rogue, ir al monitor > al granuja > los AP sin clasificar, y el tecleo quitan.

handling-rogue-cuwn-20.gif

Para configurar a un granuja AP como AP cómodo, ir a la Seguridad > directivas inalámbricas de la protección > directivas del granuja > granujas cómodos y agregar la dirección MAC rogue.

Las entradas rogue cómodas agregadas se pueden verificar del monitor > de los granujas > página rogue cómoda.

handling-rogue-cuwn-21.gif

handling-rogue-cuwn-22.gif

Configure un detector rogue AP

Para configurar el AP como detector rogue usando el GUI, vaya a la Tecnología inalámbrica > todos los AP. Elija el nombre AP y cambie modo AP.

handling-rogue-cuwn-23.gif

Del CLI:

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.
Are you sure you want to continue? (y/n) y

Switchport de la configuración para un detector rogue AP


interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk encapsulation dot1q
switchport trunk native vlan 113
switchport mode trunk
spanning−tree portfast trunk

Nota: El VLAN nativo en esta configuración es una que tiene conectividad del IP al WLC.

Configuración RLDP

Para configurar RLDP en el GUI del regulador, vaya a la Seguridad > las directivas inalámbricas de la protección > las directivas > general del granuja.

handling-rogue-cuwn-24.gif

Modo monitor AP – Permite que solamente los AP en el modo monitor participen en RLDP.

Todos los AP – El Local/Hreap/el modo monitor AP participan en el proceso RLDP.

Discapacitado – RLDP no se acciona automáticamente. Sin embargo, el usuario puede accionar RLDP manualmente para un MAC Address determinado con el CLI.

Nota: El modo monitor AP conseguirá la preferencia sobre el local/Hreap AP para RLDP de ejecución si ambos ellos están detectando a un granuja determinado sobre -85dbm RSSI.

Del CLI:

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only     Enables RLDP and alarm if rogue is detected
auto-contain   Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP scheduling and triggering manually is configurable only through Command 
    prompt

To Initiate RLDP manually:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr>     Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
For Scheduling RLDP

Note: RLDP scheduling and option to configure RLDP retries are two options 
    introduced in 7.0 through CLI

RLDP Scheduling :

(Cisco Controller) >config rogue ap rldp schedule ?

add            Enter the days when RLDP scheduling to be done.
delete         Enter the days when RLDP scheduling needs to be deleted.
enable         Configure to enable RLDP scheduling.
disable        Configure to disable RLDP scheduling.


(Cisco Controller) >config rogue ap rldp schedule add ?

mon            Configure Monday for RLDP scheduling.
tue            Configure Tuesday for RLDP scheduling.
wed            Configure Wednesday for RLDP scheduling.
thu            Configure Thursday for RLDP scheduling.
fri            Configure Friday for RLDP scheduling.
sat            Configure Saturday for RLDP scheduling.
sun            Configure Sunday for RLDP scheduling.



RLDP retries can be configured using the command 

(Cisco Controller) >config rogue ap rldp retries ?

<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

Para configurar la validación AAA para los clientes rogue, vaya a la Seguridad > las directivas inalámbricas de la protección > las directivas > general del granuja.

Habilitando esta opción se aseegura al granuja que el direccionamiento client/AP se verifica con el servidor de AAA antes de clasificarla como malévolo.

handling-rogue-cuwn-25.gif

Del CLI:

(Cisco Controller) >config rogue client aaa ?

disable        Disables use of AAA/local database to detect valid mac addresses.
enable         Enables use of AAA/local database to detect valid mac addresses.

Para validar a un cliente rogue determinado es un granuja atado con alambre, hay una opción para marcar el accesibilidad de ese granuja determinado del regulador (si el regulador puede detectar el dirección IP del cliente rogue). Esta opción se puede acceder en la página rogue del detalle del cliente y está disponible solamente a través de la interfaz gráfica.

handling-rogue-cuwn-26.gif

Para configurar el seguimiento del puerto del switch, refiera al White Paper de la Administración del granuja del documento (clientes registrados solamente).

Configure la mitigación rogue

Configure la contención manual:

Para contener a un granuja AP manualmente, vaya al monitor > a los granujas > sin clasificar.

handling-rogue-cuwn-27.gif

Del CLI:

(Cisco Controller) >config rogue client ?

aaa            Configures to validate if a rogue client is a valid client using
                   AAA/local database.
alert          Configure the rogue client to the alarm state.
contain        Start containing a rogue client.

(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?

<num of APs>   Enter the maximum number of Cisco APs to actively contain the
                   rogue client [1-4].

Nota: Un granuja determinado puede ser contenido usando 1-4 AP. Por abandono, el regulador utiliza un AP para contener a un cliente. Si dos AP pueden detectar a un granuja determinado, el AP con el RSSI más alto contiene al cliente sin importar modo AP.

Para configurar la contención auto, vaya a la Seguridad > las directivas inalámbricas de la protección > las directivas > general del granuja, y habilite todas las opciones correctas para su red.

handling-rogue-cuwn-28.gif

Del CLI:

(Cisco Controller) >config rogue adhoc ?

alert          Stop Auto-Containment, generate a trap upon detection of the
                   adhoc rogue.
auto-contain   Automatically containing adhoc rogue.
contain        Start containing adhoc rogue.
disable        Disable detection and reporting of Ad-Hoc rogues.
enable         Enable detection and reporting of Ad-Hoc rogues.
external       Acknowledge presence of a adhoc rogue.

(Cisco Controller) >config rogue adhoc auto-contain ?
(Cisco Controller) >config rogue adhoc auto-contain
 Warning! Using this feature may have legal consequences
         Do you want to continue(y/n) :y

Troubleshooting

Si no detectan al granuja:

  • Verifique que la detección del granuja esté habilitada en el AP usando este comando. Por abandono, la detección rogue se habilita en el AP.

    (Cisco_Controller) >show ap config general Managed_AP
    
    Cisco AP Identifier.............................. 2
    Cisco AP Name.................................... Managed_AP
    Country code..................................... US  - United States
    Regulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-A
    AP Country code.................................. US  - United States
    AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A
    Switch Port Number .............................. 2
    MAC Address...................................... 00:1d:a1:cc:0e:9e
    IP Address Configuration......................... DHCP
    IP Address....................................... 10.8.99.104
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 10.8.99.1
    CAPWAP Path MTU.................................. 1485
    Telnet State..................................... Enabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ india-banaglore
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_e9:d9:23
    Primary Cisco Switch IP Address.................. 10.44.81.20
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Disabled
    AP SubMode ...................................... Not Configured
    Remote AP Debug ................................. Disabled
    Logging trap severity level ..................... informational
    Logging syslog facility ......................... kern
    S/W  Version .................................... 7.0.98.0
    Boot  Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 209
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Override
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1242AG-A-K9
    AP Image......................................... C1240-K9W8-M
    IOS Version...................................... 12.4(23c)JA
    Reset Button..................................... Enabled
    AP Serial Number................................. FTX1137B22V
    AP Certificate Type.............................. Manufacture Installed
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... Not Configured
    AP Dot1x User Mode............................... GLOBAL
    AP Dot1x User Name............................... Cisco12
    Cisco AP system logging host..................... 255.255.255.255
    AP Up Time....................................... 13 days, 15 h 01 m 33 s
    AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s
    Join Date and Time............................... Tue Jun  1 10:36:38 2010
    
    Join Taken Time.................................. 0 days, 00 h 00 m 52 s
    Ethernet Port Duplex............................. Auto
    Ethernet Port Speed.............................. Auto
    AP Link Latency.................................. Enabled
     Current Delay................................... 0 ms
     Maximum Delay................................... 56 ms
     Minimum Delay................................... 2 ms
     Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s
    Rogue Detection.................................. Enabled
    AP TCP MSS Adjust................................ Disabled
    

    La detección rogue se puede habilitar en un AP usando este comando:

    (Cisco Controller) >config rogue detection enable ?
    all                    Applies the configuration to all connected APs.
    <Cisco AP>     Enter the name of the Cisco AP.
    
  • Un modo local AP analiza solamente los canales del país channels/DCA dependiendo de la configuración. Si el granuja está en cualquier otro canal, el regulador no puede identificar al granuja si usted no tiene el modo monitor AP en la red. Ejecute este comando para verificar:

    (Cisco Controller) >show advanced 802.11a monitor
    
    Default 802.11a AP monitoring
      802.11a Monitor Mode........................... enable
      802.11a Monitor Mode for Mesh AP Backhaul...... disable
      802.11a Monitor Channels....................... Country channels
      802.11a AP Coverage Interval................... 180 seconds
      802.11a AP Load Interval....................... 60 seconds
      802.11a AP Noise Interval...................... 180 seconds
      802.11a AP Signal Strength Interval............ 60 seconds
    
  • El AP rogue puede no transmitir el SSID.

  • Aseegurese al granuja que la dirección MAC AP no se agrega en el WCS directo mencionado rogue cómodo del lista o blanco.

  • Los faros del granuja AP pueden no ser accesibles al AP que detecta a los granujas. Esto puede ser verificada capturando el paquete usando un sniffer cerca del granuja de AP-detección.

  • Un modo local AP puede tomar hasta 9 minutos para detectar a un granuja (3 ciclos 180x3).

  • Cisco AP no puede detectar a los granujas en las frecuencias como el canal de la seguridad pública (4.9 gigahertz).

  • Cisco AP no puede detectar a los granujas el trabajar en FHSS (espectro de propagación del salto de frecuencia).

Debugs útiles

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 
    Looking for Rogue 00:27:0d:8d:14:12 in known AP table
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1 
    for rogue AP 00:27:0d:8d:14:12
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report 
    00:1b:0d:d4:54:20  rssi -74, snr -9 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP: 
    00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue 
    00:24:97:2d:bf:90 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1 
    for rogue AP 00:24:97:2d:bf:90
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report 
    00:1b:0d:d4:54:20  rssi -56, snr 34 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP: 
    9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP: 
    9c:af:ca:0f:bd:40 

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue 
    9c:af:ca:0f:bd:40 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40
    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62 
    Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 
*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP: 
    00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP: 
    00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP: 
    00:24:c4:ad:c0:40

Registros previstos del desvío

Detectan una vez a un granuja


9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:
1 and Classification: unclassified 

10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18
and Classification: unclassified 
	
11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20
and Classification: unclassified 

12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2
and Classification: unclassified

Una entrada rogue se quita una vez de la lista rogue

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio 
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

Recomendaciones

  1. Configure el canal que analiza a todos los canales si usted sospecha a los granujas potenciales en su red

  2. Dependiendo de la disposición de la red alámbrica, el número y la ubicación del detector rogue AP pueden variar a partir del uno por el suelo a uno por el edificio. Es recomendable tener por lo menos un detector rogue AP en cada suelo de un edificio. Porque un detector rogue AP requiere un trunk a todos los dominios del broadcast de red de la capa 2 que deban ser monitoreados, la colocación es dependiente en la disposición lógica de la red.

Si el granuja no está consiguiendo clasificado

  • Verifique las reglas rogue se configuran correctamente.

  • Si el granuja está en el canal DF, RLDP no trabaja.

  • RLDP trabaja solamente si la red inalámbrica (WLAN) del granuja está abierta y el DHCP está disponible.

  • Si el modo local AP está sirviendo al cliente en el canal DF, no participará en el proceso RLDP.

Debugs útiles

(Cisco Controller) > debug dot11 rogue rule enable
(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0
00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44
Found RAD: 0x158f1ea0, slotId = 1
rldp started association, attempt 1
Successfully associated with rogue: 00:1A:1E:85:21:B0 


!--- ASSOCIATING TO ROGUE AP


Starting dhcp
00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0
.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0
Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 


!--- GETTING IP FROM ROGUE


Found Gateway MacAddr: 00:1D:70:F0:D4:C1
Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de
Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)
Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de
Send ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  


!--- SENDING ARLDP PACKET


Received 32 byte ARLDP message from: 172.20.226.24642
Packet Dump:
sourceIp: 172.20.226.246
destIp: 172.20.226.197
Rogue Mac: 00:1A:1E:85:21:B0 


!--- RECEIVING ARLDP PACKET


security: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Recomendaciones

  1. RLDP iniciado manualmente en las entradas rogue sospechosas.

  2. Horario RLDP periódicamente.

  3. Si usted ha conocido las entradas rogue, agreguelas en la lista cómoda o habilite la validación con el AAA y aseegurese al cliente conocido que las entradas están allí en la base de datos de AAA.

  4. RLDP se puede desplegar en el local o el modo monitor AP. Para la mayoría de las implementaciones scalable, y eliminar cualquier impacto en el Servicio al cliente, RLDP se debe desplegar en el modo monitor AP cuando es posible. Sin embargo, esta recomendación requiere que desplieguen a un modo monitor que el AP cubrió con una relación de transformación típica como 1 modo monitor AP para cada 5 modo local AP. Los AP en el modo monitor adaptante del wIPS pueden también ser apalancados para esta tarea.

Detector rogue AP

La entrada rogue en un detector rogue se puede considerar usando este comando en la consola AP. Para los granujas atados con alambre, el indicador será fijado.

Rogue_Detector_5500#show capwap rm rogue detector
 CAPWAP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1
  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1


!--- once the flag is set, rogue is detected on wire


  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1
  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1
  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

Comandos debug útiles en una consola AP

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

Si es rogue la contención no ocurre:

  1. El modo local/de Hreap AP puede contener 3 en un momento de los dispositivos por la radio, y el modo monitor AP puede contener 6 dispositivos por la radio. Como consecuencia, aseegurese el AP está conteniendo ya el número máximo de dispositivos permitidos. En este escenario, el cliente está en un estado pendiente de la contención.

  2. Verifique las reglas autos de la contención.

Registros previstos del desvío

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1
    has been contained manually by 2 APs 8

Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added 
    to the Classified AP List.

Conclusión

La detección rogue y la contención dentro de la solución centralizada Cisco del regulador es método más eficaz y el menos más intruso de la industria. La flexibilidad proporcionada al administrador de la red permite un más ajuste personalizado que pueda acomodar cualquier requisito de la red.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 112045