Gestion escroc dans un réseau sans fil unifié

Introduction

Les réseaux sans fil étendent les réseaux filaires et augmentent la productivité des travailleurs et l'accès aux informations. Cependant, un réseau sans fil non autorisé présente un souci de couche de sécurité supplémentaire. La sécurité du port sur les réseaux filaires est moins mise de l'avant, et les réseaux sans fil sont une extension facile aux réseaux filaires. Par conséquent, un employé qui introduit son propre Point d'accès (Cisco ou non Cisco) dans une radio ou une infrastructure câblée bien-sécurisée et permet à accès d'utilisateurs non autorisés à ceci le réseau autrement sécurisé, peut facilement compromettre un réseau sécurisé.

La détection escroc permet à l'administrateur réseau pour surveiller et éliminer ce problème de sécurité. Le Network Architecture de Cisco Unified fournit les méthodes pour la détection escroc qui activent une solution escroc complète d'identification et de retenue sans besoin de cher et dur-à-justifient des réseaux et des outils de substitution.

Conditions préalables

Conditions requises

Ce document suppose que vous êtes au courant des configurations de contrôleur de base.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Version 7.0 courante de contrôleurs de Cisco Unified (gamme de 2100, de 5500, 4400,WiSM, et NM-WLC)

• Contrôle et approvisionnement des recouvrements basés sur Sans fil de Protocol de Point d'accès (CAPWAP) - 1130AG, 1140, 3500, 1200, 1230AG, 1240AG, 1250, et recouvrements de gamme 1260

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Aperçu escroc

N'importe quel périphérique qui partage votre spectre et n'est pas géré par vous peut être considéré un escroc. Un escroc devient dangereux dans ces scénarios :

• Une fois installé pour utiliser le même SSID que votre réseau (pot à miel).

• Quand il est détecté sur le réseau câblé également.

• Les escrocs ads-hoc sont également une grande menace.

• Installez par un étranger, la plupart des fois, avec l'intention malveillante.

Il y a trois phases principales de Gestion de périphériques escroc dans la solution du réseau sans fil unifié Cisco (UWN) :

• Détection – Le balayage de Gestion des ressources radio (RRM) est utilisé pour détecter la présence des périphériques escrocs.

• Classification – Le Discovery Protocol escroc d'emplacement (RLDP), les détecteurs escrocs et le suivi de port de commutateur sont utilisés pour les identifier si le périphérique escroc est connecté au réseau câblé. Les règles escrocs de classification aident également aux escrocs de filtrage dans des catégories spécifiques basées sur leurs caractéristiques.

• Réduction – La fermeture de port de commutateur, l'emplacement escroc, et la retenue escroc sont utilisés en dépistant son emplacement physique et pour annuler la menace du périphérique escroc.

Théorie de gestion escroc d'exécution

Détection de systèmes indésirables

Un escroc est essentiellement n'importe quel périphérique qui partage votre spectre, mais n'est pas dans votre contrôle. Ceci inclut les points d'accès non autorisé (aps), le routeur Sans fil, les clients escrocs, et les réseaux ads-hoc escrocs. Cisco UWN emploie un certain nombre de méthodes pour détecter les périphériques escrocs basés sur WI comprenant la lecture de hors fonction-canal et les capacités dédiées de mode moniteur. Le Cisco Spectrum Expert peut également être utilisé pour identifier les périphériques escrocs non basés sur le protocole de 802.11, tel que des passerelles de Bluetooth.

Lecture de Hors fonction-canal

Cette exécution est exécutée par le mode local et le H−REAP (en mode connecté) aps et utilise une technique de découpage de temps qui permet la lecture de service clientèle et de canal utilisant la même radio. En allant hors fonction le canal pendant une période de 50ms toutes les 16 secondes, AP, par défaut, passe seulement un petit pourcentage de son temps ne servant pas des clients. En outre, notez il y a un intervalle de modification du canal 10ms qui se produira. Dans le scan interval par défaut de 180 secondes, chaque FCC 2.4Ghz creusent des rigoles (1−11) est balayée au moins une fois. Pour d'autres domaines réglementaires, tels que l'ETSI, AP sera outre de canal pour un pourcentage légèrement plus élevé de temps. La liste de canaux et le scan interval peuvent être ajustés dans la configuration RRM. Ceci limite l'incidence des performances à un maximum de 1.5% et l'intelligence est établie dans l'algorithme d'interrompre la lecture quand des trames prioritaires de QoS, telles que la Voix, doivent être fournies.

Ce graphique est une description de l'algorithme de lecture de hors fonction-canal pour un mode local AP dans la bande de fréquence 2.4GHz. Une exécution semblable est exécutée en parallèle sur la radio 5GHz si AP a un présent. Chaque carré rouge représente le temps passé sur le canal aps à la maison, tandis que chaque carré bleu représente l'heure passée sur des canaux adjacents pour le balayage.

Balayage de mode moniteur

Cette exécution est exécutée le mode moniteur aps par de mode moniteur et d'adaptatif wIPS qui utilise 100% du moment de la radio pour balayer tous les canaux dans chaque bande de fréquence respective. Ceci laisse une plus grande vitesse de détection et active plus d'heure d'être passé sur chaque canal individuel. Le mode moniteur aps sont également supérieur lointain à détecter les clients escrocs car ils ont un point de vue plus complet de l'activité se produisant dans chaque canal.

Ce graphique est une description de l'algorithme de lecture de hors fonction-canal pour un mode moniteur AP dans la bande de fréquence 2.4GHz. Une exécution semblable est exécutée en parallèle sur la radio 5GHz si AP a un présent.

Comparaison de mode local et de mode moniteur

Un mode local AP sépare ses cycles entre les clients WLAN de service et les canaux de lecture pour des menaces. En conséquence, il prend un mode local AP plus long pour faire un cycle par tous les canaux, et il passe moins de temps collectant des données sur n'importe quel canal particulier de sorte que des exécutions de client ne soient pas perturbées. En conséquence, l'escroc et les périodes de détection d'attaque sont plus longs (3 à 60 minutes) et une plus petite plage de au-dessus de - des attaques aériennes peuvent être détectées qu'avec un mode moniteur AP. En outre, la détection pour le trafic bursty, tel que les clients escrocs, est beaucoup moins déterministe parce qu'AP doit être sur le canal du trafic que le trafic est transmis ou en même temps reçu. Ceci devient un exercice dans les probabilités. Un mode moniteur AP dépense tous de ses cycles balayant des canaux recherchant des escrocs et au-dessus - des attaques aériennes. Un mode moniteur AP peut simultanément être utilisé pour le wIPS adaptatif, les services (contexte-avertis) d'emplacement, et d'autres services de mode moniteur. Quand le mode moniteur aps sont déployés, les avantages sont temps-à-détection inférieure. Quand le mode moniteur aps sont supplémentaire configurés avec le wIPS adaptatif, un choix plus large au-dessus du - des menaces aériennes et les attaques peuvent être détectées.

Identification escroc

Si la réponse ou les balises de sonde d'un périphérique escroc sont entendues par mode local, mode H-REAP, ou mode moniteur aps, alors ces informations sont communiquées par l'intermédiaire de CAPWAP au contrôleur LAN Sans fil (WLC) pour le traitement. Afin d'empêcher des faux positifs, un certain nombre de méthodes sont utilisées pour s'assurer que d'autres aps basés sur Cisco gérés ne sont pas identifiés comme périphérique escroc. Ces méthodes incluent des mises à jour de groupe de mobilité, des paquets voisins rf, et la liste blanche aps autonomes par l'intermédiaire du système de contrôle sans fil (WCS).

Enregistrements d'escroc

Tandis que la base de données du contrôleur des périphériques escrocs contient seulement l'ensemble en cours d'escrocs détectés, le WCS également inclut un historique d'événement et se connecte les escrocs qui ne sont plus vus.

Détails escrocs

UN CAPWAP AP va le hors fonction-canal pour 50ms afin d'écouter les clients escrocs, le moniteur pour le bruit, et l'interférence de canal. Tous les clients ou aps escrocs détectés sont envoyés au contrôleur, qui recueille ces informations :

• L'adresse MAC de l'escroc AP

• Nom de l'escroc détecté par AP

• L'adresse MAC de clients connectée par escroc

• Si les trames sont protégées avec le WPA ou le WEP

• Le préambule

• Le rapport signal/bruit (SNR)

• L'indicateur de force du signal de récepteur (RSSI)

• La Manche de la détection escroc

• Radio dans laquelle l'escroc est détecté

• SSID escroc (si l'escroc le SSID est annoncé)

• Adresse IP escroc

• La première et passée fois l'escroc est signalé

• Largeur de la Manche

Exporter des événements escrocs

Afin d'exporter des événements escrocs à un système de gestion de réseau tiers (NMS) pour archivistique, le WLC permet les récepteurs de déroutement SNMP supplémentaires à ajouter. Quand un escroc est détecté ou effacé par le contrôleur, un déroutement contenant ces informations est communiqué à tous les récepteurs de déroutement SNMP. Une mise en garde avec exporter des événements par l'intermédiaire de SNMP est que si les plusieurs contrôleurs détectent le même escroc, des événements en double sont vus par les NMS comme la corrélation est seulement faite à WCS.

Délai d'attente record escroc

Une fois un escroc qu'AP a été ajouté aux enregistrements du WLC, il restera là jusqu'à ce qu'on ne le voie plus. Après un délai d'attente configurable d'utilisateur (1200 secondes se transfèrent), un escroc dans la catégorie de _unclassified_ devient obsolet. Les escrocs dans d'autres états tels que le _Contained_ et le _Friendly_ persisteront de sorte que la classification appropriée soit appliquée à eux s'ils réapparaissent.

Il y a une taille de la base de données maximum pour les enregistrements escrocs qui est variable à travers des Plateformes de contrôleur :

• 21XX et WLCM - 125 escrocs

• 44XX - 625 escrocs

• WiSM - 1250 escrocs

• 5508 - 2000 escrocs

Classification escroc

Par défaut, tous les escrocs qui sont détectés par Cisco UWN sont considérés non classifiés. Comme représenté dans ce graphique, des escrocs peuvent être classifiés sur un certain nombre de critères comprenant RSSI, SSID, type de Sécurité, réseau "Marche/Arrêt", et nombre de clients :

Détecteur escroc AP

Les objectifs escrocs du détecteur AP pour corréler les informations escrocs entendues au-dessus de l'air avec les informations d'ARP ont obtenu du réseau câblé. Si une adresse MAC est entendue au-dessus de l'air en tant qu'un escroc AP ou client et est également entendue sur le réseau câblé, alors l'escroc est déterminé pour être sur le réseau câblé. Si l'escroc est détecté pour être sur le réseau câblé, alors la sévérité d'alarme pour cet escroc AP est augmentée au _critical_. Il convient noter qu'un détecteur escroc AP n'est pas réussi à identifier les clients escrocs derrière un périphérique utilisant NAT.

Considérations d'évolutivité

Un détecteur escroc AP peut détecter jusqu'à 500 escrocs et 500 clients escrocs. Si le détecteur escroc est placé sur un joncteur réseau avec trop de périphériques escrocs, alors ces limites pourraient être dépassées, qui entraîne des questions. Afin d'empêcher ceci de se produire, gardez le détecteur escroc aps à la distribution ou à la couche d'accès de votre réseau.

RLDP

Le but de RLDP est de l'identifier si un escroc AP de particularité est connecté à l'infrastructure câblée. Cette caractéristique emploie essentiellement AP unifié le plus étroit pour se connecter au périphérique escroc en tant que client sans fil. Après s'être connecté en tant que client, un paquet est envoyé avec l'adresse de destination du WLC pour évaluer si AP est connecté au réseau câblé. Si l'escroc est détecté pour être sur le réseau câblé, alors la sévérité d'alarme pour cet escroc AP est augmentée à essentiel.

L'algorithme de RLDP est répertorié ici :

1. Identifiez AP unifié le plus étroit à l'escroc utilisant des valeurs de force du signal.

2. AP se connecte alors à l'escroc en tant que client WLAN, tentant trois associations avant de chronométrer.

3. Si l'association est réussie, AP alors emploie le DHCP pour obtenir une adresse IP.

4. Si une adresse IP était obtenue, AP (agissant en tant que client WLAN) envoie un paquet UDP à chacune des adresses IP du contrôleur.

5. Si le contrôleur reçoit même un des paquets RLDP du client, cet escroc est marqué comme sur-fil avec une sévérité d'essentiel.

Remarque: Les paquets RLDP ne peuvent pas atteindre le contrôleur si les règles de filtrage sont en place entre le réseau de contrôleur et le réseau où le périphérique escroc se trouve.

Mises en garde de RLDP

• Les travaux RLDP seulement avec l'escroc ouvert aps annonçant leur SSID avec l'authentification et le cryptage ont désactivé.

• RLDP exige qu'AP géré agissant en tant que client peut obtenir une adresse IP par l'intermédiaire du DHCP sur le réseau escroc

• Le manuel RLDP peut être utilisé pour tenter et suivi RLDP des temps d'un multiple d'escroc.

• Pendant le processus RLDP, AP ne peut pas servir des clients. Ceci affectera négativement la représentation et la Connectivité pour le mode local aps.

• RLDP ne tente pas de se connecter à un escroc AP fonctionnant dans un canal 5GHz DFS.

Suivi de port de commutateur

Le suivi de port de commutateur est une technique de réduction de l'escroc AP d'abord mise en application dans la release 5.1. Bien que le suivi de port de commutateur soit initié au WCS, il utilise les informations de CDP et SNMP pour dépister un escroc vers le bas à un port spécifique dans le réseau. Afin du port de commutateur traçant pour s'exécuter, tous les Commutateurs dans le réseau doivent être ajoutés au WCS avec des qualifications SNMP. Bien que les qualifications en lecture seule fonctionnent pour identifier le port l'escroc est en ligne, les qualifications lecture/écriture permettent au WCS pour fermer également le port, de ce fait contenant la menace. À ce moment, cette caractéristique fonctionne seulement avec les Commutateurs de Cisco qui exécutent l'IOS avec le CDP activé, et le CDP doit également être activé sur les aps gérés.

L'algorithme pour le suivi de port de commutateur est répertorié ici :

• Le WCS trouve AP le plus étroit, qui détecte l'escroc AP au-dessus du - aère, et récupère ses voisins de CDP.

• Le WCS emploie alors le SNMP pour examiner la table de CAM dans le commutateur voisin, recherchant une correspondance positive pour identifier l'emplacement d'escrocs.

• Une correspondance positive est basée sur l'adresse MAC escroc précise, +1/−1 l'adresse MAC escroc, en débarrassent des plants peu vigoureux des adresses MAC de client, ou une correspondance OUI basée sur les informations de constructeur inhérentes à une adresse MAC.

• Si une correspondance positive n'est pas trouvée sur le commutateur le plus étroit, le WCS continue de rechercher les Commutateurs voisins jusqu'à deux sauts loin (par défaut).

Règles escrocs de classification

Les règles escrocs de classification, introduites dans la release 5.0, te permettent pour définir un ensemble de conditions qui marquent un escroc comme malveillant ou amical. Ces règles sont configurées au WCS ou au WLC, mais elles sont toujours exécutées sur le contrôleur pendant que de nouveaux escrocs sont découverts.

Lisez la classification escroc basée sur les règles de document dans les contrôleurs LAN Sans fil (WLC) et le système de contrôle sans fil (WCS) pour plus d'informations sur des règles escrocs dans le WLCs.

Réduction escroc

Retenue escroc

La retenue est une méthode d'utilisation au-dessus - des paquets d'air pour interrompre temporairement le service sur un périphérique escroc jusqu'à ce qu'elle puisse physiquement être enlevée. La retenue fonctionne à côté de charrier des paquets de désauthentification avec l'adresse source charriée de l'escroc AP de sorte que tous les clients associés soient donnés un coup de pied hors fonction.

Détails escrocs de retenue

Une retenue initiée sur un escroc AP sans des clients utilisera seulement des trames de désauthentification envoyées à l'adresse d'émission :

Une retenue initiée sur un escroc AP avec des clients utilisera des trames de désauthentification envoyées à l'adresse d'émission et à l'adresse du client :

Des paquets de retenue sont envoyés au niveau de puissance d'AP géré et au plus bas débit de données activé.

La retenue envoie à un minimum de 2 paquets chaque 100ms :

Remarque: De la release 6.0, une retenue exécutée par le mode aps de non-moniteur est envoyée à un intervalle de 500ms au lieu de l'intervalle 100ms utilisé par le mode moniteur aps.

• Un périphérique escroc individuel peut être contenu par 1 à 4 aps gérés qui fonctionnent dans la conjonction pour atténuer la menace temporairement.

• La retenue peut être exécutée utilisant le mode local, le mode moniteur et le mode aps H-REAP (connecté). Pour le mode local de H-REAP aps, un maximum de trois périphériques escrocs par radio peut être contenu. Pour le mode moniteur aps, un maximum de six périphériques escrocs par radio peut être contenu.

Automatique-retenue

En plus d'initier manuellement la retenue sur un périphérique escroc par l'intermédiaire de WCS ou du GUI WLC, il y a également la capacité de lancer automatiquement la retenue sous certains scénarios. Cette configuration est trouvée sous le général dans la section escroc de stratégies de l'interface WCS ou de contrôleur. Chacune de ces caractéristiques est désactivée par défaut et devrait seulement être activée pour annuler les menaces les plus préjudiciables.

• Escroc sur le fil - Si un périphérique escroc est identifié pour être relié au réseau câblé, alors il est automatiquement placé sous la retenue.

• Utilisant notre SSID - Si un périphérique escroc utilise un SSID qui est identique que cela configuré sur le contrôleur, il est automatiquement contenu. Cette caractéristique vise à adresser une attaque de miel-pot avant qu'elle endommage.

• Client valide sur l'escroc AP - Si un client répertorié dans ACS s'avère pour être associé avec un périphérique escroc, la retenue est lancée contre ce client seulement, l'empêchant d'associer à n'importe quel AP non-géré.

• Escroc ad-hoc AP - Si un réseau ad-hoc est découvert, il est automatiquement contenu.

Mises en garde escrocs de retenue

• Puisque la retenue passe une partie du temps de la radio d'AP géré d'envoyer les trames de désauthentification, la représentation aux deux clients de données et de Voix est négativement affectée jusqu'à de 20%. Pour des clients de données, l'incidence est débit réduit. Pour des clients de Voix, la retenue peut entraîner des interruptions des conversations et de la Qualité vocale réduite.

• La retenue peut avoir des implications juridiques une fois lancée contre les réseaux voisins. Assurez-vous que le périphérique escroc est dans votre réseau et pose un risque de sécurité avant que vous lanciez la retenue.

Fermeture de port de commutateur

Une fois qu'un port de commutateur est tracé utilisant le SPT, il y a une option de désactiver ce port dans WCS. L'administrateur doit faire cet exercice manuellement. Une option est disponible pour activer le port de commutateur par WCS si l'escroc est physiquement retiré du réseau.

Configurez la Gestion escroc

Configurez la détection escroc

La détection escroc est activée dans le contrôleur par défaut.

Pour trouver les détails escrocs dans un contrôleur utilisant l'interface graphique, allez au moniteur > aux escrocs.

En cette page, la classification différente pour des escrocs sont disponible :

• Aps amicaux – Aps qui sont marqués en tant qu'amical par l'administrateur.

• Aps malveillants – Aps qui sont identifiés comme malveillants utilisant RLDP ou détecteur escroc AP.

• Aps non classifiés – Par l'escroc de par défaut des aps seront affichés en tant que liste non classifiée dans le contrôleur.

• Clients escrocs – Clients connectés pour débarrasser des plants peu vigoureux des aps.

• Escrocs ads-hoc – Clients escrocs ads-hoc.

• AP escroc ignorent la liste – Aps répertoriés par WCS.

Remarque: Si WLC et AP autonome est géré par le même WCS, WLC répertoriera automatiquement cet AP autonome dans l'escroc qu'AP ignorent la liste. Il n'y a aucune configuration supplémentaire exigée dans WLC pour activer cette caractéristique.

Du CLI :

(Cisco Controller) >show rogue ap summary

Rogue on wire Auto-Contain....................... Disabled
Rogue using our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200

MAC Address        Classification     # APs # Clients Last Heard
-----------------  ------------------ ----- --------- -----------------------
00:14:1b:5b:1f:90  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:14:1b:5b:1f:91  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:14:1b:5b:1f:92  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:14:1b:5b:1f:93  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:14:1b:5b:1f:96  Unclassified       1     0         Thu Jun 10 18:58:51 2010
00:17:df:a9:08:00  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:10  Unclassified       1     0         Thu Jun 10 18:55:51 2010
00:17:df:a9:08:11  Unclassified       1     0         Thu Jun 10 19:04:51 2010
00:17:df:a9:08:12  Unclassified       1     0         Thu Jun 10 18:49:50 2010
00:17:df:a9:08:16  Unclassified       1     0         Thu Jun 10 19:04:51 2010

Cliquez sur une entrée escroc particulière afin d'obtenir les coordonnées de cet escroc.

Du CLI :

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90

Rogue BSSID...................................... 00:14:1b:5b:1f:90
Is Rogue on Wired Network........................ No
Classification................................... Unclassified
Manual Contained................................. No
State............................................ Alert
First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010
Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010
Reported By
    AP 1
        MAC Address.............................. 00:24:97:8a:09:30
        Name..................................... AP_5500
        Radio Type............................... 802.11g
        SSID..................................... doob
        Channel.................................. 6
        RSSI..................................... -51 dBm
        SNR...................................... 27 dB
        Encryption............................... Disabled
        ShortPreamble............................ Enabled
        WPA Support.............................. Disabled
        Last reported by this AP................. Thu Jun 10 19:04:51 2010

Configurez la lecture de la Manche pour la détection escroc

Pour des gens du pays/mode de Hreap/mode moniteur AP il y a une option sous la configuration RRM qui permet à l'utilisateur pour choisir quel canal est balayé pour des escrocs. Selon le config, AP balaye tout le canal/canal du pays channel/DCA pour des escrocs.

Pour configurer ceci du GUI, allez à la radio > au 802.11a/802.11b > au RRM > au général.

Du CLI :

(Cisco Controller) >config  advanced 802.11a monitor channel-list ?

all            Monitor all channels
country        Monitor channels used in configured country code
dca            Monitor channels used by automatic channel assignment

Pour configurer ces options, allez aux stratégies de Sécurité > de protection sans fil > aux stratégies > au général d'escroc.

1. Changez le délai d'attente pour l'escroc aps.

2. Activez la détection des réseaux escrocs ads-hoc.

Du CLI :

(Cisco Controller) >config rogue ap timeout ?

<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

Configurez la classification escroc

Classifiez manuellement un escroc AP

Pour classifier un escroc AP comme amical, malveillant, ou non classifié, aller au moniteur > à l'escroc > aps non classifiés, et cliquer sur le nom particulier de l'escroc AP. Choisissez l'option de la liste déroulante.

Du CLI :

(Cisco Controller) >config rogue ap ?

classify       Configures rogue access points classification.
friendly       Configures friendly AP devices.
rldp           Configures Rogue Location Discovery Protocol.
ssid           Configures policy for rogue APs advertsing our SSID.
timeout        Configures the expiration time for rogue entries, in seconds.
valid-client   Configures policy for valid clients using rogue APs.

Pour retirer une entrée escroc manuellement de la liste escroc, aller au moniteur > à l'escroc > les aps non classifiés, et le clic retirent.

Pour configurer un escroc AP comme AP amical, aller aux stratégies de Sécurité > de protection sans fil > aux stratégies d'escroc > escrocs amicaux et ajouter l'adresse MAC escroc.

Les entrées escrocs amicales ajoutées peuvent être vérifiées du moniteur > des escrocs > page escroc amicale.

Configurez un détecteur escroc AP

Pour configurer AP comme détecteur escroc utilisant le GUI, allez à la radio > tous les aps. Choisissez le nom AP et changez le mode AP.

Du CLI :

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.
Are you sure you want to continue? (y/n) y

Configurez le switchport pour un détecteur escroc AP

interface GigabitEthernet1/0/5
description Rogue Detector
switchport trunk encapsulation dot1q
switchport trunk native vlan 113
switchport mode trunk
spanning−tree portfast trunk

Remarque: Le VLAN indigène dans cette configuration est une qui a la connectivité IP au WLC.

Configurez RLDP

Pour configurer RLDP dans le GUI du contrôleur, allez aux stratégies de Sécurité > de protection sans fil > aux stratégies > au général d'escroc.

Mode moniteur aps – Permet seulement à des aps dans le mode moniteur pour participer à RLDP.

Tous les aps – Les gens du pays/Hreap/mode moniteur aps participent au processus RLDP.

Handicapé – RLDP n'est pas déclenché automatiquement. Cependant, l'utilisateur peut déclencher RLDP manuellement pour une adresse MAC particulière par le CLI.

Remarque: Le mode moniteur AP obtiendra la préférence au-dessus des gens du pays/du Hreap AP pour exécuter RLDP si chacun d'eux détectent un escroc particulier au-dessus de -85dbm RSSI.

Du CLI :

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only     Enables RLDP and alarm if rogue is detected
auto-contain   Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP scheduling and triggering manually is configurable only through Command 
    prompt

To Initiate RLDP manually:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr>     Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
For Scheduling RLDP

Note: RLDP scheduling and option to configure RLDP retries are two options 
    introduced in 7.0 through CLI

RLDP Scheduling :

(Cisco Controller) >config rogue ap rldp schedule ?

add            Enter the days when RLDP scheduling to be done.
delete         Enter the days when RLDP scheduling needs to be deleted.
enable         Configure to enable RLDP scheduling.
disable        Configure to disable RLDP scheduling.


(Cisco Controller) >config rogue ap rldp schedule add ?

mon            Configure Monday for RLDP scheduling.
tue            Configure Tuesday for RLDP scheduling.
wed            Configure Wednesday for RLDP scheduling.
thu            Configure Thursday for RLDP scheduling.
fri            Configure Friday for RLDP scheduling.
sat            Configure Saturday for RLDP scheduling.
sun            Configure Sunday for RLDP scheduling.



RLDP retries can be configured using the command 

(Cisco Controller) >config rogue ap rldp retries ?

<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

Pour configurer la validation d'AAA pour les clients escrocs, allez aux stratégies de Sécurité > de protection sans fil > aux stratégies > au général d'escroc.

L'activation de cette option veille que l'adresse de l'escroc client/AP est vérifiée avec le serveur d'AAA avant de la classifier comme malveillante.

Du CLI :

(Cisco Controller) >config rogue client aaa ?

disable        Disables use of AAA/local database to detect valid mac addresses.
enable         Enables use of AAA/local database to detect valid mac addresses.

Pour valider un client escroc particulier est un escroc de câble, il y a une option de vérifier l'accessibilité de cet escroc particulier du contrôleur (si le contrôleur peut détecter l'adresse IP escroc de client). Cette option peut être accédée à dans la page escroc du petit groupe du client et est disponible seulement par l'interface graphique.

Pour configurer le suivi de port de commutateur, référez-vous à Livre Blanc de Gestion d'escroc de document (clients enregistrés seulement).

Configurez la réduction escroc

Configurez la retenue manuelle :

Afin de contenir un escroc AP manuellement, allez au moniteur > aux escrocs > non classifié.

Du CLI :

(Cisco Controller) >config rogue client ?

aaa            Configures to validate if a rogue client is a valid client using
                   AAA/local database.
alert          Configure the rogue client to the alarm state.
contain        Start containing a rogue client.

(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?

<num of APs>   Enter the maximum number of Cisco APs to actively contain the
                   rogue client [1-4].

Remarque: Un escroc particulier peut être contenu utilisant 1-4 aps. Par défaut, le contrôleur utilise un AP pour contenir un client. Si deux aps peuvent détecter un escroc particulier, AP avec le RSSI le plus élevé contient le client indépendamment du mode AP.

Pour configurer la retenue automatique, allez aux stratégies de Sécurité > de protection sans fil > aux stratégies > au général d'escroc, et activez toutes les options appropriées pour votre réseau.

Du CLI :

(Cisco Controller) >config rogue adhoc ?

alert          Stop Auto-Containment, generate a trap upon detection of the
                   adhoc rogue.
auto-contain   Automatically containing adhoc rogue.
contain        Start containing adhoc rogue.
disable        Disable detection and reporting of Ad-Hoc rogues.
enable         Enable detection and reporting of Ad-Hoc rogues.
external       Acknowledge presence of a adhoc rogue.

(Cisco Controller) >config rogue adhoc auto-contain ?
(Cisco Controller) >config rogue adhoc auto-contain
 Warning! Using this feature may have legal consequences
         Do you want to continue(y/n) :y

Dépannez

Si l'escroc n'est pas détecté :

• Vérifiez que la détection d'escroc est activée sur AP utilisant cette commande. Par défaut, la détection escroc est activée sur AP.

  (Cisco_Controller) >show ap config general Managed_AP
  
  Cisco AP Identifier.............................. 2
  Cisco AP Name.................................... Managed_AP
  Country code..................................... US  - United States
  Regulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-A
  AP Country code.................................. US  - United States
  AP Regulatory Domain............................. 802.11bg:-A    802.11a:-A
  Switch Port Number .............................. 2
  MAC Address...................................... 00:1d:a1:cc:0e:9e
  IP Address Configuration......................... DHCP
  IP Address....................................... 10.8.99.104
  IP NetMask....................................... 255.255.255.0
  Gateway IP Addr.................................. 10.8.99.1
  CAPWAP Path MTU.................................. 1485
  Telnet State..................................... Enabled
  Ssh State........................................ Disabled
  Cisco AP Location................................ india-banaglore
  Cisco AP Group Name.............................. default-group
  Primary Cisco Switch Name........................ Cisco_e9:d9:23
  Primary Cisco Switch IP Address.................. 10.44.81.20
  Secondary Cisco Switch Name......................
  Secondary Cisco Switch IP Address................ Not Configured
  Tertiary Cisco Switch Name.......................
  Tertiary Cisco Switch IP Address................. Not Configured
  Administrative State ............................ ADMIN_ENABLED
  Operation State ................................. REGISTERED
  Mirroring Mode .................................. Disabled
  AP Mode ......................................... Local
  Public Safety ................................... Disabled
  AP SubMode ...................................... Not Configured
  Remote AP Debug ................................. Disabled
  Logging trap severity level ..................... informational
  Logging syslog facility ......................... kern
  S/W  Version .................................... 7.0.98.0
  Boot  Version ................................... 12.3.7.1
  Mini IOS Version ................................ 3.0.51.0
  Stats Reporting Period .......................... 209
  LED State........................................ Enabled
  PoE Pre-Standard Switch.......................... Enabled
  PoE Power Injector MAC Addr...................... Override
  Power Type/Mode.................................. Power injector / Normal mode
  Number Of Slots.................................. 2
  AP Model......................................... AIR-LAP1242AG-A-K9
  AP Image......................................... C1240-K9W8-M
  IOS Version...................................... 12.4(23c)JA
  Reset Button..................................... Enabled
  AP Serial Number................................. FTX1137B22V
  AP Certificate Type.............................. Manufacture Installed
  AP User Mode..................................... AUTOMATIC
  AP User Name..................................... Not Configured
  AP Dot1x User Mode............................... GLOBAL
  AP Dot1x User Name............................... Cisco12
  Cisco AP system logging host..................... 255.255.255.255
  AP Up Time....................................... 13 days, 15 h 01 m 33 s
  AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s
  Join Date and Time............................... Tue Jun  1 10:36:38 2010
  
  Join Taken Time.................................. 0 days, 00 h 00 m 52 s
  Ethernet Port Duplex............................. Auto
  Ethernet Port Speed.............................. Auto
  AP Link Latency.................................. Enabled
   Current Delay................................... 0 ms
   Maximum Delay................................... 56 ms
   Minimum Delay................................... 2 ms
   Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s
  Rogue Detection.................................. Enabled
  AP TCP MSS Adjust................................ Disabled
  

  La détection escroc peut être activée sur AP utilisant cette commande :

  (Cisco Controller) >config rogue detection enable ?
  all                    Applies the configuration to all connected APs.
  <Cisco AP>     Enter the name of the Cisco AP.
  

• Un mode local AP balaye seulement des canaux du pays channels/DCA selon la configuration. Si l'escroc est dans n'importe quel autre canal, le contrôleur ne peut pas identifier l'escroc si vous n'avez pas le mode moniteur aps dans le réseau. Pour vérifier, émettez la commande suivante :

  (Cisco Controller) >show advanced 802.11a monitor
  
  Default 802.11a AP monitoring
    802.11a Monitor Mode........................... enable
    802.11a Monitor Mode for Mesh AP Backhaul...... disable
    802.11a Monitor Channels....................... Country channels
    802.11a AP Coverage Interval................... 180 seconds
    802.11a AP Load Interval....................... 60 seconds
    802.11a AP Noise Interval...................... 180 seconds
    802.11a AP Signal Strength Interval............ 60 seconds
  

• AP escroc peut ne pas annoncer le SSID.

• Assurez-vous que l'adresse MAC de l'escroc AP n'est pas ajoutée dans la liste ou le blanc escroc amicale répertorié par WCS.

• Les balises de l'escroc AP peuvent ne pas être accessibles à AP détectant des escrocs. Ceci peut être vérifié en capturant le paquet utilisant un renifleur près de l'escroc AP-le détectant.

• Un mode local AP peut prendre à 9 minutes pour détecter un escroc (3 cycles 180x3).

• Cisco aps ne peuvent pas détecter des escrocs sur des fréquences comme le canal de sécurité publique (4.9 gigahertz).

• Cisco aps ne peuvent pas détecter des escrocs fonctionnant sur FHSS (modulation à spectre étalé à sauts de fréquence).

Utile met au point

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 
    Looking for Rogue 00:27:0d:8d:14:12 in known AP table
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1 
    for rogue AP 00:27:0d:8d:14:12
*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report 
    00:1b:0d:d4:54:20  rssi -74, snr -9 
*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP: 
    00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP: 
    00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue 
    00:24:97:2d:bf:90 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90
    is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1 
    for rogue AP 00:24:97:2d:bf:90
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP 
    00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report 
    00:1b:0d:d4:54:20  rssi -56, snr 34 
*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP: 
    00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP: 
    9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP: 
    9c:af:ca:0f:bd:40 

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue 
    9c:af:ca:0f:bd:40 in known AP table
*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40
    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62 
    Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 
*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP: 
    00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP: 
    00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP: 
    00:24:c4:ad:c0:40

Logs prévus de déroutement

Une fois un escroc est détecté

9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:
1 and Classification: unclassified 

10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18
and Classification: unclassified 
	
11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20
and Classification: unclassified 

12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2
and Classification: unclassified

Une fois une entrée escroc est retirée de la liste escroc

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio 
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base Radio
MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

Recommandations

1. Configurez le canal balayant à tous les canaux si vous suspectez les escrocs potentiels dans votre réseau

2. Selon l'affichage du réseau câblé, le nombre et l'emplacement du détecteur escroc aps peuvent varier d'un par plancher à un par bâtiment. Il est recommandé d'avoir au moins un détecteur escroc AP dans chaque plancher d'un bâtiment. Puisqu'un détecteur escroc AP exige un joncteur réseau à tous les domaines de diffusion réseau de la couche 2 qui devraient être surveillés, le placement dépend de l'affichage logique du réseau.

Si l'escroc n'est pas obtenir classifié

• Vérifiez les règles escrocs sont configurés correctement.

• Si l'escroc est dans le canal DFS, RLDP ne fonctionne pas.

• RLDP fonctionne seulement si le WLAN de l'escroc est ouvert et le DHCP est disponible.

• Si le mode local AP sert le client dans le canal DFS, il ne participera pas au processus RLDP.

Utile met au point

(Cisco Controller) > debug dot11 rogue rule enable
(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0
00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44
Found RAD: 0x158f1ea0, slotId = 1
rldp started association, attempt 1
Successfully associated with rogue: 00:1A:1E:85:21:B0 


!--- ASSOCIATING TO ROGUE AP


Starting dhcp
00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0
.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0
00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0
Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 


!--- GETTING IP FROM ROGUE


Found Gateway MacAddr: 00:1D:70:F0:D4:C1
Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de
Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)
Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de
Send ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)
Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  


!--- SENDING ARLDP PACKET


Received 32 byte ARLDP message from: 172.20.226.24642
Packet Dump:
sourceIp: 172.20.226.246
destIp: 172.20.226.197
Rogue Mac: 00:1A:1E:85:21:B0 


!--- RECEIVING ARLDP PACKET


security: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Recommandations

1. RLDP initié manuellement sur les entrées escrocs méfiantes.

2. Programme RLDP périodiquement.

3. Si vous avez connu les entrées escrocs, ajoutez-les dans la liste amicale ou activez la validation avec l'AAA et assurez-vous su que des entrées de client sont là dans la base de données d'AAA.

4. RLDP peut être déployé sur les gens du pays ou le mode moniteur aps. Pour la plupart des déploiements extensibles, et pour éliminer n'importe quelle incidence sur le service clientèle, RLDP devrait être déployé sur le mode moniteur aps si possible. Cependant, cette recommandation exige qu'un mode moniteur AP a recouvert soit déployé avec un rapport typique en tant que 1 mode moniteur AP pour chaque 5 mode local aps. Des aps dans le mode moniteur adaptatif de wIPS peuvent également être accrus pour cette tâche.

Détecteur escroc AP

L'entrée escroc dans un détecteur escroc peut être vue utilisant cette commande dans la console AP. Pour les escrocs de câble, l'indicateur sera placé.

Rogue_Detector_5500#show capwap rm rogue detector
 CAPWAP Rogue Detector Mode
  Current Rogue Table:
  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1
  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1


!--- once the flag is set, rogue is detected on wire


  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1
  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1
  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1
  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

Commandes de débogage utiles dans une console AP

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

Si escroc la retenue ne se produit pas :

1. Les gens du pays/mode AP de Hreap peuvent contenir 3 périphériques à la fois par radio, et le mode moniteur AP peut contenir 6 périphériques par radio. En conséquence, assurez-vous qu'AP contient déjà le nombre maximal de périphériques permis. Dans ce scénario, le client est dans un état en attendant de retenue.

2. Vérifiez les règles automatiques de retenue.

Logs prévus de déroutement

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1
    has been contained manually by 2 APs 8

Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added 
    to the Classified AP List.

Conclusion

La détection escroc et la retenue dans la solution de contrôleur centralisée par Cisco est la méthode la plus efficace et moins la plus intrusive dans le secteur. La flexibilité fournie à l'administrateur réseau tient compte d'une adaptation plus personnalisée qui peut faciliter toutes les spécifications du réseau.

Informations connexes

• Classification basée sur les règles dans les contrôleurs LAN sans fil (WLC) et les systèmes de contrôle sans fil (WCS)
• Détection de systèmes indésirables sous des réseaux sans fil unifiés
• Livre Blanc escroc de Gestion (clients enregistrés seulement)
• Guide de configuration Sans fil de contrôleur LAN de Cisco, version 7.0
• Support et documentation techniques - Cisco Systems