Pour les partenaires
Vous êtes déjà partenaire?
ConnexionAvez-vous un compte?
Dans la documentation de ce produit, les auteurs s‘efforcent d‘utiliser un langage exempt de préjugés. Aux fins de cet ensemble de documents, l’expression « sans préjugés » est définie comme un langage sans discrimination fondée sur l’âge, le handicap, le sexe, l’identité raciale, l’identité ethnique, l’orientation sexuelle, la situation socio-économique et l’intersectionnalité. Des exceptions peuvent être présentes dans la documentation en raison de la langue codée en dur dans les interfaces utilisateur du logiciel du produit, de la langue utilisée en fonction de la documentation de l’appel d’offres ou de la langue utilisée par un produit tiers référencé. En savoir plus sur la façon dont Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document fournit des informations sur la détection et l'atténuation des attaques sur les réseaux sans fil Cisco.
Les réseaux sans fil étendent les réseaux filaires et augmentent la productivité des travailleurs et l'accès aux informations. Cependant, un réseau sans fil non autorisé présente un souci de couche de sécurité supplémentaire. La sécurité du port sur les réseaux filaires est moins mise de l'avant, et les réseaux sans fil sont une extension facile aux réseaux filaires. Par conséquent, un employé qui introduit son propre point d'accès (Cisco ou non Cisco) dans une infrastructure filaire ou sans fil bien sécurisée et qui permet aux utilisateurs non autorisés d'accéder à ce réseau par ailleurs sécurisé peut facilement compromettre un réseau sécurisé.
La détection des anomalies permet à l’administrateur réseau de surveiller et d’éliminer ce problème de sécurité. Cisco Unified Network Architecture fournit des méthodes de détection des pirates qui permettent une solution complète d'identification et de confinement des pirates sans avoir besoin de réseaux et d'outils de superposition coûteux et difficiles à justifier.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Contrôleurs Lan Sans Fil Cisco Unified (gammes 5520, 8540 et 3504) qui exécute la version 8.8.120.0.
Points d'accès de phase 2 des gammes 1832, 1852, 2802 et 3802.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Tout périphérique qui partage votre spectre et qui n'est pas géré par vous peut être considéré comme non autorisé. Un voyou devient dangereux dans ces scénarios :
Lors de la configuration, utilisez le même SSID (Service Set Identifier) que votre réseau (honeypot).
Lorsqu’elle est détectée sur le réseau câblé.
Des voleurs ad hoc.
Configuration par un tiers, la plupart du temps, avec une intention malveillante.
La meilleure pratique consiste à utiliser la détection des pirates pour minimiser les risques de sécurité, par exemple dans un environnement d'entreprise. Cependant, il existe certains scénarios dans lesquels la détection des pirates n'est pas nécessaire, par exemple dans le déploiement d'un point d'accès Office Extend Access Point (OEAP), à l'échelle de la ville et à l'extérieur. Avec l'utilisation de points d'accès maillés extérieurs pour détecter les rogues, la valeur ajoutée serait minime, tandis que les ressources seraient utilisées pour l'analyse. Enfin, il est essentiel d'évaluer (ou d'éviter totalement) le confinement automatique des produits non autorisés, car il existe des problèmes et des responsabilités juridiques potentiels s'il reste à fonctionner automatiquement.
La solution Cisco Unified Wireless Network (UWN) comporte trois phases principales de gestion des périphériques indésirables :
Détection : l'analyse RRM (Radio Resource Management) permet de détecter la présence de périphériques indésirables.
Classification : le protocole RLDP (Rogue Location Discovery Protocol), les détecteurs de routage (points d'accès de phase 1 uniquement) et le suivi des ports du commutateur sont utilisés pour déterminer si le périphérique non autorisé est connecté au réseau câblé. Les règles de classification des fraudes aident également à filtrer les rogues dans des catégories spécifiques en fonction de leurs caractéristiques.
Atténuation : l'arrêt du port de commutateur, l'emplacement non autorisé et le confinement non autorisé sont utilisés dans pour localiser son emplacement physique et annuler la menace du périphérique non autorisé.
Un pirate est essentiellement tout périphérique qui partage votre spectre, mais qui n'est pas sous votre contrôle. Cela inclut les points d'accès non autorisés, les routeurs sans fil, les clients non autorisés et les réseaux ad hoc non autorisés. Cisco UWN utilise un certain nombre de méthodes pour détecter les périphériques indésirables basés sur le Wi-Fi, tels que l'analyse hors canal et les fonctionnalités de mode de surveillance dédié. Cisco Spectrum Expert peut également être utilisé pour identifier les périphériques non fiables basés sur le protocole 802.11, tels que les ponts Bluetooth.
Cette opération est effectuée par les points d'accès locaux et Flex-Connect (en mode connecté) et utilise une technique de découpage temporel qui permet le service client et l'analyse de canal avec l'utilisation de la même radio. Avec le passage hors canal pour une période de 50 ms toutes les 16 secondes, le point d'accès, par défaut, ne passe qu'un faible pourcentage de son temps à ne pas servir de clients. Notez également qu'un intervalle de changement de canal de 10 ms se produira. Dans l'intervalle d'analyse par défaut de 180 secondes, chaque canal FCC de 2,4 Ghz (1-11) est analysé au moins une fois. Pour d'autres domaines réglementaires, tels que ETSI, le point d'accès sera hors canal pendant un pourcentage de temps légèrement supérieur. La liste des canaux et l'intervalle d'analyse peuvent être ajustés dans la configuration RRM. Cela limite l'impact sur les performances à un maximum de 1,5 % et l'intelligence est intégrée dans l'algorithme pour suspendre l'analyse lorsque des trames QoS de haute priorité, telles que la voix, doivent être livrées.
Ce graphique représente l'algorithme d'analyse hors canal pour un point d'accès en mode local dans la bande de fréquences 2,4 GHz. Une opération similaire est effectuée en parallèle sur la radio 5 GHz si l'AP en a une présente. Chaque carré rouge représente le temps passé sur le canal d'accueil des points d'accès, tandis que chaque carré bleu représente le temps passé sur les canaux adjacents à des fins d'analyse.
Cette opération est effectuée par les points d'accès en mode surveillance Monitor et wIPS adaptatif qui utilisent 100 % du temps de la radio pour analyser tous les canaux dans chaque bande de fréquences respective. Cela permet une plus grande vitesse de détection et permet de consacrer plus de temps à chaque canal individuel. Les points d'accès en mode surveillance sont également bien supérieurs à la détection des clients indésirables car ils disposent d'une vue plus complète de l'activité qui se produit dans chaque canal.
Ce graphique représente l'algorithme d'analyse hors canal pour un point d'accès en mode moniteur dans la bande de fréquences 2,4 GHz. Une opération similaire est effectuée en parallèle sur la radio 5 GHz si l'AP en a une présente.
Un point d'accès en mode local répartit ses cycles entre le service des clients WLAN et l'analyse des canaux à la recherche de menaces. En conséquence, il faut plus de temps à un point d'accès en mode local pour passer par tous les canaux, et il passe moins de temps dans les données de collecte sur un canal particulier afin que les opérations du client ne soient pas perturbées. Par conséquent, les temps de détection des attaques et des attaques sont plus longs (3 à 60 minutes) et une plus petite plage d'attaques en direct peut être détectée qu'avec un point d'accès en mode surveillance.
En outre, la détection du trafic en rafale, comme les clients non autorisés, est beaucoup moins déterministe car le point d'accès doit être sur le canal du trafic au moment où le trafic est transmis ou reçu. Cela devient un exercice de probabilités. Un point d'accès en mode surveillance passe tous ses cycles sur l'analyse des canaux pour rechercher des attaques en vol et des intrusions. Un point d'accès en mode moniteur peut être utilisé simultanément pour les services wIPS adaptatifs, les services d'emplacement (sensibles au contexte) et d'autres services en mode moniteur.
Lorsque des points d'accès en mode surveillance sont déployés, les avantages sont des délais de détection plus courts. Lorsque les points d'accès en mode surveillance sont en outre configurés avec le système wIPS adaptatif, une gamme plus large de menaces et d'attaques en direct peut être détectée.
Points d'accès en mode local |
Points d'accès en mode surveillance |
Sert les clients avec une analyse hors canal par tranches de temps |
Analyse dédiée |
Écoute 50 ms sur chaque canal |
Écoute les 1,2 sur chaque canal |
Configurable pour l'analyse :
|
Analyse tous les canaux |
Si la réponse de sonde ou les balises d'un périphérique non autorisé sont entendues par les points d'accès locaux, flex-connect ou en mode moniteur, ces informations sont communiquées via CAPWAP au contrôleur LAN sans fil (WLC) pour le processus. Afin d'éviter les faux positifs, un certain nombre de méthodes sont utilisées pour s'assurer que d'autres AP gérés basés sur Cisco ne sont pas identifiés comme un périphérique non autorisé. Ces méthodes incluent les mises à jour de groupes de mobilité, les paquets de voisins RF et les AP autorisés à lister des listes conviviales via Prime Infrastructure (PI).
Bien que la base de données des périphériques indésirables du contrôleur ne contienne que l'ensemble actuel de rogues détectés, le PI inclut également un historique des événements et enregistre les rogues qui ne sont plus visibles.
Un point d'accès CAPWAP s'éteint hors canal pendant 50 ms afin d'écouter les clients indésirables, de surveiller le bruit et les interférences de canal. Tous les clients ou points d'accès non autorisés détectés sont envoyés au contrôleur, qui collecte ces informations :
Adresse MAC du point d'accès non autorisé
Nom du point d'accès détecté comme non autorisé
Adresse MAC du ou des clients connectés non autorisés
Stratégie de sécurité
Le préambule
Le rapport signal/bruit (SNR)
Indicateur de puissance du signal du récepteur (RSSI)
Canal de détection des anomalies
Radio dans laquelle un message indésirable est détecté
SSID non autorisé (si le SSID non autorisé est diffusé)
Adresse IP non fiable
Première et dernière fois que le pirate est signalé
Largeur du canal
Afin d'exporter des événements indésirables vers un système NMS (Network Management System) tiers pour archivage, le WLC autorise l'ajout de récepteurs de déroutement SNMP supplémentaires. Lorsqu'un pirate est détecté ou effacé par le contrôleur, un déroutement qui contient ces informations est communiqué à tous les récepteurs de déroutement SNMP. Une mise en garde relative à l'exportation d'événements via SNMP est que si plusieurs contrôleurs détectent le même défaut, les événements dupliqués sont vus par le NMS, car la corrélation n'est effectuée qu'au niveau de PI.
Une fois qu'un point d'accès non autorisé a été ajouté aux enregistrements du WLC, il y restera jusqu'à ce qu'il ne soit plus visible. Après un délai d'attente configurable par l'utilisateur (1 200 secondes par défaut), un non autorisé dans la catégorie _non classifié est obsolète.
Dans d'autres états, tels que _Contains_et _Friendly_persisteront afin que la classification appropriée soit appliquée à ceux-ci s'ils réapparaissent.
Il existe une taille de base de données maximale pour les enregistrements indésirables qui varie d'une plate-forme de contrôleur à l'autre :
3504 - Détection et confinement de jusqu'à 600 points d'accès indésirables et 1 500 clients indésirables
Un point d'accès détecteur de virus vise à corréler les informations indésirables entendues dans l'air avec les informations ARP obtenues à partir du réseau câblé. Si une adresse MAC est entendue par l'air en tant qu'AP ou client non autorisé et est également entendue sur le réseau câblé, alors le pirate est déterminé comme se trouvant sur le réseau câblé. Si le pirate est détecté sur le réseau câblé, la gravité de l'alarme pour ce point d'accès non autorisé est élevée à _Critical_. Il est à noter qu'un point d'accès de détecteur de virus n'a pas réussi à identifier les clients indésirables derrière un périphérique qui utilise NAT.
Cette approche est utilisée lorsque le point d'accès non autorisé a une forme d'authentification, WEP ou WPA. Lorsqu'une forme d'authentification est configurée sur un point d'accès non autorisé, le point d'accès léger ne peut pas s'associer, car il ne connaît pas la méthode d'authentification et les informations d'identification configurées sur le point d'accès non autorisé.
Note: Seuls les points d'accès Wave 1 peuvent être configurés en tant que détecteurs de non-respect.
Un point d'accès détecteur de virus peut détecter jusqu'à 500 rogues et 500 clients indésirables. Si le détecteur de virus est placé sur une agrégation avec trop de périphériques indésirables, ces limites peuvent être dépassées, ce qui entraîne des problèmes. Afin d'éviter que cela ne se produise, conservez les points d'accès des détecteurs indésirables au niveau de la couche de distribution ou d'accès de votre réseau.
L’objectif du protocole RLDP est d’identifier si un point d’accès non autorisé spécifique est connecté à l’infrastructure câblée. Cette fonctionnalité utilise essentiellement le point d'accès le plus proche pour se connecter au périphérique non autorisé en tant que client sans fil. Après la connexion en tant que client, un paquet est envoyé avec l'adresse de destination du WLC pour évaluer si le point d'accès est connecté au réseau câblé. Si le pirate est détecté sur le réseau câblé, le niveau de gravité de l'alarme pour ce point d'accès non autorisé est défini sur critique.
L’algorithme RLDP est répertorié ici :
Identifiez le point d'accès unifié le plus proche du point d'accès non autorisé en utilisant les valeurs de puissance du signal.
Le point d'accès se connecte ensuite au pirate en tant que client WLAN, tente trois associations avant qu'il expire.
Si l'association réussit, le point d'accès utilise DHCP pour obtenir une adresse IP.
Si une adresse IP a été obtenue, l'AP (qui agit comme un client WLAN) envoie un paquet UDP à chacune des adresses IP du contrôleur.
Si le contrôleur reçoit même un des paquets RLDP du client, ce pirate est marqué comme étant sur fil avec une gravité critique.
Note: Les paquets RLDP ne peuvent pas atteindre le contrôleur si les règles de filtre sont en place entre le réseau du contrôleur et le réseau où se trouve le périphérique non autorisé.
Le protocole RLDP fonctionne uniquement avec les points d'accès non autorisés ouverts qui diffusent leur SSID avec l'authentification et le chiffrement désactivés.
Le protocole RLDP nécessite que le point d’accès géré qui agit en tant que client puisse obtenir une adresse IP via DHCP sur le réseau non autorisé
Le protocole RLDP manuel peut être utilisé pour tenter et tracer le protocole RLDP plusieurs fois sur un serveur non autorisé.
Sur le processus RLDP, le point d'accès ne peut pas servir les clients. Cela aura un impact négatif sur les performances et la connectivité des points d'accès en mode local.
Le protocole RLDP ne tente pas de se connecter à un point d'accès non autorisé qui fonctionne dans un canal DFS 5 GHz.
Le suivi des ports de commutateur est une technique d'atténuation des points d'accès non autorisés. Bien que le suivi des ports du commutateur soit initié au niveau de l’interface de ligne de commande, il utilise à la fois les informations CDP et SNMP pour suivre un pirate jusqu’à un port spécifique du réseau.
Pour que le suivi des ports du commutateur s'exécute, tous les commutateurs du réseau doivent être ajoutés à l'interface de ligne de commande avec les informations d'identification SNMP. Bien que les informations d'identification en lecture seule permettent d'identifier le port sur lequel le pirate est actif, les informations d'identification en lecture-écriture permettent au PI d'arrêter également le port, ce qui signifie qu'il contient la menace.
Pour le moment, cette fonctionnalité fonctionne uniquement avec les commutateurs Cisco qui exécutent IOS avec CDP activé, et CDP doit également être activé sur les AP gérés.
L'algorithme de suivi de port de commutateur est répertorié ici :
Le PI trouve le point d’accès le plus proche, qui détecte le point d’accès non autorisé en vol, et récupère ses voisins CDP.
L’IP utilise ensuite SNMP pour examiner la table CAM dans le commutateur voisin, il recherche une correspondance positive pour identifier l’emplacement des rogues.
Une correspondance positive est basée sur l'adresse MAC exacte du pirate, +1/-1 l'adresse MAC du pirate, toute adresse MAC du client non autorisée ou une correspondance OUI basée sur les informations du fournisseur inhérentes à une adresse MAC.
Si aucune correspondance positive n'est trouvée sur le commutateur le plus proche, le PI poursuit la recherche dans les commutateurs voisins jusqu'à deux sauts (par défaut).
Par défaut, tous les rogues détectés par Cisco UWN sont considérés comme non classifiés. Comme le montre ce graphique, les rogues peuvent être classées selon un certain nombre de critères, notamment RSSI, SSID, type de sécurité, réseau actif/passif et nombre de clients :
Les règles de classification des indésirables vous permettent de définir un ensemble de conditions qui marquent un pirate comme étant malveillant ou convivial. Ces règles sont configurées au niveau du PI ou du WLC, mais elles sont toujours exécutées sur le contrôleur au fur et à mesure que de nouveaux rogues sont découverts.
Lisez la classification des anomalies basée sur des règles dans les contrôleurs de réseau local sans fil (WLC) et Prime Infrastructure (PI)pour plus d'informations sur les règles indésirables dans les WLC.
Si vous déplacez manuellement un périphérique non autorisé à l'état contenu (n'importe quelle classe) ou convivial, ces informations sont stockées dans la mémoire Flash du WLC Cisco de secours ; toutefois, la base de données n'est pas mise à jour. Lorsque la commutation haute disponibilité se produit, la liste des indésirables de la mémoire Flash WLC Cisco de secours précédente est chargée.
Dans un scénario de haute disponibilité, si le niveau de sécurité de la détection de virus est défini sur Élevé ou Critique, le compteur de virus sur le contrôleur de secours ne démarre qu'après le temps de stabilisation de la détection de virus, qui est de 300 secondes. Par conséquent, les configurations actives sur le contrôleur de secours ne sont réfléchies qu'après 300 secondes.
Un point d'accès FlexConnect (avec détection de code non autorisé activée) en mode connecté prend la liste de confinement du contrôleur. Si le SSID contenant automatiquement et le paramètre auto contenant les paramètres ad hoc sont définis dans le contrôleur, ces configurations sont définies sur tous les points d'accès FlexConnect en mode connecté et le point d'accès les stocke dans sa mémoire.
Lorsque l'AP FlexConnect passe en mode autonome, les tâches suivantes sont effectuées :
Le confinement défini par le contrôleur continue.
Si l'AP FlexConnect détecte tout AP non autorisé qui a le même SSID que celui de l'infra SSID (SSID configuré dans le contrôleur auquel l'AP FlexConnect est connecté), alors le confinement démarre si le SSID contenant automatiquement a été activé à partir du contrôleur avant de passer en mode autonome.
Si le point d'accès FlexConnect détecte une anomalie ad hoc, le confinement démarre si la fonction de confinement automatique a été activée à partir du contrôleur lorsqu'il était en mode connecté.
Lorsque le point d'accès FlexConnect autonome revient au mode connecté, les tâches suivantes sont exécutées :
Tous les contenants sont effacés.
Le confinement initié à partir du contrôleur prendra le relais.
Containment est une méthode qui utilise des paquets en direct pour interrompre temporairement le service sur un périphérique non autorisé jusqu'à ce qu'il puisse être physiquement supprimé. Le confinement fonctionne avec l'usurpation de paquets de désauthentification avec l'adresse source usurpée du point d'accès non autorisé afin que tous les clients associés soient démarrés.
Un confinement initié sur un point d'accès non autorisé sans client n'utilisera que les trames de désauthentification envoyées à l'adresse de diffusion :
Un confinement initié sur un AP non autorisé avec des clients utilisera des trames de désauthentification envoyées à l'adresse de diffusion et à l'adresse du ou des clients :
Les paquets de confinement sont envoyés au niveau de puissance du point d'accès géré et au débit de données activé le plus bas.
Le confinement envoie un minimum de 2 paquets toutes les 100 ms :
Note: Un confinement effectué par des AP en mode non moniteur est envoyé à un intervalle de 500 ms au lieu de l'intervalle de 100 ms utilisé par les AP en mode moniteur.
Un périphérique indésirable individuel peut être contenu par 1 à 4 points d'accès gérés qui fonctionnent conjointement pour atténuer temporairement la menace.
Le confinement peut être effectué par l'utilisation des points d'accès en mode local, en mode surveillance et en mode flex-connect (Connected). Pour le mode local des points d'accès flex-connect, un maximum de trois périphériques indésirables par radio peut être contenu. Pour les points d'accès en mode surveillance, un maximum de six périphériques indésirables par radio peut être contenu.
En plus du lancement manuel du confinement sur un périphérique non autorisé via PI ou l'interface graphique du WLC, il est également possible de lancer automatiquement le confinement dans certains scénarios. Cette configuration est trouvée sousGeneralin la section Politique de non-respect de l'interface de contrôleur ou de l'interface de contrôleur. Chacune de ces fonctions est désactivée par défaut et ne doit être activée que pour annuler les menaces qui peuvent causer le plus de dommages.
Rogue on Wire : si un périphérique non autorisé est identifié comme étant connecté au réseau câblé, il est automatiquement placé sous confinement.
Utilisation de notre SSID : si un périphérique non autorisé utilise un SSID identique à celui configuré sur le contrôleur, il est automatiquement contenu. Cette fonctionnalité vise à contrer une attaque de pot de miel avant qu'elle ne provoque des dommages.
Client valide sur le point d'accès non autorisé - Si un client répertorié dans le serveur Radius/AAA est associé à un périphérique non autorisé, le confinement est lancé contre ce client uniquement, il l'empêche de l'association à un point d'accès non géré.
Point d'accès indésirable AdHoc : si un réseau ad hoc est découvert, il est automatiquement contenu.
Comme le confinement utilise une partie du temps radio du point d'accès géré pour envoyer les trames de déauthentification, les performances des clients voix et données sont affectées de manière négative jusqu'à 20 %. Pour les clients de données, l'impact est une réduction du débit. Pour les clients vocaux, le confinement peut provoquer des interruptions dans les conversations et une réduction de la qualité vocale.
Le confinement peut avoir des implications juridiques lorsqu'il est lancé contre des réseaux voisins. Assurez-vous que le périphérique non autorisé se trouve sur votre réseau et présente un risque de sécurité avant de lancer le conteneur.
Une fois qu'un port de commutateur est suivi par l'utilisation de SPT, il est possible de désactiver ce port dans PI. L'administrateur doit effectuer cet exercice manuellement. Une option est disponible pour activer le port du commutateur via PI si le port non autorisé est physiquement retiré du réseau.
Par défaut, la détection des anomalies est activée dans le contrôleur.
Afin de configurer différentes options, accédez à Sécurité > Stratégies de protection sans fil > Stratégies non fiables > Général. Exemple :
Étape 1. Modifiez le délai d'attente des AP non autorisés.
Étape 2. Activez la détection des réseaux indésirables ad hoc.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config rogue ap timeout ? <seconds> The number of seconds<240 - 3600> before rogue entries are flushed (Cisco Controller) >config rogue adhoc enable/disable
Pour un point d'accès en mode local/Flex-Connect/Monitor, il existe une option sous la configuration RRM qui permet à l'utilisateur de choisir les canaux qui sont analysés pour détecter les rogues. Cela dépend de la configuration, le point d'accès analyse tous les canaux/canaux de pays/canaux DCA pour détecter les erreurs.
Afin de configurer ceci à partir de l'interface utilisateur graphique, accédez à Wireless > 802.11a/802.11b > RRM > General, comme indiqué dans l'image.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config advanced 802.11a monitor channel-list ? all Monitor all channels country Monitor channels used in configured country code dca Monitor channels used by automatic channel assignment
Classification manuelle d'un point d'accès non autorisé
Afin de classer un AP non autorisé comme convivial, malveillant ou non classifié, naviguez vers Monitor > Rogue > Unclassified APs, et cliquez sur le nom d'AP non autorisé particulier. Choisissez l'option dans la liste déroulante, comme illustré dans l'image.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config rogue ap ? classify Configures rogue access points classification. friendly Configures friendly AP devices. rldp Configures Rogue Location Discovery Protocol. ssid Configures policy for rogue APs advertsing our SSID. timeout Configures the expiration time for rogue entries, in seconds. valid-client Configures policy for valid clients using rogue APs.
Afin de supprimer manuellement une entrée non autorisée de la liste non autorisée, naviguez vers Monitor > Rogue > Unclassified APs, et cliquez surRemove, comme illustré dans l'image.
Afin de configurer un AP non autorisé en tant qu'AP convivial, accédez à Sécurité > Stratégies de protection sans fil > Stratégies non autorisées > Rogues amicales et ajoutez l'adresse MAC non autorisée.
Les entrées indésirables ajoutées peuvent être vérifiées à partir deMonitor > Rogues > Friendly Roguepage, comme le montre l'image.
Configurer un point d'accès de détection de non-respect
Afin de configurer le point d'accès en tant que détecteur de non-respect via l'interface graphique utilisateur, naviguez jusqu'à Wireless > All APs. Choisissez le nom de l'AP et modifiez le mode AP comme indiqué dans l'image.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config ap mode rogue AP_Managed Changing the AP's mode will cause the AP to reboot. Are you sure you want to continue? (y/n) y
Configurer le port de commutation pour un point d'accès Détecteur de Rogue
interface GigabitEthernet1/0/5 description Rogue Detector switchport trunk native vlan 100 switchport mode trunk
Note: Le VLAN natif dans cette configuration est celui qui a une connectivité IP au WLC.
Configurer RLDP
Afin de configurer le protocole RLDP dans l'interface graphique utilisateur du contrôleur, accédez à Sécurité > Stratégies de protection sans fil > Stratégies non fiables > Général.
Points d'accès en mode surveillance - Autorise uniquement les points d'accès en mode surveillance à participer au protocole RLDP.
Tous les points d'accès - en mode Local/Flex-Connect/Monitor participent au processus RLDP.
Désactivé - RLDP n'est pas déclenché automatiquement. Cependant, l'utilisateur peut déclencher le protocole RLDP manuellement pour une adresse MAC particulière via l'interface de ligne de commande.
Note: Le point d'accès en mode surveillance obtient la préférence sur le point d'accès local/Flex-Connect pour exécuter le protocole RLDP si les deux détectent un point d'accès indésirable particulier au-dessus de -85 dbm RSSI.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config rogue ap rldp enable ?
alarm-only Enables RLDP and alarm if rogue is detected
auto-contain Enables RLDP, alarm and auto-contain if rogue is detected.
(Cisco Controller) >config rogue ap rldp enable alarm-only ?
monitor-ap-only Perform RLDP only on monitor AP
La planification RLDP et le déclencheur manuel ne peuvent être configurés qu’à l’invite de commande. Pour lancer RLDP manuellement :
(Cisco Controller) >config rogue ap rldp initiate ?
<MAC addr> Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
Pour le calendrier RLDP :
(Cisco Controller) >config rogue ap rldp schedule ? add Enter the days when RLDP scheduling to be done. delete Enter the days when RLDP scheduling needs to be deleted. enable Configure to enable RLDP scheduling. disable Configure to disable RLDP scheduling. (Cisco Controller) >config rogue ap rldp schedule add ? fri Configure Friday for RLDP scheduling. sat Configure Saturday for RLDP scheduling. sun Configure Sunday for RLDP scheduling. mon Configure Monday for RLDP scheduling. tue Configure Tuesday for RLDP scheduling. wed Configure Wednesday for RLDP scheduling. thu Configure Thursday for RLDP scheduling.
Les tentatives RLDP peuvent être configurées avec la commande suivante :
(Cisco Controller) >config rogue ap rldp retries ? <count> Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.
Afin de contenir manuellement un AP non autorisé, naviguez vers Monitor > Rogues > Unclassifié, comme illustré dans l'image.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config rogue client ?
aaa Configures to validate if a rogue client is a valid client using AAA/local database.
alert Configure the rogue client to the alarm state.
contain Start containing a rogue client.
delete Delete rogue Client
mse Configures to validate if a rogue client is a valid client using MSE.
(Cisco Controller) >config rogue client contain 11:22:33:44:55:66 ?
<num of APs> Enter the maximum number of Cisco APs to actively contain the rogue client [1-4].
Note: Un voyou particulier peut être contenu avec 1 à 4 points d'accès. Par défaut, le contrôleur utilise un point d'accès pour contenir un client. Si deux points d'accès sont capables de détecter un point d'accès non autorisé particulier, le point d'accès ayant le RSSI le plus élevé contient le client quel que soit le mode AP.
Pour configurer le confinement automatique, accédez à Stratégies de protection sans fil>Stratégies non fiables>Général et activez toutes les options applicables à votre réseau.
Si vous souhaitez que le WLC Cisco contienne automatiquement certains périphériques indésirables, cochez les cases ci-dessous. Sinon, ne cochez pas les cases, c'est-à-dire la valeur par défaut.
Avertissement : Lorsque vous activez l'un de ces paramètres, le message s'affiche : “ l'utilisation de cette fonction peut avoir des conséquences juridiques. Voulez-vous continuer ? ” Les fréquences 2,4 et 5 GHz de la bande ISM (Industrial, Scientific, and Medical) sont ouvertes au public et peuvent être utilisées sans licence. Ainsi, le confinement des périphériques sur le réseau d'une autre partie peut avoir des conséquences juridiques.
Il s'agit des paramètres de contention automatique :
Paramètre |
Description |
---|---|
Niveau de confinement automatique |
Liste déroulante dans laquelle vous pouvez choisir le niveau de confinement automatique non autorisé de 1 à 4. Vous pouvez choisir jusqu'à quatre points d'accès pour le confinement automatique lorsqu'un pirate est déplacé vers un état contenu via l'une des stratégies de confinement automatique. Vous pouvez également choisir Auto pour la sélection automatique du nombre de points d'accès utilisés pour le confinement automatique. Le WLC de Cisco choisit le nombre requis de points d'accès en fonction de l'interface RSSI pour un confinement efficace. La valeur RSSI associée à chaque niveau de confinement est la suivante :
|
Confinement automatique uniquement pour les points d'accès en mode Surveillance |
Cochez la case que vous pouvez sélectionner pour activer les points d'accès du mode surveillance pour la confinement automatique. L'état par défaut est désactivé. |
Confinement automatique sur FlexConnect autonome |
Cochez la case que vous pouvez sélectionner pour activer le confinement automatique sur les points d'accès FlexConnect en mode autonome. L'état par défaut est désactivé. Lorsque les points d'accès FlexConnect sont en mode autonome, vous pouvez uniquement activer les stratégies de confinement automatique des points d'accès indésirables à l'aide de notre SSID ou AdHoc. Le confinement s'arrête après la connexion du point d'accès autonome au WLC Cisco. |
Rogue sur fil |
Cochez la case que vous activez pour contenir automatiquement les erreurs détectées sur le réseau câblé. L'état par défaut est désactivé. |
Utilisation de notre SSID |
Cochez la case que vous activez pour contenir automatiquement les rogues qui annoncent le SSID de votre réseau. Si vous ne sélectionnez pas ce paramètre, le WLC Cisco génère une alarme uniquement lorsqu'un tel défaut est détecté. L'état par défaut est désactivé. |
Client valide sur le point d'accès non autorisé |
Cochez la case que vous activez pour contenir automatiquement un point d'accès non autorisé auquel les clients approuvés sont associés. Si vous ne sélectionnez pas ce paramètre, le WLC Cisco génère une alarme uniquement lorsqu'un tel défaut est détecté. L'état par défaut est désactivé. |
Point d'accès indésirable AdHoc |
Cochez la case que vous activez pour contenir automatiquement les réseaux ad hoc détectés par le WLC Cisco. Si vous ne sélectionnez pas ce paramètre, le WLC de Cisco génère une alarme uniquement lorsqu'un tel réseau est détecté. L'état par défaut est désactivé. |
Cliquez sur Apply pour envoyer des données au WLC Cisco, mais les données ne sont pas conservées pendant un cycle d'alimentation ; ces paramètres sont stockés temporairement dans la mémoire vive volatile.
À partir de l'interface de ligne de commande :
(Cisco Controller) >config rogue adhoc ? alert Stop Auto-Containment, generate a trap upon detection of the adhoc rogue. auto-contain Automatically containing adhoc rogue. contain Start containing adhoc rogue. disable Disable detection and reporting of Ad-Hoc rogues. enable Enable detection and reporting of Ad-Hoc rogues. external Acknowledge presence of a adhoc rogue. (Cisco Controller) >config rogue adhoc auto-contain ? (Cisco Controller) >config rogue adhoc auto-contain Warning! Using this feature may have legal consequences Do you want to continue(y/n) :y
L'infrastructure Cisco Prime peut être utilisée pour configurer et surveiller un ou plusieurs contrôleurs et points d'accès associés. Cisco PI dispose d'outils pour faciliter la surveillance et le contrôle des systèmes de grande taille. Lorsque vous utilisez Cisco PI dans votre solution sans fil Cisco, les contrôleurs déterminent périodiquement le client, non autorisé Point d'accès, non autorisé Client de point d'accès, emplacement de balise RFID (Radio Frequency ID) et stockage des emplacements dans la base de données Cisco PI.
Cisco Prime Infrastructure prend en charge la classification basée sur des règles et utilise les règles de classification configurées sur le contrôleur. Le contrôleur envoie des déroutements à l'infrastructure Cisco Prime après ces événements :
Si un point d'accès inconnu passe pour la première fois à l'état Friendly, le contrôleur envoie un déroutement à l'infrastructure Cisco Prime uniquement si le domaine est Alert. Il n'envoie pas de déroutement si la propriété est Interne ou Externe.
Si l'entrée d'arogueentry est supprimée après l'expiration du délai d'attente, le contrôleur envoie un déroutement aux points d'accès Cisco Prime Infrastructure Forroguequi sont classés comme malveillants (alerte, menace) ou non classifiés (alerte). Le contrôleur ne supprime pas les entrées de ces éroguestates : Contenus, Contenus En attente, Interne et Externe.
Afin de trouver des détails indésirables dans un contrôleur dans l'interface graphique, naviguez vers Monitor > Rogues, comme indiqué dans l'image.
Dans cette page, différentes catégories de rogues sont disponibles :
Points d'accès conviviaux : points d'accès marqués comme conviviaux par l'administrateur.
Points d'accès malveillants : points d'accès identifiés comme malveillants via RLDP ou un point d'accès détecteur de non-respect.
Points d'accès non classifiés - Par défaut, les points d'accès non classifiés seront affichés comme liste non classifiée dans le contrôleur.
Clients non autorisés - Clients connectés à des points d'accès non autorisés.
Adhoc Rogues : clients indésirables.
Liste des ignorés des points d'accès non autorisés - Comme indiqué par PI.
Note: Si le WLC et le point d'accès autonome sont gérés par le même PI, le WLC répertorie automatiquement ce point d'accès autonome dans la liste des ignorés des points d'accès non autorisés. Aucune configuration supplémentaire n'est requise dans le WLC pour activer cette fonctionnalité.
Cliquez sur une entrée non autorisée particulière afin d'obtenir les détails de cette entrée non autorisée. Voici un exemple d'un pirate détecté sur un réseau câblé :
À partir de l'interface de ligne de commande :
(Cisco Controller) >show rogue ap summary Rogue Detection Security Level................... custom Rogue Pending Time............................... 180 secs Rogue on wire Auto-Contain....................... Disabled Rogue using our SSID Auto-Contain................ Disabled Valid client on rogue AP Auto-Contain............ Disabled Rogue AP timeout................................. 1200 Rogue Detection Report Interval.................. 10 Rogue Detection Min Rssi......................... -90 Rogue Detection Transient Interval............... 0 Rogue Detection Client Num Threshold............. 0 Validate rogue AP against AAA.................... Enabled Rogue AP AAA validation interval................. 0 secs Total Rogues(AP+Ad-hoc) supported................ 600 Total Rogues classified.......................... 12 MAC Address Class State #Det #Rogue #Highest RSSI #RSSI #Channel #Second Highest #RSSI #Channel Aps Clients det-Ap RSSI Det-Ap ----------------- ------------ -------------------- ---- ------- ----------------- ------ --------------- ----------------- ------ --------------- 00:a3:8e:db:01:a0 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:a1 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:a2 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13 00:a3:8e:db:01:b0 Malicious Threat 2 1 00:27:e3:36:4d:a0 -27 40 00:27:e3:36:4d:a0 -37 40 00:a3:8e:db:01:b1 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -36 40 00:a3:8e:db:01:b2 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -37 40 50:2f:a8:a2:0a:60 Malicious Threat 1 2 00:27:e3:36:4d:a0 -66 1 50:2f:a8:a2:0d:40 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -65 11 9c:97:26:61:d2:79 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 6 ac:22:05:ea:21:26 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (1,5) c4:e9:84:c1:c8:90 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (6,2) d4:28:d5:da:e0:d4 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -85 13
(Cisco Controller) >show rogue ap detailed 50:2f:a8:a2:0a:60 Rogue BSSID...................................... 50:2f:a8:a2:0a:60 Is Rogue on Wired Network........................ Yes Classification................................... Malicious Classification change by......................... Auto Manual Contained................................. No State............................................ Threat State change by.................................. Auto First Time Rogue was Reported.................... Tue Jun 4 13:06:55 2019 Last Time Rogue was Reported..................... Wed Jun 5 08:25:57 2019 Reported By AP 1 MAC Address.............................. 00:27:e3:36:4d:a0 Name..................................... tiagoAPcb.98E1.3DEC Radio Type............................... 802.11n2.4G SSID..................................... buterfly Channel.................................. 1 RSSI..................................... -64 dBm SNR...................................... 29 dB Security Policy.......................... WPA2/FT ShortPreamble............................ Disabled Last reported by this AP................. Wed Jun 5 08:25:57 2019
Vérifiez que la détection de virus est activée sur le point d'accès. Sur l'interface utilisateur graphique :
Dans la CLI :
(Cisco Controller) >show ap config general tiagoAPcb.98E1.3DEC Cisco AP Identifier.............................. 13 Cisco AP Name.................................... tiagoAPcb.98E1.3DEC [...] Administrative State ............................ ADMIN_ENABLED Operation State ................................. REGISTERED Mirroring Mode .................................. Disabled AP Mode ......................................... Local Public Safety ................................... Disabled AP SubMode ...................................... Not Configured Rogue Detection ................................. Enabled Remote AP Debug ................................. Disabled Logging trap severity level ..................... informational KPI not configured .............................. Logging syslog facility ......................... kern S/W Version .................................... 8.8.120.0 Boot Version ................................... 1.1.2.4 [...] Power Type/Mode.................................. PoE/Full Power Number Of Slots.................................. 3 AP Model......................................... AIR-AP3802I-I-K9 AP Image......................................... AP3G3-K9W8-M IOS Version...................................... 8.8.120.0 Reset Button..................................... Enabled AP Serial Number................................. FGL2114A4SU [...]
La détection des anomalies peut être activée sur un point d'accès avec cette commande :
(Cisco Controller) >config rogue detection enable ? all Applies the configuration to all connected APs. <Cisco AP> Enter the name of the Cisco AP.
Un point d'accès en mode local analyse uniquement les canaux de pays/canaux DCA et dépend de la configuration. Si le pirate se trouve dans un autre canal, le contrôleur ne peut pas identifier le pirate si vous n'avez pas d'AP en mode surveillance dans le réseau. Pour vérifier, émettez la commande suivante :
(Cisco Controller) >show advanced 802.11a monitor Default 802.11a AP monitoring 802.11a Monitor Mode........................... enable 802.11a Monitor Mode for Mesh AP Backhaul...... disable 802.11a Monitor Channels....................... Country channels 802.11a RRM Neighbor Discover Type............. Transparent 802.11a RRM Neighbor RSSI Normalization........ Enabled 802.11a AP Coverage Interval................... 90 seconds 802.11a AP Load Interval....................... 60 seconds 802.11a AP Monitor Measurement Interval........ 180 seconds 802.11a AP Neighbor Timeout Factor............. 20 802.11a AP Report Measurement Interval......... 180 seconds
Il se peut que le point d'accès non autorisé ne soit pas diffusé sur le SSID.
Assurez-vous que l'adresse MAC du point d'accès non autorisé n'est pas ajoutée dans la liste des points d'accès indésirables conviviaux ou autorisée par le biais de PI.
Les balises du point d'accès non autorisé peuvent ne pas être accessibles au point d'accès qui a détecté des erreurs. Ceci peut être vérifié par la capture des paquets avec un analyseur proche du pirate du détecteur AP.
Un point d'accès en mode local peut prendre jusqu'à 9 minutes pour détecter un pirate (3 cycles 180x3).
Les points d'accès Cisco ne sont pas en mesure de détecter des erreurs sur des fréquences telles que le canal de sécurité publique (4,9 Ghz).
Les points d'accès Cisco ne sont pas en mesure de détecter les rogues qui fonctionnent sur FHSS (Frequency Hopping Spread Spectrum).
(Cisco Controller) >debug client(If rogue mac is known) (Cisco Controller) >debug client 50:2f:a8:a2:0a:60 (Cisco Controller) >*apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Found Rogue AP: 50:2f:a8:a2:0a:60 on slot 0 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -55, snr 39 wepMode 81 wpaMode 86, detectinglradtypes :20 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue SSID timestmap set to 1559724417. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 SYNC for Channel (new/old : 1/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 rg changed rssi prev -64, new -55 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Updated AP report 00:27:e3:36:4d:a0 rssi -55, snr 39 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue before Rule Classification : Class malicious, Change by Auto State Threat Change by Auto *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue doesnt qualify for rule classification : Class malicious, Change by Auto State Threat Change by Auto *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Manual Contained Flag = 0, trustlevel = 7 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 ssidLen = 8 min = 8 50:2f:a8:a2:0a:60 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 This rogue is not using my ssid. Rogue ssid=buterfly *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue AP: 50:2f:a8:a2:0a:60 autocontain = 2 Mode = 7 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Checking Impersonation source 50:2f:a8:a2:0a:60 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 7, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly *apfRogueTask_2: Jun 05 08:46:57.111: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly
(Cisco Controller) >debug dot11 rogue enable (Cisco Controller) >*emWeb: Jun 05 08:39:46.828: Debugging session started on Jun 05 08:39:46.828 for WLC AIR-CT3504-K9 Version :8.8.120.0 SN :FCW2245M09Y Hostname tiagoWLCcb *iappSocketTask: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 Posting Rogue AP Iapp Report from AP for processing Payload version:c1, slot:0 , Total Entries:5, num entries this packet:5 Entry index :0, pakLen:285 *apfRogueTask_2: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 fakeAp check: slot=0, entryIndex=0, (Radio_upTime-now)=152838 *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid b0:72:bf:93:e0:d7 src b0:72:bf:93:e0:d7 channel 1 rssi -59 ssid SMA1930072865 *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 50:2f:a8:a2:0a:60 src 50:2f:a8:a2:0a:60 channel 1 rssi -63 ssid buterfly *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:a1 src 00:a3:8e:db:01:a1 channel 13 rssi -16 ssid *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b0 src a4:c3:f0:cf:db:18 channel 40 rssi -26 ssid blizzard *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -28, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :30 *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b2 src 00:a3:8e:db:01:b2 channel 40 rssi -28 ssid *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Found Rogue AP: 00:a3:8e:db:01:a1 on slot 0 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check: knownApCount=0, totalNumOfRogueEntries=5, #entriesThisPkt=5, #totalEntries=5 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -16, snr 76 wepMode 81 wpaMode 82, detectinglradtypes :28 *apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check: avgNumOfRogues[0]/10=4, rogueAlarmInitiated[0]=0 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 rg changed rssi prev -28, new -28 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 SYNC for Channel (new/old : 13/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Updated AP report 00:27:e3:36:4d:a0 rssi -28, snr 61 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Updated AP report 00:27:e3:36:4d:a0 rssi -16, snr 76 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue before Rule Classification : Class unclassified, Change by Default State Alert Change by Default *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Created rogue client table for Rogue AP at 0xfff0617238 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue is Rule candidate for : Class Change by Default State Change by Default *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Added Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Applying Rogue rule to this MAC *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Manual Contained Flag = 0, trustlevel = 2 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Scheduled pending Time 184 and expiry time 1200 for rogue AP b0:72:bf:93:e0:d7 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 ssidLen = 0 min = 0 00:a3:8e:db:01:b2 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 0 to 1 for rogue AP b0:72:bf:93:e0:d7 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 This rogue is not using my ssid. Rogue ssid= *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue AP: 00:a3:8e:db:01:b2 autocontain = 2 Mode = 2 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Checking Impersonation source 00:a3:8e:db:01:b2 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -59, snr 36 wepMode 81 wpaMode 83, detectinglradtypes :20 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue is Rule candidate for : Class Change by Default State Change by Default *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Send Rogue Info Notificaiton for AP report 00:27:e3:36:4d:a0 Rogue ssid change from to SMA1930072865 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Applying Rogue rule to this MAC *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg send new rssi -59 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0 rssi -59, snr 36 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Manual Contained Flag = 0, trustlevel = 2 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 ssidLen = 0 min = 0 00:a3:8e:db:01:a1 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 This rogue is not using my ssid. Rogue ssid= *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue before Rule Classification : Class unconfigured, Change by Default State Pending Change by Default *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue AP: 00:a3:8e:db:01:a1 autocontain = 2 Mode = 2 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue state is pending or lrad, cannot apply rogue rule *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue doesnt qualify for rule classification : Class unconfigured, Change by Default State Pending Change by Default *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Checking Impersonation source 00:a3:8e:db:01:a1 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Manual Contained Flag = 0, trustlevel = 1 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 6 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Checking Impersonation source b0:72:bf:93:e0:d7 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 1, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Found Rogue AP: 00:a3:8e:db:01:b0 on slot 0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg new Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -26, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :32 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -63, snr 5 wepMode 81 wpaMode 86, detectinglradtypes :20 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 rg changed rssi prev -28, new -26 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 SYNC for Channel (new/old : 1/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Updated AP report 00:27:e3:36:4d:a0 rssi -26, snr 61 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 rg changed rssi prev -65, new -63 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Updated AP report 00:27:e3:36:4d:a0 rssi -63, snr 5 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 7 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue before Rule Classification : Class malicious, Change by Auto State Threat Change by Auto *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 ssidLen = 8 min = 8 00:a3:8e:db:01:b0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Manual Contained Flag = 0, trustlevel = 7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 This rogue is not using my ssid. Rogue ssid=blizzard *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 ssidLen = 8 min = 8 50:2f:a8:a2:0a:60 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue AP: 00:a3:8e:db:01:b0 autocontain = 2 Mode = 7 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 This rogue is not using my ssid. Rogue ssid=buterfly *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue AP: 50:2f:a8:a2:0a:60 autocontain = 2 Mode = 7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Checking Impersonation source 50:2f:a8:a2:0a:60 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 7, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 APF processing Rogue Client: on slot 0 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 APF processing Rogue Client: on slot 0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue Client ssid: blizzard *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 New AP report 00:27:e3:36:4d:a0 rssi -37, snr 50 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 rgc change from -38 RSSI -37 *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 rgc change from -39 RSSI -39 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Updated AP report 00:27:e3:36:4d:a0 rssi -37, snr 50 *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Updated AP report 00:27:e3:36:4d:a0 rssi -39, snr 43 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 APF processing Rogue Client: on slot 0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New AP report 00:27:e3:36:4d:a0 rssi -62, snr 32 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rgc change from -61 RSSI -62 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0 rssi -62, snr 32 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 1 to 2 for rogue AP b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Deleting Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Freed rogue client table for Rogue AP at 0xfff0617238 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg delete for Rogue AP: b0:72:bf:93:e0:d7
Une fois qu'un non autorisé est détecté/supprimé de la liste des non autorisés :
0 | Mercredi 5 juin 09:01:57 2019 | Client non autorisé : b4:c0:f5:2b:4f:90 est détecté par 1 point d'accès Rogue Client Bssid : a6:b1:e9:f0:e8:41, état : Alerte, Dernière détection du point d'accès : 00:27:e3:36:4d:a0 Rogue Client Gateway mac 00:00:00:02:02:02. |
1 | Mercredi 5 juin 09:00:39 2019 | Point d'accès non autorisé : 9c:97:26:61:d2:79 retiré de la radio de base MAC : 00:27:e3:36:4d:a0 n° d'interface:0(802.11n(2,4 GHz)) |
2 | Mercredi 5 juin 08:53:39 2019 | Point d'accès non autorisé : 7c:b7:33:c0:51:14 retiré de la radio de base MAC : 00:27:e3:36:4d:a0 n° d'interface:0(802.11n(2,4 GHz)) |
3 | Mercredi 5 juin 08:52:27 2019 | Client non autorisé : fc:3f:7c:5f:b1:1b est détecté par 1 point d'accès Rogue Client Bssid : 50:2f:a8:a2:0a:60, État : Alerte, Dernière détection du point d'accès : 00:27:e3:36:4d:a0 Rogue Client Gateway mac 00:26:44:73:c5:1d. |
4 | Mercredi 5 juin 08:52:17 2019 | Point d'accès non autorisé : d4:28:d5:da:e0:d4 supprimé de la radio de base MAC : 00:27:e3:36:4d:a0 n° d'interface:0(802.11n(2,4 GHz)) |
Configurez l'analyse des canaux sur tous les canaux si vous soupçonnez des problèmes potentiels sur votre réseau.
Le nombre et l'emplacement des points d'accès de détecteur de virus peuvent varier d'un étage à un par bâtiment et dépendent de la configuration du réseau câblé. Il est conseillé d'avoir au moins un point d'accès détecteur de virus à chaque étage d'un bâtiment. Étant donné qu'un point d'accès de détecteur de virus nécessite une agrégation pour tous les domaines de diffusion réseau de couche 2 qui doivent être surveillés, le placement dépend de la disposition logique du réseau.
Vérifiez que les règles non fiables sont configurées correctement.
(Cisco Controller) >debug dot11 rogue rule enable
(Cisco Controller) >*emWeb: Jun 05 09:12:27.095:
Debugging session started on Jun 05 09:12:27.095 for WLC AIR-CT3504-K9 Version :8.8.120.0 SN :FCW2245M09Y Hostname tiagoWLCcb
(Cisco Controller) >
*apfRogueTask_1: Jun 05 09:12:57.135: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154623, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:12:57.135: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:12:57.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5790, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:13:27.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5820, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Rule Classify Params: rssi=-62, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154353, wep=1, ssid=buterfly slotId = 0 channel = 11 snr = 30 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending
*apfRogueTask_3: Jun 05 09:13:27.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154713, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:13:57.136: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:57.136: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending
*apfRogueTask_3: Jun 05 09:13:57.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154743, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
Si vous avez des entrées non fiables connues, ajoutez-les dans la liste conviviale ou activez la validation avec AAA et assurez-vous que les entrées client connues figurent dans la base de données AAA (Authentication, Authorization and Accounting).
(Cisco Controller) >debug dot11 rldp enable
!--- RLDP not available when AP used to contain only has invalid channel for the AP country code
*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Received request to detect Rogue
*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Rogue detected slot :0 Rogue containingSlotId :2
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Invalid channel 1 for the country IL for AP 00:27:e3:36:4d:a0
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Waiting for ARLDP request
!--- ROGUE detected on DFS channel
*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Received request to detect Rogue
*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Rogue detected slot :1 Rogue containingSlotId :1
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Our AP 00:27:e3:36:4d:a0 detected this rogue on a DFS Channel 100
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Waiting for ARLDP request
!--- RLDP is not supported on AP model 1800i, 1810 OEAP, 1810W, 1815, 1830, 1850, 2800, and 3800 Series APs
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Received request to detect Rogue
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: Waiting for ARLDP request
!--- Association TO ROGUE AP
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Received request to detect Rogue *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9 *apfRLDP: Jun 05 15:02:49.602: Rogue detected slot :0 Rogue containingSlotId :0 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Monitor Mode AP found b4:de:31:a4:e0:30 with RSSI -61 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 found closest monitor AP b4:de:31:a4:e0:30 slot = 0, channel = 1 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Found RAD: 0xffd682b5b8, slotId = 0, Type=1 *apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 AP b4:de:31:a4:e0:30 Client b4:de:31:a4:e0:31 Slot = 0 *apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 WARNING!!!!! mscb already exists! *apfRLDP: Jun 05 15:02:50.102: b4:de:31:a4:e0:31 In rldpSendAddMobile:724 setting Central switched to TRUE *apfRLDP: Jun 05 15:02:50.302: 50:2f:a8:a2:0a:61 rldp started association, attempt 1 *apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2) *apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 rldp started association, attempt 2 *apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2) *apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 rldp started association, attempt 3 *apfOpenDtlSocket: Jun 05 15:03:00.608: apfRoguePreamble = 0 mobile b4:de:31:a4:e0:31. *apfOpenDtlSocket: Jun 05 15:03:00.808: 50:2f:a8:a2:0a:61 RLDP state RLDP_ASSOC_DONE (3). *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Successfully associated with rogue: 50:2F:A8:A2:0A:61
!--- Attempt to get ip from ROGUE
*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Starting dhcp *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:00.870: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:00.870: [0000] 02 40 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:10.878: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:10.878: [0000] 02 40 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:20.885: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:20.885: [0000] 02 40 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61
!--- RLDP DHCP fails as there is no DHCP server providing IP address
*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCP FAILED state for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 DHCP failed *apfRLDP: Jun 05 15:03:20.885: Waiting for ARLDP request
Lancez le protocole RLDP manuellement sur les entrées suspectes de fraude.
Programmez RLDP périodiquement.
L'entrée de code non autorisé dans un détecteur de code non autorisé peut être vue avec cette commande dans la console AP. Pour les indésirables filaires, l'indicateur passe à l'état défini.
tiagoAP.6d09.eff0#show capwap rm rogue detector LWAPP Rogue Detector Mode Current Rogue Table: Rogue hindex = 0: MAC 502f.a8a2.0a61, flag = 0, unusedCount = 1 Rogue hindex = 0: MAC 502f.a8a2.0a60, flag = 0, unusedCount = 1 Rogue hindex = 7: MAC 502f.a8a2.0d41, flag = 0, unusedCount = 1 Rogue hindex = 7: MAC 502f.a8a2.0d40, flag = 0, unusedCount = 1 !--- once rogue is detected on wire, the flag is set to 1
Rogue_Detector#debug capwap rm rogue detector *Jun 05 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170 *Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4 *Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 05 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 05 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 05 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Updated AP report b4:de:31:a4:e0:30 rssi -33, snr 59
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Looking for Rogue 00:a3:8e:db:01:b0 in known AP table
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP 00:a3:8e:db:01:b0 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue in same state as before : 6 ContainmentLevel : 4 level 4
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected by AP: b4:de:31:a4:e0:30
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RadioType: 2 lradInfo->containSlotId = 1 ReceiveSlotId = 1 ReceiveBandId = 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue before Rule Classification : Class malicious, Change by Auto State Contained Change by Auto
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue doesnt qualify for rule classification : Class malicious, Change by Auto State Contained Change by Auto
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 6
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP: 00:a3:8e:db:01:b0 autocontain = 1 Mode = 6
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 apfRogueMode : 6 apfRogueContainmentLevel : 4 lineNumber : 8225 apfRogueManualContained : 0 function : apfUpdateRogueContainmentState
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 1 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Skipping xor radio for 1 band and cont slotid 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 0 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 2 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected on detected slot 0 containing slot 1 for detecting lrad 00:27:e3:36:4d:a0.
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 1 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -28
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -31
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC b4:de:31:a4:e0:30 RSSI = -33
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -28 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -31 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC b4:de:31:a4:e0:30 RSSI = -33 totClientsDetected = 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP b4:de:31:a4:e0:30. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Containing rogue using 3 container AP(s).Requested containment level : 4
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Checking Impersonation source 00:a3:8e:db:01:b0 detected by b4:de:31:a4:e0:30, FailCnt 0, mode 6, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 3
Le point d'accès en mode local/Flex-Connect peut contenir 3 périphériques à la fois par radio, et le point d'accès en mode moniteur peut contenir 6 périphériques par radio. Par conséquent, assurez-vous que le point d'accès ne contient pas déjà le nombre maximal de périphériques autorisés. Dans ce scénario, le client est dans un état de confinement en attente.
Vérifiez les règles de confinement automatique.
La détection et le confinement des attaques au sein de la solution de contrôleur centralisé Cisco est la méthode la plus efficace et la moins intrusive du secteur. La flexibilité offerte à l’administrateur réseau permet de personnaliser l’ajustement en fonction des besoins du réseau.