Unified Wireless Networkにおける不正検出と緩和の解決
内容
概要
このドキュメントでは、Ciscoワイヤレスネットワークでの不正検出と緩和について説明します。
ワイヤレス ネットワークにより、有線ネットワークが拡大され、作業員の生産性と情報へのアクセスが向上します。ただし、認証されていないワイヤレス ネットワークを追加すると、セキュリティの懸念が高まります。有線ネットワークのポート セキュリティについて十分な検討をせずに、安易にワイヤレス ネットワークによって有線ネットワークを拡大させるかもしれません。そのため、セキュリティでしっかりと保護されているワイヤレスまたは有線のインフラストラクチャに、従業員が各自のアクセス ポイント(シスコまたはシスコ以外)を持ち込むと、せっかくセキュリティで保護されているネットワークに対して不正なユーザ アクセスが許可されてしまうため、セキュアなネットワークが簡単に危険にさらされてしまいます。
ネットワーク管理者は不正検出を行うことで、このセキュリティの問題を監視して、解消することができます。Cisco Unified Network アーキテクチャには、不正の特定と抑止を高度に実行するソリューションを提供する不正検出の方法が用意されています。高価で有効性を検証しにくい追加のネットワークとツールは必要ありません。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco ワイヤレス LAN コントローラ.
- Cisco Prime Infrastructure.
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
バージョン8.8.120.0が稼働するCisco Unified Wireless Lan Controller(5520、8540、および3504シリーズ)。
-
Wave 2 AP 1832、1852、2802、および3802シリーズ。
- Wave 1 AP 3700、2700、および1700シリーズ。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
不正の概要
スペクトルを共有し、管理者によって管理されていないデバイスは不正と見なされます。不正が危険と見なされるのは、次のような状況です。
-
ネットワーク(ハニーポット)と同じService Set Identifier(SSID)を使用するように設定する場合。
-
有線ネットワークで検出されたとき。
-
アドホック不正。
-
(多くの場合、悪意ある目的で)部外者によって設定されたとき。
ベストプラクティスは、不正検出を使用して、たとえば企業環境などのセキュリティリスクを最小限に抑えることです。ただし、Office Extend Access Point(OEAP)の導入、市全体、屋外など、不正検出が不要なシナリオもあります。屋外のメッシュAPを使用して不正を検出しても、分析にリソースを使用する一方で価値はほとんどありません。最後に、不正な自動抑止を評価する(または完全に回避する)ことが重要です。これは、自動運用を放置すると、法的な問題や責任が発生する可能性があるためです。
Cisco Unified Wireless Network(UWN)ソリューションの不正デバイス管理には、3 つの主な段階があります。
-
検出:Radio Resource Management(RRM)スキャンは、不正デバイスの存在を検出するために使用されます。
-
分類:Rogue Location Discovery Protocol(RLDP)、Rogue Detector(Wave 1 APのみ)、およびスイッチポートトレースを使用して、不正デバイスが有線ネットワークに接続されているかどうかを識別します。不正分類ルールは、不正をその特性に基づいて特定のカテゴリにフィルタリングする際にも役立ちます。
-
緩和:スイッチポートの閉鎖、不正の場所、および不正の抑止は、その物理的な場所を追跡し、不正デバイスの脅威を無効にするために使用されます。
不正検出
不正とは、基本的にスペクトルを共有するが制御不能なデバイスのことです。これには、不正なアクセスポイント、ワイヤレスルータ、不正なクライアント、不正なアドホックネットワークが含まれます。Cisco UWNは、オフチャネルスキャンや専用モニタモード機能など、Wi-Fiベースの不正デバイスを検出するために多くの方法を使用します。また、Cisco Spectrum Expert を使用して、Bluetooth ブリッジなどの 802.11 プロトコルに基づかない不正デバイスを特定できます。
オフチャネルスキャン
この操作は、ローカルおよびFlex-Connect(接続モード)モードのAPによって実行され、同じ無線を使用してクライアントサービスとチャネルスキャンを可能にするタイムスライシング技術を利用します。16秒ごとに50ミリ秒のオフチャネルに移行すると、APはデフォルトで、クライアントにサービスを提供するために費やす時間の割合が少なくなります。また、10ミリ秒のチャネル変更間隔が発生していることに注意してください。デフォルトの 180 秒のスキャン間隔では、それぞれの 2.4Ghz FCC チャネル(1−11)が少なくとも一度はスキャンされます。ETSIなどの他の規制ドメインでは、APは少し高い割合でオフチャネルになります。RRM 設定では、チャネルのリストとスキャン間隔の両方を調整できます。これにより、パフォーマンスへの影響が最大1.5 %に制限され、音声などの優先度の高いQoSフレームを配信する必要がある場合にスキャンを中断するインテリジェンスがアルゴリズムに組み込まれます。
この図は、2.4GHzの周波数帯域におけるローカルモードAPのオフチャネルスキャンアルゴリズムを示しています。APに5GHz無線がある場合、同様の操作が並行して実行されます。赤い四角はAPのホームチャネルに費やされた時間を表し、青い四角はスキャン目的で隣接チャネルに費やされた時間を表します。
モニタモードスキャン
この操作は、モニタモードと適応型wIPSモニタモードのAPによって実行されます。このAPは、無線時間の100 %を利用して、それぞれの周波数帯域のすべてのチャネルをスキャンします。これにより、検出の速度が大幅に向上し、より多くの時間をそれぞれのチャネルに費やすことができます。モニタモードAPは、各チャネルで発生するアクティビティをより包括的に把握できるため、不正クライアントの検出にも優れています。
この図は、2.4GHzの周波数帯域におけるモニタモードAPのオフチャネルスキャンアルゴリズムを示しています。APに5GHz無線がある場合、同様の操作が並行して実行されます。
ローカル モードとモニタ モードの比較
ローカルモードAPは、WLANクライアントのサービスと脅威のチャネルのスキャンの間でサイクルを分割します。その結果、ローカルモードAPがすべてのチャネルを循環するのに時間がかかり、クライアントの操作が中断されないように、特定のチャネルの収集データに費やす時間が短くなります。そのため、不正と攻撃の検出時間がより長くなり(3 分~ 60 分)、検出できる地上波攻撃がモニタ モード AP よりも狭い範囲に限られます。
さらに、APはトラフィックの送信または受信と同時にトラフィックのチャネル上に存在する必要があるため、不正クライアントなどのバーストトラフィックの検出は、はるかに確定的ではありません。これにより、確率に課題が生じます。モニタモードのAPは、不正や地上波攻撃を検出するために、チャネルのスキャンにすべてのサイクルを費やします。モニタ モード AP は Adaptive wIPS、場所(状況認識)サービス、およびその他のモニタ モード サービスで同時に使用できます。
モニタ モード AP を導入する利点は、検出にかかる時間が短いことです。モニタ モード AP が Adaptive wIPS とともに追加で設定されている場合、より幅広い地上波の脅威と攻撃を検出できます。
| ローカルモードAP |
モニタモードAP |
| クライアントに対してオフチャネルスキャンの時間スライスを提供 |
専用スキャン |
| 各チャネルで50ミリ秒待機 |
各チャネルで1.2sをリッスン |
| スキャンを設定可能:
|
すべてのチャンネルをスキャンします |
不正の特定
不正デバイスからのプローブ応答またはビーコンがローカル、フレックス接続、またはモニタモードのAPで受信された場合、この情報はCAPWAP経由でプロセスのワイヤレスLANコントローラ(WLC)に通信されます。誤検知を防ぐために、さまざまな方法を使用して、他のシスコベースの管理対象 AP が不正デバイスとして識別されないようにします。これらの方法には、モビリティグループのアップデート、RFネイバーパケット、およびPrime Infrastructure(PI)を介した許可リスト対応APが含まれます。
不正レコード
不正デバイスのコントローラのデータベースには、検出された不正の現在のセットのみが含まれていますが、PIには、見えなくなった不正のイベント履歴とログも含まれています。
不正の詳細
CAPWAP AP は、不正クライアント、ノイズ、チャネル干渉を監視するために、50 ミリ秒間オフチャネルになります。検出された不正クライアントや不正 AP はコントローラに送信され、次の情報が収集されます。
-
不正 AP の MAC アドレス
-
不正が検出された AP の名前
-
不正な接続クライアントの MAC アドレス
-
セキュリティ ポリシー
-
プリアンブル
-
信号対雑音比(SNR)
-
Receiver Signal Strength Indicator(RSSI)
-
不正検出のチャネル
-
不正が検出された無線
-
不正 SSID(不正 SSID がブロードキャストされている場合)
-
不正 IP アドレス
-
不正がレポートされた最初と最後の時間
-
チャネル幅
不正イベントをエクスポートするには
不正イベントをサード パーティのネットワーク管理システム(NMS)にエクスポートしてアーカイブするために、WLC には追加の SNMP トラップ レシーバを追加できます。不正がコントローラで検出またはクリアされると、この情報を含むトラップがすべてのSNMPトラップレシーバに送信されます。SNMPによるイベントのエクスポートに関する注意点の1つは、複数のコントローラが同じ不正を検出した場合、相関はPIでのみ実行されるため、NMSによって重複したイベントが表示されることです。
不正レコードのタイムアウト
不正APがWLCレコードに追加されると、その不正APは表示されなくなるまでWLCに残ります。ユーザが設定可能なタイムアウト(デフォルトでは1200秒)の後、the_unclassified_categoryの不正はエージアウトされます。
_Contained_and_Friendly_などの他の状態の不正は保持され、再び現れた場合に適切な分類が適用されます。
不正レコードのデータベースの最大サイズは、コントローラ プラットフォームによって異なります。
-
3504 – 最大600の不正APと1500の不正クライアントの検出と抑制
- 5520:最大24000の不正APと32000の不正クライアントの検出と抑制
- 8540:最大24000の不正APおよび32000の不正クライアントの検出と抑制
Rogue Detector AP
Rogue Detector AP は地上波で受信された不正情報を有線ネットワークから取得した ARP 情報と関連付けることを目的とします。MAC アドレスが不正 AP または不正クライアントとして地上波で受信され、有線ネットワークでも受信されると、有線ネットワーク上に不正が存在することが決定します。不正が有線ネットワーク上にあることが検出されると、その不正APのアラーム重大度が_critical_に上がります。Rogue Detector APは、NATを使用するデバイスの背後にある不正クライアントの識別に失敗します。
これは、不正 AP に何らかの認証(WEP または WPA)が設定されている場合に使用される手法です。不正APで認証形式が設定されている場合、Lightweight APは不正APで設定されている認証方式とクレデンシャルを認識しないため、関連付けできません。
スケーラビリティに関する考慮事項
Rogue Detector AP は最大 500 個の不正と 500 個の不正クライアントを検出できます。Rogue Detectorがトランクに配置され、不正デバイスが多すぎる場合は、これらの制限を超えるため問題が発生します。この現象を防ぐには、Rogue Detector APをネットワークのディストリビューションレイヤまたはアクセスレイヤに配置します。
RLDP
RLDP の目的は、特定の不正 AP が有線インフラストラクチャに接続されているかどうかを特定することです。この機能は基本的に、最も近いAPを使用してワイヤレスクライアントとして不正デバイスに接続します。クライアントとしての接続の後、APが有線ネットワークに接続されているかどうかを評価するために、WLCの宛先アドレスを含むパケットが送信されます。不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は重大に引き上げられます。
次に、RLDP のアルゴリズムを示します。
-
信号強度値を使用して、不正に最も近いUnified APを特定します。
-
次に、APはWLANクライアントとして不正に接続し、タイムアウトする前に3つのアソシエーションを試行します。
-
アソシエーションが成功すると、AP は DHCP を使用して IP アドレスを取得します。
-
IPアドレスを取得した場合、AP(WLANクライアントとして機能)は各コントローラのIPアドレスにUDPパケットを送信します。
-
コントローラがクライアントから RLDP パケットを 1 つでも受信すると、その不正は接続済みとマーキングされ、重大度は重大になります。
RLDP の注意事項
-
RLDPは、認証と暗号化が無効になっているSSIDをブロードキャストするオープンな不正APでのみ動作します。
-
RLDPでは、クライアントとして機能する管理対象APが不正ネットワーク上のDHCP経由でIPアドレスを取得できる必要があります
-
手動 RLDP を使用して、不正に対して RLDP トレースを何度も試行できます。
-
RLDPプロセスでは、APはクライアントにサービスを提供できません。これは、ローカルモードAPのパフォーマンスと接続に悪影響を及ぼします。
-
RLDPは、5GHz DFSチャネルで動作する不正APへの接続を試行しません。
スイッチポートトレース
スイッチポートのトレースは、不正なAPの緩和策です。スイッチポートトレースはPIで開始されますが、CDPとSNMPの両方の情報を利用して、ネットワーク内の特定のポートまで不正を追跡します。
スイッチポートトレースを実行するには、ネットワーク内のすべてのスイッチをSNMPクレデンシャルを使用してPIに追加する必要があります。読み取り専用クレデンシャルは不正が存在するポートを識別するために機能しますが、読み取り/書き込みクレデンシャルを使用すると、PIもポートをシャットダウンできるため、脅威を含めることができます。
現時点では、この機能はCDPが有効なCisco IOS®が稼働するCiscoスイッチでのみ動作し、管理対象APでもCDPを有効にする必要があります。
スイッチポートトレースのアルゴリズムは次のとおりです。
-
PIは最も近いAPを検出します。このAPは不正なAPを地上波で検出し、そのCDPネイバーを取得します。
-
次に、PIはSNMPを使用してネイバースイッチ内のCAMテーブルを調べ、正の一致を探して不正な場所を特定します。
-
正一致は、完全に一致する不正 MAC アドレス、不正 MAC アドレスの +1/−1、任意の不正クライアント MAC アドレス、または MAC アドレスに継承されたベンダー情報に基づく OUI の一致に基づきます。
-
最も近いスイッチで正の一致が見つからない場合、PIは最大2ホップ離れたネイバースイッチで検索を続行します(デフォルト)。
不正分類
デフォルトでは、Cisco UWN で検出されたすべての不正は未分類と見なされます。次の図に示すように、不正は、RSSI、SSID、セキュリティタイプ、オン/オフネットワーク、クライアント数など、さまざまな基準で分類できます。
不正分類ルール
不正分類ルールを使用すると、不正を悪意のある不正または友好的な不正としてマークする一連の条件を定義できます。これらのルールはPIまたはWLCで設定されますが、新しい不正が検出されると常にコントローラで実行されます。
WLCでの不正ルールの詳細については、『ワイヤレスLANコントローラ(WLC)およびPrime Infrastructure(PI)でのルールベースの不正分類』を参照してください。
HAファクト
不正デバイスを手動でcontained状態(任意のクラス)またはfriendly状態に移動すると、この情報はスタンバイ側のCisco WLCフラッシュメモリに保存されます。ただし、データベースは更新されません。HAスイッチオーバーが発生すると、以前にスタンバイ状態であったCisco WLCフラッシュメモリの不正リストがロードされます。
ハイアベイラビリティシナリオでは、不正検出のセキュリティレベルが[高(High)]または[重大(Critical)]に設定されている場合、スタンバイコントローラの不正タイマーは、不正検出の停止時間(300秒)の後にのみ開始されます。したがって、スタンバイコントローラのアクティブな設定は、300秒後にのみ反映されます。
Flex-Connectの概要
接続モードのFlexConnect AP(不正検出が有効)は、コントローラから抑止リストを取得します。auto-contain SSIDとauto contain adhocがコントローラで設定されている場合、これらの設定は接続モードのすべてのFlexConnect APに設定され、APはメモリに保存します。
FlexConnect APがスタンドアロンモードに移行すると、次のタスクが実行されます。
-
コントローラによって設定された抑止が続行されます。
-
FlexConnect APが、infra SSID(FlexConnect APが接続されているコントローラで設定されたSSID)と同じSSIDを持つ不正APを検出した場合、コントローラからスタンドアロンモードに移行する前にauto containing SSIDが有効になっていれば、抑止が開始されます。
-
FlexConnect APがアドホック不正を検出した場合、接続モードのときにコントローラからauto-contain adhocが有効になっていれば、抑止が開始されます。
スタンドアロンFlexConnect APが接続モードに戻ると、次のタスクが実行されます。
-
すべての抑止がクリアされます。
-
コントローラから開始された抑止が引き継ぎます。
不正緩和
不正抑止
抑止とは、地上波パケットを使用して、不正デバイスのサービスを物理的に削除できるようになるまで一時的に中断する方法です。抑止は、不正APのスプーフィングされた送信元アドレスを持つ認証解除パケットのスプーフィングと連携し、関連付けられているすべてのクライアントがキックオフされます。
不正抑止の詳細
クライアントがない不正APで開始された抑止は、ブロードキャストアドレスに送信された認証解除フレームのみを使用します。
クライアントを使用して不正APで開始された抑止は、ブロードキャストアドレスとクライアントアドレスに送信された認証解除フレームを使用します。
抑止パケットは、管理対象 AP の出力レベルと、イネーブルになっている最小のデータ レートで送信されます。
抑止は 100 ミリ秒ごとに少なくとも 2 つのパケット送信します。
-
個別の不正デバイスは、1 つから 4 つの管理対象 AP によって抑止されます。管理対象 AP は連係して脅威を一時的に緩和します。
-
抑止は、ローカルモード、モニタモード、およびflex-connect(接続)モードのAPを使用して実行できます。Flex-connect APのローカルモードでは、無線ごとに最大3つの不正デバイスを抑止できます。モニタ モード AP の場合、無線あたり最大 6 つの不正デバイスを抑止できます。
自動抑止
PIまたはWLC GUIを使用して不正デバイスの抑止を手動で開始する以外に、特定のシナリオで抑止を自動的に起動する機能もあります。この設定は、PIまたはコントローラインターフェイスのGeneralin theRogue Policiesにあります。これらの各機能はデフォルトで無効になっており、最も被害の大きい脅威を無効にする目的でのみ有効になります。
-
Rogue on Wire:不正デバイスが有線ネットワークに接続されていることが特定されると、自動的に抑止状態になります。
-
SSIDの使用:不正デバイスがコントローラで設定されているものと同じSSIDを使用する場合、そのSSIDは自動的に抑止されます。この機能は、障害を引き起こす前にハニーポット攻撃に対応するための機能です。
-
不正AP上の有効なクライアント:RADIUS/AAAサーバにリストされているクライアントが不正デバイスに関連付けられていることが検出されると、そのクライアントに対してのみ抑止が起動され、管理対象ではないAPへの関連付けができなくなります。
-
AdHoc Rogue AP:アドホックネットワークが検出されると、自動的に抑止されます。
不正抑止の注意事項
-
抑止では、管理対象 AP の無線時間の一部を使用して認証解除フレームを送信するため、データ クライアントと音声クライアントの両方のパフォーマンスに、最大 20 % の悪影響が出ることがあります。データ クライアントの場合、この影響によりスループットが低下します。音声クライアントの場合、抑止によって、会話が中断されたり、音声品質が低下したりすることがあります。
-
抑止は、ネイバーネットワークに対して起動されると、法的な影響を及ぼす可能性があります。抑止を起動する前に、不正デバイスがネットワーク内にあり、セキュリティ リスクを引き起こすことを確認してください。
スイッチポートシャットダウン
SPTを使用してスイッチポートをトレースすると、PIでそのポートを無効にするオプションがあります。管理者はこの操作を手動で行う必要があります。不正がネットワークから物理的に取り除かれている場合は、PIを介してスイッチポートを有効にするオプションを使用できます。
設定
不正検出の設定
デフォルトでは、コントローラでの不正検出はイネーブルです。
さまざまなオプションを設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] に移動します。例:
ステップ1:不正APのタイムアウトを変更します。
ステップ2:アドホック不正ネットワークの検出を有効にします。
CLI から、
(Cisco Controller) >config rogue ap timeout ? <seconds> The number of seconds<240 - 3600> before rogue entries are flushed (Cisco Controller) >config rogue adhoc enable/disable
不正検出のためのチャネルスキャンの設定
ローカル/Flex-Connect/モニタモードAPの場合、RRM設定の下に、不正をスキャンするチャネルをユーザが選択できるオプションがあります。設定に応じて、APはすべてのチャネル/カントリーチャネル/DCAチャネルで不正をスキャンします。
これをGUIから設定するには、図に示すように、[Wireless] > [802.11a/802.11b] > [RRM] > [General] に移動します。
CLI から、
(Cisco Controller) >config advanced 802.11a monitor channel-list ? all Monitor all channels country Monitor channels used in configured country code dca Monitor channels used by automatic channel assignment
不正分類の設定
不正 AP の手動分類
不正APを友好的、悪意のある、または未分類として分類するには、[Monitor] > [Rogue] > [Unclassified] の順に移動し、特定の不正AP名をクリックします。図に示すように、ドロップダウンリストからオプションを選択します。
CLI から、
(Cisco Controller) >config rogue ap ? classify Configures rogue access points classification. friendly Configures friendly AP devices. rldp Configures Rogue Location Discovery Protocol. ssid Configures policy for rogue APs advertsing our SSID. timeout Configures the expiration time for rogue entries, in seconds. valid-client Configures policy for valid clients which use rogue APs.
不正エントリを不正リストから手動で削除するには、図に示すように、[Monitor] > [Rogue] > [Unclassified] の順に移動し、[Remove] をクリックします。
不正APを友好的APとして設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] > [Friendly Roguesand add the rogue MAC address] に移動し、不正MACアドレスを追加します。
追加された友好的な不正エントリは、図に示すように、[Monitor] > [Rogues] > [Friendly Roguepage] から確認できます。
Rogue Detector AP の設定
GUIでAPをRogue Detectorとして設定するには、[Wireless] > [All APs]に移動します。AP名を選択し、図に示すようにAPモードを変更します。
CLI から、
(Cisco Controller) >config ap mode rogue AP_Managed Changing the AP's mode cause the AP to reboot. Are you sure you want to continue? (y/n) y
Rogue Detector AP のスイッチ ポートの設定
interface GigabitEthernet1/0/5 description Rogue Detector switchport trunk native vlan 100 switchport mode trunk
RLDP の設定
コントローラGUIでRLDPを設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] に移動します。
Monitor Mode APs:モニタ モードの AP にのみ RLDP への参加を許可します。
すべてのAP:ローカル/Flex-Connect/モニタモードのAPがRLDPプロセスに参加します。
Disabled:RLDP は自動的にトリガーされません。ただし、ユーザは CLI から特定の MAC アドレスに対して RLDP を手動でトリガーできます。
CLI から、
(Cisco Controller) >config rogue ap rldp enable ?
alarm-only Enables RLDP and alarm if rogue is detected
auto-contain Enables RLDP, alarm and auto-contain if rogue is detected.
(Cisco Controller) >config rogue ap rldp enable alarm-only ?
monitor-ap-only Perform RLDP only on monitor AP
RLDPスケジュールと手動トリガーは、コマンドプロンプトからのみ設定できます。RLDPを手動で開始するには:
(Cisco Controller) >config rogue ap rldp initiate ?
<MAC addr> Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).
RLDPのスケジュール:
(Cisco Controller) >config rogue ap rldp schedule ? add Enter the days when RLDP scheduling to be done. delete Enter the days when RLDP scheduling needs to be deleted. enable Configure to enable RLDP scheduling. disable Configure to disable RLDP scheduling. (Cisco Controller) >config rogue ap rldp schedule add ? fri Configure Friday for RLDP scheduling. sat Configure Saturday for RLDP scheduling. sun Configure Sunday for RLDP scheduling. mon Configure Monday for RLDP scheduling. tue Configure Tuesday for RLDP scheduling. wed Configure Wednesday for RLDP scheduling. thu Configure Thursday for RLDP scheduling.
RLDPの再試行は、次のコマンドで設定できます。
(Cisco Controller) >config rogue ap rldp retries ? <count> Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.
不正緩和の設定
手動抑止の設定
不正APを手動で抑止するには、図に示すように、[Monitor] > [Rogues] > [Unclassified] に移動します。
CLI から、
(Cisco Controller) >config rogue client ?
aaa Configures to validate if a rogue client is a valid client which uses AAA/local database.
alert Configure the rogue client to the alarm state.
contain Start to contain a rogue client.
delete Delete rogue Client
mse Configures to validate if a rogue client is a valid client which uses MSE.
(Cisco Controller) >config rogue client contain 11:22:33:44:55:66 ?
<num of APs> Enter the maximum number of Cisco APs to actively contain the rogue client [1-4].
自動抑止
自動抑止を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] に移動し、ネットワークに適用可能なすべてのオプションを有効にします。
Cisco WLCに特定の不正デバイスを自動的に含める場合は、これらのチェックボックスをオンにします。それ以外の場合は、デフォルト値のチェックボックスをオフのままにします。
自動包含パラメータは次のとおりです。
| パラメータ |
説明 |
|---|---|
| 自動包含レベル |
不正の自動抑止レベルを1から4の間で選択できるドロップダウンリスト。 任意の自動抑止ポリシーを使用して不正が封じ込められた状態に移行された場合、最大4つのAPを自動抑止に選択できます。 自動抑止に使用するAPの数を自動的に選択するには、[Auto]を選択することもできます。Cisco WLCは、効果的な封じ込めに必要な数のAPをRSSIに基づいて選択します。 各コンテインメントレベルに関連付けられるRSSI値は次のとおりです。
|
| モニタモードAPの自動抑止のみ |
自動抑止のモニタモードAPを有効にするために選択できるチェックボックス。デフォルトはdisabled状態です。 |
| FlexConnectスタンドアロンでの自動抑止 |
スタンドアロンモードのFlexConnect APで自動抑止を有効にするように選択できるチェックボックス。デフォルトはdisabled状態です。FlexConnect APがスタンドアロンモードの場合、[Use our SSID or AdHoc Rogue AP auto containment]ポリシーのみを有効にできます。スタンドアロンAPがCisco WLCに接続し直すと、抑止は停止します。 |
| ワイヤ上の不正 |
を有効にして、有線ネットワークで検出された不正を自動的に含めるようにするチェックボックス。デフォルトはdisabled状態です。 |
| SSIDの使用 |
を有効にして、ネットワークのSSIDをアドバタイズする不正を自動的に含めるようにするチェックボックス。このパラメータを選択しない場合、Cisco WLCは、このような不正が検出された場合にのみアラームを生成します。デフォルトはdisabled状態です。 |
| 不正AP上の有効なクライアント |
を有効にして、信頼できるクライアントが関連付けられる不正なアクセスポイントを自動的に抑止するチェックボックス。このパラメータを選択しない場合、Cisco WLCは、このような不正が検出された場合にのみアラームを生成します。デフォルトはdisabled状態です。 |
| アドホック不正AP |
Cisco WLCによって検出されたアドホックネットワークを自動的に含めることができるようにするためのチェックボックス。このパラメータを選択しない場合、Cisco WLCは、そのようなネットワークが検出された場合にのみアラームを生成します。デフォルトはdisabled状態です。 |
ApplyをクリックしてデータをCisco WLCに送信しますが、データは電源の再投入を行っても保持されません。これらのパラメータは、一時的に揮発性RAMに保存されます。
CLI から、
(Cisco Controller) >config rogue adhoc ?
alert Stop Auto-Containment, generate a trap upon detection of the
adhoc rogue.
auto-contain Automatically contain adhoc rogue.
contain Start to contain adhoc rogue.
disable Disable detection and reporting of Ad-Hoc rogues.
enable Enable detection and reporting of Ad-Hoc rogues.
external Acknowledge presence of a adhoc rogue.
(Cisco Controller) >config rogue adhoc auto-contain ?
(Cisco Controller) >config rogue adhoc auto-contain
Warning! Use of this feature has legal consequences
Do you want to continue(y/n) :y
Prime Infrastructure
Cisco Prime Infrastructureを使用すると、1つ以上のコントローラおよび関連するAPを設定および監視できます。Cisco PIには、大規模なシステムの監視と制御を容易にするツールがあります。シスコワイヤレスソリューションでCisco PIを使用すると、コントローラはクライアント、不正なアクセスポイント、不正なアクセスポイントクライアント、無線周波数ID(RFID)タグの場所を定期的に判別し、その場所をCisco PIデータベースに保存します。
Cisco Prime Infrastructureは、ルールベースの分類をサポートし、コントローラで設定された分類ルールを使用します。コントローラは、次のイベントの後にトラップをCisco Prime Infrastructureに送信します。
-
不明なアクセスポイントが初めてFriendly状態に移行した場合、コントローラは不正の状態がAlertの場合にのみCisco Prime Infrastructureにトラップを送信します。theroguestateがInternalまたはExternalの場合、トラップは送信されません。
-
タイムアウトが経過した後にarogueentryが削除されると、コントローラはMalicious(アラート、脅威)またはUnclassified(アラート)に分類されたCisco Prime Infrastructureforrogueaccess point(AP)にトラップを送信します。 コントローラは、次のエロゲートのエントリを削除しません。Contained、Contained Pending、Internal、およびExternal。
確認
グラフィカルインターフェイスのコントローラで不正の詳細を見つけるには、図に示すように[Monitor] > [Rogues] に移動します。
このページでは、不正のさまざまな分類を利用できます。
-
Friendly APs:管理者によって友好的とマーキングされている AP です。
-
Malicious APs:RLDPまたはRogue Detector APによって悪意のあるAPとして識別されるAP。
- カスタムAP:不正ルールによってカスタムとして分類されたAP。
-
Unclassified APs:デフォルトでは、不正APは未分類リストとしてコントローラに表示されます。
-
Rogue Clients:不正 AP に接続されているクライアント です。
-
Adhoc Rogues:アドホックの不正クライアントです。
-
Rogue AP ignore list:PIを介してリストされます。
特定の不正エントリをクリックして、その不正の詳細を取得します。有線ネットワークで検出された不正の例を次に示します。
CLI から、
(Cisco Controller) >show rogue ap summary
Rogue Detection Security Level................... custom
Rogue Pending Time............................... 180 secs
Rogue on wire Auto-Contain....................... Disabled
Rogue uses our SSID Auto-Contain................ Disabled
Valid client on rogue AP Auto-Contain............ Disabled
Rogue AP timeout................................. 1200
Rogue Detection Report Interval.................. 10
Rogue Detection Min Rssi......................... -90
Rogue Detection Transient Interval............... 0
Rogue Detection Client Num Threshold............. 0
Validate rogue AP against AAA.................... Enabled
Rogue AP AAA validation interval................. 0 secs
Total Rogues(AP+Ad-hoc) supported................ 600
Total Rogues classified.......................... 12
MAC Address Class State #Det #Rogue #Highest RSSI #RSSI #Channel #Second Highest #RSSI #Channel
Aps Clients det-Ap RSSI Det-Ap
----------------- ------------ -------------------- ---- ------- ----------------- ------ --------------- ----------------- ------ ---------------
00:a3:8e:db:01:a0 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13
00:a3:8e:db:01:a1 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13
00:a3:8e:db:01:a2 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -16 13
00:a3:8e:db:01:b0 Malicious Threat 2 1 00:27:e3:36:4d:a0 -27 40 00:27:e3:36:4d:a0 -37 40
00:a3:8e:db:01:b1 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -36 40
00:a3:8e:db:01:b2 Unclassified Alert 2 0 00:27:e3:36:4d:a0 -28 40 00:27:e3:36:4d:a0 -37 40
50:2f:a8:a2:0a:60 Malicious Threat 1 2 00:27:e3:36:4d:a0 -66 1
50:2f:a8:a2:0d:40 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -65 11
9c:97:26:61:d2:79 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 6
ac:22:05:ea:21:26 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (1,5)
c4:e9:84:c1:c8:90 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -89 (6,2)
d4:28:d5:da:e0:d4 Unclassified Alert 1 0 00:27:e3:36:4d:a0 -85 13
(Cisco Controller) >show rogue ap detailed 50:2f:a8:a2:0a:60
Rogue BSSID...................................... 50:2f:a8:a2:0a:60
Is Rogue on Wired Network........................ Yes
Classification................................... Malicious
Classification change by......................... Auto
Manual Contained................................. No
State............................................ Threat
State change by.................................. Auto
First Time Rogue was Reported.................... Tue Jun 4 13:06:55 2019
Last Time Rogue was Reported..................... Wed Jun 5 08:25:57 2019
Reported By
AP 1
MAC Address.............................. 00:27:e3:36:4d:a0
Name..................................... tiagoAPcb.98E1.3DEC
Radio Type............................... 802.11n2.4G
SSID..................................... buterfly
Channel.................................. 1
RSSI..................................... -64 dBm
SNR...................................... 29 dB
Security Policy.......................... WPA2/FT
ShortPreamble............................ Disabled
Last reported by this AP................. Wed Jun 5 08:25:57 2019
トラブルシュート
不正が検出されない場合
APで不正検出が有効になっていることを確認します。GUIでは、次の操作を行います。
CLIで次の操作を行います。
(Cisco Controller) >show ap config general tiagoAPcb.98E1.3DEC Cisco AP Identifier.............................. 13 Cisco AP Name.................................... tiagoAPcb.98E1.3DEC [...] Administrative State ............................ ADMIN_ENABLED Operation State ................................. REGISTERED Mirroring Mode .................................. Disabled AP Mode ......................................... Local Public Safety ................................... Disabled AP SubMode ...................................... Not Configured Rogue Detection ................................. Enabled Remote AP Debug ................................. Disabled Logging trap severity level ..................... informational KPI not configured .............................. Logging syslog facility ......................... kern S/W Version .................................... 8.8.120.0 Boot Version ................................... 1.1.2.4 [...] Power Type/Mode.................................. PoE/Full Power Number Of Slots.................................. 3 AP Model......................................... AIR-AP3802I-I-K9 AP Image......................................... AP3G3-K9W8-M Cisco IOS Version...................................... 8.8.120.0 Reset Button..................................... Enabled AP Serial Number................................. FGL2114A4SU [...]
APで不正検出を有効にするには、次のコマンドを使用します。
(Cisco Controller) >config rogue detection enable ? all Applies the configuration to all connected APs. <Cisco AP> Enter the name of the Cisco AP.
ローカルモードのAPは、国チャネル/DCAチャネルのみをスキャンし、設定によって異なります。不正が他のチャネルにある場合、ネットワークにモニタ モード AP がなければ、コントローラではその不正を特定できません。確認するため、次のコマンドを発行します。
(Cisco Controller) >show advanced 802.11a monitor Default 802.11a AP monitoring 802.11a Monitor Mode........................... enable 802.11a Monitor Mode for Mesh AP Backhaul...... disable 802.11a Monitor Channels....................... Country channels 802.11a RRM Neighbor Discover Type............. Transparent 802.11a RRM Neighbor RSSI Normalization........ Enabled 802.11a AP Coverage Interval................... 90 seconds 802.11a AP Load Interval....................... 60 seconds 802.11a AP Monitor Measurement Interval........ 180 seconds 802.11a AP Neighbor Timeout Factor............. 20 802.11a AP Report Measurement Interval......... 180 seconds
-
不正APはSSIDをブロードキャストしません。
-
不正APのMACアドレスが友好的な不正リストに追加されていないか、またはPIを介してリストに表示されていないことを確認します。
-
不正APからのビーコンは、不正を検出したAPに到達できません。これは、AP-Detectorの不正に近いスニファでパケットをキャプチャすることで確認できます。
-
ローカルモードAPが不正を検出するには最大9分かかります(3サイクル180x3)。
-
Cisco AP では、パブリック セーフティ チャネル(4.9 Ghz)のような周波数上にある不正を検出できません。
-
Cisco APでは、FHSS(Frequency Hopping Spread Spectrum)で動作する不正を検出できません。
有益なデバッグ
(Cisco Controller) >debug client
(Cisco Controller) >debug dot11 rogue enable
(Cisco Controller) >*emWeb: Jun 05 08:39:46.828:
Debugging session started on Jun 05 08:39:46.828 for WLC AIR-CT3504-K9 Version :8.8.120.0 SN :FCW2245M09Y Hostname tiagoWLCcb
*iappSocketTask: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 Posting Rogue AP Iapp Report from AP for processing Payload version:c1, slot:0 , Total Entries:5, num entries this packet:5 Entry index :0, pakLen:285
*apfRogueTask_2: Jun 05 08:39:57.104: 00:27:e3:36:4d:a0 fakeAp check: slot=0, entryIndex=0, (Radio_upTime-now)=152838
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid b0:72:bf:93:e0:d7 src b0:72:bf:93:e0:d7 channel 1 rssi -59 ssid SMA1930072865
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 50:2f:a8:a2:0a:60 src 50:2f:a8:a2:0a:60 channel 1 rssi -63 ssid buterfly
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:a1 src 00:a3:8e:db:01:a1 channel 13 rssi -16 ssid
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b0 src a4:c3:f0:cf:db:18 channel 40 rssi -26 ssid blizzard
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -28, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :30
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 entries 5 slotId 0 bssid 00:a3:8e:db:01:b2 src 00:a3:8e:db:01:b2 channel 40 rssi -28 ssid
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Found Rogue AP: 00:a3:8e:db:01:a1 on slot 0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check: knownApCount=0, totalNumOfRogueEntries=5, #entriesThisPkt=5, #totalEntries=5
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -16, snr 76 wepMode 81 wpaMode 82, detectinglradtypes :28
*apfRogueTask_2: Jun 05 08:39:57.105: 00:27:e3:36:4d:a0 fakeAp check: avgNumOfRogues[0]/10=4, rogueAlarmInitiated[0]=0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue SSID timestmap expired. last update at 0 Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 rg changed rssi prev -28, new -28
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 SYNC for Channel (new/old : 13/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Updated AP report 00:27:e3:36:4d:a0 rssi -28, snr 61
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Updated AP report 00:27:e3:36:4d:a0 rssi -16, snr 76
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue before Rule Classification : Class unclassified, Change by Default State Alert Change by Default
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Created rogue client table for Rogue AP at 0xfff0617238
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue is Rule candidate for : Class Change by Default State Change by Default
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Added Rogue AP: b0:72:bf:93:e0:d7
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Applying Rogue rule to this MAC
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Manual Contained Flag = 0, trustlevel = 2
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Scheduled pending Time 184 and expiry time 1200 for rogue AP b0:72:bf:93:e0:d7
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 ssidLen = 0 min = 0 00:a3:8e:db:01:b2
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 0 to 1 for rogue AP b0:72:bf:93:e0:d7
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 This rogue does not use my ssid. Rogue ssid=
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Rogue AP: 00:a3:8e:db:01:b2 autocontain = 2 Mode = 2
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue detected by AP: 00:27:e3:36:4d:a0
*apfRogueTask_1: Jun 05 08:39:57.105: 00:a3:8e:db:01:b2 Checking Impersonation source 00:a3:8e:db:01:b2 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -59, snr 36 wepMode 81 wpaMode 83, detectinglradtypes :20
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue is Rule candidate for : Class Change by Default State Change by Default
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Send Rogue Info Notificaiton for AP report 00:27:e3:36:4d:a0 Rogue ssid change from to SMA1930072865
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Applying Rogue rule to this MAC
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg send new rssi -59
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue After Rule Classification : Class unclassified, Change by Default State Alert Change by Default
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0 rssi -59, snr 36
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Manual Contained Flag = 0, trustlevel = 2
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue detected by AP: 00:27:e3:36:4d:a0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 ssidLen = 0 min = 0 00:a3:8e:db:01:a1
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0
*apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 This rogue does not use my ssid. Rogue ssid=
*apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue before Rule Classification : Class unconfigured, Change by Default State Pending Change by Default *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Rogue AP: 00:a3:8e:db:01:a1 autocontain = 2 Mode = 2 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue state is pending or lrad, cannot apply rogue rule *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue doesnt qualify for rule classification : Class unconfigured, Change by Default State Pending Change by Default *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Checking Impersonation source 00:a3:8e:db:01:a1 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 2, apAuthEnabled on mac 0, ptype -155740480 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Manual Contained Flag = 0, trustlevel = 1 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:a1 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 6 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Checking Impersonation source b0:72:bf:93:e0:d7 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 1, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Found Rogue AP: 00:a3:8e:db:01:b0 on slot 0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg new Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -26, snr 61 wepMode 81 wpaMode 82, detectinglradtypes :32 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 New RSSI report from AP 00:27:e3:36:4d:a0 rssi -63, snr 5 wepMode 81 wpaMode 86, detectinglradtypes :20 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 SYNC for Channel (new/old : 40/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue SSID timestmap set to 1559723997. Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 rg changed rssi prev -28, new -26 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 SYNC for Channel (new/old : 1/0) or channel width (new/old :0/0) change detected on Detecting lrad: 00:27:e3:36:4d:a0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Updated AP report 00:27:e3:36:4d:a0 rssi -26, snr 61 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 rg changed rssi prev -65, new -63 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Updated AP report 00:27:e3:36:4d:a0 rssi -63, snr 5 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 RadioType: 3 lradInfo->containSlotId = 1 ReceiveSlotId = 0 ReceiveBandId = 1 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue detected by AP: 00:27:e3:36:4d:a0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 RadioType: 3 lradInfo->containSlotId = 2 ReceiveSlotId = 0 ReceiveBandId = 0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 7 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue before Rule Classification : Class malicious, Change by Auto State Threat Change by Auto *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 ssidLen = 8 min = 8 00:a3:8e:db:01:b0 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Manual Contained Flag = 0, trustlevel = 7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 This rogue does not use my ssid. Rogue ssid=blizzard *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 ssidLen = 8 min = 8 50:2f:a8:a2:0a:60 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue AP: 00:a3:8e:db:01:b0 autocontain = 2 Mode = 7 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 This rogue does not use my ssid. Rogue ssid=buterfly *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue AP: 50:2f:a8:a2:0a:60 autocontain = 2 Mode = 7 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Checking Impersonation source 50:2f:a8:a2:0a:60 detected by 00:27:e3:36:4d:a0, FailCnt 0, mode 7, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1 *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 2 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 APF processing Rogue Client: on slot 0 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 APF processing Rogue Client: on slot 0 *apfRogueTask_3: Jun 05 08:39:57.105: 00:a3:8e:db:01:b0 Rogue Client ssid: blizzard *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 New AP report 00:27:e3:36:4d:a0 rssi -37, snr 50 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 rgc change from -38 RSSI -37 *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 rgc change from -39 RSSI -39 *apfRogueTask_3: Jun 05 08:39:57.105: a4:c3:f0:cf:db:18 Updated AP report 00:27:e3:36:4d:a0 rssi -37, snr 50 *apfRogueTask_2: Jun 05 08:39:57.105: b4:82:fe:54:b3:14 Updated AP report 00:27:e3:36:4d:a0 rssi -39, snr 43 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 APF processing Rogue Client: on slot 0 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue Client IPv6 addr: Not known *apfRogueTask_2: Jun 05 08:39:57.105: 50:2f:a8:a2:0a:60 Rogue Client ssid: buterfly *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 New AP report 00:27:e3:36:4d:a0 rssi -62, snr 32 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rgc change from -61 RSSI -62 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Updated AP report 00:27:e3:36:4d:a0 rssi -62, snr 32 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Looking for Rogue b0:72:bf:93:e0:d7 in known AP table *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Rogue AP b0:72:bf:93:e0:d7 is not found either in AP list or neighbor, known or Mobility group AP lists *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 Change state from 1 to 2 for rogue AP b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.105: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg change state Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Deleting Rogue AP: b0:72:bf:93:e0:d7 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 Freed rogue client table for Rogue AP at 0xfff0617238 *apfRogueTask_2: Jun 05 08:39:57.106: b0:72:bf:93:e0:d7 rg delete for Rogue AP: b0:72:bf:93:e0:d7
一般的なトラップ ログ
不正が検出されるか、不正リストから削除されると、次のようになります。
| 0 | 2019年6月5日(水) 09:01:57 | 不正クライアント:b4:c0:f5:2b:4f:90 is detected by 1 APs Rogue Client Bssid:a6:b1:e9:f0:e8:41、状態:Alert, Last detecting AP :00:27:e3:36:4d:a0 Rogue Client gateway mac 00:00:00:02:02:02. |
| 1 | 2019年6月5日(水) 09:00:39 | 不正な AP:9c:97:26:61:d2:79 removed from Base Radio MAC :00:27:e3:36:4d:a0 Interface no:0(802.11n(2.4 GHz)) |
| 0 | 2019年6月5日(水) 08:53:39 | 不正な AP:7c:b7:33:c0:51:14 removed from Base Radio MAC :00:27:e3:36:4d:a0 Interface no:0(802.11n(2.4 GHz)) |
| 3 | 2019年6月5日(水)08:52:27 | 不正クライアント:fc:3f:7c:5f:b1:1b is detected by 1 APs Rogue Client Bssid:50:2f:a8:a2:0a:60、状態:Alert, Last detecting AP :00:27:e3:36:4d:a0 Rogue Client gateway mac 00:26:44:73:c5:1d. |
| 4 | 2019年6月5日(水)08:52:17 | 不正な AP:d4:28:d5:da:e0:d4 removed from Base Radio MAC :00:27:e3:36:4d:a0 Interface no:0(802.11n(2.4 GHz)) |
推奨事項
-
ネットワークに不正の可能性があると疑われる場合は、すべてのチャネルに対してチャネルスキャンを設定します。
-
Rogue Detector APの数と場所は、フロアごとに1つから建物ごとに1つまで変わることができ、有線ネットワークのレイアウトによって異なります。フロアまたは建物ごとに少なくとも 1 つの Rogue Detector AP を配備することをお勧めします。Rogue Detector APには、監視対象のすべてのレイヤ2ネットワークブロードキャストドメインへのトランクが必要であるため、配置はネットワークの論理レイアウトに依存します。
不正が分類されていない場合
不正ルールが適切に設定されているかどうか確認します。
有益なデバッグ
(Cisco Controller) >debug dot11 rogue rule enable
(Cisco Controller) >*emWeb: Jun 05 09:12:27.095:
Debugging session started on Jun 05 09:12:27.095 for WLC AIR-CT3504-K9 Version :8.8.120.0 SN :FCW2245M09Y Hostname tiagoWLCcb
(Cisco Controller) >
*apfRogueTask_1: Jun 05 09:12:57.135: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154623, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:12:57.135: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:12:57.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5790, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:13:27.135: ac:22:05:ea:21:26 Rogue Rule Classify Params: rssi=-89, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=5820, wep=1, ssid=NOWO-A2121 slotId = 0 channel = 1 snr = 4 dot11physupport = 3
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Rule Classify Params: rssi=-62, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154353, wep=1, ssid=buterfly slotId = 0 channel = 11 snr = 30 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:27.135: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending
*apfRogueTask_3: Jun 05 09:13:27.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154713, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
*apfRogueTask_1: Jun 05 09:13:57.136: 00:a3:8e:db:01:a0 Rogue Rule Classify Params: rssi=-16, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154683, wep=1, ssid=blizzard slotId = 0 channel = 13 snr = 76 dot11physupport =
*apfRogueTask_3: Jun 05 09:13:57.136: 50:2f:a8:a2:0d:40 Rogue Classification:malicious, RuleName:TestRule, Rogue State:Containment Pending
*apfRogueTask_3: Jun 05 09:13:57.136: 00:a3:8e:db:01:a1 Rogue Rule Classify Params: rssi=-15, maxRssiLrad = 00:27:e3:36:4d:a0 ,client=0, duration=154743, wep=1, ssid= slotId = 0 channel = 13 snr = 77 dot11physupport = 3
推奨事項
既知の不正エントリがある場合は、友好的なリストに追加するか、AAAによる検証を有効にして、既知のクライアントエントリが認証、認可、アカウンティング(AAA)データベースにあることを確認します。
RLDPが不正を検出しない
- 不正が DFS チャネルにある場合、RLDP は動作しません。
- RLDPは、不正WLANが開いていて、DHCPが使用可能な場合にのみ動作します。
- ローカルモードAPがDFSチャネルでクライアントにサービスを提供する場合、RLDPプロセスには参加しません。
- RLDPは、APモデル1800i、1810 OEAP、1810W、1815、1830、1850、2800、および3800シリーズAPではサポートされていません。
有益なデバッグ
(Cisco Controller) >debug dot11 rldp enable
!--- RLDP not available when AP used to contain only has invalid channel for the AP country code
*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Received request to detect Rogue
*apfRLDP: Jun 05 12:24:41.291: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Rogue detected slot :0 Rogue contains SlotId :2
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Invalid channel 1 for the country IL for AP 00:27:e3:36:4d:a0
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:24:41.292: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:24:41.292: Waiting for ARLDP request
!--- ROGUE detected on DFS channel
*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Received request to detect Rogue
*apfRLDP: Jun 05 12:43:16.659: 50:2f:a8:a2:0d:4e Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Rogue detected slot :1 Rogue contains SlotId :1
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Our AP 00:27:e3:36:4d:a0 detected this rogue on a DFS Channel 100
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:43:16.660: 50:2f:a8:a2:0d:4e Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:43:16.660: Waiting for ARLDP request
!--- RLDP is not supported on AP model 1800i, 1810 OEAP, 1810W, 1815, 1830, 1850, 2800, and 3800 Series APs
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Received request to detect Rogue
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Entering apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Cannot find any AP to perform RLDP operation
*apfRLDP: Jun 05 12:52:41.980: 9e:97:26:a2:a1:1a Exiting apfFindClosestLrad
*apfRLDP: Jun 05 12:52:41.980: Waiting for ARLDP request
!--- Association TO ROGUE AP
*apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Received request to detect Rogue *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Entering apfFindClosestLrad *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Skipping RLDP on AP 94:d4:69:f5:f7:e0 AP Model: AIR-AP1852I-E-K9 *apfRLDP: Jun 05 15:02:49.602: Rogue detected slot :0 Rogue contains SlotId :0 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Monitor Mode AP found b4:de:31:a4:e0:30 with RSSI -61 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 found closest monitor AP b4:de:31:a4:e0:30 slot = 0, channel = 1 *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Exiting apfFindClosestLrad *apfRLDP: Jun 05 15:02:49.602: 50:2f:a8:a2:0a:61 Found RAD: 0xffd682b5b8, slotId = 0, Type=1 *apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 AP b4:de:31:a4:e0:30 Client b4:de:31:a4:e0:31 Slot = 0 *apfRLDP: Jun 05 15:02:50.102: 50:2f:a8:a2:0a:61 WARNING!!!!! mscb already exists! *apfRLDP: Jun 05 15:02:50.102: b4:de:31:a4:e0:31 In rldpSendAddMobile:724 setting Central switched to TRUE *apfRLDP: Jun 05 15:02:50.302: 50:2f:a8:a2:0a:61 rldp started association, attempt 1 *apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2) *apfRLDP: Jun 05 15:02:55.346: 50:2f:a8:a2:0a:61 rldp started association, attempt 2 *apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 RLDP could not finish the association in time. RLDP State(2) *apfRLDP: Jun 05 15:03:00.390: 50:2f:a8:a2:0a:61 rldp started association, attempt 3 *apfOpenDtlSocket: Jun 05 15:03:00.608: apfRoguePreamble = 0 mobile b4:de:31:a4:e0:31. *apfOpenDtlSocket: Jun 05 15:03:00.808: 50:2f:a8:a2:0a:61 RLDP state RLDP_ASSOC_DONE (3). *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Successfully associated with rogue: 50:2F:A8:A2:0A:61
!--- Attempt to get ip from ROGUE
*apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Starting dhcp *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:00.870: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:00.870: [0000] 02 40 *apfRLDP: Jun 05 15:03:00.870: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:00.870: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.877: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:10.878: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:10.878: [0000] 02 40 *apfRLDP: Jun 05 15:03:10.878: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:10.878: 50:2f:a8:a2:0a:61 RLDP DHCP SELECTING for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Initializing RLDP DHCP for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCPSTATE_INIT for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 BOOTP[rldp] op: REQUEST *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 htype: Ethernet *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hlen: 6 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hops: 1 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 xid: 0x3da1f13 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 secs: 0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 flags: 0x0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 hw_addr: B4:DE:31:A4:E0:31 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 client IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 my IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 server IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 gateway IP: 0.0.0.0 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 options: *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 DHCP message: 1 DISCOVER *apfRLDP: Jun 05 15:03:20.885: DHCP option: 39/57.2: (2) *apfRLDP: Jun 05 15:03:20.885: [0000] 02 40 *apfRLDP: Jun 05 15:03:20.885: b4:de:31:a4:e0:31 host name: RLDP *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 Sending DHCP packet through rogue AP 50:2f:a8:a2:0a:61
!--- RLDP DHCP fails as there is no DHCP server providing IP address
*apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 RLDP DHCP FAILED state for rogue 50:2f:a8:a2:0a:61 *apfRLDP: Jun 05 15:03:20.885: 50:2f:a8:a2:0a:61 DHCP failed *apfRLDP: Jun 05 15:03:20.885: Waiting for ARLDP request
推奨事項
-
疑わしい不正エントリ上で RLDP を手動で起動してください。
-
RLDP が定期的に実行されるようにスケジュールを設定してください。
- RLDP はローカル AP またはモニタ モード AP に配備できます。最も拡張性の高い導入では、クライアントサービスへの影響を排除するために、可能な場合はモニタモードAPにRLDPを導入します。ただし、この推奨事項では、5 つのローカル モード AP ごとに 1 つのモニタ モード AP という一般的な比率で、モニタ モード AP のオーバーレイを配備する必要があります。この作業には、Adaptive wIPS モニタ モードの AP を活用することもできます。
Rogue Detector AP
Rogue Detectorの不正エントリは、APコンソールでこのコマンドを使用して確認できます。有線の不正の場合、フラグはset statusに移動します。
tiagoAP.6d09.eff0#show capwap rm rogue detector LWAPP Rogue Detector Mode Current Rogue Table: Rogue hindex = 0: MAC 502f.a8a2.0a61, flag = 0, unusedCount = 1 Rogue hindex = 0: MAC 502f.a8a2.0a60, flag = 0, unusedCount = 1 Rogue hindex = 7: MAC 502f.a8a2.0d41, flag = 0, unusedCount = 1 Rogue hindex = 7: MAC 502f.a8a2.0d40, flag = 0, unusedCount = 1 !--- once rogue is detected on wire, the flag is set to 1
AP コンソール内の便利なデバッグ コマンド
Rogue_Detector#debug capwap rm rogue detector *Jun 05 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170 *Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4 *Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef
*Jun 05 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b
*Jun 05 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0
*Jun 05 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec
*Jun 05 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794
*Jun 05 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80
*Jun 05 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710
*Jun 05 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
*Jun 05 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e
*Jun 05 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e
不正抑止
予想されるデバッグ
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Updated AP report b4:de:31:a4:e0:30 rssi -33, snr 59
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Looking for Rogue 00:a3:8e:db:01:b0 in known AP table
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP 00:a3:8e:db:01:b0 is not found either in AP list or neighbor, known or Mobility group AP lists
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue in same state as before : 6 ContainmentLevel : 4 level 4
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected by AP: b4:de:31:a4:e0:30
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RadioType: 2 lradInfo->containSlotId = 1 ReceiveSlotId = 1 ReceiveBandId = 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue before Rule Classification : Class malicious, Change by Auto State Contained Change by Auto
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue doesnt qualify for rule classification : Class malicious, Change by Auto State Contained Change by Auto
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Manual Contained Flag = 0, trustlevel = 6
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue AP: 00:a3:8e:db:01:b0 autocontain = 1 Mode = 6
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 apfRogueMode : 6 apfRogueContainmentLevel : 4 lineNumber : 8225 apfRogueManualContained : 0 function : apfUpdateRogueContainmentState
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 1 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Skipping xor radio for 1 band and cont slotid 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 0 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Trying Containment on 2 band for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue detected on detected slot 0 contains slot 1 for detecting lrad 00:27:e3:36:4d:a0.
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Found 1 channels to try containment for rogue
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -28
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC 00:27:e3:36:4d:a0 RSSI = -31
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 RSSI SORTED AP MAC b4:de:31:a4:e0:30 RSSI = -33
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -28 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC 00:27:e3:36:4d:a0 RSSI = -31 totClientsDetected = 2
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Detecting AP MAC b4:de:31:a4:e0:30 RSSI = -33 totClientsDetected = 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP 00:27:e3:36:4d:a0. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Rogue already contained by AP b4:de:31:a4:e0:30. Containment mode 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Contains rogue with 3 container AP(s).Requested containment level : 4
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Checking Impersonation source 00:a3:8e:db:01:b0 detected by b4:de:31:a4:e0:30, FailCnt 0, mode 6, apAuthEnabled on mac 0, ptype 318505456 mfp_supported 1
*apfRogueTask_3: Jun 06 13:25:11.840: 00:a3:8e:db:01:b0 Known AP 0 mfp global 0 AP Auth Global 0 mfp Impersonation 0 ids flags 3
推奨事項
-
ローカル/Flex-ConnectモードのAPには、無線ごとに一度に3つのデバイスを含めることができ、モニタモードのAPには無線ごとに6つのデバイスを含めることができます。その結果、許可されるデバイスの最大数がAPに含まれていないことを確認します。最大数のデバイスが抑止されていると、クライアントは抑止の保留状態にあります。
-
自動抑止ルールを検証してください。
結論
シスコの中央集中型コントローラ ソリューションの不正検出と抑止は、業界でも最も効果的で影響の少ない不正検出/抑止手法です。ネットワーク管理者はさらに柔軟にソリューションをカスタマイズして、ネットワークの要件に対応できます。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
25-Jun-2010 |
初版 |
フィードバック