Guest

Unified Wireless Network の不正な管理

ダウンロード オプション

  • PDF     (1.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (87.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (101.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2010 年 8 月 10 日
Document ID:112045
翻訳について

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

ワイヤレス ネットワークを導入すると有線ネットワークが拡張され、作業者の生産性が向上し、情報へのアクセスが拡大します。 しかし、不正なワイヤレス ネットワークにより、セキュリティの問題がさらに大きくなります。 有線ネットワークではポートのセキュリティにあまり注意が向けられていませんが、ワイヤレス ネットワークもその延長上で考えられがちです。 そのため、セキュリティでしっかりと保護されているワイヤレスまたは有線のインフラストラクチャに、従業員が各自のアクセス ポイント(シスコまたはシスコ以外)を持ち込むと、せっかくセキュリティで保護されているネットワークに対して不正なユーザ アクセスが許可されてしまうため、セキュアなネットワークが簡単に危険にさらされてしまいます。

ネットワーク管理者は不正検出を行うことで、このセキュリティの問題を監視して、解消することができます。 Cisco Unified Network アーキテクチャには、不正の特定と抑止を高度に実行するソリューションを提供する不正検出の方法が用意されています。高価で有効性を検証しにくい追加のネットワークとツールは必要ありません。

前提条件

要件

本ドキュメントでは、ユーザが基本のコントローラの設定に精通していることを前提としています。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 7.0 を実行する Cisco Unified Controller(2100、5500、4400、WiSM、NM-WLC シリーズ)

  • Control and Provisioning of WirelessAccess Points Protocol(CAPWAP)ベースの LAP:1130AG、1140、3500、1200、1230AG、1240AG、1250、1260 シリーズ LAP

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

不正の概要

スペクトルを共有し、管理者によって管理されていないデバイスは不正と見なされます。 不正が危険と見なされるのは、次のような状況です。

  • デバイスがネットワークの SSID と同じ SSID を使用するように設定されたとき(ハニーポット)。

  • デバイスが有線ネットワークでも検出されたとき。

  • アドホックの不正も大きな脅威である。

  • (多くの場合、悪意ある目的で)部外者によって設定されたとき。

Cisco Unified Wireless Network(UWN)ソリューションの不正デバイス管理には、3 つの主な段階があります。

  • 検出か。 無線リソース管理(RRM)スキャンが不正なデバイスの存在を検出するのに使用されています。

  • 分類か。 不正なデバイスが有線ネットワークに接続される場合不正な Location ディスカバリプロトコルが(RLDP)、不正な探知器およびスイッチポート トレースは識別するのに使用されています。 不正分類ルールを使用すると、不正の特性に基づいて、特定のカテゴリにフィルタリングします。

  • 軽減か。 スイッチポート閉鎖、不正な位置および不正な包含は物理的な位置を見つけ出すことでおよび不正なデバイスの脅威を無効にするために使用されます。

handling-rogue-cuwn-01.gif

不正管理の動作理論

不正検出

基本的に不正検出の対象となるのは、スペクトルを共有しているが管理者の管理対象ではない、あらゆるデバイスです。 これには、不正アクセス ポイント(AP)、ワイヤレス ルータ、不正クライアント、不正アドホック ネットワークなどが含まれます。 Cisco UWN では、オフチャネル スキャニング機能および専用監視モード機能など、さまざまな方法を使用して、Wi-Fi ベースの不正デバイスを検出します。 また、Cisco Spectrum Expert を使用して、Bluetooth ブリッジなどの 802.11 プロトコルに基づかない不正デバイスを特定できます。

オフチャネル スキャニング

このオペレーションはローカル モードおよび H によって実行されたか。(接続されたモードで) AP を収獲し、クライアント サービスを可能にする使用し、同じ無線を使用してスキャンをチャネリングしますタイム スライシング手法を。 16 秒ごとに 50 ミリ秒間オフ チャネルになることにより、AP にはデフォルトでクライアントにサービスを提供しない短い時間が生じます。 また、10 ミリ秒のチャネル変更間隔が発生することに注意してください。 180 秒のデフォルト スキャン 間隔では、各 2.4Ghz FCC チャネル(1?11)は一度少なくともスキャンされます。 ETSI などのその他の規制区域では、多少長い時間 AP がオフ チャネルになります。 RRM 設定では、チャネルのリストとスキャン間隔の両方を調整できます。 これにより、パフォーマンスの影響を最大で 1.5 % に制限します。また、インテリジェンスがアルゴリズムに組み込まれ、音声などの優先度が高い QoS フレームを配信する必要があるときには、スキャニングを停止します。

handling-rogue-cuwn-03.gif

この図は、2.4GHz の周波数帯域におけるローカル モード AP のオフチャネル スキャニング アルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。 それぞれの赤い四角は AP ホーム チャネルで費やされた時間を表します。また、それぞれの青い四角は隣接するチャネルでスキャニングのために費やされた時間を表します。

モニタ モード スキャニング

この操作は、モニタ モード AP と Adaptive wIPS モニタ モード AP で実行されます。このモードでは、無線の 100 % の時間を活用して、それぞれの周波数帯域のチャネルをすべてスキャニングします。 これにより、検出の速度が大幅に向上し、より多くの時間をそれぞれのチャネルに費やすことができます。 モニタ モード AP も、各チャネルで発生しているアクティビティをより幅広く把握しているため、不正クライアントの検出においても非常に優れています。

handling-rogue-cuwn-04.gif

この図は、2.4GHz の周波数帯域におけるモニタ モード AP のオフチャネル スキャニング アルゴリズムの説明です。 AP が 1 つだけ存在する場合は、同様の操作が並行して 5GHz 無線で実行されます。

ローカル モードとモニタ モードの比較

ローカル モード AP では、そのサイクルが WLAN クライアントへのサービスとチャネルに対する脅威のスキャニングに分割されます。 その結果、ローカル モード AP では、すべてのチャネルを一巡する時間がより長くかかります。また、クライアント操作が中断されないようにするため、特定のチャネルでデータを収集する時間が短くなります。 そのため、不正と攻撃の検出時間がより長くなり(3 分~ 60 分)、検出できる地上波攻撃がモニタ モード AP よりも狭い範囲に限られます。 さらに、AP はトラフィックの送受信中にトラフィックのチャネル上にある必要があるため、不正クライアントなどのバースト トラフィックの検出の決定性が低下します。 これにより、確率に課題が生じます。 モニタ モード AP はすべてのサイクルをチャネルのスキャニングに費やして、不正および地上波攻撃を探します。 モニタ モード AP は Adaptive wIPS、場所(状況認識)サービス、およびその他のモニタ モード サービスで同時に使用できます。 モニタ モード AP を導入する利点は、検出にかかる時間が短いことです。 モニタ モード AP が Adaptive wIPS とともに追加で設定されている場合、より幅広い地上波の脅威と攻撃を検出できます。

handling-rogue-cuwn-05.gif

不正の特定

不正デバイスからのプローブ応答またはビーコンが、ローカル モード、H-REAP モード、モニタ モード AP のいずれかで受信されると、この情報は CAPWAP を経由してワイヤレス LAN コントローラ(WLC)に通信されて処理されます。 誤検知を防ぐために、さまざまな方法を使用して、他のシスコベースの管理対象 AP が不正デバイスとして識別されないようにします。 これらの方法には、モビリティ グループのアップデート、RF ネイバー パケット、Wireless Control System(WCS)経由の Autonomous AP のホワイト リスト化などがあります。

不正レコード

コントローラ間か。不正なデバイスの s データベースは検出する悪党の設定 される 電流だけ含まれています WCS はまたイベント履歴をおよびもはや見られないログ悪党が含まれています。

不正の詳細

CAPWAP AP は、不正クライアント、ノイズ、チャネル干渉を監視するために、50 ミリ秒間オフチャネルになります。 検出された不正クライアントや不正 AP はコントローラに送信され、次の情報が収集されます。

  • 不正 AP の MAC アドレス

  • 不正が検出された AP の名前

  • 不正な接続クライアントの MAC アドレス

  • WPA または WEP でフレームが保護されているかどうか

  • プリアンブル

  • 信号対雑音比(SNR)

  • Receiver Signal Strength Indicator(RSSI)

  • 不正検出のチャネル

  • 不正が検出された無線

  • 不正 SSID(不正 SSID がブロードキャストされている場合)

  • 不正 IP アドレス

  • 不正がレポートされた最初と最後の時間

  • チャネル幅

不正イベントのエクスポート

不正イベントをサード パーティのネットワーク管理システム(NMS)にエクスポートしてアーカイブするために、WLC には追加の SNMP トラップ レシーバを追加できます。 コントローラによって不正が検出されたり、クリアされたりした場合、この情報が含まれるトラップは、すべての SNMP トラップ レシーバと通信します。 SNMP 経由でイベントをエクスポートする場合、複数のコントローラによって同じ不正が検出され、WCS でのみ修正が行われると、重複するイベントが NMS に表示されることに注意してください。

不正レコードのタイムアウト

不正 AP が WLC のレコードに追加されると、その不正 AP がなくなるまで保持されます。 ユーザが設定できるタイムアウト(デフォルトでは 1200 秒)を過ぎると、_unclassified_ カテゴリにある不正はエージング アウトします。 _Contained_ および _Friendly_ など他の状態にある不正は保持され、それらが再び現れると、適切な分類が適用されます。

不正レコードのデータベースの最大サイズは、コントローラ プラットフォームによって異なります。

  • 21XX および WLCM:125 個の不正

  • 44XX:625 個の不正

  • WiSM:1250 個の不正

  • 5508:2000 個の不正

不正分類

デフォルトでは、Cisco UWN で検出されたすべての不正は未分類と見なされます。 この図で説明されているとおり、不正は RSSI、SSID、セキュリティ タイプ、オン/オフ ネットワーク、クライアントの数などのさまざまな基準に基づいて分類できます。

handling-rogue-cuwn-06.gif

Rogue Detector AP

Rogue Detector AP は地上波で受信された不正情報を有線ネットワークから取得した ARP 情報と関連付けることを目的とします。 MAC アドレスが不正 AP または不正クライアントとして地上波で受信され、有線ネットワークでも受信されると、有線ネットワーク上に不正が存在することが決定します。 不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は _critical_ に引き上げられます。 NAT を使用しているデバイスの背後では、Rogue Detector AP で不正クライアントを特定できないことに注意してください。

handling-rogue-cuwn-07.gif

スケーラビリティに関する考慮事項

Rogue Detector AP は最大 500 個の不正と 500 個の不正クライアントを検出できます。 不正デバイスが多すぎるトランク上に Rogue Detector が配置されると、これらの制限を超過し、問題が生じます。 この問題を防止するには、Rogue Detector AP をネットワークのディストリビューション レイヤまたはアクセス レイヤに配置します。

RLDP

RLDP の目的は、特定の不正 AP が有線インフラストラクチャに接続されているかどうかを特定することです。 基本的に、この機能は最も近い Unified AP を使用して、ワイヤレス クライアントとして不正デバイスに接続します。 クライアントとして接続すると、WLC の宛先アドレスを持ったパケットが送信され、AP が有線ネットワークに接続されているかどうかを確認します。 不正が有線ネットワーク上にあることが検出された場合、その不正 AP のアラーム重大度は重大に引き上げられます。

handling-rogue-cuwn-08.gif

次に、RLDP のアルゴリズムを示します。

  1. 信号強度値を使用して、不正に最も近い Unified AP を特定します。

  2. 次に、AP は WLAN クライアントとして不正に接続し、タイムアウト前に 3 つのアソシエーションを試行します。

  3. アソシエーションが成功すると、AP は DHCP を使用して IP アドレスを取得します。

  4. IP アドレスを取得すると、AP(WLAN クライアントとして動作)は UDP パケットをそれぞれのコントローラの IP アドレスに送信します。

  5. コントローラがクライアントから RLDP パケットを 1 つでも受信すると、その不正は接続済みとマーキングされ、重大度は重大になります。

コントローラのネットワークと不正デバイスがあるネットワーク間にフィルタリング ルールが設定されている場合、RLDP パケットはコントローラに到達できません。

RLDP の注意事項

  • RLDP は、認証と暗号化が無効になっており、SSID をブロードキャストしている開かれた不正 AP でのみ動作します。

  • RLDP では、クライアントとして動作している管理対象 AP が、不正ネットワーク上の DHCP を経由して、IP アドレスを取得できる必要があります。

  • 手動 RLDP を使用して、不正に対して RLDP トレースを何度も試行できます。

  • RLDP の処理中、AP はクライアントにサービスを提供できません。 これにより、ローカル モード AP のパフォーマンスと接続性に悪い影響を与えます。

  • RLDP は 5GHz DFS チャネルで動作している不正 AP への接続は試行しません。

スイッチ ポート トレース

スイッチ ポート トレースは、5.1 リリースで初めて導入された不正 AP の緩和技法です。 スイッチ ポート トレースは WCS で起動できますが、CDP と SNMP の両方の情報を使用して、ネットワークの特定のポートまで不正を突き止めます。 スイッチ ポート トレースを実行するには、ネットワーク内のすべてのスイッチが SNMP クレデンシャルとともに WCS に追加されている必要があります。 読み取り専用クレデンシャルでも不正のあるポートを特定できますが、読み書き可能なクレデンシャルを使用すると、WCS でポートのシャットダウンも可能になるため、脅威を抑止できます。 現在、この機能は CDP をイネーブルにして IOS を実行するシスコ スイッチでのみ動作します。また、CDP が管理対象 AP でイネーブルになっている必要があります。

handling-rogue-cuwn-09.gif

次に、スイッチ ポート トレースのアルゴリズムを示します。

  • WCS は最も近い AP を見つけ、その AP は不正 AP を地上波で検出し、その CDP ネイバーを取得します。

  • 次に、WCS は SNMP を使用して、隣接するスイッチ内で CAM テーブルを検証し、不正場所を特定する正一致を探します。

  • 肯定的な一致は正確で不正な MAC アドレス、+1/?1 不正な MAC アドレス、不正なクライアントのMACアドレス、または MAC アドレスで固有ベンダー情報に基づいて OUI 一致に基づいています。

  • 最も近いスイッチに正一致が見つからない場合、WCS は引き続き最大で 2 つの離れたホップの隣接のスイッチを探します(デフォルト)。

handling-rogue-cuwn-10.gif

不正分類ルール

5.0 リリースで導入された不正分類ルールを使用すると、条件を定義して、不正に対し、悪意のある不正または友好的な不正のいずれかをマーキングすることができます。 これらのルールは WCS または WLC で設定しますが、新しい不正が発見されるたびにコントローラ上で実行されます。

WLC での不正ルールの詳細は、『ワイヤレス LAN コントローラ(WLC)および Wireless Control System(WCS)でのルール ベースの不正分類』のドキュメントをお読みください。

不正緩和

不正抑止

抑止とは、地上波パケットを使用して、不正デバイスが物理的に削除されるまで、不正デバイス上のサービスを一時的に中断する方法です。 抑止は、不正 AP のスプーフィングされた送信元アドレスを使って、認証解除パケットをスプーフィングすることによって機能します。これにより、関連するすべてのクライアントが追放されます。

handling-rogue-cuwn-11.gif

不正抑止の詳細

クライアントがない不正 AP で起動された抑止は、ブロードキャスト アドレスに送信された認証解除フレームだけを使用します。

handling-rogue-cuwn-12.gif

クライアントのある不正 AP で起動された抑止は、ブロードキャスト アドレスとクライアント アドレスに送信された認証解除フレームを使用します。

handling-rogue-cuwn-13.gif

抑止パケットは、管理対象 AP の出力レベルと、イネーブルになっている最小のデータ レートで送信されます。

抑止は 100 ミリ秒ごとに少なくとも 2 つのパケット送信します。

handling-rogue-cuwn-14.gif

6.0 リリースから、モニタ モード AP 以外で実行される抑止は、モニタ モード AP で使用されていた 100 ミリ秒間隔ではなく、500 ミリ秒間隔で送信されます。

  • 個別の不正デバイスは、1 つから 4 つの管理対象 AP によって抑止されます。管理対象 AP は連係して脅威を一時的に緩和します。

  • 抑止はローカル モード、モニタ モード、H-REAP(接続済み)モードの AP を使用して実行できます。 H-REAP AP のローカル モードの場合、無線あたり最大 3 つの不正デバイスを抑止できます。 モニタ モード AP の場合、無線あたり最大 6 つの不正デバイスを抑止できます。

自動抑止

WCS または WLC GUI から不正デバイスに対して手動で抑止を起動する方法の他に、特定の状況において自動で抑止を起動する機能もあります。 この設定は、WCS またはコントローラのインターフェイスの [Rogue Policies] の [General] セクションにあります。 これらの機能はそれぞれデフォルトでディセーブルになっています。最も危険な脅威を無効にするためだけにイネーブルにしてください。

  • Rogue on Wire:不正デバイスが有線ネットワークに接続されていることが特定されると、自動的に抑止状態になります。

  • Using our SSID:不正デバイスが、コントローラに設定されている SSID と同じ SSID を使用している場合、自動的に抑止されます。 この機能は、障害を引き起こす前にハニーポット攻撃に対応するための機能です。

  • Valid client on Rogue AP:ACS の一覧にあるクライアントが不正デバイスに関連付けられていることが見つかると、そのクライアントに対してのみ抑止が起動して、管理対象ではない AP に関連付けられないようにします。

  • アド ホックな悪党 AP -アド ホックなネットワークが検出される場合、自動的に含まれています。

不正抑止の注意事項

  • 抑止では、管理対象 AP の無線時間の一部を使用して認証解除フレームを送信するため、データ クライアントと音声クライアントの両方のパフォーマンスに、最大 20 % の悪影響が出ることがあります。 データ クライアントの場合、この影響によりスループットが低下します。 音声クライアントの場合、抑止によって、会話が中断されたり、音声品質が低下したりすることがあります。

  • 隣接のネットワークに対して抑止を起動するとき、抑止には法的な影響が生じることがあります。 抑止を起動する前に、不正デバイスがネットワーク内にあり、セキュリティ リスクを引き起こすことを確認してください。

スイッチ ポートの閉鎖

SPT を使用してスイッチ ポートをトレースすると、WCS のそのポートをディセーブルにするオプションがあります。 管理者はこの操作を手動で行う必要があります。 不正が物理的にネットワークから削除されたら、WCS を介してスイッチ ポートをイネーブルにするオプションを利用できます。

不正管理の設定

不正検出の設定

デフォルトでは、コントローラでの不正検出はイネーブルです。

グラフィカル インターフェイスを使用して不正の詳細をコントローラで見つけるには、[Monitor] > [Rogues] の順に進みます。

handling-rogue-cuwn-15.gif

このページでは、不正のさまざまな分類を利用できます。

  • 友好的な AP か。 APS 管理者によって友好的としてマークされる。

  • 悪意のある AP か。 APS RLDP か不正な探知器 AP を使用して悪意のあるように識別される。

  • 分類していない AP か。 デフォルトで不正な AP はコントローラで分類していないリストとして示されます。

  • 不正なクライアントか。 AP をだますために接続されるクライアント。

  • アド ホックな悪党か。 アド ホックで不正なクライアント。

  • 不正な AP 無視リストか。 WCS によってリストされている APS。

WLC および Autonomous AP が同じ WCS で管理されている場合、WLC は自動的にこの Autonomous AP を不正 AP 無視リストに表示します。 この機能をイネーブルにするために、WLC での追加の設定は必要ありません。

CLI を使用する場合:

(Cisco Controller) >show rogue ap summaryRogue on wire Auto-Contain....................... DisabledRogue using our SSID Auto-Contain................ DisabledValid client on rogue AP Auto-Contain............ DisabledRogue AP timeout................................. 1200MAC Address        Classification     # APs # Clients Last Heard-----------------  ------------------ ----- --------- -----------------------00:14:1b:5b:1f:90  Unclassified       1     0         Thu Jun 10 19:04:51 201000:14:1b:5b:1f:91  Unclassified       1     0         Thu Jun 10 18:58:51 201000:14:1b:5b:1f:92  Unclassified       1     0         Thu Jun 10 18:49:50 201000:14:1b:5b:1f:93  Unclassified       1     0         Thu Jun 10 18:55:51 201000:14:1b:5b:1f:96  Unclassified       1     0         Thu Jun 10 18:58:51 201000:17:df:a9:08:00  Unclassified       1     0         Thu Jun 10 18:49:50 201000:17:df:a9:08:10  Unclassified       1     0         Thu Jun 10 18:55:51 201000:17:df:a9:08:11  Unclassified       1     0         Thu Jun 10 19:04:51 201000:17:df:a9:08:12  Unclassified       1     0         Thu Jun 10 18:49:50 201000:17:df:a9:08:16  Unclassified       1     0         Thu Jun 10 19:04:51 2010

特定の不正エントリをクリックして、その不正の詳細を取得します。

handling-rogue-cuwn-16.gif

CLI を使用する場合:

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90Rogue BSSID...................................... 00:14:1b:5b:1f:90Is Rogue on Wired Network........................ NoClassification................................... UnclassifiedManual Contained................................. NoState............................................ AlertFirst Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010Reported By    AP 1        MAC Address.............................. 00:24:97:8a:09:30        Name..................................... AP_5500        Radio Type............................... 802.11g        SSID..................................... doob        Channel.................................. 6        RSSI..................................... -51 dBm        SNR...................................... 27 dB        Encryption............................... Disabled        ShortPreamble............................ Enabled        WPA Support.............................. Disabled        Last reported by this AP................. Thu Jun 10 19:04:51 2010

不正検出のチャネル スキャニングの設定

ローカル モード、Hreap モード、モニタ モードの AP の場合、不正をスキャンするチャネルを選択できるオプションが RRM の設定にあります。 設定に応じて、AP はすべてのチャネル/カントリー チャネル/DCA チャネルで不正をスキャンします。

GUI からこれを設定するには、[Wireless] > [802.11a/802.11b] > [RRM] [General] の順に進みます。

handling-rogue-cuwn-17.gif

CLI を使用する場合:

(Cisco Controller) >config  advanced 802.11a monitor channel-list ?all            Monitor all channelscountry        Monitor channels used in configured country codedca            Monitor channels used by automatic channel assignment

これらのオプションを設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [General] の順に選択します。

  1. 不正 AP のタイムアウトを変更します。

  2. アドホック不正ネットワークの検出をイネーブルにします。

handling-rogue-cuwn-18.gif

CLI を使用する場合:

(Cisco Controller) >config rogue ap timeout ?<seconds>      The number of seconds<240 - 3600> before rogue entries are flushed(Cisco Controller) >config rogue adhoc enable/disable

不正分類の設定

不正 AP の手動分類

友好的、悪意あり、または未分類として不正 AP を分類するには、[Monitor] [Rogue]> [Unclassified APs] の順に進み、特定の不正 AP 名をクリックします。 ドロップダウン リストからオプションを選択します。

handling-rogue-cuwn-19.gif

CLI を使用する場合:

(Cisco Controller) >config rogue ap ?classify       Configures rogue access points classification.friendly       Configures friendly AP devices.rldp           Configures Rogue Location Discovery Protocol.ssid           Configures policy for rogue APs advertsing our SSID.timeout        Configures the expiration time for rogue entries, in seconds.valid-client   Configures policy for valid clients using rogue APs.

不正エントリを不正リストから手動で削除するには、[Monitor] > [Rogue] > [Unclassified APs] の順に進み、[Remove] をクリックします。

handling-rogue-cuwn-20.gif

不正 AP を友好的 AP として設定するには、[Security] > [Wireless Protection Policies] [Rogue Policies] > [Friendly Rogues] の順に進み、不正 MAC アドレスを追加します。

追加した友好的な不正エントリは、[Monitor] > [Rogues] > [Friendly Rogue] ページから確認できます。

handling-rogue-cuwn-21.gif

handling-rogue-cuwn-22.gif

Rogue Detector AP の設定

GUI を使用して、AP を Rogue Detector として設定するには、[Wireless] > [All AP] の順に進みます。 AP 名を選択して、AP モードを変更します。

handling-rogue-cuwn-23.gif

CLI を使用する場合:

(Cisco Controller) >config ap mode rogue AP_ManagedChanging the AP's mode will cause the AP to reboot.Are you sure you want to continue? (y/n) y

Rogue Detector AP のスイッチ ポートの設定 

interface GigabitEthernet1/0/5description Rogue Detectorswitchport trunk encapsulation dot1qswitchport trunk native vlan 113switchport mode trunkspanning?tree portfast trunk

この設定でのネイティブ VLAN は、WLC への IP 接続のある VLAN の 1 つです。

RLDP の設定

コントローラの GUI で RLDP を設定するには、[Security] [Wireless Protection Policies] > [Rogue Policies] > [General] の順に進みます。

handling-rogue-cuwn-24.gif

モニタモード AP か。 割り当て RLDP に加わるモニタモードの AP だけ。

すべての AP か。 ローカル/Hreap/モニタモード AP は RLDP プロセスに加わります。

無効か。 RLDP は自動的に引き起こされません。 ただし、ユーザは CLI から特定の MAC アドレスに対して RLDP を手動でトリガーできます。

モニタ モード AP とローカル/Hreap の AP の両方が、-85dbm 以上の RSSI で特定の不正を検出した場合、RLDP の実行では、モニタ モード AP の方がローカル/Hreap の AP よりも優先されます。

CLI を使用する場合:

(Cisco Controller) >config rogue ap rldp enable ?alarm-only     Enables RLDP and alarm if rogue is detectedauto-contain   Enables RLDP, alarm and auto-contain if rogue is detected.(Cisco Controller) >config rogue ap rldp enable alarm-only ?monitor-ap-only Perform RLDP only on monitor APRLDP scheduling and triggering manually is configurable only through Command     promptTo Initiate RLDP manually:(Cisco Controller) >config rogue ap rldp initiate ?<MAC addr>     Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).For Scheduling RLDPNote: RLDP scheduling and option to configure RLDP retries are two options     introduced in 7.0 through CLIRLDP Scheduling :(Cisco Controller) >config rogue ap rldp schedule ?add            Enter the days when RLDP scheduling to be done.delete         Enter the days when RLDP scheduling needs to be deleted.enable         Configure to enable RLDP scheduling.disable        Configure to disable RLDP scheduling.(Cisco Controller) >config rogue ap rldp schedule add ?mon            Configure Monday for RLDP scheduling.tue            Configure Tuesday for RLDP scheduling.wed            Configure Wednesday for RLDP scheduling.thu            Configure Thursday for RLDP scheduling.fri            Configure Friday for RLDP scheduling.sat            Configure Saturday for RLDP scheduling.sun            Configure Sunday for RLDP scheduling.RLDP retries can be configured using the command (Cisco Controller) >config rogue ap rldp retries ?<count>        Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

不正クライアントの AAA 検証を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進みます。

このオプションをイネーブルにすると、不正クライアントや AP アドレスが悪意ありと分類される前に、AAA サーバで必ず検証されます。

handling-rogue-cuwn-25.gif

CLI を使用する場合:

(Cisco Controller) >config rogue client aaa ?disable        Disables use of AAA/local database to detect valid mac addresses.enable         Enables use of AAA/local database to detect valid mac addresses.

特定の不正クライアントが有線の不正であることを検証するために、コントローラから特定の不正の到達可能性をチェックするオプションがあります(コントローラが不正クライアントの IP アドレスを検出できる場合)。 このオプションは、不正クライアントの詳細ページでアクセスでき、グラフィカル インターフェイスからのみ利用できます。

handling-rogue-cuwn-26.gif

スイッチ ポート トレースを設定するには、不正管理のホワイト ペーパーを参照してください(登録ユーザのみ)。

不正緩和の設定

手動抑止の設定:

不正 AP を手動で抑止するには、[Monitor] > [Rogues] [Unclassified] の順に進みます。

handling-rogue-cuwn-27.gif

CLI を使用する場合:

(Cisco Controller) >config rogue client ?aaa            Configures to validate if a rogue client is a valid client using                   AAA/local database.alert          Configure the rogue client to the alarm state.contain        Start containing a rogue client.(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?<num of APs>   Enter the maximum number of Cisco APs to actively contain the                   rogue client [1-4].

1 ~ 4 の AP を使用して、特定の不正を抑止できます。 デフォルトでは、コントローラは 1 つの AP を使用して、クライアントを抑止します。 2 つの AP で特定の不正が検出される場合、AP のモードにかかわらず、最も高い RSSI を持つ AP がクライアントを抑止します。

自動抑止を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] [General] の順に進み、ネットワークに適用可能なすべてのオプションをイネーブルにします。

handling-rogue-cuwn-28.gif

CLI を使用する場合:

(Cisco Controller) >config rogue adhoc ?alert          Stop Auto-Containment, generate a trap upon detection of the                   adhoc rogue.auto-contain   Automatically containing adhoc rogue.contain        Start containing adhoc rogue.disable        Disable detection and reporting of Ad-Hoc rogues.enable         Enable detection and reporting of Ad-Hoc rogues.external       Acknowledge presence of a adhoc rogue.(Cisco Controller) >config rogue adhoc auto-contain ?(Cisco Controller) >config rogue adhoc auto-contain Warning! Using this feature may have legal consequences         Do you want to continue(y/n) :y

トラブルシューティング

不正が検出されない場合:

  • 次のコマンドを使用して、AP で不正検出がイネーブルになっていることを確認します。 デフォルトでは、AP での不正検出はイネーブルになっています。

    (Cisco_Controller) >show ap config general Managed_APCisco AP Identifier.............................. 2Cisco AP Name.................................... Managed_APCountry code..................................... US  - United StatesRegulatory Domain allowed by Country............. 802.11bg:-A     802.11a:-AAP Country code.................................. US  - United StatesAP Regulatory Domain............................. 802.11bg:-A    802.11a:-ASwitch Port Number .............................. 2MAC Address...................................... 00:1d:a1:cc:0e:9eIP Address Configuration......................... DHCPIP Address....................................... 10.8.99.104IP NetMask....................................... 255.255.255.0Gateway IP Addr.................................. 10.8.99.1CAPWAP Path MTU.................................. 1485Telnet State..................................... EnabledSsh State........................................ DisabledCisco AP Location................................ india-banagloreCisco AP Group Name.............................. default-groupPrimary Cisco Switch Name........................ Cisco_e9:d9:23Primary Cisco Switch IP Address.................. 10.44.81.20Secondary Cisco Switch Name......................Secondary Cisco Switch IP Address................ Not ConfiguredTertiary Cisco Switch Name.......................Tertiary Cisco Switch IP Address................. Not ConfiguredAdministrative State ............................ ADMIN_ENABLEDOperation State ................................. REGISTEREDMirroring Mode .................................. DisabledAP Mode ......................................... LocalPublic Safety ................................... DisabledAP SubMode ...................................... Not ConfiguredRemote AP Debug ................................. DisabledLogging trap severity level ..................... informationalLogging syslog facility ......................... kernS/W  Version .................................... 7.0.98.0Boot  Version ................................... 12.3.7.1Mini IOS Version ................................ 3.0.51.0Stats Reporting Period .......................... 209LED State........................................ EnabledPoE Pre-Standard Switch.......................... EnabledPoE Power Injector MAC Addr...................... OverridePower Type/Mode.................................. Power injector / Normal modeNumber Of Slots.................................. 2AP Model......................................... AIR-LAP1242AG-A-K9AP Image......................................... C1240-K9W8-MIOS Version...................................... 12.4(23c)JAReset Button..................................... EnabledAP Serial Number................................. FTX1137B22VAP Certificate Type.............................. Manufacture InstalledAP User Mode..................................... AUTOMATICAP User Name..................................... Not ConfiguredAP Dot1x User Mode............................... GLOBALAP Dot1x User Name............................... Cisco12Cisco AP system logging host..................... 255.255.255.255AP Up Time....................................... 13 days, 15 h 01 m 33 sAP LWAPP Up Time................................. 13 days, 15 h 00 m 40 sJoin Date and Time............................... Tue Jun  1 10:36:38 2010Join Taken Time.................................. 0 days, 00 h 00 m 52 sEthernet Port Duplex............................. AutoEthernet Port Speed.............................. AutoAP Link Latency.................................. Enabled Current Delay................................... 0 ms Maximum Delay................................... 56 ms Minimum Delay................................... 2 ms Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 sRogue Detection.................................. EnabledAP TCP MSS Adjust................................ Disabled

    次のコマンドを使用して、AP で不正検出をイネーブルにできます。

    (Cisco Controller) >config rogue detection enable ?all                    Applies the configuration to all connected APs.<Cisco AP>     Enter the name of the Cisco AP.

  • ローカル モード AP では、設定に応じて、カントリー チャネル/DCA チャネルのみをスキャンします。 不正が他のチャネルにある場合、ネットワークにモニタ モード AP がなければ、コントローラではその不正を特定できません。 確認するため、次のコマンドを発行します。

    (Cisco Controller) >show advanced 802.11a monitorDefault 802.11a AP monitoring  802.11a Monitor Mode........................... enable  802.11a Monitor Mode for Mesh AP Backhaul...... disable  802.11a Monitor Channels....................... Country channels  802.11a AP Coverage Interval................... 180 seconds  802.11a AP Load Interval....................... 60 seconds  802.11a AP Noise Interval...................... 180 seconds  802.11a AP Signal Strength Interval............ 60 seconds

  • 不正 AP は SSID をブロードキャストしていない場合があります。

  • 不正 AP の MAC アドレスが WCS から友好的な不正リストまたはホワイト リストに追加されていないことを確認します。

  • 不正 AP からのビーコンは、不正を検出している AP に到達できない場合があります。 これは、AP を検出している不正の近くにあるスニファを使用して、パケットをキャプチャすることによって検証できます。

  • ローカル モード AP は、不正を検出するために最大で 9 分かかることがあります(3 サイクル 180 X 3)。

  • Cisco AP では、パブリック セーフティ チャネル(4.9 Ghz)のような周波数上にある不正を検出できません。

  • Cisco AP では、FHSS(周波数ホッピング スペクトラム拡散)上で動作している不正を検出できません。

便利なデバッグ 

debug client < mac> (If rogue mac is known)

debug dot11 rogue enable(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12     Looking for Rogue 00:27:0d:8d:14:12 in known AP table*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12    is not found either in AP list or neighbor, known or Mobility group AP lists*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1     for rogue AP 00:27:0d:8d:14:12*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP:     00:27:0d:8d:14:12*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP     00:1b:0d:d4:54:20  rssi -74, snr -9 wepMode 129*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74 *apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report     00:1b:0d:d4:54:20  rssi -74, snr -9 *apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP:     00:27:0d:8d:14:12*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP:     00:24:97:2d:bf:90 on slot 0*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP:     00:24:97:2d:bf:90*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue     00:24:97:2d:bf:90 in known AP table*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90    is not found either in AP list or neighbor, known or Mobility group AP lists*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1     for rogue AP 00:24:97:2d:bf:90*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP:     00:24:97:2d:bf:90*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP     00:1b:0d:d4:54:20  rssi -56, snr 34 wepMode 129*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56 *apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report     00:1b:0d:d4:54:20  rssi -56, snr 34 *apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP:     00:24:97:2d:bf:90*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP:     9c:af:ca:0f:bd:40 on slot 0*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP:     9c:af:ca:0f:bd:40 *apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue     9c:af:ca:0f:bd:40 in known AP table*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40    is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62     Updated AP report 00:1b:0d:d4:54:20  rssi -73, snr 24 *apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP:     00:25:45:a2:e1:62*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP:     00:24:c4:ad:c0:40 on slot 0*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP:     00:24:c4:ad:c0:40

一般的なトラップ ログ

不正が検出された場合 

9Fri Jun 18 06:40:06 2010 Rogue AP : 00:1e:f7:74:f3:50 detected on Base RadioMAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -97 and SNR:1 and Classification: unclassified 10Fri Jun 18 06:40:06 2010 Rogue AP : 00:22:0c:97:af:83 detected on Base RadioMAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -81 and SNR: 18and Classification: unclassified 	11Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:9f:8a:21 detected on Base RadioMAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -82 and SNR: 20and Classification: unclassified 12Fri Jun 18 06:40:06 2010 Rogue AP : 00:26:cb:82:5d:c0 detected on Base RadioMAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g) with RSSI: -98 and SNR: -2and Classification: unclassified

不正エントリが不正リストから削除された場合 

50Fri Jun 18 06:36:06 2010 Rogue AP : 00:1c:57:42:53:40 removed from Base Radio MAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)51Fri Jun 18 06:36:06 2010 Rogue AP : 00:3a:98:5c:57:a0 removed from Base RadioMAC : 00:1d:71:22:f2:c0 Interface no:0(802.11b/g)

推奨事項

  1. 潜在的な不正がネットワークに存在することが疑われる場合、チャネル スキャニングをすべてのチャネルに設定してください。

  2. Rogue Detector AP の数と場所は、有線ネットワークのレイアウトに応じて、フロアあたり 1 つから建物あたり 1 つまでさまざまです。 フロアまたは建物ごとに少なくとも 1 つの Rogue Detector AP を配備することをお勧めします。 Rogue Detector AP には、監視するすべてのレイヤ 2 ネットワーク ブロードキャスト ドメインへのトランクが必要であるため、配置はネットワークの論理レイアウトによって異なります。

不正が分類されない場合

  • 不正ルールが適切に設定されているかどうか確認します。

  • 不正が DFS チャネルにある場合、RLDP は動作しません。

  • RLDP は不正の WLAN が開いていて、DHCP が利用できる場合にのみ動作します。

  • ローカル モード AP が DFS チャネルでクライアントとして動作している場合、RLDP プロセスには参加しません。

便利なデバッグ 

(Cisco Controller) > debug dot11 rogue rule enable(Cisco Controller) > debug dot11 rldp enableReceived Request to detect rogue: 00:1A:1E:85:21:B000:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44Found RAD: 0x158f1ea0, slotId = 1rldp started association, attempt 1Successfully associated with rogue: 00:1A:1E:85:21:B0 !--- ASSOCIATING TO ROGUE APStarting dhcp00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue 00:1a:1e:85:21:b000:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b000:1a:1e:85:21:b0 RLDP DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b000:1a:1e:85:21:b0 Sending DHCP packet through rogue AP 00:1a:1e:85:21:b000:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue 00:1a:1e:85:21:b000:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b000:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0Returning IP 172.20.226.246, netmask 255.255.255.192, gw 172.20.226.193 !--- GETTING IP FROM ROGUEFound Gateway MacAddr: 00:1D:70:F0:D4:C1Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway)Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:deSend ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80)Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:deSend ARLDP to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway)Sending ARLDP packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de  !--- SENDING ARLDP PACKETReceived 32 byte ARLDP message from: 172.20.226.24642Packet Dump:sourceIp: 172.20.226.246destIp: 172.20.226.197Rogue Mac: 00:1A:1E:85:21:B0 !--- RECEIVING ARLDP PACKETsecurity: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

推奨事項

  1. 疑わしい不正エントリ上で RLDP を手動で起動してください。

  2. RLDP が定期的に実行されるようにスケジュールを設定してください。

  3. 既知の不正エントリがある場合、それらを友好的リストに追加するか、AAA での検証をイネーブルにして、既知のクライアント エントリが AAA データベースに含まれるようにしてください。

  4. RLDP はローカル AP またはモニタ モード AP に配備できます。 ほとんどの大規模な展開では、クライアント サービスへの影響を排除するため、できる限り RLDP をモニタ モード AP 上に展開してください。 ただし、この推奨事項では、5 つのローカル モード AP ごとに 1 つのモニタ モード AP という一般的な比率で、モニタ モード AP のオーバーレイを配備する必要があります。 この作業には、Adaptive wIPS モニタ モードの AP を活用することもできます。

Rogue Detector AP

AP コンソールで次のコマンドを使用すると、Rogue Detector の不正エントリを表示できます。 有線の不正の場合、フラグが設定されます。

Rogue_Detector_5500#show capwap rm rogue detector CAPWAP Rogue Detector Mode  Current Rogue Table:  Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1  Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1!--- once the flag is set, rogue is detected on wire  Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag = 0, unusedCount = 1  Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1  Rogue hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1  Rogue hindex = 4: MAC 0023.04c9.72bf, flag = 0, unusedCount = 1  Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1  Rogue hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1  Rogue hindex = 6: MAC 0023.04c9.72bd, flag = 0, unusedCount = 1

AP コンソール内の便利なデバッグ コマンド 

Rogue_Detector#debug capwap rm rogue detector*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac5*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3574*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff2*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e*Jun 18 08:39:19.323: ROGUE_DET: Got ARP src 001d.a1cc.0e9e*Jun 18 08:39:19.324: ROGUE_DET: Got wired mac 001d.a1cc.0e9e

不正抑止が実行されない場合

  1. ローカル/Hreap モードの AP では、無線あたり 3 つのデバイスを一度に抑止でき、モニタ モード AP では無線あたり 6 つのデバイスを抑止できます。 そのため、AP に許可されている最大数のデバイスがすでに抑止されていないかどうかを確認してください。 最大数のデバイスが抑止されていると、クライアントは抑止の保留状態にあります。

  2. 自動抑止ルールを検証してください。

一般的なトラップ ログ 

Fri Jul 23 12:49:10 2010Rogue AP: Rogue with MAC Address: 00:17:0f:34:48:a1    has been contained manually by 2 APs 8Fri Jul 23 12:49:10 2010 Rogue AP : 00:17:0f:34:48:a1 with Contained mode added     to the Classified AP List.

結論

シスコの中央集中型コントローラ ソリューションの不正検出と抑止は、業界でも最も効果的で影響の少ない不正検出/抑止手法です。 ネットワーク管理者はさらに柔軟にソリューションをカスタマイズして、ネットワークの要件に対応できます。

関連情報

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ

このドキュメントは次の製品に対応しています