Een bedrieglijk toegangspunt/client op 9800 draadloze controllers identificeren en lokaliseren

Downloadopties

  • PDF     (1.4 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 februari 2024
Document-id:221688

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een bedrieglijk toegangspunt of een bedrieglijke client kunt detecteren en lokaliseren met behulp van de draadloze controller 9800.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • IEEE 802.11 Grondbeginselen. 

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco Wireless 9800-L Controller IOS® XE 17.12.1
    • Cisco Catalyst 9130AXI-reeks toegangspunt. 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Een bedrieglijk toegangspunt van Cisco verwijst naar een onbevoegd draadloos toegangspunt dat zonder medeweten of goedkeuring van de netwerkbeheerder op een netwerk is geïnstalleerd.

    Deze bedrieglijke toegangspunten kunnen beveiligingsrisico's voor een netwerk vormen en aanvallers kunnen ze gebruiken om ongeautoriseerde toegang te krijgen, gevoelige informatie te onderscheppen of andere schadelijke activiteiten te starten.

    Het Cisco Wireless Intrusion Prevention System (WIPS) is een oplossing voor het identificeren en beheren van bedrieglijke toegangspunten.

    Een Cisco rogue client, ook bekend als een rogue station of rogue apparaat, verwijst naar een ongeautoriseerde en potentieel schadelijke draadloze client apparaat verbonden met een rogue access point.

    Net als bij malafide toegangspunten vormen malafide clients beveiligingsrisico's omdat een aanvaller zonder de juiste autorisatie verbinding kan maken met een netwerk.

    Cisco biedt tools en oplossingen om de aanwezigheid van malafide clients te detecteren en te beperken om de netwerkbeveiliging te handhaven.

    Scenario's

    Scenario 1: Een bedrieglijk toegangspunt opsporen en lokaliseren

    In de volgende stappen ziet u hoe u de 9800 draadloze controllers kunt gebruiken om een bedrieglijke client of een toegangspunt te detecteren dat niet door het gebruikersnetwerk wordt beheerd: 

    1. Gebruik de draadloze controller om te bepalen welke toegangspunten het bedrieglijke apparaat hebben gedetecteerd: 

    U kunt de malafide toegangspunten of de malafide clients bekijken via GUI of CLI.

    Ga voor de GUI naar het tabblad Monitoring, vervolgens Draadloos en kies Rogue, dan kunt u de filters gebruiken om uw malafide apparaat te vinden.

    Voor de CLI kunt u de opdracht show wireless wps rogue ap summary gebruiken om alle gedetecteerde malafide apparaten te bekijken,

    Of u kunt de opdracht Show Wireless WPS Rogue AP Detailed <MAC-ADDr> gebruiken om de details op een specifiek bedrieglijk apparaat te bekijken. 

    Hier is het resultaat van de CLI om de lijst van de malafide apparaten te bekijken via de opdracht show wireless wps rogue ap samenvatting:

    9800L#show wireless wps rogue ap summary
    Rogue Location Discovery Protocol : Disabled
    Validate rogue APs against AAA : Disabled
    Rogue Security Level : Custom
    Rogue on wire Auto-Contain : Disabled
    Rogue using our SSID Auto-Contain : Disabled
    Valid client on rogue AP Auto-Contain : Disabled
    Rogue AP timeout : 1200
    Rogue init timer : 180

    Total Number of Rogue APs : 137
    MAC Address Classification State #APs #Clients Last Heard Highest-RSSI-Det-AP RSSI Channel Ch.Width GHz
    -----------------------------------------------------------------------------------------------------------------------------------
    0014.d1d6.a6b7 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -85 1 20 2.4
    002a.10d3.4f0f Unclassified Alert 1 0 01/31/2024 21:17:39 1416.9d7f.a220 -54 36 80 5
    002a.10d4.b2e0 Unclassified Alert 1 0 01/31/2024 21:17:39 1416.9d7f.a220 -60 36 40 5
    0054.afca.4d3b Unclassified Alert 1 0 01/31/2024 21:26:29 1416.9d7f.a220 -86 1 20 2.4
    00a6.ca8e.ba80 Unclassified Alert 1 2 01/31/2024 21:27:20 1416.9d7f.a220 -49 11 20 2.4
    00a6.ca8e.ba8f Unclassified Alert 1 0 01/31/2024 21:27:50 1416.9d7f.a220 -62 140 80 5
    00a6.ca8e.bacf Unclassified Alert 1 0 01/31/2024 21:27:50 1416.9d7f.a220 -53 140 40 5
    00f6.630d.e5c0 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -48 1 20 2.4
    00f6.630d.e5cf Unclassified Alert 1 0 01/31/2024 21:27:40 1416.9d7f.a220 -72 128 20 5
    04f0.212d.20a8 Unclassified Alert 1 0 01/31/2024 21:27:19 1416.9d7f.a220 -81 1 20 2.4
    04f0.2148.7bda Unclassified Alert 1 0 01/31/2024 21:24:19 1416.9d7f.a220 -82 1 20 2.4
    0c85.259e.3f30 Unclassified Alert 1 0 01/31/2024 21:21:30 1416.9d7f.a220 -63 11 20 2.4
    0c85.259e.3f32 Unclassified Alert 1 0 01/31/2024 21:21:30 1416.9d7f.a220 -63 11 20 2.4
    0c85.259e.3f3c Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -83 64 20 5
    0c85.259e.3f3d Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -82 64 20 5
    0c85.259e.3f3f Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -82 64 20 5
    12b3.d617.aac1 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -72 1 20 2.4
    204c.9e4b.00ef Unclassified Alert 1 0 01/31/2024 21:27:40 1416.9d7f.a220 -59 116 20 5
    22ad.56a5.fa54 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -85 1 20 2.4
    4136.5afc.f8d5 Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -58 36 20 5
    5009.59eb.7b93 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -86 1 20 2.4
    683b.78fa.3400 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -69 6 20 2.4
    683b.78fa.3401 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -69 6 20 2.4
    683b.78fa.3402 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -72 6 20 2.4
    683b.78fa.3403 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -72 6 20 2.4 
    ...

    2. U kunt filteren op een van de WLAN's die zijn geconfigureerd op de 9800-controller om te zien of u malafide apparaten hebt die dezelfde WLAN's uitzenden.

    De volgende figuur toont het resultaat waar de C9130 deze schurk op beide banden heeft gedetecteerd:

    RogueGUI Rogue List

    3. Geef de toegangspunten weer die het bedrieglijke apparaat hebben gedetecteerd.

    In de volgende afbeelding ziet u het toegangspunt dat deze bedrieglijke waarde, RSSI-waarde en meer informatie heeft gedetecteerd:

    Rogue GUI-detected APsDetails GUI Rogue AP

    Vanuit de CLI kunt u deze informatie bekijken via de opdracht show wireless wps rogue ap detailed <mac-addr>.

    4. Zoek het dichtstbijzijnde toegangspunt tot het malafide apparaat op basis van de dichtstbijzijnde RSSI-waarde. 

    Op basis van de resultaten van het aantal toegangspunten dat het malafide apparaat heeft gedetecteerd, moet u zoeken naar het dichtstbijzijnde toegangspunt op basis van de RSSI-waarde die wordt weergegeven op de draadloze controller.

    In het volgende voorbeeld detecteerde slechts één AP de rogue, echter met een hoge RSSI-waarde, wat betekent dat het rogue-apparaat zich zeer dicht bij het AP bevindt. 

    De volgende is de uitvoer van de opdracht tonen draadloze wps rogue ap gedetailleerd <mac-addr> om het kanaal de AP / WLC hoorde dit rogue apparaat op, plus de RSSI-waarde:

    9800L#show wireless wps rogue ap detailed 6c8d.7793.834f
    Rogue Event history

    Timestamp #Times Class/State Event Ctx RC
    -------------------------- -------- ----------- -------------------- ------------------------- ----
    01/31/2024 22:45:39.814917 1154 Unc/Alert FSM_GOTO Alert 0x0
    01/31/2024 22:45:39.814761 1451 Unc/Alert EXPIRE_TIMER_START 1200s 0x0
    01/31/2024 22:45:39.814745 1451 Unc/Alert RECV_REPORT 1416.9d7f.a220/34 0x0
    01/31/2024 22:45:29.810136 876 Unc/Alert NO_OP_UPDATE 0x0
    01/31/2024 19:36:10.354621 1 Unc/Pend HONEYPOT_DETECTED 0x0
    01/31/2024 19:29:49.700934 1 Unc/Alert INIT_TIMER_DONE 0xab98004342001907 0x0
    01/31/2024 19:26:49.696820 1 Unk/Init INIT_TIMER_START 180s 0x0
    01/31/2024 19:26:49.696808 1 Unk/Init CREATE 0x0


    Rogue BSSID : 6c8d.7793.834f
    Last heard Rogue SSID : RogueTest
    802.11w PMF required : No
    Is Rogue an impersonator : No
    Is Rogue on Wired Network : No
    Classification : Unclassified
    Manually Contained : No
    State : Alert
    First Time Rogue was Reported : 01/31/2024 19:26:49
    Last Time Rogue was Reported : 01/31/2024 22:45:39

    Number of clients : 0

    Reported By
    AP Name : C9130
    MAC Address : 1416.9d7f.a220
    Detecting slot ID : 1
    Radio Type : dot11ax - 5 GHz
    SSID : RogueTest
    Channel : 36 (From DS)
    Channel Width : 20 MHz
    RSSI : -43 dBm
    SNR : 52 dB
    ShortPreamble : Disabled
    Security Policy : Open
    Last reported by this AP : 01/31/2024 22:45:39

    5. Verzamel over-the-air capture op hetzelfde kanaal om de schurk te lokaliseren. 

    Nu is het kanaal waar deze schurkenstaat AP uitzendingen wordt gevonden, en op basis van de RSSI-waarde, de 9130 toegangspunt hoorde deze schurkenstaat op -35dBm, die wordt beschouwd als zeer dichtbij.

    Dit geeft je een idee op welk gebied deze schurk zich bevindt. De volgende stap is het verzamelen van een over-the-air capture. 

    Volgende figuur toont een over-the-air-opname op kanaal 36, vanaf de OTA U kunt zien dat de malafide AP een containment de-authenticatie-aanval uitvoert op het beheerde toegangspunt:

    Rogue AP OTARogue AP OTA Capture

    U kunt de informatie uit de vorige figuur gebruiken om te begrijpen hoe dicht deze schurk is, en in ieder geval kunt u een idee hebben waar fysiek dit schurkentoegangspunt zich bevindt. Je kunt filteren via het rogue AP radio mac adres, je zou kunnen zien of de rogue momenteel actief is of niet als je controleert of je baken pakketten over de lucht hebt. 

    Scenario 2: Detecteer en lokaliseer een bedrieglijke client die een De-authenticatie Flood verzendt

    De volgende stappen laten zien hoe u de 9800 draadloze controller kunt gebruiken om een bedrieglijke client te vinden die is verbonden met een bedrieglijk toegangspunt dat niet wordt beheerd door het gebruikersnetwerk of een bedrieglijke client die een de-authenticatie-aanval uitvoert:

    1.Gebruik de draadloze controller om de malafide client te vinden.

    Navigeer vanuit de GUI van de draadloze controller naar het tabblad Monitoring, Wireless, en kies vervolgens Rogue Clients, of u kunt de opdracht show wireless wps rogue client summary van de CLI gebruiken om de rogue clients die op de controller zijn gedetecteerd op te sommen:

    Rogue Client List GUIRogue Client List GUI

    Volgende uitvoer toont het CLI-resultaat: 

    9800L#show wireless wps rogue client summary

    Validate rogue clients against AAA : Disabled
    Validate rogue clients against MSE : Disabled

    Number of rogue clients detected : 49

    MAC Address State # APs Last Heard 
    -------------------------------------------------------------------------
    0021.6a9b.b944 Alert 1 02/15/2024 17:22:44 
    0cb8.1575.8a5c Alert 1 02/15/2024 17:08:14 
    1a59.5f0f.cae0 Alert 1 02/15/2024 17:20:44 
    341b.2d61.cd83 Alert 1 02/15/2024 17:03:54 
    62b8.db39.c532 Alert 1 02/15/2024 17:08:14 
    70f3.5a7c.8f70 Alert 1 02/15/2024 17:18:54 
    70f3.5a7c.9150 Alert 1 02/15/2024 17:23:04 
    70f3.5a7c.9710 Alert 1 02/15/2024 17:22:34 
    70f3.5a7c.bed0 Alert 1 02/15/2024 17:22:54 
    70f3.5a7c.cbd0 Alert 2 02/15/2024 17:17:24 
    70f3.5a7c.d030 Alert 1 02/15/2024 17:20:44 
    70f3.5a7c.d050 Alert 1 02/15/2024 17:20:44 
    70f3.5a7c.d0b0 Alert 1 02/15/2024 17:16:54 
    70f3.5a7c.d110 Alert 2 02/15/2024 17:18:24 
    70f3.5a7c.d210 Alert 1 02/15/2024 17:20:24 
    70f3.5a7c.d2f0 Alert 2 02/15/2024 17:23:04 
    70f3.5a7c.f850 Alert 1 02/15/2024 17:19:04 
    70f3.5a7f.8971 Alert 1 02/15/2024 17:16:44 
    ...

    2. In het volgende uitvoervoorbeeld worden de details weergegeven van een malafide client met mac-adres 0021.6a9b.b944, dat werd gedetecteerd door een beheerde AP 9130 op kanaal 132. De volgende uitvoer toont meer details: 

    9800L#show wireless wps rogue client detailed 0021.6a9b.b944

    Rogue Client Event history

    Timestamp #Times State Event Ctx RC
    -------------------------- -------- ----------- -------------------- ------------------------- ----
    02/15/2024 17:22:44.551882 5 Alert FSM_GOTO Alert 0x0
    02/15/2024 17:22:44.551864 5 Alert EXPIRE_TIMER_START 1200s 0x0
    02/15/2024 17:22:44.551836 5 Alert RECV_REPORT 0x0
    02/15/2024 17:15:14.543779 1 Init CREATE 0x0

    Rogue BSSID : 6c8d.7793.834f
    SSID : Testing-Rogue
    Gateway : 6c8d.7793.834f
    Rogue Radio Type : dot11ax - 5 GHz
    State : Alert
    First Time Rogue was Reported : 02/15/2024 17:15:14
    Last Time Rogue was Reported : 02/15/2024 17:22:44

    Reported by
    AP : C9130
    MAC Address : 1416.9d7f.a220
    Detecting slot ID : 1
    RSSI : -83 dBm
    SNR : 12 dB
    Channel : 132
    Last reported by this AP : 02/15/2024 17:22:44

    3. Nadat u een over-the-air-opname op hetzelfde kanaal hebt verzameld, kunt u zien dat u een gede-authenticeerde overstroming hebt, waarbij de malafide client een van de beheerde toegangspunt BSSID gebruikt om clients te ontkoppelen

    De-authentication OTADe-authenticatie OTA

    De RSSI-waarde voor de pakketten is hoog, wat betekent dat de malafide client zich fysiek in de buurt van het beheerde toegangspunt bevindt. 

    4. De volgende figuur toont een schoon netwerk en een gezond milieu over-the-air:

    Healthy OTAGezonde OTA

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    16-Feb-2024
    Eerste vrijgave
    1.0
    15-Feb-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rosalia Alhourani
      Cisco Escalation Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten