Administración rogue en una red inalámbrica unificada · Administración rogue en una red inalámbrica unificada Contenido Introducción prerrequisitos Requisitos Componentes Utilizados

Administración rogue en una red inalámbricaunificada

Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConvencionesDescripción rogueTeoría de operación rogue de la AdministraciónDetección rogueClasificación rogueMitigación rogueAdministración rogue de la configuraciónDetección rogue de la configuraciónClasificación rogue de la configuraciónMitigación rogue de la configuraciónTroubleshootingConclusiónInformación Relacionada

Introducción

Las redes inalámbricas amplían las redes alámbricas y aumentan la productividad de lostrabajadores y el acceso a la información. Sin embargo, una red inalámbrica no autorizadarepresenta un problema de seguridad añadido. Se pone menos cuidado en la seguridad de lospuertos de las redes alámbricas, y las redes inalámbricas son una extensión fácil de las redesalámbricas. Por lo tanto, un empleado que trae su propio Punto de acceso (Cisco o no Cisco) enuna Tecnología inalámbrica o una infraestructura cableada bien-asegurada y no prohibe a accesode usuarios no autorizados a esto de otra manera la red segura, puede comprometer fácilmenteuna red segura.

La detección rogue permite que el administrador de la red monitoree y elimine estos problemas deseguridad. Cisco unificó la arquitectura de red proporciona los métodos para la detección rogueque habilitan una solución rogue completa de la identificación y de la contención sin la necesidadde costoso y duro-a-alinean las redes y las herramientas de recubrimiento.

prerrequisitos

Requisitos

Este documento asume que usted es familiar con las configuraciones de controlador básicas.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y dehardware.

La información que contiene este documento se basa en las siguientes versiones de software yhardware.

Cisco unificó la versión 7.0 corriente de los reguladores (serie de 2100, de 5500, 4400,WiSM,y NM-WLC)

●

Control y aprovisionamiento del protocolo del unto de acceso de red inalámbrica (CAPWAP) -revestimientos basados - 1130AG, 1140, 3500, 1200, 1230AG, 1240AG, 1250, yrevestimientos de las 1260 Series

●

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre lasconvenciones del documento.

Elimine las plantas débiles la descripción

Cualquier dispositivo que comparta su espectro y no es manejado por usted se puede considerarun granuja. Un granuja hace peligroso en estos escenarios:

Cuando está puesto para utilizar el mismo SSID que su red (honeypot).●

Cuando se detecta en la red alámbrica también.●

Los granujas ad hoc son también una amenaza grande.●

Ponga por un forastero, la mayoría de las veces, con el intento malicioso.●

Hay tres fases principales de Administración de dispositivo ficticio en la solución de la red delCisco Unified Wireless (UWN):

Detección – El analizar del Administración de recursos de radio (RRM) se utiliza para detectarla presencia de dispositivos ficticios.

●

Clasificación – El Discovery Protocol rogue de la ubicación (RLDP), los detectores rogue y elseguimiento del puerto del switch se utilizan para identificar si el dispositivo ficticio estáconectado con la red alámbrica. Las reglas rogue de la clasificación también ayudan a losgranujas de filtración en las categorías específicas basadas en sus características.

●

Mitigación – El cerrar del puerto del switch, la ubicación rogue, y la contención rogue seutilizan en el rastreo de su ubicación física y anular la amenaza del dispositivo ficticio.

●

//www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml

Teoría de operación rogue de la Administración

Detección rogue

Un granuja es esencialmente cualquier dispositivo que esté compartiendo su espectro, pero noestá en su control. Esto incluye el (APS) de los puntos de acceso no autorizado, el routerinalámbrico, los clientes rogue, y las redes ad-hoc del granuja. Cisco UWN utiliza varios métodospara detectar los dispositivos ficticios Wi-Fi-basados incluyendo la exploración del apagado-canaly las capacidades dedicadas del modo monitor. El Cisco Spectrum Expert puede también serutilizado para identificar los dispositivos ficticios no basados en el protocolo del 802.11, tal comoBridges de Bluetooth.

Exploración del Apagado-canal

Esta operación es realizada por el modo local y H−REAP (en el modo conectado) AP y utiliza unatécnica time-slicing que permita la exploración del Servicio al cliente y del canal usando la mismaradio. Yendo apagado canal por un período de 50ms cada 16 segundos, el AP, por abandono,pasa solamente un pequeño porcentaje de su tiempo que no sirve a los clientes. También,observe allí es un intervalo del cambio del canal 10ms que ocurrirá. En el intervalopredeterminado de la exploración de 180 segundos, cada FCC 2.4Ghz canaliza (1−11) se analizapor lo menos una vez. Para otros dominios reguladores, tales como ETSI, el AP estará de canalpara un porcentaje levemente más alto del tiempo. La lista de canales y de intervalo de laexploración se puede ajustar en RRM la configuración. Esto limita el impacto del rendimiento a unmáximo de 1.5% y la inteligencia se incorpora al algoritmo de suspender la exploración cuandolas tramas prioritarias de QoS, tales como Voz, necesitan ser entregadas.

Este gráfico es una pintura del algoritmo de la exploración del apagado-canal para un modo localAP en la banda de frecuencia 2.4GHz. Una operación similar se está realizando paralelamente enla radio 5GHz si el AP tiene un presente. Cada cuadrado rojo representa el tiempo pasado en elcanal AP a casa, mientras que cada cuadrado azul representa la hora pasada en los canalesadyacentes para analizar los propósitos.

El analizar del modo monitor

Esta operación es realizada por el modo monitor y el modo monitor adaptante AP del wIPS queutiliza el 100% de la época de la radio para analizar todos los canales en cada banda defrecuencia respectiva. Esto permite una mayor velocidad de la detección y habilita más hora deestar pasado en cada canal individual. El modo monitor AP es también superior lejano en ladetección de los clientes rogue pues tienen un más panorama amplio de la actividad que ocurreen cada canal.

Este gráfico es una pintura del algoritmo de la exploración del apagado-canal para un modomonitor AP en la banda de frecuencia 2.4GHz. Una operación similar se está realizandoparalelamente en la radio 5GHz si el AP tiene un presente.

Comparación del modo local y del modo monitor

Un modo local AP parte sus ciclos entre los clientes WLAN de la porción y los canales de laexploración para las amenazas. Como consecuencia, dura un modo local AP para completar unciclo a través de todos los canales, y pasa menos tiempo que recoge los datos en cualquier canalparticular para no interrumpir los funcionamientos del cliente. Por lo tanto, el granuja y los tiemposde la Detección de ataque son más largos (3 a 60 minutos) y un rango más pequeño sobre del -los ataques aéreos se pueden detectar que con un modo monitor AP. Además, la detección parael tráfico congestionado, tal como clientes rogue, es mucho menos determinista porque el APtiene que estar en el canal del tráfico al mismo tiempo que el tráfico se está transmitiendo o quese está recibiendo. Esto se convierte en un ejercicio en las probabilidades. Un modo monitor AP

gasta todos de sus ciclos que analizan los canales que buscan a los granujas y sobre - losataques aéreos. Un modo monitor AP puede ser utilizado simultáneamente para el wIPSadaptante, los servicios (sensibles al contexto) de la ubicación, y otros servicios del modomonitor. Cuando despliegan al modo monitor AP, las ventajas son una tiempo-a-detección másbaja. Cuando configuran al modo monitor AP además con el wIPS adaptante, una gama másamplia sobre - las amenazas y los ataques de aire pueden ser detectados.

Identificación rogue

Si la respuesta o los faros de la sonda de un dispositivo ficticio es oída por el modo local, el modoH-REAP, o el modo monitor AP, después esta información se comunica vía CAPWAP al reguladordel Wireless LAN (WLC) para procesar. Para prevenir los falsos positivos, varios métodos seutilizan para asegurarse que otros AP basados en Cisco manejados no están identificados comodispositivo ficticio. Estos métodos incluyen las actualizaciones del grupo de la movilidad, lospaquetes vecinos RF, y el anuncio blanco AP autónomos vía el sistema de control inalámbrico(WCS).

Expedientes del granuja

Mientras que la base de datos del regulador de los dispositivos ficticios contiene solamente elconjunto actual de los granujas detectados, el WCS también incluye un historial de eventos yregistra a los granujas que se ven no más.

Detalles rogue

UN CAPWAP AP va apagado-canal para 50ms para estar atenta los clientes rogue, el monitorpara el ruido, e interferencia del canal. Envían cualesquiera clientes o AP rogue detectados al

regulador, que recopila esta información:

La dirección MAC del granuja el AP●

Nombre del granuja detectado AP●

La dirección MAC rogue del cliente conectado●

Si las tramas están protegidas con el WPA o el WEP●

El preámbulo●

El relación señal-ruido (SNR)●

El indicador de la potencia de la señal del receptor (RSSI)●

Canal de detección rogue●

Radio en la cual detectan al granuja●

SSID rogue (si transmiten al granuja SSID)●

Dirección IP rogue●

Primero y última vez que señalan el granuja●

Ancho del canal●

Exportación de los eventos rogue

Para exportar los eventos rogue a un sistema de administración de red (NMS) de tercera personapara archival, los receptores de trampa SNMP adicionales de los permisos del WLC que seagregarán. Cuando el regulador detecta o es borrado a un granuja, un desvío que contiene estainformación se comunica a todos los receptores de trampa SNMP. Una advertencia con laexportación de los eventos vía el SNMP es que si los controladores múltiples detectan al mismogranuja, los eventos duplicados son considerados por el NMS como la correlación se hacesolamente en el WCS.

Descanso de registro rogue

Una vez un granuja que el AP se ha agregado a los expedientes WLC, él permanecerá allí hastaque se vea no más. Después de un descanso configurable del usuario (1200 segundos omiten),envejecen a un granuja en la categoría del _unclassified_ hacia fuera. Los granujas en otrosestados tales como _Contained_ y _Friendly_ persistirán para aplicar la clasificación apropiada aellos si reaparecen.

Hay un tamaño de la base de datos máximo para los expedientes rogue que es variable a travésde las Plataformas del regulador:

21XX y WLCM - 125 granujas●

44XX - 625 granujas●

WiSM - 1250 granujas●

5508 - 2000 granujas●

Clasificación rogue

Por abandono, consideran a todos los granujas que son detectados por Cisco UWN sin clasificar.Según lo representado en este gráfico, los granujas pueden ser clasificados en varios criteriosincluyendo el RSSI, el SSID, el tipo de la Seguridad, la red con./desc., y el número de clientes:

Detector rogue AP

Objetivos rogue del detector Un AP para correlacionar la información rogue oída sobre el aire conla información ARP obtenida de la red alámbrica. Si un MAC address se oye sobre el aire comoun granuja AP o cliente y también se oye en la red alámbrica, después determinan al granuja paraestar en la red alámbrica. Si detectan al granuja para estar en la red alámbrica, después lagravedad de la alarma para ese granuja AP se aumenta al _critical_. Debe ser observado que undetector rogue AP no es acertado en la identificación de los clientes rogue detrás de undispositivo usando el NAT.

Consideraciones del scalability

Un detector rogue AP puede detectar hasta 500 granujas y a 500 clientes rogue. Si el detectorrogue se coloca en un trunk con demasiados dispositivos ficticios, después estos límites pudieronser excedidos, que causa los problemas. Para evitar que esto ocurra, guarde el detector rogue APen la distribución o la capa de acceso de su red.

RLDP

El objetivo de RLDP es identificar si un granuja específico AP está conectado con lainfraestructura cableada. Esta característica esencialmente utiliza el AP unificado más cercanopara conectar con el dispositivo ficticio como cliente de red inalámbrica. Después de conectarcomo cliente, un paquete se envía con la dirección destino del WLC para evaluar si el AP estáconectado con la red alámbrica. Si detectan al granuja para estar en la red alámbrica, después lagravedad de la alarma para ese granuja AP se aumenta a crítico.

El algoritmo de RLDP se enumera aquí:

Identifique el AP unificado más cercano al granuja que usa los valores de la potencia de laseñal.

1.

El AP entonces conecta con el granuja como cliente WLAN, intentando tres asociacionesantes de medir el tiempo hacia fuera.

2.

Si la asociación es acertada, el AP después utiliza el DHCP para obtener una dirección IP.3.Si una dirección IP fue obtenida, el AP (que actúa como cliente WLAN) envía un paqueteUDP a cada uno de los IP Addresses del regulador.

4.

Si el regulador recibe incluso uno de los paquetes RLDP del cliente, marcan a ese granujacomo en-alambre con una gravedad de crítico.

5.

Nota: Los paquetes RLDP no pueden alcanzar el regulador si las reglas para filtros existen entrela red de regulador y la red donde se localiza el dispositivo ficticio.

Advertencias de RLDP

Los trabajos RLDP solamente con el granuja abierto AP que transmitía su SSID con la●

autenticación y el cifrado inhabilitaron.RLDP requiere que el AP manejado que actúa como cliente pueda obtener una dirección IPvía el DHCP en la red rogue

●

RLDP manual se puede utilizar para intentar y traza RLDP en las épocas múltiples rogue.●

Durante el proceso RLDP, el AP no puede servir a los clientes. Esto afectará negativamenteel funcionamiento y la Conectividad para el modo local AP.

●

RLDP no intenta conectar con un granuja AP que actúa en un canal 5GHz DF.●

Seguimiento del puerto del switch

El seguimiento del puerto del switch es una técnica de mitigación del granuja AP primeroimplementada en la versión 5.1. Aunque el seguimiento del puerto del switch se inicie en el WCS,utiliza el CDP y la información de SNMP para rastrear a un granuja a un puerto específico en lared. Para que el seguimiento del puerto del switch se ejecute, todo el Switches en la red se debeagregar al WCS con las credenciales SNMP. Aunque las credenciales solo lecturas trabajen paraidentificar el puerto el granuja está encendido, las credenciales de lectura/grabación permite queel WCS también cierre el puerto, así conteniendo la amenaza. Ahora, esta característica trabajasolamente con los switches Cisco que ejecutan el IOS con el CDP habilitado, y el CDP se debetambién habilitar en los AP manejados.

El algoritmo para el seguimiento del puerto del switch se enumera aquí:

El WCS encuentra el AP más cercano, que detecta al granuja AP sobre - ventila, y extrae asus vecinos CDP.

●

El WCS entonces utiliza el SNMP para examinar la tabla CAM dentro del switch de vecindad,buscando una coincidencia positiva para identificar la ubicación de los granujas.

●

Una coincidencia positiva se basa en la dirección MAC rogue exacta, +1/−1 la dirección MACrogue, ninguna elimina las plantas débiles los MAC Address del cliente, o una coincidenciaOUI basada en la información del vendedor inherente en una dirección MAC.

●

Si una coincidencia positiva no se encuentra en el Switch más cercano, el WCS continúabuscando los switches de vecindad hasta dos saltos lejos (por abandono).

●

Reglas rogue de la clasificación

Las reglas rogue de la clasificación, introducidas en la versión 5.0, permiten que usted defina unconjunto de condiciones que marcan a un granuja como malévolo o cómodo. Estas reglas seconfiguran en el WCS o el WLC, pero se realizan siempre en el regulador como descubren a losnuevos granujas.

Lea la clasificación rogue basada en las reglas del documento en los reguladores del WirelessLAN (WLC) y el sistema de control inalámbrico (WCS) para más información en las reglas rogueen el WLCs.

Elimine las plantas débiles la mitigación

Elimine las plantas débiles la contención

La contención es un método de usar sobre - los paquetes del aire para interrumpir temporalmenteel servicio en un dispositivo ficticio hasta que pueda ser quitada físicamente. La contencióntrabaja por los paquetes de la de-autenticación del spoofing con la dirección de origen del spoofeddel granuja AP para golpear cualquier cliente con el pie asociado apagado.

//www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080ad6b8d.shtml



Detalles rogue de la contención

Una contención iniciada en un granuja AP sin los clientes utilizará solamente las tramas de la de-autenticación enviadas a la dirección de broadcast:

Una contención iniciada en un granuja AP con los clientes utilizará las tramas de la de-autenticación enviadas a la dirección de broadcast y a la dirección cliente:

Los paquetes de la contención se envían en el nivel de potencia del AP manejado y a la velocidadde datos habilitada más baja.

La contención envía un mínimo de 2 paquetes cada 100ms:

Nota: A partir de la versión el 6.0, una contención realizada por el modo AP del NON-monitor seenvía en un intervalo de 500ms en vez del intervalo 100ms usado por el modo monitor AP.

Un dispositivo ficticio individual se puede contener por 1 a 4 AP manejados que trabajen en laconjunción para atenuar la amenaza temporalmente.

●

La contención se puede realizar usando el modo local, el modo monitor y el modo AP H-REAP (conectado). Para el modo local de H-REAP AP, un máximo de tres dispositivosficticios por la radio puede ser contenido. Para el modo monitor AP, un máximo de seisdispositivos ficticios por la radio puede ser contenido.

●

Auto-contención

Además manualmente de iniciar la contención en un dispositivo ficticio vía WCS o el WLC GUI,hay también la capacidad de poner en marcha automáticamente la contención bajo ciertosescenarios. Esta configuración se encuentra bajo el general en la sección rogue de las directivasde la interfaz WCS o del regulador. Cada uno de estas características se inhabilita por abandonoy se debe habilitar solamente para anular las amenazas más perjudiciales.

Granuja en el alambre - Si un dispositivo ficticio se identifica para ser asociado a la redalámbrica, después se pone automáticamente bajo contención.

●

Usando nuestro SSID - Si un dispositivo ficticio está utilizando un SSID que sea lo mismo queése configurado en el regulador, se contiene automáticamente. Esta característica apuntadirigir un ataque del miel-crisol antes de que estropee.

●

Cliente válido en el granuja AP - Si encuentran a un cliente enumerado en el ACS para serasociado a un dispositivo ficticio, la contención se inicia contra ese cliente solamente,evitando que se asocie a cualquier AP NON-manejado.

●

Granuja ad hoc AP - Si se descubre una red ad-hoc, se contiene automáticamente.●

Advertencias rogue de la contención

Porque la contención utiliza una porción de la época de la radio AP manejado de enviar lastramas de la de-autenticación, el funcionamiento a ambos clientes de los datos y de la Voz esafectado negativamente por el hasta 20%. Para los clientes de los datos, el impacto esrendimiento de procesamiento reducido. Para los clientes de la Voz, la contención puedecausar las interrupciones en las conversaciones y la Calidad de voz reducida.

●

La contención puede tener implicaciones legales cuando está iniciada contra las redesvecinas. Asegúrese de que el dispositivo ficticio esté dentro de su red y plantee un riesgo deseguridad antes de que usted ponga en marcha la contención.

●

El cerrar del puerto del switch

Una vez que un puerto del switch se localiza usando el SPT, hay una opción para inhabilitar esepuerto en el WCS. El administrador tiene que hacer este ejercicio manualmente. Una opción estádisponible habilitar el puerto del switch con el WCS si quitan al granuja físicamente de la red.

Administración rogue de la configuración

Detección rogue de la configuración

La detección rogue se habilita en el regulador por abandono.

Para encontrar los detalles rogue en un regulador que usa la interfaz gráfica, vaya al monitor > alos granujas.

En esta página, diversa clasificación para los granujas está disponible:

AP cómodos – Aps que son marcados como cómodo por el administrador.●

AP malévolos – Aps que se identifican como malévolos usando RLDP o el detector rogue AP.●

AP sin clasificar – Por abandono los AP rogue serán mostrados como lista sin clasificar en elregulador.

●

Clientes rogue – Clientes conectados para eliminar las plantas débiles los AP.●

Granujas ad hoc – Clientes rogue ad hoc.●

El AP rogue ignora la lista – Aps enumerados con el WCS.●

Nota: Si el WLC y el AP autónomo es manejado por el mismo WCS, el WLC enumeraráautomáticamente este AP autónomo en el granuja que el AP ignora la lista. No hay configuraciónadicional requerida en el WLC para habilitar esta característica.

Del CLI:

(Cisco Controller) >show rogue ap summary

Rogue on wire Auto-Contain....................... Disabled

Rogue using our SSID Auto-Contain................ Disabled

Valid client on rogue AP Auto-Contain............ Disabled

Rogue AP timeout................................. 1200

MAC Address Classification # APs # Clients Last Heard

----------------- ------------------ ----- --------- -----------------------

00:14:1b:5b:1f:90 Unclassified 1 0 Thu Jun 10 19:04:51 2010





00:17:df:a9:08:00 Unclassified 1 0 Thu Jun 10 18:49:50 2010





Haga clic una entrada rogue determinada para conseguir a los detalles de ese granuja.

Del CLI:

(Cisco Controller) >show rogue ap detailed 00:14:1b:5b:1f:90

Rogue BSSID...................................... 00:14:1b:5b:1f:90

Is Rogue on Wired Network........................ No

Classification................................... Unclassified

Manual Contained................................. No

State............................................ Alert

First Time Rogue was Reported.................... Thu Jun 10 18:37:50 2010

Last Time Rogue was Reported..................... Thu Jun 10 19:04:51 2010

Reported By

AP 1

MAC Address.............................. 00:24:97:8a:09:30

Name..................................... AP_5500

Radio Type............................... 802.11g

SSID..................................... doob

Channel.................................. 6

RSSI..................................... -51 dBm

SNR...................................... 27 dB

Encryption............................... Disabled

ShortPreamble............................ Enabled

WPA Support.............................. Disabled

Last reported by this AP................. Thu Jun 10 19:04:51 2010

Exploración del canal de la configuración para la detección rogue

Para un modo/un modo monitor locales/de Hreap AP hay una opción bajo RRM configuración quepermita que el usuario elija qué canal se analiza para los granujas. Dependiendo de los config, el

AP analiza todo el canal/el canal del país channel/DCA para los granujas.

Para configurar esto del GUI, vaya a la Tecnología inalámbrica > a 802.11a/802.11b > RRM >general.

Del CLI:

(Cisco Controller) >config advanced 802.11a monitor channel-list ?

all Monitor all channels

country Monitor channels used in configured country code

dca Monitor channels used by automatic channel assignment

Para configurar estas opciones, vaya a la Seguridad > las directivas inalámbricas de la protección> las directivas > general del granuja.

Cambie el descanso para el granuja AP.1.Habilite la detección de redes rogue ad hoc.2.

Del CLI:

(Cisco Controller) >config rogue ap timeout ?

<seconds> The number of seconds<240 - 3600> before rogue entries are flushed

(Cisco Controller) >config rogue adhoc enable/disable

Clasificación rogue de la configuración

Clasifique manualmente a un granuja AP

Para clasificar a un granuja AP como cómodo, malévolo, o sin clasificar, ir al monitor > al granuja> AP sin clasificar, y hacer clic el nombre determinado del granuja AP. Elija la opción de la listadesplegable.

Del CLI:

(Cisco Controller) >config rogue ap ?

classify Configures rogue access points classification.

friendly Configures friendly AP devices.

rldp Configures Rogue Location Discovery Protocol.

ssid Configures policy for rogue APs advertsing our SSID.

timeout Configures the expiration time for rogue entries, in seconds.

valid-client Configures policy for valid clients using rogue APs.

Para quitar una entrada rogue manualmente de la lista rogue, ir al monitor > al granuja > los APsin clasificar, y el tecleo quitan.

Para configurar a un granuja AP como AP cómodo, ir a la Seguridad > directivas inalámbricas dela protección > directivas del granuja > granujas cómodos y agregar la dirección MAC rogue.

Las entradas rogue cómodas agregadas se pueden verificar del monitor > de los granujas >página rogue cómoda.

Configure un detector rogue AP

Para configurar el AP como detector rogue usando el GUI, vaya a la Tecnología inalámbrica >todos los AP. Elija el nombre AP y cambie modo AP.

Del CLI:

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.

Are you sure you want to continue? (y/n) y

Switchport de la configuración para un detector rogue AP

(Cisco Controller) >config ap mode rogue AP_Managed

Changing the AP's mode will cause the AP to reboot.

Are you sure you want to continue? (y/n) y

Nota: El VLAN nativo en esta configuración es una que tiene conectividad del IP al WLC.

Configuración RLDP

Para configurar RLDP en el GUI del regulador, vaya a la Seguridad > las directivas inalámbricasde la protección > las directivas > general del granuja.

Modo monitor AP – Permite que solamente los AP en el modo monitor participen en RLDP.

Todos los AP – El Local/Hreap/el modo monitor AP participan en el proceso RLDP.

Discapacitado – RLDP no se acciona automáticamente. Sin embargo, el usuario puede accionarRLDP manualmente para un MAC Address determinado con el CLI.

Nota: El modo monitor AP conseguirá la preferencia sobre el local/Hreap AP para RLDP deejecución si ambos ellos están detectando a un granuja determinado sobre -85dbm RSSI.

Del CLI:

(Cisco Controller) >config rogue ap rldp enable ?

alarm-only Enables RLDP and alarm if rogue is detected

auto-contain Enables RLDP, alarm and auto-contain if rogue is detected.

(Cisco Controller) >config rogue ap rldp enable alarm-only ?

monitor-ap-only Perform RLDP only on monitor AP

RLDP scheduling and triggering manually is configurable only through Command

prompt

To Initiate RLDP manually:

(Cisco Controller) >config rogue ap rldp initiate ?

<MAC addr> Enter the MAC address of the rogue AP (e.g. 01:01:01:01:01:01).

For Scheduling RLDP

Note: RLDP scheduling and option to configure RLDP retries are two options

introduced in 7.0 through CLI

RLDP Scheduling :

(Cisco Controller) >config rogue ap rldp schedule ?

add Enter the days when RLDP scheduling to be done.

delete Enter the days when RLDP scheduling needs to be deleted.

enable Configure to enable RLDP scheduling.

disable Configure to disable RLDP scheduling.

(Cisco Controller) >config rogue ap rldp schedule add ?

mon Configure Monday for RLDP scheduling.

tue Configure Tuesday for RLDP scheduling.

wed Configure Wednesday for RLDP scheduling.

thu Configure Thursday for RLDP scheduling.

fri Configure Friday for RLDP scheduling.

sat Configure Saturday for RLDP scheduling.

sun Configure Sunday for RLDP scheduling.

RLDP retries can be configured using the command

(Cisco Controller) >config rogue ap rldp retries ?

<count> Enter the no.of times(1 - 5) RLDP to be tried per Rogue AP.

Para configurar la validación AAA para los clientes rogue, vaya a la Seguridad > las directivasinalámbricas de la protección > las directivas > general del granuja.

Habilitando esta opción se aseegura al granuja que el direccionamiento client/AP se verifica conel servidor de AAA antes de clasificarla como malévolo.

Del CLI:

(Cisco Controller) >config rogue client aaa ?

disable Disables use of AAA/local database to detect valid mac addresses.

enable Enables use of AAA/local database to detect valid mac addresses.

Para validar a un cliente rogue determinado es un granuja atado con alambre, hay una opciónpara marcar el accesibilidad de ese granuja determinado del regulador (si el regulador puededetectar el dirección IP del cliente rogue). Esta opción se puede acceder en la página rogue deldetalle del cliente y está disponible solamente a través de la interfaz gráfica.

Para configurar el seguimiento del puerto del switch, refiera al White Paper de la Administracióndel granuja del documento (clientes registrados solamente).

Configure la mitigación rogue

Configure la contención manual:

Para contener a un granuja AP manualmente, vaya al monitor > a los granujas > sin clasificar.

//www.cisco.com/en/US/partner/tech/tk722/tk809/technologies_white_paper09186a0080ae53d1.shtml

//www.cisco.com/en/US/partner/tech/tk722/tk809/technologies_white_paper09186a0080ae53d1.shtml

//tools.cisco.com/RPF/register/register.do

Del CLI:

(Cisco Controller) >config rogue client ?

aaa Configures to validate if a rogue client is a valid client using

AAA/local database.

alert Configure the rogue client to the alarm state.

contain Start containing a rogue client.

(Cisco Controller) >config rogue client contain 01:22:33:44:55:66 ?

<num of APs> Enter the maximum number of Cisco APs to actively contain the

rogue client [1-4].

Nota: Un granuja determinado puede ser contenido usando 1-4 AP. Por abandono, el reguladorutiliza un AP para contener a un cliente. Si dos AP pueden detectar a un granuja determinado, elAP con el RSSI más alto contiene al cliente sin importar modo AP.

Para configurar la contención auto, vaya a la Seguridad > las directivas inalámbricas de laprotección > las directivas > general del granuja, y habilite todas las opciones correctas para sured.

Del CLI:

(Cisco Controller) >config rogue adhoc ?

alert Stop Auto-Containment, generate a trap upon detection of the

adhoc rogue.

auto-contain Automatically containing adhoc rogue.

contain Start containing adhoc rogue.

disable Disable detection and reporting of Ad-Hoc rogues.

enable Enable detection and reporting of Ad-Hoc rogues.

external Acknowledge presence of a adhoc rogue.

(Cisco Controller) >config rogue adhoc auto-contain ?

(Cisco Controller) >config rogue adhoc auto-contain

Warning! Using this feature may have legal consequences

Do you want to continue(y/n) :y

Troubleshooting

Si no detectan al granuja:

Verifique que la detección del granuja esté habilitada en el AP usando este comando. Porabandono, la detección rogue se habilita en el AP.(Cisco_Controller) >show ap config generalManaged_AP

Cisco AP Identifier.............................. 2

Cisco AP Name.................................... Managed_AP

Country code..................................... US - United States

Regulatory Domain allowed by Country............. 802.11bg:-A 802.11a:-A

AP Country code.................................. US - United States

AP Regulatory Domain............................. 802.11bg:-A 802.11a:-A

Switch Port Number .............................. 2

MAC Address...................................... 00:1d:a1:cc:0e:9e

●

IP Address Configuration......................... DHCP

IP Address....................................... 10.8.99.104

IP NetMask....................................... 255.255.255.0

Gateway IP Addr.................................. 10.8.99.1

CAPWAP Path MTU.................................. 1485

Telnet State..................................... Enabled

Ssh State........................................ Disabled

Cisco AP Location................................ india-banaglore

Cisco AP Group Name.............................. default-group

Primary Cisco Switch Name........................ Cisco_e9:d9:23

Primary Cisco Switch IP Address.................. 10.44.81.20

Secondary Cisco Switch Name......................

Secondary Cisco Switch IP Address................ Not Configured

Tertiary Cisco Switch Name.......................

Tertiary Cisco Switch IP Address................. Not Configured

Administrative State ............................ ADMIN_ENABLED

Operation State ................................. REGISTERED

Mirroring Mode .................................. Disabled

AP Mode ......................................... Local

Public Safety ................................... Disabled

AP SubMode ...................................... Not Configured

Remote AP Debug ................................. Disabled

Logging trap severity level ..................... informational

Logging syslog facility ......................... kern

S/W Version .................................... 7.0.98.0

Boot Version ................................... 12.3.7.1

Mini IOS Version ................................ 3.0.51.0

Stats Reporting Period .......................... 209

LED State........................................ Enabled

PoE Pre-Standard Switch.......................... Enabled

PoE Power Injector MAC Addr...................... Override

Power Type/Mode.................................. Power injector / Normal mode

Number Of Slots.................................. 2

AP Model......................................... AIR-LAP1242AG-A-K9

AP Image......................................... C1240-K9W8-M

IOS Version...................................... 12.4(23c)JA

Reset Button..................................... Enabled

AP Serial Number................................. FTX1137B22V

AP Certificate Type.............................. Manufacture Installed

AP User Mode..................................... AUTOMATIC

AP User Name..................................... Not Configured

AP Dot1x User Mode............................... GLOBAL

AP Dot1x User Name............................... Cisco12

Cisco AP system logging host..................... 255.255.255.255

AP Up Time....................................... 13 days, 15 h 01 m 33 s

AP LWAPP Up Time................................. 13 days, 15 h 00 m 40 s

Join Date and Time............................... Tue Jun 1 10:36:38 2010

Join Taken Time.................................. 0 days, 00 h 00 m 52 s

Ethernet Port Duplex............................. Auto

Ethernet Port Speed.............................. Auto

AP Link Latency.................................. Enabled

Current Delay................................... 0 ms

Maximum Delay................................... 56 ms

Minimum Delay................................... 2 ms

Last updated (based on AP Up Time).............. 13 days, 15 h 00 m 44 s

Rogue Detection.................................. Enabled

AP TCP MSS Adjust................................ Disabled

La detección rogue se puede habilitar en un AP usando este comando:(Cisco Controller)>config rogue detection enable ?

all Applies the configuration to all connected APs.

<Cisco AP> Enter the name of the Cisco AP.

Un modo local AP analiza solamente los canales del país channels/DCA dependiendo de la●

configuración. Si el granuja está en cualquier otro canal, el regulador no puede identificar algranuja si usted no tiene el modo monitor AP en la red. Ejecute este comando paraverificar:(Cisco Controller) >show advanced 802.11a monitor

Default 802.11a AP monitoring

802.11a Monitor Mode........................... enable

802.11a Monitor Mode for Mesh AP Backhaul...... disable

802.11a Monitor Channels....................... Country channels

802.11a AP Coverage Interval................... 180 seconds

802.11a AP Load Interval....................... 60 seconds

802.11a AP Noise Interval...................... 180 seconds

802.11a AP Signal Strength Interval............ 60 seconds

El AP rogue puede no transmitir el SSID.●

Aseegurese al granuja que la dirección MAC AP no se agrega en el WCS directo mencionadorogue cómodo del lista o blanco.

●

Los faros del granuja AP pueden no ser accesibles al AP que detecta a los granujas. Estopuede ser verificada capturando el paquete usando un sniffer cerca del granuja de AP-detección.

●

Un modo local AP puede tomar hasta 9 minutos para detectar a un granuja (3 ciclos 180x3).●

Cisco AP no puede detectar a los granujas en las frecuencias como el canal de la seguridadpública (4.9 gigahertz).

●

Cisco AP no puede detectar a los granujas el trabajar en FHSS (espectro de propagación delsalto de frecuencia).

●

Debugs útiles

(Cisco Controller) >show advanced 802.11a monitor

Default 802.11a AP monitoring

802.11a Monitor Mode........................... enable

802.11a Monitor Mode for Mesh AP Backhaul...... disable

802.11a Monitor Channels....................... Country channels

802.11a AP Coverage Interval................... 180 seconds

802.11a AP Load Interval....................... 60 seconds

802.11a AP Noise Interval...................... 180 seconds

802.11a AP Signal Strength Interval............ 60 seconds

debug dot11 rogue enable

(Cisco_Controller) >*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12

Looking for Rogue 00:27:0d:8d:14:12 in known AP table

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Rogue AP 00:27:0d:8d:14:12

is not found either in AP list or neighbor, known or Mobility group AP lists

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 Change state from 0 to 1

for rogue AP 00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 rg change state Rogue AP:

00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.009: 00:27:0d:8d:14:12 New RSSI report from AP

00:1b:0d:d4:54:20 rssi -74, snr -9 wepMode 129

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg send new rssi -74

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Updated AP report

00:1b:0d:d4:54:20 rssi -74, snr -9

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:27:0d:8d:14:12 rg new Rogue AP:

00:27:0d:8d:14:12

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Found Rogue AP:

00:24:97:2d:bf:90 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Added Rogue AP:

00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Looking for Rogue

00:24:97:2d:bf:90 in known AP table

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Rogue AP 00:24:97:2d:bf:90


*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Change state from 0 to 1

for rogue AP 00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg change state Rogue AP:

00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 New RSSI report from AP

00:1b:0d:d4:54:20 rssi -56, snr 34 wepMode 129

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg send new rssi -56

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Updated AP report

00:1b:0d:d4:54:20 rssi -56, snr 34

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.010: 00:24:97:2d:bf:90 rg new Rogue AP:

00:24:97:2d:bf:90

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Found Rogue AP:

9c:af:ca:0f:bd:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Added Rogue AP:

9c:af:ca:0f:bd:40

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Looking for Rogue

9c:af:ca:0f:bd:40 in known AP table

*apfRogueTask: Jun 15 01:45:09.010: 9c:af:ca:0f:bd:40 Rogue AP 9c:af:ca:0f:bd:40

is not found eithe*apfRogueTask: Jun 15 01:45:09.011: 00:25:45:a2:e1:62

Updated AP report 00:1b:0d:d4:54:20 rssi -73, snr 24

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 Manual Contained Flag = 0

*apfRogueTask: Jun 15 01:45:09.012: 00:25:45:a2:e1:62 rg new Rogue AP:

00:25:45:a2:e1:62

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Found Rogue AP:

00:24:c4:ad:c0:40 on slot 0

*apfRogueTask: Jun 15 01:45:09.012: 00:24:c4:ad:c0:40 Added Rogue AP:

00:24:c4:ad:c0:40

Registros previstos del desvío

Detectan una vez a un granuja









00:27:0d:8d:14:12





00:1b:0d:d4:54:20 rssi -74, snr -9



00:27:0d:8d:14:12


00:24:97:2d:bf:90 on slot 0


00:24:97:2d:bf:90








00:24:97:2d:bf:90





00:1b:0d:d4:54:20 rssi -56, snr 34



00:24:97:2d:bf:90




9c:af:ca:0f:bd:40








00:25:45:a2:e1:62


00:24:c4:ad:c0:40 on slot 0


00:24:c4:ad:c0:40

Una entrada rogue se quita una vez de la lista rogue









00:27:0d:8d:14:12





00:1b:0d:d4:54:20 rssi -74, snr -9



00:27:0d:8d:14:12


00:24:97:2d:bf:90 on slot 0


00:24:97:2d:bf:90








00:24:97:2d:bf:90





00:1b:0d:d4:54:20 rssi -56, snr 34



00:24:97:2d:bf:90




9c:af:ca:0f:bd:40








00:25:45:a2:e1:62


00:24:c4:ad:c0:40 on slot 0


00:24:c4:ad:c0:40

Recomendaciones

Configure el canal que analiza a todos los canales si usted sospecha a los granujaspotenciales en su red

1.

Dependiendo de la disposición de la red alámbrica, el número y la ubicación del detectorrogue AP pueden variar a partir del uno por el suelo a uno por el edificio. Es recomendabletener por lo menos un detector rogue AP en cada suelo de un edificio. Porque un detectorrogue AP requiere un trunk a todos los dominios del broadcast de red de la capa 2 quedeban ser monitoreados, la colocación es dependiente en la disposición lógica de la red.

2.

Si el granuja no está consiguiendo clasificado

Verifique las reglas rogue se configuran correctamente.●

Si el granuja está en el canal DF, RLDP no trabaja.●

RLDP trabaja solamente si la red inalámbrica (WLAN) del granuja está abierta y el DHCPestá disponible.

●

Si el modo local AP está sirviendo al cliente en el canal DF, no participará en el procesoRLDP.

●

Debugs útiles

(Cisco Controller) > debug dot11 rogue rule enable

(Cisco Controller) > debug dot11 rldp enable

Received Request to detect rogue: 00:1A:1E:85:21:B0

00:1a:1e:85:21:b0 found closest monitor AP 00:17:df:a7:20:d0slot =1 channel = 44

Found RAD: 0x158f1ea0, slotId = 1

rldp started association, attempt 1

Successfully associated with rogue: 00:1A:1E:85:21:B0

!--- ASSOCIATING TO ROGUE AP Starting dhcp 00:1a:1e:85:21:b0 RLDP DHCP SELECTING for rogue

00:1a:1e:85:21:b0 00:1a:1e:85:21:b0 Initializing RLDP DHCP for rogue 00:1a:1e:85:21:b0

.00:1a:1e:85:21:b0 RLDP DHCPSTATE_INIT for rogue 00:1a:1e:85:21:b0 00:1a:1e:85:21:b0 RLDP

DHCPSTATE_REQUESTING sending for rogue 00:1a:1e:85:21:b0 00:1a:1e:85:21:b0 Sending DHCP packet

through rogue AP 00:1a:1e:85:21:b0 00:1a:1e:85:21:b0 RLDP DHCP REQUEST RECV for rogue

00:1a:1e:85:21:b0 00:1a:1e:85:21:b0 RLDP DHCP REQUEST received for rogue 00:1a:1e:85:21:b0

00:1a:1e:85:21:b0 RLDP DHCP BOUND state for rogue 00:1a:1e:85:21:b0 Returning IP 172.20.226.246,

netmask 255.255.255.192, gw 172.20.226.193 !--- GETTING IP FROM ROGUE Found Gateway MacAddr:

00:1D:70:F0:D4:C1 Send ARLDP to 172.20.226.198 (00:1D:70:F0:D4:C1) (gateway) Sending ARLDP

packet to 00:1d:70:f0:d4:c1 from 00:17:df:a7:20:de Send ARLDP to 172.20.226.197

(00:1F:9E:9B:29:80) Sending ARLDP packet to 00:1f:9e:9b:29:80 from 00:17:df:a7:20:de Send ARLDP

to 0.0.0.0 (00:1D:70:F0:D4:C1) (gateway) Sending ARLDP packet to 00:1d:70:f0:d4:c1 from

00:17:df:a7:20:de !--- SENDING ARLDP PACKET Received 32 byte ARLDP message from:

172.20.226.24642 Packet Dump: sourceIp: 172.20.226.246 destIp: 172.20.226.197 Rogue Mac:

00:1A:1E:85:21:B0 !--- RECEIVING ARLDP PACKET security: 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00

Recomendaciones

RLDP iniciado manualmente en las entradas rogue sospechosas.1.Horario RLDP periódicamente.2.Si usted ha conocido las entradas rogue, agreguelas en la lista cómoda o habilite lavalidación con el AAA y aseegurese al cliente conocido que las entradas están allí en labase de datos de AAA.

3.

RLDP se puede desplegar en el local o el modo monitor AP. Para la mayoría de lasimplementaciones scalable, y eliminar cualquier impacto en el Servicio al cliente, RLDP sedebe desplegar en el modo monitor AP cuando es posible. Sin embargo, esta

4.

recomendación requiere que desplieguen a un modo monitor que el AP cubrió con unarelación de transformación típica como 1 modo monitor AP para cada 5 modo local AP. LosAP en el modo monitor adaptante del wIPS pueden también ser apalancados para estatarea.

Detector rogue AP

La entrada rogue en un detector rogue se puede considerar usando este comando en la consolaAP. Para los granujas atados con alambre, el indicador será fijado.

Rogue_Detector_5500#show capwap rm rogue detector

CAPWAP Rogue Detector Mode

Current Rogue Table:

Rogue hindex = 0: MAC 0023.ebdc.1ac6, flag = 0, unusedCount = 1

Rogue hindex = 2: MAC 0023.04c9.72b9, flag = 1, unusedCount = 1

!--- once the flag is set, rogue is detected on wire Rogue hindex = 2: MAC 0023.ebdc.1ac4, flag

= 0, unusedCount = 1 Rogue hindex = 3: MAC 0026.cb4d.6e20, flag = 0, unusedCount = 1 Rogue

hindex = 4: MAC 0026.cb9f.841f, flag = 0, unusedCount = 1 Rogue hindex = 4: MAC 0023.04c9.72bf,

flag = 0, unusedCount = 1 Rogue hindex = 4: MAC 0023.ebdc.1ac2, flag = 0, unusedCount = 1 Rogue

hindex = 4: MAC 001c.0f80.d450, flag = 0, unusedCount = 1 Rogue hindex = 6: MAC 0023.04c9.72bd,

flag = 0, unusedCount = 1

Comandos debug útiles en una consola AP

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1ac4


*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.3570


*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3ff0


*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec

*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77

*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794

*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80

*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710

*Jun 18 08:38:19.325: ROGUE_DET: Got ARP src 001d.a1cc.0e9e

*Jun 18 08:38:19.325: ROGUE_DET: Got wired mac 001d.a1cc.0e9e



Si es rogue la contención no ocurre:

El modo local/de Hreap AP puede contener 3 en un momento de los dispositivos por la radio,1.

y el modo monitor AP puede contener 6 dispositivos por la radio. Como consecuencia,aseegurese el AP está conteniendo ya el número máximo de dispositivos permitidos. Eneste escenario, el cliente está en un estado pendiente de la contención.Verifique las reglas autos de la contención.2.

Registros previstos del desvío

Rogue_Detector#debug capwap rm rogue detector

*Jun 18 08:37:59.747: ROGUE_DET: Received a rogue table update of length 170



*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1aca

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acb

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acc

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acd

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0023.ebdc.1acf

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.1431.e9ef

*Jun 18 08:37:59.747: ROGUE_DET: Got wired mac 0024.148a.ca2b

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2d

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.148a.ca2f



*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357b

*Jun 18 08:37:59.748: ROGUE_DET: Got wired mac 0024.14e8.357c

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357d

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.357f

*Jun 18 08:37:59.749: ROGUE_DET: Got wired mac 0024.14e8.3dcd



*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4aec

*Jun 18 08:37:59.774: ROGUE_DET: Got wired mac 0040.96b9.4b77

*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0040.96b9.4794

*Jun 18 08:37:59.774: ROGUE_DET: Flushing rogue entry 0022.0c97.af80

*Jun 18 08:37:59.775: ROGUE_DET: Flushing rogue entry 0024.9789.5710





Conclusión

La detección rogue y la contención dentro de la solución centralizada Cisco del regulador esmétodo más eficaz y el menos más intruso de la industria. La flexibilidad proporcionada aladministrador de la red permite un más ajuste personalizado que pueda acomodar cualquierrequisito de la red.

Información Relacionada

Clasificación rogue basada en las reglas en los reguladores del Wireless LAN (WLC) y elsistema de control inalámbrico (WCS)

●

Detección rogue bajo redes inalámbricas unificadas●

White Paper rogue de la Administración (clientes registrados solamente)●

Guía de configuración del controlador LAN de la tecnología inalámbrica de Cisco, versión 7.0●

Soporte Técnico y Documentación - Cisco Systems●

//www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080ad6b8d.shtml?referring_site=bodynav

//www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080ad6b8d.shtml?referring_site=bodynav

//www.cisco.com/en/US/tech/tk722/tk809/technologies_white_paper09186a0080722d8c.shtml?referring_site=bodynav

//www.cisco.com/en/US/partner/tech/tk722/tk809/technologies_white_paper09186a0080ae53d1.shtml?referring_site=bodynav

//tools.cisco.com/RPF/register/register.do

//www.cisco.com/en/US/docs/wireless/controller/7.0/configuration/guide/c70.html?referring_site=bodynav

//www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

Documents

Administración rogue en una red inalámbrica unificada · Administración rogue en una red inalámbrica unificada Contenido Introducción prerrequisitos Requisitos Componentes Utilizados