识别并定位9800无线控制器上的非法AP/客户端

下载选项

  • PDF     (1.5 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.0 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 2 月 16 日
文档 ID:221688

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何使用9800无线控制器检测和定位欺诈接入点或欺诈客户端。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • IEEE 802.11基础知识。 

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科无线9800-L控制器IOS® XE 17.12.1
    • Cisco Catalyst 9130AXI系列接入点。 

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    Cisco非法接入点是指在网络管理员不知情或未经网络管理员批准的情况下安装的未经授权的无线接入点。这些恶意接入点可能会给网络带来安全风险,攻击者可以利用它们获得未经授权的访问、拦截敏感信息或发起其他恶意活动。Cisco Wireless Intrusion Prevention System(WIPS)是专为识别和管理欺诈接入点而设计的解决方案。

    思科欺诈客户端(也称为欺诈工作站或欺诈设备)是指连接到欺诈接入点的未经授权且可能恶意的无线客户端设备。与恶意接入点类似,恶意客户端也会带来安全风险,因为攻击者无需适当授权即可连接到网络。思科提供工具和解决方案,帮助检测并缓解欺诈客户端的存在,以维护网络安全。

    场景

    场景1:检测并定位欺诈接入点

    接下来的步骤显示如何使用9800无线控制器帮助检测非法客户端或非用户网络管理的接入点: 

    1. 使用无线控制器查找哪个接入点检测到欺诈设备: 

    您可以通过GUI或CLI查看欺诈接入点或欺诈客户端;对于GUI,请依次转到Monitoring选项卡、Wireless并选择Rogue,然后可以使用过滤器查找欺诈设备,对于CLI,可以使用命令show wireless wps rogue ap summary查看所有检测到的欺诈设备,也可以使用命令show wireless wps rogue ap detailed <mac-addr>查看特定欺诈设备的详细信息。 

    以下是通过show wireless wps rogue ap summary命令从CLI查看非法设备列表的结果:

    9800L#show wireless wps rogue ap summary
    Rogue Location Discovery Protocol : Disabled
    Validate rogue APs against AAA : Disabled
    Rogue Security Level : Custom
    Rogue on wire Auto-Contain : Disabled
    Rogue using our SSID Auto-Contain : Disabled
    Valid client on rogue AP Auto-Contain : Disabled
    Rogue AP timeout : 1200
    Rogue init timer : 180

    Total Number of Rogue APs : 137
    MAC Address Classification State #APs #Clients Last Heard Highest-RSSI-Det-AP RSSI Channel Ch.Width GHz
    -----------------------------------------------------------------------------------------------------------------------------------
    0014.d1d6.a6b7 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -85 1 20 2.4
    002a.10d3.4f0f Unclassified Alert 1 0 01/31/2024 21:17:39 1416.9d7f.a220 -54 36 80 5
    002a.10d4.b2e0 Unclassified Alert 1 0 01/31/2024 21:17:39 1416.9d7f.a220 -60 36 40 5
    0054.afca.4d3b Unclassified Alert 1 0 01/31/2024 21:26:29 1416.9d7f.a220 -86 1 20 2.4
    00a6.ca8e.ba80 Unclassified Alert 1 2 01/31/2024 21:27:20 1416.9d7f.a220 -49 11 20 2.4
    00a6.ca8e.ba8f Unclassified Alert 1 0 01/31/2024 21:27:50 1416.9d7f.a220 -62 140 80 5
    00a6.ca8e.bacf Unclassified Alert 1 0 01/31/2024 21:27:50 1416.9d7f.a220 -53 140 40 5
    00f6.630d.e5c0 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -48 1 20 2.4
    00f6.630d.e5cf Unclassified Alert 1 0 01/31/2024 21:27:40 1416.9d7f.a220 -72 128 20 5
    04f0.212d.20a8 Unclassified Alert 1 0 01/31/2024 21:27:19 1416.9d7f.a220 -81 1 20 2.4
    04f0.2148.7bda Unclassified Alert 1 0 01/31/2024 21:24:19 1416.9d7f.a220 -82 1 20 2.4
    0c85.259e.3f30 Unclassified Alert 1 0 01/31/2024 21:21:30 1416.9d7f.a220 -63 11 20 2.4
    0c85.259e.3f32 Unclassified Alert 1 0 01/31/2024 21:21:30 1416.9d7f.a220 -63 11 20 2.4
    0c85.259e.3f3c Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -83 64 20 5
    0c85.259e.3f3d Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -82 64 20 5
    0c85.259e.3f3f Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -82 64 20 5
    12b3.d617.aac1 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -72 1 20 2.4
    204c.9e4b.00ef Unclassified Alert 1 0 01/31/2024 21:27:40 1416.9d7f.a220 -59 116 20 5
    22ad.56a5.fa54 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -85 1 20 2.4
    4136.5afc.f8d5 Unclassified Alert 1 0 01/31/2024 21:27:30 1416.9d7f.a220 -58 36 20 5
    5009.59eb.7b93 Unclassified Alert 1 0 01/31/2024 21:28:09 1416.9d7f.a220 -86 1 20 2.4
    683b.78fa.3400 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -69 6 20 2.4
    683b.78fa.3401 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -69 6 20 2.4
    683b.78fa.3402 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -72 6 20 2.4
    683b.78fa.3403 Unclassified Alert 1 0 01/31/2024 21:28:00 1416.9d7f.a220 -72 6 20 2.4 
    ...

    2.您可以过滤在9800控制器上配置的某个WLAN,以查看是否有任何非法设备广播相同的WLAN,下图显示我的C9130在两个频段上检测到此恶意设备的结果:

    RogueGUI欺诈列表

    3.列出检测到欺诈设备的接入点。

    您可以查看检测到欺诈设备的AP,下图显示检测到此欺诈设备的AP、信道、RSSI值和其他信息:

    Rogue GUI-detected APsGUI欺诈AP详细信息

    在CLI中,您可以通过命令show wireless wps rogue ap detailed <mac-addr>查看此信息。

    4.根据最近的RSSI值查找离欺诈设备最近的接入点。 

    根据检测到欺诈设备的接入点数量,您必须根据无线控制器上显示的RSSI值查找最近的AP,在下一个示例中,只有一个AP检测到欺诈设备,但是其RSSI值很高,这意味着欺诈设备离我的AP非常近。 

    接下来是show wireless wps rogue ap detailed <mac-addr>命令的输出,用于查看AP/WLC听到此欺诈设备的信道,以及RSSI值:

    9800L#show wireless wps rogue ap detailed 6c8d.7793.834f
    Rogue Event history

    Timestamp #Times Class/State Event Ctx RC
    -------------------------- -------- ----------- -------------------- ------------------------- ----
    01/31/2024 22:45:39.814917 1154 Unc/Alert FSM_GOTO Alert 0x0
    01/31/2024 22:45:39.814761 1451 Unc/Alert EXPIRE_TIMER_START 1200s 0x0
    01/31/2024 22:45:39.814745 1451 Unc/Alert RECV_REPORT 1416.9d7f.a220/34 0x0
    01/31/2024 22:45:29.810136 876 Unc/Alert NO_OP_UPDATE 0x0
    01/31/2024 19:36:10.354621 1 Unc/Pend HONEYPOT_DETECTED 0x0
    01/31/2024 19:29:49.700934 1 Unc/Alert INIT_TIMER_DONE 0xab98004342001907 0x0
    01/31/2024 19:26:49.696820 1 Unk/Init INIT_TIMER_START 180s 0x0
    01/31/2024 19:26:49.696808 1 Unk/Init CREATE 0x0


    Rogue BSSID : 6c8d.7793.834f
    Last heard Rogue SSID : RogueTest
    802.11w PMF required : No
    Is Rogue an impersonator : No
    Is Rogue on Wired Network : No
    Classification : Unclassified
    Manually Contained : No
    State : Alert
    First Time Rogue was Reported : 01/31/2024 19:26:49
    Last Time Rogue was Reported : 01/31/2024 22:45:39

    Number of clients : 0

    Reported By
    AP Name : C9130
    MAC Address : 1416.9d7f.a220
    Detecting slot ID : 1
    Radio Type : dot11ax - 5 GHz
    SSID : RogueTest
    Channel : 36 (From DS)
    Channel Width : 20 MHz
    RSSI : -43 dBm
    SNR : 52 dB
    ShortPreamble : Disabled
    Security Policy : Open
    Last reported by this AP : 01/31/2024 22:45:39

    5.收集同一信道上的空中捕获以定位欺诈设备。 

    现在找到了此欺诈AP广播的通道,根据RSSI值,9130接入点在–35dBm处听到此欺诈,这被认为是非常接近的,这样您就可以知道此欺诈位于哪个区域,下一步是收集无线捕获。 

    下图显示信道36上的空中捕获,从OTA您可以看到欺诈AP对受管接入点执行遏制取消身份验证攻击:

    Rogue AP OTA欺诈AP OTA捕获

    您可以使用上图中的信息了解此欺诈无线接入点的距离有多近,至少您可以了解此欺诈无线接入点实际位于何处。您可以通过欺诈AP无线电MAC地址进行过滤,如果检查空中是否有信标数据包,您将能够看到欺诈当前是否处于活动状态。 

    场景2:检测并定位发送取消身份验证泛洪的恶意客户端

    接下来的步骤显示如何使用9800无线控制器查找连接到非由用户网络管理的欺诈接入点的欺诈客户端或执行取消身份验证攻击的欺诈客户端:

    1.使用无线控制器查找欺诈客户端。

    在无线控制器GUI中,导航到Monitoring选项卡Wireless,然后选择Rogue Clients,或者您可以从CLI使用命令show wireless wps rogue client summary列出在控制器上检测到的恶意客户端:

    Rogue Client List GUI欺诈客户端列表GUI

    下一个输出显示CLI结果: 

    9800L#show wireless wps rogue client summary

    Validate rogue clients against AAA : Disabled
    Validate rogue clients against MSE : Disabled

    Number of rogue clients detected : 49

    MAC Address State # APs Last Heard 
    -------------------------------------------------------------------------
    0021.6a9b.b944 Alert 1 02/15/2024 17:22:44 
    0cb8.1575.8a5c Alert 1 02/15/2024 17:08:14 
    1a59.5f0f.cae0 Alert 1 02/15/2024 17:20:44 
    341b.2d61.cd83 Alert 1 02/15/2024 17:03:54 
    62b8.db39.c532 Alert 1 02/15/2024 17:08:14 
    70f3.5a7c.8f70 Alert 1 02/15/2024 17:18:54 
    70f3.5a7c.9150 Alert 1 02/15/2024 17:23:04 
    70f3.5a7c.9710 Alert 1 02/15/2024 17:22:34 
    70f3.5a7c.bed0 Alert 1 02/15/2024 17:22:54 
    70f3.5a7c.cbd0 Alert 2 02/15/2024 17:17:24 
    70f3.5a7c.d030 Alert 1 02/15/2024 17:20:44 
    70f3.5a7c.d050 Alert 1 02/15/2024 17:20:44 
    70f3.5a7c.d0b0 Alert 1 02/15/2024 17:16:54 
    70f3.5a7c.d110 Alert 2 02/15/2024 17:18:24 
    70f3.5a7c.d210 Alert 1 02/15/2024 17:20:24 
    70f3.5a7c.d2f0 Alert 2 02/15/2024 17:23:04 
    70f3.5a7c.f850 Alert 1 02/15/2024 17:19:04 
    70f3.5a7f.8971 Alert 1 02/15/2024 17:16:44 
    ...

    2.下一个输出示例显示有关托管的AP 9130在通道132上检测到的mac地址为0021.6a9b.b944的恶意客户端的详细信息,下一个输出显示更多详细信息: 

    9800L#show wireless wps rogue client detailed 0021.6a9b.b944

    Rogue Client Event history

    Timestamp #Times State Event Ctx RC
    -------------------------- -------- ----------- -------------------- ------------------------- ----
    02/15/2024 17:22:44.551882 5 Alert FSM_GOTO Alert 0x0
    02/15/2024 17:22:44.551864 5 Alert EXPIRE_TIMER_START 1200s 0x0
    02/15/2024 17:22:44.551836 5 Alert RECV_REPORT 0x0
    02/15/2024 17:15:14.543779 1 Init CREATE 0x0

    Rogue BSSID : 6c8d.7793.834f
    SSID : Testing-Rogue
    Gateway : 6c8d.7793.834f
    Rogue Radio Type : dot11ax - 5 GHz
    State : Alert
    First Time Rogue was Reported : 02/15/2024 17:15:14
    Last Time Rogue was Reported : 02/15/2024 17:22:44

    Reported by
    AP : C9130
    MAC Address : 1416.9d7f.a220
    Detecting slot ID : 1
    RSSI : -83 dBm
    SNR : 12 dB
    Channel : 132
    Last reported by this AP : 02/15/2024 17:22:44

    3.收集同一信道上的空中捕获后,您可以看到您有未经身份验证的泛洪,其中恶意客户端使用其中一个托管接入点BSSID断开客户端: 

    De-authentication OTA取消身份验证OTA

    数据包的RSSI值很高,这意味着恶意客户端在物理上接近托管接入点。 

    4.将恶意客户端从网络中移除后,下图显示了一个干净的网络和一个健康的无线环境:

    Healthy OTA正常的OTA

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    16-Feb-2024
    首次公开发布
    1.0
    15-Feb-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗萨莉亚·阿胡拉尼
      思科升级工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品