- Cisco Community
- Communauté Cisco
- Réseaux Sans-fil
- Documents de Réseaux Sans-fil
- CleanAir intercepte le canal WiFi invalide et le WiFi inversé.
- S'abonner au fil RSS
- Marquer comme nouveau
- Marquer comme lu
- Marquer
- S'abonner
- Page imprimable
- Signaler un contenu inapproprié
- S'abonner au fil RSS
- Marquer comme nouveau
- Marquer comme lu
- Marquer
- S'abonner
- Page imprimable
- Signaler un contenu inapproprié
10-04-2019 01:14 AM - modifié 17-04-2019 02:50 PM
Table des matières
Cisco CleanAir signalera les interruptions suivantes sur les WLC CUWN:
- AP APNAME06[1] (50:1c:bf:b4:d8:00) Device ID: 0x20f9, Type: WiFi Invalid Channel[31], Severity: 0, Channels: 149, Cluster ID: 0e:58:c0:79:38:7d, Previous Cluster ID: 0e:58:c0:79:38:7d, Event: Set
- AP APNAME17[0] (34:db:fd:d4:62:60) Device ID: 0xd979, Type: WiFi Invalid Channel[31], Severity: 0, Channels: 11, Cluster ID: 0e:58:c0:7b:e0:1a, Previous Cluster ID: 0e:58:c0:7b:e0:1a, Event: Set
- AP APNAME806[1] (50:1c:bf:b4:d8:00) Device ID: 0x20f2, Type: WiFi Inverted[30], Severity: 2, Channels: 149, Cluster ID: 0e:58:c0:7b:c9:8c, Previous Cluster ID: 0e:58:c0:7b:c9:8c, Event: Clear
Il est plus probable que ces dispositifs d’interférence RF envoient des signaux RF inversés ou des signaux sur des canaux 802.11 invalides (quelque part dans les bandes 2,4 GHz et 5 GHz), et sont donc signalés comme tels (CleanAir n’a pas été en mesure de confirmer le type de périphérique spécifique était, mais a pu remarquer des signaux inversés ou des signaux sur ces canaux non valides, et donc les messages).
Fondamentalement, le message de canal WiFi invalide signifie que les points d'accès ont détecté certains dispositifs de brouillage RF émettant sur une fréquence centrale décalée. Par exemple, nous avons 1 - 13 canaux sur 2,4 GHz, imaginant un périphérique émettant sur le canal 6.5 (entre 6 et 7), ce sera un canal invalide, qui est détecté par le Spectrum Expert de notre ClearAir.
Qu'est-ce que WiFi Inverted signifie?
Le WiFi est codé sur le support physique en utilisant les données I et Q; c'est la relation entre la phase, l'amplitude et la fréquence. Le document suivant explique cela en profondeur:
Fondamentalement, le WiFi spectralement inversé est un signal WiFi avec I et Q inversés; si vous avez un émetteur et un récepteur, attendez-vous à cela, vous avez un pont indétectable (car les puces WiFi normales verront du bruit).
À propos des Logs
Les logs indiquent essentiellement le point d'accès et la radio qui ont détecté le canal invalide ou le signal inversé, ainsi que le canal utilisé par le point d'accès sont susceptibles d'être affectés par ce périphérique interféreur RF:
AP APNAME1[1] (84:78:ac:e8:23:80) Device ID: 0x613e, Type: WiFi Invalid Channel[31], Severity: 2, Channels: 149, Cluster ID: 0e:58:c0:73:61:c1, Previous Cluster ID: 0e:58:c0:73:61:c1, Event: Clear
AP APNAME806[1] (50:1c:bf:b4:d8:00) Device ID: 0x20f2, Type: WiFi Inverted[30], Severity: 2, Channels: 149, Cluster ID: 0e:58:c0:7b:c9:8c, Previous Cluster ID: 0e:58:c0:7b:c9:8c, Event: Clear
Le [31] ne fait pas référence au canal, mais à l'ID de cette action de détection "Invalid Channel" ou "Inverted" de CleanAir. L'identifiant de cluster est automatiquement créé par CleanAir pour donner un identifiant basé sur l'adresse MAC périphérique interféreur qui pourrait ne pas utiliser les adresses MAC (tels que les signaux d’un four à micro-ondes). Vous pouvez mieux comprendre le but de cet identifiant avec le document suivant:
Par conséquent, vous souhaiterez peut-être rechercher physiquement des périphériques interféreurs RF autour des points d'accès détectant et rapportant ces messages (afin de les supprimer - si possible - et s'ils affectent réellement les performances du WLAN).
MAINTENANT, si cela génère trop d'interruptions et que ces périphériques interféreurs RF ne peuvent pas être suivis ou mis hors service, ou n'affectent pas vraiment le réseau WLAN, l'autre recommandation est normalement donnée pour que ces scénarios désactivent la trappe spécifique pour ces événements (qui sont des événements réels et il n'y a rien qui puisse être fait depuis le WLC pour les éviter). Vous pouvez désactiver l'interruption en utilisant la commande WLC suivante:
config {802.11a | 802.11b} cleanair alarm device disable 802.11-nonstd
En fin de compte, le seul moyen de déterminer avec exactitude ce qui pourrait transmettre ces signaux à ces emplacements est de se rendre sur place avec un analyseur de spectre pour confirmer si ce que CleanAir rapporte est vrai: RF Signals on Invalid channels and inverted signals.
Si cette confirmation sur site ne peut pas être effectuée, il n’existe aucun moyen de confirmer si cela est réellement vrai ou non et nous devons simplement nous fier à CleanAir, mais si cela ne se produit plus loin), il est possible que cela se produise pour les raisons suivantes:
Nous l’avons vu sur des sites très fréquentés, l’alerte est généralement courte, classée, puis abandonnée.
En outre, nos ingénieurs Cisco RF ont confirmé les éléments suivants:
"Canal invalide WiFi" est un paquet WiFi qui n'utilise pas les canaux standard 802.11 et est invisible pour les clients WiFi normaux, les wIDS et les renifleurs. Ceci peut également être réalisé sur n'importe quel chipset WiFi auquel l'utilisateur a accès au jeu de commandes radio. Il s’agissait jadis d’un très petit sous-ensemble du marché, mais les principaux fabricants ont récemment publié leurs couches HAL en open source, ce qui augmente le risque de ce type d’attaque:
La norme 802.11 s’appuie sur la connaissance de la fréquence centrale dans le canal pour aligner correctement le récepteur et l’émetteur. La quantité d’offset par rapport à la norme requise varie selon la technologie, par exemple:
- For 11b (1/2/5.5/11), packets > 500 kHz from a nominal channel are not likely to be detected (except for +5M and +10M).
- For 11a/g/n, packets > 250 kHz from a nominal channel are not likely to be detected.
Par conséquent, ils peuvent être utilisés par des équipements informatiques pour exploiter ces réseaux.
Conclusions
Sur la base des informations ci-dessus, il existe trois possibilités pour ce scénario:
- Il existe des dispositifs d’interférence RF (non 802.11) sur l’environnement générant ces signaux.
- Les fréquences radio sur l'environnement sont très occupées, avec des interférences et une combinaison de collisions 802.11 ou de trafic en rafale.
- Il existe en fait des hakers (utilisant essentiellement des points d'accès Rogue au plus, pas seulement une connexion à votre réseau WiFi) avec l'équipement approprié envoyant des signaux à une fréquence perçue comme un canal non valide pour 802.11.
Pour l’une des trois raisons, le seul moyen de confirmer s’il existe des dispositifs émettant à ces fréquences non valides ou avec ces signaux inversés (à ces emplacements) est de se rendre sur site avec un analyseur de spectre pour valider ce que CleanAir nous dit au cas où il y aurait des doutes.
Publié par: Jeal Jiménez / Version originale en anglais
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :
Liens rapides
Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français