Foro en Español

Reply
Occasional Contributor II

Rogue APs

Muy buenas, 

 

¿Como puedo saber si mis APs estan siendo contenidos por otra infraestructura externa a mi compañia?

 

Saludos,

Aruba Employee

Re: Rogue APs

Para tener información si estás recibiendo posibles de-auth por parte de infraestructura externa deberías tener activado el IDS y revisar los logs del sistema. En este caso, una opción sería revisar el reporte sobre el menú RAPIDS del Airwave si tu infraestructura está reportando aquí. 

Sobre RAPIDS verás información sobre posibles amenazas detectadas y en caso necesario, operar junto al IPS para prevenir dichos ataques.


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Occasional Contributor II

Re: Rogue APs

Muy buenas,

 

tengo activado el ids y reportando a airwave.

y dentro del rapids, ¿que tengo que buscar?

 

Tengo muchas alertas, todas ellas de posible sospechoso, pero no se indentificar mas alla.

Aruba Employee

Re: Rogue APs

Tendrías que verificar las alertas que aparecen en menú "IDS Events" como en el ejemplo siguiente y comprobar si alguna es de recepción de deauth externos y cual es la fuente de dichas alertas. Si no aparece nada fuera de lo normal, es que no se está detectado un ataque como el que comentas.Screen Shot 2017-11-29 at 18.06.31.pngLos posibles sospechosos no significan que sean atacantes, si no más bien otros APs con SSIDs que se han detectdo bajo tu infraestructura y pueden ser otras redes vecinas.

 

 


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: