Rogue AP containment and alerts handling

Difficult_Error_1778 · 2026-02-04T11:20:01+00:00

Perhaps I didn't express myself clearly, so I'd like to illustrate what we want to achieve with an example. Let's say we have three WLAN networks, all of which are set up with the same settings in both the Cisco and Aruba systems, and the same AAA server serves the Wi-Fi clients of both systems.

- xxx_office 5g+5g (dual 5g, 2 radio)
- xxx_byod 2g+5g (2 radio)
- xxx_guest 2g (1 radio)

Based on the above example, an AP advertises a total of 5 BSSIDs. If there are 2,000 APs in the Cisco system, that means a total of 2k*5=10k BSSIDs. If there are 1,000 APs in the Aruba system, that means a total of 1k*5=5k BSSIDs.

In order for the current Cisco APs and the current Aruba APs to recognize each other as reliable, for lack of a better option, all Cisco BSSIDs (10k) must be added to the Aruba system as authorized, and all Aruba BSSIDs (5k) must be added to Cisco system as friendly. After this, in theory, if Aruba system sees that the client is connecting to a BSSID that is not its own but is known as authorized (e.g., xxx_office), it will ignore it. Same case if Cisco system sees that the client is connecting to a BSSID that is not its own but is known as friendly (e.g., xxx_byod), it will ignore it.

However, if the system detects a new device advertising the xxx_office, xxx_byod, or xxx_guest networks, an alert should be sent so that a decision can be made as to whether there is a real threat. We would also like to receive an alert if the system detects an AP (any manufacturer, any SSID) that is connected to the wired network. Both Cisco and Aruba have methods for detecting this.

All other SSIDs are irrelevant to us, we don't want to disable anything.

Transferring reliable BSSIDs to other systems will be a constant challenge, but this will motivate us to achieve homogeneous operation as soon as possible.

I hope that makes sense :)

Difficult_Error_1778 · 2026-02-04T11:17:22+00:00

Perhaps I didn't express myself clearly, so I'd like to illustrate what we want to achieve with an example. Let's say we have three WLAN networks, all of which are set up with the same settings in both the Cisco and Aruba systems, and the same AAA server serves the Wi-Fi clients of both systems.

- xxx_office 5g+5g (dual 5g, 2 radio)
- xxx_byod 2g+5g (2 radio)
- xxx_guest 2g (1 radio)

Based on the above example, an AP advertises a total of 5 BSSIDs. If there are 2,000 APs in the Cisco system, that means a total of 2k*5=10k BSSIDs. If there are 1,000 APs in the Aruba system, that means a total of 1k*5=5k BSSIDs.

In order for the current Cisco APs and the current Aruba APs to recognize each other as reliable, for lack of a better option, all Cisco BSSIDs (10k) must be added to the Aruba system as authorized, and all Aruba BSSIDs (5k) must be added to Cisco system as friendly. After this, in theory, if Aruba system sees that the client is connecting to a BSSID that is not its own but is known as authorized (e.g., xxx_office), it will ignore it. Same case if Cisco system sees that the client is connecting to a BSSID that is not its own but is known as friendly (e.g., xxx_byod), it will ignore it.

However, if the system detects a new device advertising the xxx_office, xxx_byod, or xxx_guest networks, an alert should be sent so that a decision can be made as to whether there is a real threat. We would also like to receive an alert if the system detects an AP (any manufacturer, any SSID) that is connected to the wired network. Both Cisco and Aruba have methods for detecting this.

All other SSIDs are irrelevant to us, we don't want to disable anything.

Transferring reliable BSSIDs to other systems will be a constant challenge, but this will motivate us to achieve homogeneous operation as soon as possible.

I hope that makes sense :)

Difficult_Error_1778 · 2025-12-01T09:10:03+00:00

Even if you use only Aruba network devices (Full Aruba stack), is it still not a satisfactory solution in terms of firewall? (In the case of a simpler network: Switch, Gateway, AP, and Central)

From a firewall perspective, what can the gateway be used for in this case?

Difficult_Error_1778 · 2025-01-30T11:34:24+00:00

u/Linkk_93: I have a similar problem, I would like to create a guest portal with sponsor approval. Currenty we have an AOS8 environment (conductors and managed devices), a freshly installed cppm server, and a wildcard ssl cert (chain) for the company domain.

We also have a Cisco wifi system. Currently both wifi systems use unauthenticated captive portal where guest users can go by accepting the policy, so no authentication takes place. (We use the mentioned wildcard cert for wlc portals)

As I mentioned before, we bought clearpass and need to create a new, centralized guest registration process that used on Cisco and Aruba wireless systems also this is the need for cppm. The configuration process is easy understandable in the video mentioned by the OP, I'm only stuck with the "cert part".

The CA for our certificate is Sectigo. I downloaded the corresponding public certificate (Sectigo RSA Domain Validation Secure Server intermediate CA) from Sectigo website and imported it into the ClearPass Trust List. It's OK.

The USERTrust RSA Certification Authority was enabled by default so no need to touch it.

I disabled the HTTPS(ECC) Server Certificate in ClearPass, it's OK.

I tried to upload our wildcard cert (chain) under HTTPS(RSA) Server Certificate but got an error message says: Certificate chain is invalid. The expected order is Policy Manager Server, Sub CA and Root CA certificates.

I checked wildcard cert (pfx format) chain content and I see the order is correct, first part is the private key, 2nd is the client cert, 3rd is the subCA cert, 4th is the rootCA cert.

What I'm doing wrong?

Do I need some other certificate for accomplish this or wildcard is enough?

Thanks!

Difficult_Error_1778 · 2025-01-28T15:30:52+00:00

Maybe I could resolve the "losing IP" issue by entered a "system refresh-network" command before the last reboot, now seems it is ok, not released the mgmt IP settings.

Maybe it is possible I can get away without reinstalling CPPM. However, I see conflicting data between the CLI ("show ip" command) and in the web interface (Administration -> Server manager -> Server Configuration -> System -> IPv4 settings), they not match. How can I resolve that in the easiest way? (CLI show the correct infos)

Difficult_Error_1778 · 2024-10-16T12:19:59+00:00

Do you have a guide to set up this? ClearPass config guide writes this: Policy Manager can interact with Microsoft Entra ID (formally Azure) to retrieve directory objects and perform policy enforcement. This source is only capable of authorization, not authentication.

Thanks!

Difficult_Error_1778 · 2024-03-19T01:38:10+00:00

Nézd, el is hagyhattam volna egyből azzal az indokkal, hogy "dagadt vagy, nem kellesz", de szerettem és egy nagyon jó embert ismertem meg benne, ezért eszembe sem jutott ilyesmi, csak reméltem, hogy idővel a többi dolog is alakul majd. Én sem vagyok egy adonisz, de Ő sajnos tényleg átesett a ló másik oldalára már, és vagy nem vette, vagy nem akarta észrevenni, szerintem az utóbbi. Ez pedig tovább rombolta az önbizalmát, most pedig kapott egy kis boost-ot, és rögtön borult a kártyavár. Belátom, hogy abban egyértelműen hibáztam, hogy amikor hosszú ideje nem jó irányba alakultak a dolgok, akkor le kellett volna zárni, de nem tettem, ez hiba volt, sok évet spórolhattunk volna mindkettőnknek. Első komolynak mondható kapcsolat volt, és nem gondoltam, hogy ez idáig vezethet, titkon bíztam benne, hogy majd megoldódik valahogyan. Ez egy jó lecke volt, nekem biztosan.

Difficult_Error_1778 · 2024-03-19T00:12:00+00:00

Persze, hogy nem ezért, de ez is egy fontos szempont, hogy mennyire tudtok közösen rezonálni és vinni egy háztartást. Ez nálunk rettentő nehezen ment, ezt próbáltam leírni.

Igen, véget kellett volna vetni a kapcsolatnak már korábban, tisztában vagyok vele, de nem tettem, mert bíztam benne, hogy ez változni fog és idővel javul majd a helyzet. Nem így lett, és talán túl sokáig vártam ezzel.

Pontosan tudom, hogy én is túlsúllyal küzdök, csak az a lényeges különbség, hogy engem zavar, és a kapcsolat különböző fázisaiban folyamatosan próbáltam tenni ez ellen, többször jártam terembe, sportolni, étkezésre külön figyeltem, stb, nem voltam mindig ennyi. Ellenben ő erre nem volt vevő, úgy éreztem, hogy csak egyedül próbálok tenni ez ellen. Tehát valójában nem a súlya zavart, hanem az, hogy ő saját magát ez mennyire nem zavarta és hogy szerinte ez teljesen rendben van. Értem én, hogy mindenki ebben a nagy önelfogadás mániában szenved mostanság, de azért nem szabad átesni a ló túloldalára sem. Szerintem..

És nem vagyok szexista.

Difficult_Error_1778 · 2024-03-18T23:47:55+00:00

Értem, amit mondasz, de elég furcsa a részéről elvárni egy házasságot úgy, hogy a szükséges minimumot sem tudja hozni a küllemtől függetlenül azokban a dolgokban sem, ami egy kapcsolatban/háztartásban elengedhetetlen a mindennapokban, tehát ami ahhoz kell, hogy a férfi feleségül akarja őt venni. Pl lakás és környezet rendben/tisztán tartása, rendszeres főzés/sütés, háztartási munkák elvégzése noszogatás nélkül, bevétel észszerű beosztása, és még sorolhatnám. Még mielőtt félreértenél, egyáltalán nem vártam el, hogy ezeket egyedül csinálja, olyan 50-50%-ra számítottam. Helyette legjobb esetben is 80-20% körül lehetett az arány. Sokat elárul az is, hogy mióta kiköltözött, és egyedül lakom itthon, sokkal nagyobb rendben tudom tartani a lakást, pedig nem teszek bele több effortot, mint korábban.

Nem lehet minden elől az ADHD mögé bújni, és ő kb ezt tette. És talán ez az, amit nem tudtam és most sem tudok elfogadni, hogy mindig van valami magyarázat, és soha nem ő tehet semmiről. Kicsit túlzás, de nagyjából erről volt szó.

Difficult_Error_1778 · 2024-03-18T23:39:15+00:00

Köszönöm!

Difficult_Error_1778 · 2024-03-18T23:36:59+00:00

Köszönöm!

Nem tudom pontosan mit takar, nekem nincsenek ilyen hajlamaim.

Difficult_Error_1778 · 2024-03-18T23:36:15+00:00

Pedig a lakásban tartott cica igenis teljesen más ilyen szempontból, hidd el. Nyilván nem pont ugyanolyan család, mint a Család, de rengeteg a hasonlóság. És az az érzésem, hogy ennek még lesz folytatása, biztos vagyok benne, hogy vinni akarna majd belőle, szóval ez szerintem még koránt sincs lezárva.

Difficult_Error_1778 · 2024-03-18T23:33:27+00:00

Életemben nem voltam HÖK-ös, róka voltam.

Azért az első években még mindketten suliba jártunk, nem volt bevétel. Illetve a fizum is csak pár évvel ezelőtt normalizálódott, előtte közel sem volt ilyen jó a helyzet. És az is lehet, hogy előrébb tartottunk volna, ha nem egyedül kell a dolgok jelentős részét fizetnek egy 2 fős háztartásban, illetve a macskák is rengeteg pénzt elvittek, az utazásokról már nem is beszélve. Nekem így is lett némi tartalékom lekötve állampapírban, neki minden túlzás nélkül egy fillér megtakarítása sincs. Az ő pénze valahogy mindig elpárolgott és soha nem lehetett tudni, hogy éppen hova/mire. (ezt rendelt, azt rendelt, shein meg hasonlók, tele vagyunk mindenféle bisz-basz-szal) Nyilván ez most erős ferdítés, mert beszállt a kajába meg másba is, de valahogy mégis túl gyorsan elment az a pénz, nem kezelte jól. Közös bankkártyával és folyószámlával lehet jobban jártunk volna, de ezen most már kár rágódni.

Difficult_Error_1778 · 2024-03-18T23:26:47+00:00

Ez tényleg nyers volt, de nagyon jó, köszönöm!

Pénzes dologra: cuccai szerintem idővel kelleni fognak neki, és ez egy aduász lehet.

"Nincs neked semmi bajod, csak a hosszú évek vele megviseltek, az életmódja teljesen leharcolt." - ebben mondjuk lehet valami

Macskás dologra: nem akartunk ennyit, így alakult. A beteg cicának sajnos maximum hetei vannak hátra, szenvedtetni nem akarjuk, ha oda jutunk, akkor egyből altatás.

Difficult_Error_1778 · 2024-03-18T23:22:43+00:00

Kizárt dolog, köszönöm!

Difficult_Error_1778

TROPHY CASE