Cisco Wireless Intrusion Prevention System コンフィギュレーション ガイド リリース 7.6
wIPS ソリューションの設定と展開
wIPS ソリューションの設定と展開

wIPS ソリューションの設定と展開

ここでは、Prime Infrastructure UI の Lifecycle テーマを使用して、wIPS ソリューションを設定、展開する方法について説明します。

Prime Infrastructure UI の Lifecycle テーマから、[Design] > [Wireless Security] を選択します。 Wireless Security ウィザードのページが表示され、次の wIPS 関連の設定を行うことができます。

  • 不正ポリシーによって、アドホック ネットワークを検出およびレポートできます。

  • 不正ルールによって、不正アクセス ポイントを自動的に分類するルールを定義できます。

  • 新しい wIPS プロファイルを追加できます。

ここでは、次の内容について説明します。

Before You Begin ウィザード ページの表示

Before You Begin ウィザード ページには、Wireless Security ウィザード の使用方法の情報が表示され、さらに次の情報が含まれています。

  • [Rogue Policy]:[Rogue Policy] ページでは、不正ポリシーを設定できます。 このページには、不正アクセス検出と封じ込めのための 3 つの不正ポリシー事前設定があります。

  • [Rogue Rules]:[Rogue Rules] ページでは、認証タイプ、一致条件設定済みの SSID、クライアント数、RSSI 値などの基準に基づいて、不正アクセス ポイントを自動的に分類できます。 不正アクセスのルールは、不正アクセスを [Malicious] または [Friendly] として分類するように作成できます。

  • [wIPS Profile]:[wIPS Profile] ページでは、いくつかの定義済みプロファイルからプロファイルを選択できます。 これらのプロファイルによって、Cisco Adaptive wIPS を通じて使用可能な追加のワイヤレスの脅威保護をすばやくアクティブにできます。 プロファイルは、検出して封じ込める wIPS シグニチャを選択することでさらにカスタマイズできます。

  • [Devices]:[Devices]ページでは、不正ポリシー、不正アクセス ルール、wIPS プロファイルをコントローラに適用できます。

[Next]をクリックして、アドホック ネットワークを検出およびレポートする不正ポリシーを設定します。

不正ポリシーの設定

このページでは、コントローラに適用される(アクセス ポイントとクライアントに対する)不正ポリシーを設定できます。

不正ポリシーを設定するには、次の手順に従います。


    ステップ 1   [Design]> [Wireless Security] > [Rogue Policy] を選択します。
    ステップ 2   [Configure the rogue policy settings] スライドバーをマウスで移動するか [Custom] チェックボックスをオンにしてポリシー設定を行うことで、ポリシー設定を [Low]、[High]、または [Critical] に設定できます。
    ステップ 3   [General] グループ ボックスで、次のフィールドを設定します。
    • [Rogue Location Discovery Protocol]:Rogue Location Discovery Protocol(RLDP)が企業の有線ネットワークに接続されているかどうかを判断します。 ドロップダウン リストから、次のいずれかのオプションを選択します。

      • [Disable]:すべてのアクセス ポイント上で RLDP を無効にします。

      • [All APs]:すべてのアクセス ポイント上で RLDP を有効にします。

      • [Monitor Mode APs]:モニタ モードのアクセス ポイント上でのみ RLDP を有効にします。

      (注)     

      RLDP が有効の場合、コントローラは管理対象のアクセス ポイントに対して、不正アクセス ポイントをアソシエートし、特殊なパケットをコントローラへ送信するよう指示します。 コントローラがこのパケットを受信すると、不正アクセス ポイントが企業ネットワークに接続されます。 この方法は、暗号化を有効にしていない不正アクセス ポイントに対して機能します。

    • [Expiration Timeout for Rogue AP and Rogue Client Entries]:不正アクセス ポイント エントリの失効タイムアウトを秒単位で設定します。 有効範囲は 240 ~ 3600 秒です。

    • [Validate rogue clients against AAA]:[Validate rogue clients against AAA] チェックボックスをオンにして、不正クライアントの AAA 検証を有効にします。

    • [Detect and report Adhoc networks]:[Detect and report Adhoc networks] チェックボックスをオンにして、アドホック ネットワーキングに参加している不正クライアントの検出とレポートを有効にします。

    • [Rogue Detection Report Interval]:[Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信するまでの時間間隔を秒数で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。 この機能は、モニタ モードの AP のみに適用されます。

    • [Rogue Detection Minimum RSSI]:[Rogue Detection Minimum RSSI] テキスト ボックスに、AP により検出され、不正エントリがコントローラに作成する RSSI の最小値を入力します。 有効な範囲は -70 dBM ~ -128 dBm です。 この機能は、すべての AP モードに適用できます。

    • [Rogue Detection Transient Interval]:[Rogue Detection Transient Interval] テキスト ボックスに、不正が AP により最初にスキャンされてから、必ずスキャンされる時間間隔を入力します。 一時的な間隔を入力することで、AP が不正をスキャンする間隔を制御できます。 AP は、一時的な間隔の値に基づいて、不正をフィルタできます。 有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。 この機能は、モニタ モードの AP のみに適用されます。

    ステップ 4   [Auto Contain] グループ ボックスで、次のフィールドを設定します。
    • [Rogue on Wire]:[Rogue on Wire] チェックボックスをオンにして、有線ネットワークで検出された AP を自動的に封じ込めます。

    • [Using our SSID]:[Using our SSID] チェックボックスをオンにします。

    • [Valid client on Rogue AP]:[Valid client on Rogue AP] チェックボックスをオンにして、有効なクライアントを不正 AP への接続から封じ込めます。

    • [AdHoc Rogue]:[AdHoc Rogue] チェックボックスをオンにして、アドホック不正 APs を自動的に封じ込めます。

    ステップ 5   [Apply]をクリックして、コントローラに現在のルールを適用します。 [Devices] ウィザードのページで、該当するコントローラを選択して、[Apply to Controllers] をクリックします。
    ステップ 6   [Next]をクリックして不正ルールを設定します。

    不正ルールの設定

    このページでは、不正アクセス ポイントを自動的に分類するルールを定義できます。 Prime Infrastructure では、不正アクセス ポイントの分類ルールをコントローラに適用します。 これらのルールでは、RSSI レベル(それよりも弱い不正アクセス ポイントは無視)、または時間制限(指定された時間内に表示されない不正アクセス ポイントにはフラグを立てない)に基づいて、マップ上の不正表示を制限できます。


    (注)  


    不正クラスには以下の種類があります。 [Malicious Rogue]:検出されたアクセス ポイントのうち、ユーザが定義した Malicious ルールに一致したアクセス ポイント、または危険性のない AP カテゴリから手動で移動されたアクセス ポイント。 [Friendly Rogue]:既知、認識済み、または信頼できるアクセス ポイント、または検出されたアクセス ポイントのうち、ユーザが定義した Friendly ルールに該当するアクセス ポイント。 [Unclassified Rogue]:検出されたアクセス ポイントのうち、Malicious ルールまたは Friendly ルールに該当しないアクセス ポイント。


    不正アクセス ポイントの新しい分類ルールを作成するには、次の手順を実行します。


      ステップ 1   [Design]> [Wireless Security] > [Rogue Rules] の順に選択します。
      ステップ 2   新しい不正ルールを作成するには、[Create New] をクリックします。

      [Add/Edit Rogue Rule] ウィンドウが表示されます。

      ステップ 3   [General] グループ ボックスで、次のフィールドを設定します。
      • [Rule Name]:テキスト ボックスにルールの名前を入力します。

      • [Rule Type]:ドロップダウン リストから [Malicious] または [Friendly] を選択します。

        (注)     

        [Malicious Rogue]:検出されたアクセス ポイントのうち、ユーザが定義した Malicious ルールに一致したアクセス ポイント、または危険性のない AP カテゴリから手動で移動されたアクセス ポイント。 [Friendly Rogue]:既知、認識済み、または信頼できるアクセス ポイント、または検出されたアクセス ポイントのうち、ユーザが定義した Friendly ルールに該当するアクセス ポイント。

      • [Match Type]:ドロップダウン リストから [Match All Conditions] または [Match Any Condition] を選択します。

      ステップ 4   [不正分類ルール] グループ ボックスで、次のフィールドを設定します。
      • [Open Authentication]:オープン認証を有効にするには、[Open Authentication] チェックボックスをオンにします。

      • [Match Managed AP SSID]:管理対象 AP SSID のルール条件との一致を有効にするには、[Match Managed AP SSID] チェックボックスをオンにします。

        (注)     

        管理対象 SSID は、WLAN に対して設定された SSID で、システムが既知のものです。

      • [Match User Configured SSID](1 行に 1 つずつ入力):ユーザ設定の SSID のルール条件との一致を有効にするには、[Match User Configured SSID] チェックボックスをオンにします。

        (注)     

        ユーザ設定の SSID は、手動で追加された SSID です。 [Match User Configured SSID] テキスト ボックスに、ユーザ設定の SSID を(1 行に 1 つずつ)入力します。

      • [Minimum RSSI]:最小 RSSI 閾値制限を有効にするには、[Minimum RSSI] チェックボックスをオンにします。

        (注)     

        テキスト ボックスに RSSI 閾値の最小レベル(dB 単位)を入力します。 検出されたアクセス ポイントがここで指定した RSSI 閾値を超えていると、そのアクセス ポイントは悪意のあるものとして分類されます。

      • [Time Duration]:時間制限を有効にするには、 [Time Duration]チェックボックスをオンにします。

        (注)     

        テキスト ボックスに制限時間(秒単位)を入力します。 検出されたアクセス ポイントが指定した制限時間よりも長く表示されているとき、そのアクセス ポイントは悪意のあるものとして分類されます。

      • [Minimum Number Rogue Clients]:悪意のあるクライアントの最小数の制限を有効にするには、[Minimum Number Rogue Clients] チェックボックスをオンにします。

        (注)     

        悪意のあるクライアントを許可する最小数を入力します。 検出されたアクセス ポイントにアソシエートされたクライアントの数が指定した値以上になると、そのアクセス ポイントは悪意のあるものとして分類されます。

      ステップ 5   [OK]をクリックしてルールを保存するか、または [Cancel] をクリックして現在のルールの作成または変更をキャンセルします。

      [Rogue Rules]ページに戻り、新しく追加された不正ルールが表示されます。

      ステップ 6   [Apply] をクリックして、コントローラに現在のルールを適用します。 [Devices] ウィザードのページで、該当するコントローラを選択し、[Apply to Controllers] をクリックします。
      (注)     
      ステップ 7   [Next] をクリックし、wIPS プロファイルを設定します。

      現在追加されている不正ルールの表示

      現在追加されている不正ルールを表示するには、次の手順に従います。

      Prime Infrastructure UI の Lifecycle テーマから、[Design] > [Wireless Security] > [Rogue Rules] を選択します。

      [Rogue Rules] ページに、次のパラメータが表示されます。

      • 既存のルールを追加

      • Rule Name

      • ルール タイプ

      • 最後の保存場所

      • Actions


      wIPS プロファイルの設定

      Prime Infrastructure には、いくつかの定義済みプロファイルが用意されており、そこからプロファイルを選択できます。 これらのプロファイル(カスタマー タイプ、ビルディング タイプ、業界タイプなどに基づきます)を使用すると、Cisco Adaptive wIPS を通じて使用可能な追加のワイヤレスの脅威保護をすばやくアクティブにできます。 プロファイルは「そのまま」使用することも、要件に合わせてカスタマイズすることもできます。

      wIPS プロファイル設定の詳細については、wIPS およびプロファイルの設定を参照してください。

      wIPS プロファイルを設定したら、[Next] をクリックして [Devices] ページを開き、設定を適用するコントローラを選択できます。