Cisco Wireless Intrusion Prevention System コンフィギュレーション ガイド リリース 7.6
概要
概要

概要

この章では、Cisco Unified Wireless Network(CUWN)全体における Cisco Mobility Services Engine(MSE)および Cisco Wireless Intrusion Prevention System(wIPS)の役割について説明します。

Cisco wIPS は、侵入攻撃、不正ワイヤレス デバイス、DoS 攻撃からネットワークを保護し、セキュリティを強化してコンプライアンス目標の達成を可能にします。 柔軟性と拡張性の高いワイヤレス ネットワーク セキュリティ機能を持ち、高度なモニタリング機能によってワイヤレス ネットワークの異常、無許可アクセス、RF 攻撃などを検出します。 このソリューションには、ネットワーク全体の可視性とアクセス制御が統合されており、オーバーレイ ソリューションが必要ありません。

この章の内容は、次のとおりです。

wIPS について

wIPS は、不正アクセス ポイント、不正クライアントおよびアドホック接続の検出と緩和、Over-the-Air ワイヤレス ハッキングおよび驚異の検出、セキュリティ脆弱性モニタリング、パフォーマンス モニタリングおよび自己最適化、脅威予防のためのネットワーク強化、強力なワイヤレス セキュリティ管理およびレポート作成を行います。

CUWN を基盤にし、Cisco Motion の効果を利用した wIPS は構成が強化され、企業に対応しています。 wIPS は、連携して統合セキュリティ モニタリング ソリューションを実現する、次のコンポーネントで構成されています。

  • wIPS ソフトウェア実行中の Mobility Services Engine(MSE):すべてのコントローラとそれぞれの wIPS モニタ モード アクセス ポイントからのアラーム集約の中央ポイント。 アラーム情報とフォレンジック ファイルはアーカイブ目的で Mobility Services Engine に保存されます。

  • wIPS モニタ モード アクセス ポイント:攻撃検出とフォレンジック(パケット キャプチャ)機能を備えた固定チャネル スキャンを提供します。

  • ローカル モード アクセス ポイント:タイムスライス型不正スキャンに加え、ワイヤレス サービスをクライアントに提供します。

  • ワイヤレス LAN コントローラ:wIPS モニタ モード アクセス ポイントから受信した攻撃情報を Mobility Services Engine に転送し、設定パラメータをアクセス ポイントに配布します。

  • Prime Infrastructure:Mobility Services Engine 上での wIPS サービス設定、コントローラへの wIPS 設定内容のプッシュ、wIPS モニタ モードのアクセス ポイント設定を行う、一元化された管理プラットフォームを管理者に提供します。 Prime Infrastructure は、wIPS アラーム、フォレンジック、報告の表示や、攻撃百科事典へのアクセスにも使用されます。 この図は、Wireless Intrusion Prevention System(ワイヤレス侵入防御システム)を示しています。

    図 1. Wireless Intrusion Prevention System(ワイヤレス侵入防御システム)



システム コンポーネント間の通信には、次のプロトコルが使用されます。

  • Control and Provisioning of Wireless Access Points(CAPWAP):このプロトコルは、LWAPP の後継で、アクセス ポイントとコントローラ間の通信に使用されます。 これは、アラーム情報をコントローラに送信し、設定情報をアクセス ポイントに送信する双方向トンネルを提供します。

  • ネットワーク モビリティ サービス プロトコル(NMSP):このプロトコルは、コントローラと Mobility Services Engine 間の通信を処理します。 wIPS 構成の場合、このプロトコルは、アラーム情報をコントローラから集約して、Mobility Services Engine に転送し、wIPS 設定情報をコントローラに適用する経路を提供します。 このプロトコルは暗号化されます。

    • コントローラ TCP ポート:16113

  • Simple Object Access Protocol(SOAP/XML):Mobility Services Engine と Prime Infrastructure 間の通信の方法。 このプロトコルは、Mobility Services Engine で実行する wIPS サービスに設定パラメータを配布するために使用します。

    • MSE TCP ポート:443

  • 簡易ネットワーク管理プロトコル(SNMP):このプロトコルは、Mobility Services Engine から Prime Infrastructure に wIPS アラーム情報を転送するために使用されます。 また、コントローラから Prime Infrastructure に不正アクセス ポイント情報を伝えるためにも使用されます。

Cisco Unified Wireless Network 内の wIPS

CUWN インフラストラクチャ内で wIPS を統合したり、CUWN やシスコの自律ワイヤレス ネットワーク(またはサードパーティのワイヤレス ネットワーク)に wIPS をオーバーレイしたりできます。

ここでは、次の内容について説明します。

Cisco Unified Wireless Network 内に統合された wIPS

統合 wIPS 構成は、ローカル モードと wIPS モニタ モードの両方のアクセス ポイントを同じコントローラ上で混合させ、同じ Prime Infrastructure によって管理するシステム設計です。 これは、クライアント サービング インフラストラクチャとモニタリング インフラストラクチャ間の緊密な統合を可能にするため、推奨される構成です。 この図は、シスコのワイヤレス ネットワーク内で統合された wIPS 構成を示しています。

図 2. CUWN 内の統合された wIPS



Cisco Unified Wireless Network 内の wIPS オーバーレイ構成

wIPS オーバーレイ構成では、wIPS モニタリング インフラストラクチャはクライアント サービング インフラストラクチャから完全に分離されます。 各システムが独自のコントローラ、アクセス ポイント、および Prime Infrastructure のセットを使用します。 この導入モデルを選択する理由は、多くの場合ビジネス上の規定に起因するもので、wIPS オーバーレイ構成では、wIPS モニタリング インフラストラクチャはクライアント サービング インフラストラクチャから完全に分離されます。 各システムが独自のコントローラ、アクセス ポイント、および Prime Infrastructure のセットを使用します。 この構成モデルを選択する理由の多くは、個別の管理コンソールを使用した個別のネットワーク インフラストラクチャ システムとセキュリティ インフラストラクチャ システムを必要とするビジネス上の規定に起因します。 また、この構成モデルは、アクセス ポイント(wIPS モニタとローカル モード)の合計数が NCS に含まれる 3000 アクセス ポイントの制限を超える場合にも使用されます。 次の図は、ワイヤレス ネットワークでの wIPS オーバーレイ構成を示します。

図 3. CUWN 内の wIPs オーバーレイ モニタリング ネットワーク構成



wIPS オーバーレイ モニタリング ネットワークを構成して、クライアント サービング インフラストラクチャのセキュリティ査定を行うには、特定の構成項目を実行する必要があります。 wIPS システムは、信頼されるデバイスに対する攻撃だけをログに記録するという前提で動作します。 オーバーレイ システムで、個別の Cisco Unified WLAN インフラストラクチャを信頼されるものとして表示するには、コントローラが同じ RF グループに属している必要があります。

図 4. wIPS オーバーレイ モニタリング ネットワークの同じ RF グループに属しているコントローラ



クライアント サービング インフラストラクチャを wIPS オーバーレイ モニタリング ネットワークから分離した結果として、いくつかのモニタリングの警告が発生します。

  • wIPS アラームは、wIPS オーバーレイ Prime Infrastructure インスタンスにだけ表示されます。

  • 管理フレーム保護(MFP)アラームは、クライアント インフラストラクチャ Prime Infrastructure インスタンスにだけ表示されます。

  • 不正アラームは、両方の Prime Infrastructure インスタンスに表示されます。

  • 不正位置の精度は、クライアント サービング インフラストラクチャ Prime Infrastructure の方が高くなります。この構成では、wIPS オーバーレイ構成よりも高密度のアクセス ポイントを使用するためです。

  • Over-the-Air 不正緩和は、ローカル モード アクセス ポイントを緩和操作で利用できるため、統合 wIPS モデルで拡張性が高くなります。

  • セキュリティ モニタリング ダッシュボードは、両方の Prime Infrastructure インスタンスで不完全になります。wIPS などの一部のイベントが wIPS オーバーレイ Prime Infrastructure にだけ存在するためです。 ワイヤレス ネットワークの包括的なセキュリティをモニタするには、両方のセキュリティ ダッシュボード インスタンスを監視する必要があります。

    次の表に、クライアント サービングとオーバーレイ構成のいくつかの主な違いの概要を示します。

    表 1 wIPS クライアント サービングと wIPS モニタリング オーバーレイの比較
     

    クライアント サービング Prime Infrastructure

    wIPS モニタリング オーバーレイ Prime Infrastructure

    wIPS アラーム No Yes
    MFP アラーム Yes No
    不正アラーム Yes Yes
    不正位置 高精度 低精度
    不正の封じ込め Yes Yes、ただし拡張性あり

オーバーレイ ソリューションの課題の 1 つは、クライアント サービング インフラストラクチャまたは wIPS モニタリング オーバーレイ上の Lightweight アクセス ポイントが誤ったコントローラにアソシエートされる可能性です。 誤ったコントローラとのアソシエーションは、各アクセス ポイント(ローカル モードと wIPS モニタ モード)で第 1、第 2、第 3 コントローラ名を指定することによって対処できます。 さらに、各ソリューションのコントローラにそれぞれのアクセス ポイントとの通信用の個別の管理 VLAN を備え、アクセス コントロール リスト(ACL)を使用して CAPWAP トラフィックがこれらの VLAN 境界を超えないようにすることを推奨します。

自律ワイヤレス ネットワークまたはその他のワイヤレス ネットワークでの wIPS オーバーレイ

wIPS ソリューションは、CUWN 以外の既存の WLAN インフラストラクチャへのセキュリティ モニタリングも実行できます。 この構成の用途は、シスコの自律アクセス ポイントまたはサードパーティ アクセス ポイントのセキュリティ モニタリングです。

この図は、自律ネットワークでの wIPS オーバーレイを示します。

図 5. 自律ネットワークでの wIPS オーバーレイ



コントローラ IDS と wIPS の違い

注意事項と制約事項

フォレンジック

wIPS システムのフォレンジック機能はむやみに使用せず、目的の情報がキャプチャされたら無効にする必要があります。 これは主に、アクセス ポイントにかかる負荷が大きく、スケジュールされたチャネル スキャンへの割り込みが発生するためです。 wIPS アクセス ポイントでは、チャネル スキャンを実行しながら、フォレンジック ファイルを生成することはできません。 フォレンジック ファイルがダンプされている間、チャネル スキャンは遅延します。

誤検出(False Positives)の削減

wIPS は、ワイヤレス ネットワークのセキュリティ モニタリングに関する誤検出を削減します。 無線で多数の管理フレームを検出した場合に、アラームを生成するシスコのコントローラベースのソリューションと異なり、wIPS は、ワイヤレス インフラストラクチャ ネットワークに害を及ぼす多数の管理フレームを無線で検出した場合にだけ、アラームを生成します。 これは、wIPS システムがワイヤレス インフラストラクチャ内に存在するアクセス ポイントとクライアントの状態および有効性を動的に識別できる結果です。 攻撃がインフラストラクチャに対して仕掛けられた場合にだけアラームが生成されます。

アラーム集約

シスコの既存のコントローラベースの IDS システムとシスコの wIPS システムの大きな違いの 1 つは、無線で検出された攻撃が 1 つのアラームに関連付けられ、集約されることです。 これは、ワイヤレス IPS システムによって、特定の各攻撃が初めて識別された際に、それらに一意のハッシュ キーを自動的に割り当てることで実行されます。 複数の wIPS アクセス ポイントで攻撃が受信された場合、Mobility Services Engine でアラーム集約が行われるため、攻撃は Prime Infrastructure に 1 回だけ転送されます。 既存のコントローラベースの IDS システムはアラームを集約しません。 次の図に、シスコのコントローラ ベースの IDS を使用した場合と wIPS を使用した場合のアラーム集約を示します。

図 6. シスコのコントローラベースの IDS と wIPS を使用したアラーム集約



コントローラベースの IDS と wIPS のもう 1 つの大きな違いは、各システムで検出可能な攻撃数です。 サブセクションの説明と下の表に示されているように、wIPS は多数の攻撃と攻撃ツールを検出できます。 これらの攻撃には、サービス拒否(DoS)攻撃とセキュリティ突破攻撃の両方が含まれます。 ここでは、次の内容について説明します。

ユーザ認証と暗号化

ユーザ認証およびワイヤレス トラフィックの暗号化は、WLAN セキュリティの防御として機能します。 ユーザ認証は、有線およびワイヤレス リソースへの不正アクセスを遮ります。 トラフィック暗号化は、侵入者がワイヤレス トラフィックを傍受することを防止します。 認証および暗号化のカテゴリにおける一般的なセキュリティ違反には、設定ミス、更新されていないソフトウェア、企業のセキュリティ ポリシーの不十分な規定などが含まれます。

次の表には、コントローラ ベースの IDS と wIPS サービスによって検出される wIPS セキュリティ攻撃が示されています。

表 2 コントローラ IDS と wIPS によって検出されるセキュリティ攻撃
アラーム名 コントローラ IDS によって検出 wIPS によって検出

静的 WEP 暗号化

暗号化が無効な AP

X

暗号化が無効なクライアント

  X

クラック可能な WEP IV キーの使用

X

オープン認証を使用するデバイス

X

共有キー認証を使用するデバイス

  X

WEP IV キーの再利用

  X

WPA および 802.11i

802.1x キー変更のタイムアウトが長すぎます

  X

802.1x 暗号化されないブロードキャストまたはマルチキャスト

  X

EAP-TLS によって保護されていない AP

  X

選択された認証方法によって保護されていないデバイス

  X

EAP - TTLS を使用しないデバイス

  X

802.11i/AES によって保護されていないデバイス

  X

802.1x によって保護されていないデバイス

X

EAP-FAST によって保護されていないデバイス

  X

PEAP によって保護されていないデバイス

  X

TKIP によって保護されていないデバイス

X

WPA または 802.11i 事前共有キーの使用

X

DoS 攻撃

DoS 攻撃には、ワイヤレス ネットワーク内の正常な通信を妨害または遅延させるように設計されたメカニズムが含まれます。 これらには、ワイヤレス ネットワーク内の正規の接続を切断し不安定にするよう設計された多数のスプーフされたフレームが組み込まれることがあります。 DoS 攻撃は、ワイヤレス ネットワークの信頼できるサービスを提供する機能に打撃を与える可能性がありますが、データ違反にはならず、攻撃が停止すれば、多くの場合マイナスの影響はなくなります。

次の表に、コントローラ ベースの IDS と wIPS サービスによる DoS 攻撃の検出を比較して示します。

表 3 コントローラ IDS と wIPS による DoS 攻撃の検出
アラーム名 コントローラ IDS によって検出 wIPS によって検出

AP に対する DoS 攻撃

アソシエーション フラッド

X X

アソシエーション テーブル オーバーフロー

  X

認証フラッド

X X

EAPOL-Start 攻撃

X X

PS-Poll フラッド

  X

プローブ要求フラッド

  X

再アソシエーション要求フラッド

  X

認証されないアソシエーション

  X

インフラストラクチャに対する DoS 攻撃

ビーコン フラッド

  X

CTS フラッド

  X

MDK3-Destruction 攻撃

  X

クイーンズランド工科大学により検出された脆弱性

  X

RF 電波妨害攻撃

  X

RTS フラッド

  X

仮想キャリア攻撃

X X

ステーションに対する DoS 攻撃

認証失敗攻撃

  X

ブロック ACK フラッド

  X

De-Auth ブロードキャスト フラッド

X X

De-Auth フラッド

X X

Dis-Assoc ブロードキャスト フラッド

  X

Dis-Assoc フラッド

X X

EAPOL-Logoff 攻撃

X X

FATA-Jack ツール

  X

不完全な EAP-failure

  X

不完全な EAP-Success

  X

プローブ応答フラッド

  X

セキュリティ突破攻撃

ワイヤレス ネットワークを脅かす 2 つの攻撃タイプのうち、ほぼ間違いなく有害性の高いセキュリティ突破は、機密データや後で機密データを見るために使用できる暗号キーなどの情報をキャプチャしたり、公開したりするように設計されています。 セキュリティ突破攻撃には、インフラストラクチャに対するクエリや暗号キーを解読することを目的とした応答攻撃が含まれることがあります。 さらに、セキュリティ突破攻撃は、ハニーポットなどの疑似アクセス ポイントにクライアントの誘導を試みることによってクライアントに害を及ぼす可能性もあります。

次の表に、コントローラベースの IDS と wIPS サービスによって検出されるセキュリティ突破攻撃の比較を示します。

表 4 コントローラ IDS と wIPS によって検出されるセキュリティ突破攻撃
アラーム名 コントローラ IDS によって検出 wIPS によって検出

ASLEAP ツール検出

X X

AirDrop セッション検出

  X

AirPwn

  X

Airsnarf 攻撃

  X

不良 EAP-TLS フレーム

  X

ビーコン Fuzzed フレーム検出

  X

ブルートフォース非表示 SSID

X X

ChopChop 攻撃

  X

DHCP スターベーション攻撃の検出

  X

WLAN のセキュリティ異常による Day-Zero 攻撃

X X

デバイスのセキュリティ異常による Day-Zero 攻撃

  X

XSS SSID をブロードキャストするデバイス

  X

AP のデバイス プローブ

  X

EAP メソッドへの辞書攻撃

  X

802.1x 認証に対する EAP 攻撃

  X

偽の AP の検出

X X

偽の DHCP サーバの検出

  X

高速 WEP クラック ツールの検出

  X

フラグメンテーション攻撃

  X

HT-Intolerant Degradation of Service

  X

ハニーポット AP の検出

X X

Hotspotter ツールの検出

  X

Identical Send and Receive Address

  X

Improper Broadcast Frames

  X

Karma ツールの検出

  X

不正 802.11 パケットの検出

  X

中間者攻撃の検出

  X

NetStumbler の検出

X X

NetStumbler 犠牲者の検出

X X

PSPF 違反の検出

  X

プローブ要求ファジング フレームの検出

  X

プローブ応答ファジング フレームの検出

  X

ソフト AP またはホスト AP の検出

  X

スプーフされた MAC アドレスの検出

  X

疑わしい after-hours トラフィックの検出

  X

ベンダー リストによる未承認アソシエーション

  X

未承認アソシエーションの検出

  X

Wellenreiter の検出

X X

WiFi Protected Setup Pin ブルートフォース

  X

WiFiTap ツールの検出

  X

ワイヤレス IPS アラーム フロー

wIPS システムは、通信のリニア チェーンに従って、エアウェーブの初期スキャンから取得した攻撃情報を伝播して、情報を NCS に転送します。 この図には、ワイヤレス ネットワーク内のアラーム フローが示されています。

図 7. ネットワーク内のアラーム フロー



  1. wIPS システムでアラームを生成させるには、正規のアクセス ポイントまたはクライアントに対して攻撃が仕掛けられる必要があります。 正規のアクセス ポイントおよびクライアントは、同じ RF グループ名をブロードキャストする信頼するデバイスによって、CUWN 内で自動的に検出されます。 この設定では、ローカルモード アクセス ポイントとそれらにアソシエートされたクライアントのリストが動的に管理されます。 SSID グループ機能を使用して、SSID によってデバイスを信頼するようにシステムを設定することもできます。 WLAN インフラストラクチャに害を及ぼすと見なされた攻撃だけが残りのシステムに伝播されます。

  2. wIPS モニタ モード アクセス ポイントによって攻撃が識別されると、アラームの更新がコントローラに送信され、CAPWAP 制御トンネル内にカプセル化されます。

  3. コントローラは、アラームの更新をアクセス ポイントから、Mobility Services Engine を実行する wIPS サービスに透過的に転送します。 この通信に使用されるプロトコルは Network Mobility Service Protocol(NMSP)です。

  4. Mobility Services Engine 上の wIPS サービスが受信したアラームの更新は、アーカイブと攻撃の追跡のためにアラーム データベースに追加されます。 SNMP トラップが Prime Infrastructure に転送されます。 SNMP トラップには攻撃情報が含まれています。 同じ攻撃を参照する複数のアラーム更新を受信した場合(たとえば、複数のアクセス ポイントで同じ攻撃が認識された)、1 つの SNMP トラップだけが Prime Infrastructure に送信されます。

  5. アラーム情報を含む SNMP トラップは Prime Infrastructure によって受信され、表示されます。

パフォーマンス違反

WLAN のパフォーマンス効率は、RF 環境の変動とクライアント デバイスの移動の影響を受けます。 WLAN のパフォーマンスと効率は、WLAN を監視し、ワイヤレス管理者に問題の兆候を早期に警告することで、wIPS によって保証されます。 wIPS の使用を最大化するために、パフォーマンス アラームをカスタマイズして WLAN 導入仕様に合わせることができます。

次に、wIPS に含まれる設定済みプロファイルを示します。
  • Enterprise best practice
  • Enterprise rogue detection only
  • Financial(Gramm-Leach-Bliley 法に準拠)
  • HealthCare(Health Insurance Portability and Accountability 法に準拠)
  • Hotspot implementing 802.1x security
  • Hotspot implementing NO security
  • Tradeshow environment
  • Warehouse/manufacturing environment
  • Government/Military(8100.2 指令に準拠)
  • Retail environment

管理者が適切なプロファイルを決定すると、Cisco wIPS は、特定の WLAN 環境に適したポリシー プロファイルから、アラームを有効化または無効化します。 管理者はインストール後にアラームを有効または無効にしたり、プリファレンスごとにしきい値を変更したりできます。

次の表は、コントローラ ベースの IDS と wIPS サービスによって検出されるパフォーマンス違反を示しています。

表 5 コントローラと wIPS によるパフォーマンス違反の検出
アラーム名 コントローラ IDS によって検出 wIPS によって検出

チャネルまたはデバイスの過負荷

AP アソシエーションのキャパシティが上限に達しています

X

ステーションによる AP の過負荷

  X

使用率による AP の過負荷

X

帯域の過剰な使用率

X

チャネル上の過剰なマルチキャスト/ブロードキャスト

  X

ノード上の過剰なマルチキャスト/ブロードキャスト

  X

フォレンジック

Cisco wIPS システムは、詳しい調査とトラブルシューティングの目的で、攻撃フォレンジックをキャプチャする機能を提供します。 基本レベルでは、フォレンジック機能は、一連のワイヤレス フレームをログに記録し、取得する切り替えベースのパケット キャプチャ ファシリティです。 この機能は、wIPS プロファイル内で、攻撃単位で有効になります。 wIPS プロファイルは Prime Infrastructure で設定されます。

この機能を有効にすると、エアウェーブで特定の攻撃アラームが確認されると、フォレンジック機能がトリガーされます。 元のアラームを生成した wIPS モニタ モード アクセス ポイントのバッファ内に格納されたパケットに基づいて、フォレンジック ファイルが作成されます。 このファイルは CAPWAP によってコントローラに転送されます。次に、この CAPWAP によって、NMSP 経由でフォレンジック ファイルが、Mobility Services Engine で実行されている wIPS に転送されます。 このファイルは、ユーザがフォレンジックに設定したディスク容量制限に達するまで、Mobility Services Engine のフォレンジック アーカイブに保存されます。 デフォルトの制限は 20 GB で、これを超えると、最も古いフォレンジック ファイルが削除されます。 フォレンジック ファイルには、フォレンジック ファイルへのハイパーリンクを含むアラームを Prime Infrastructure で開くことでアクセスできます。 このファイルは、a.CAP ファイル形式で保存されており、WildPacket Omnipeek、AirMagnet WiFi Analyzer、Wireshark、またはこの形式をサポートしているその他のパケット キャプチャ プログラムを使用してアクセスできます。 Wireshark はhttp:/​/​www.wireshark.orgで利用できます。

Rogue Detection

wIPS に最適化されたモニタ モードのアクセス ポイントは、現在の CUWN 実装と同じロジックを使用して、不正の脅威の査定と緩和を行います。 これにより、ワイヤレス IPS モード アクセス ポイントは、不正アクセス ポイントおよびアドホック ネットワークをスキャンし、検出して、封じ込めることができます。 不正ワイヤレス デバイスに関するこの情報が発見されると、不正アラーム集約が行われる Prime Infrastructure に報告されます。

ただし、この機能を使用すると、ワイヤレス IPS モード アクセス ポイントを使用して、攻撃封じ込めが起動された場合、封じ込めの間、系統的な攻撃を狙いとしたチャネル スキャンを実行する機能が中断されます。

異常検出

wIPS には、キャプチャされた攻撃パターンやデバイス特性の異常性に関する特定のアラームが含まれます。 異常検出システムでは、Mobility Services Engine 内に格納された攻撃履歴ログおよびデバイス履歴を考慮して、ワイヤレス ネットワークの一般的な特性の基準を定めます。 システム上のイベントまたは攻撃に、Mobility Services Engine に保存されている履歴データと比較して、ある程度の変化が見られた場合に、異常検出エンジンがトリガーされます。 たとえば、システムで毎日わずかな MAC スプーフィング イベントを定期的にキャプチャしており、別の日に MAC スプーフィング イベントが 200 % 増加した場合、その Mobility Services Engine で異常アラームがトリガーされます。 次に、このアラームが Prime Infrastructure に送信され、システムで発生する可能性のある従来の攻撃を超えた何かがワイヤレス ネットワークで発生していることが管理者に通知されます。 さらに、異常検出アラームは、wIPS システムに既存のシグニチャがない可能性のある Day-Zero 攻撃を検出するためにも使用できます。

デフォルトの設定プロファイル

特定の各 WLAN セキュリティ構成に合わせた設定の調整を容易にするため、wIPS には、特定の産業や導入のセキュリティ ニーズに合わせて作られた多数のデフォルトのプロファイルが用意されています。 テンプレートには、さまざまなリスク プロファイルおよび導入ごとに異なるセキュリティ モニタリングの要件が要約されています。 特定のプロファイルには、Education、Enterprise(Best)、Enterprise(Rogue)、Financial、Healthcare、Hotspot(Open Security)、Hotspot(802.1x Security)、Military、Retail、Tradeshow、Warehouse などがあります。 プロファイルは、今後発生する特定のニーズに合わせてさらにカスタマイズできます。

有効なクライアントの自動 MAC 学習

リリース 7.5 では、自動 MAC 学習機能を導入しています。 この機能は、ネットワーク上の有効なクライアントを不正アクセス ポイントへの接続から保護します。 MSE は、MSE での事前設定なしにクライアントを検証するために使用します。

クライアントが不正アクセス ポイントに接続すると、コントローラは MSE によってクライアントが有効かどうかを検証します。 クライアントが有効な場合、コントローラはクライアントの不正アクセス ポイントへの接続を自動的に封じ込めます。 コントローラは、MSE の自動 MAC 学習データベースを使用して、再アソシエーション要求の MAC アドレスをチェックします。


(注)  


有効なクライアントの自動 MAC 学習機能は、Cisco Controller UI から有効にする必要があります。


図 8. 有効なクライアントの自動 MAC 学習