Cisco Wireless Intrusion Prevention System コンフィギュレーション ガイド リリース 7.6
wIPS およびプロファイルの設定
wIPS およびプロファイルの設定

wIPS およびプロファイルの設定

この章では、wIPS プロファイルおよび wIPS を操作するために併せて設定する必要がある項目の設定方法について説明します。

この章の内容は、次のとおりです。

wIPS およびプロファイルの設定

この章では、wIPS プロファイルおよび wIPS を操作するために併せて設定する必要がある項目の設定方法について説明します。

この章の内容は、次のとおりです。

注意事項と制約事項

  • Mobility Services Engine は 1 つの Prime Infrastructure からのみ設定できます。

  • ご使用の wIPS がコントローラ、アクセス ポイント、および MSE で構成されている場合、これら 3 つのエンティティをすべて UTC タイムゾーンに設定する必要があります。

  • コントローラは 1 つの設定プロファイルに関連付けられます。 そのコントローラに接続されている wIPS モード アクセス ポイントはすべて同じ wIPS 設定を共有します。

前提条件

wIPS プロファイルを設定する前に、次の手順を実行する必要があります。

  1. Mobility Services Engine をインストールします(まだネットワーク内で動作していない場合)。 『Cisco 3350 Mobility Services Engine Getting Started Guide』または『Cisco 3310 Mobility Services Engine Getting Started Guide』を参照してください。

  2. Mobility Services Engine を Prime Infrastructure に追加します(まだ追加されていない場合)。

  3. wIPS モニタ モードで動作するようにアクセス ポイントを設定します。

  4. wIPS プロファイルを設定します。

wIPS 設定およびプロファイル管理について

wIPS プロファイルの設定は、プロファイルの表示と変更に使用される Prime Infrastructure から始まるチェーン階層を進みます。 実際のプロファイルは、MSE で実行するワイヤレス IPS サービス内に保存されます。

プロファイルは、Mobility Services Engine 上の wIPS サービスから、特定のコントローラに伝播され、次に、その各コントローラに関連付けられている wIPS モード アクセス ポイントに透過的にこのプロファイルが伝達されます。

Prime Infrastructure で wIPS プロファイルへの設定変更が行われ、一連の Mobility Services Engine およびコントローラに適用される場合、次のようになります。

  1. Prime Infrastructure で設定プロファイルが変更され、バージョン情報が更新されます。

  2. XML ベースのプロファイルが Mobility Services Engine で実行する wIPS エンジンに適用されます。 この更新は、SOAP/XML プロトコルを介して行われます。

  3. Mobility Services Engine 上の wIPS は、NMSP を使用して設定プロファイルを適用することによって、そのプロファイルに関連付けられている各コントローラを更新します。

  4. コントローラは更新された wIPS プロファイルを受け取り、それを NVRAM に保存し(以前のすべてのバージョンのプロファイルを置き換える)、CAPWAP 制御メッセージを使用して、更新されたプロファイルをそれに関連付けられた wIPS アクセス ポイントに伝播します。

  5. wIPS モード アクセス ポイントはコントローラから更新されたプロファイルを受け取り、その wIPS ソフトウェア エンジンに変更を適用します。

ここでは、次の内容について説明します。

注意事項と制約事項

  • wIPS モニタ モードをサポートしているのは、Cisco Aironet 1130、1140、1240、1250、3502E、および 3502I シリーズのアクセス ポイントだけです。

  • wIPS サブモードがサポートされるのは、アクセス ポイント モードがモニタ、ローカル、または HREAP の場合だけです。 ただし、1130 および 1240 アクセス ポイントの場合、wIPS はモニタ モードだけでサポートされます。

wIPS モニタ モードのアクセス ポイントの設定

wIPS モニタ モードで動作するようにアクセス ポイントを設定するには、次の手順に従います。


    ステップ 1   [Configure] > [Access Points] の順に選択します。
    ステップ 2   [802.11a] または [802.11b/g] 無線リンクをクリックします。
    図 1. [Configure] > [Access Points] > [Radio]

    ステップ 3   [Access Point] ページで、[Admin Status] チェックボックスをオフにして無線を無効にします。
    図 2. [Access Points] > [Radio]

    ステップ 4   [Save] をクリックします。
    (注)     

    wIPS モニタ モードに設定されるアクセス ポイント上の各無線について、これらの手順を繰り返します。

    ステップ 5   無線が無効になったら、[Configure] > [Access Points] の順に選択し、無効にした無線のアクセス ポイントの名前をクリックします。
    ステップ 6   アクセス ポイントのダイアログボックスで、[AP Mode] ドロップダウン リストから [Monitor] を選択します。
    図 3. [Configure] > [Access Points] > アクセス ポイントの詳細

    ステップ 7   [Enhanced WIPS Engine] の [Enabled] チェックボックスをオンにします。
    ステップ 8   [Monitor Mode Optimization] ドロップダウン リストから [WIPS] を選択します。
    ステップ 9   [Save] をクリックします。
    ステップ 10   アクセス ポイントをリブートするように求められたら、[OK] をクリックします。
    ステップ 11   アクセス ポイント無線を再度有効にするには、[Configure] > [Access Points] の順に選択します。
    ステップ 12   適切なアクセス ポイント無線をクリックします。
    図 4. [Configure] > [Access Points] > [Radio]

    ステップ 13   [Radio Detail] ページで、[Admin Status] の [Enabled] チェックボックスをオンにします。
    ステップ 14   [Save] をクリックします。

    wIPS モニタ モードに設定した各アクセス ポイントおよびその各無線について、この手順を繰り返します。


    wIPS プロファイルの設定

    デフォルトで、Mobility Services Engine と対応する wIPS アクセス ポイントは Prime Infrastructure からデフォルトの wIPS プロファイルを継承します。 このプロファイルは、デフォルトで有効にされている大部分の攻撃アラームによってあらかじめ調整されており、wIPS アクセス ポイントと同じ RF グループ内のアクセス ポイントに対する攻撃を監視します。 このように、システムは WLAN インフラストラクチャと wIPS アクセス ポイントの両方が同じコントローラ上に混合されている統合ソリューションを利用する構成モデルに対する攻撃を監視するようにあらかじめ設定されています。


    (注)  


    次の設定手順の一部はオーバーレイだけとしてマークされており、Autonomous や完全に個別のコントローラベースの WLAN などの既存の WLAN インフラストラクチャを監視するように適応型 wIPS ソリューションを導入している場合にだけ実行されます。


    wIPS プロファイルを設定するには、次の手順に従います。


      ステップ 1   [Configure] > [wIPS Profiles] を選択します。

      [wIPS Profiles] ページが表示されます。

      ステップ 2   [Select a command] ドロップダウン リストから、[Add Profile] を選択し、[Go] をクリックします。
      図 5. [wIPS Profiles] > プロファイル リスト

      ステップ 3   プロファイル テンプレートの選択

      [Profile Parameters] ダイアログボックスで、[Copy From] ドロップダウンリストからプロファイル テンプレートを選択します。

      (注)     

      wIPS には一連のプロファイル テンプレートがあらかじめ定義されているので、それらをベースとして使用して独自のカスタム プロファイルを作成できます。 各プロファイルは、そのプロファイルで有効な特定のアラームと同様に、特定の業務または用途に合わせて作成されています。

      (注)     

      デフォルト プロファイルは編集できません。

      (注)     

      プロファイルをコントローラに適用するために NMSP セッションがアクティブなことを確認します。

      図 6. [Profile Parameters] ダイアログボックス

      ステップ 4   プロファイルを選択し、プロファイル名を入力したら、[Save and Edit] をクリックします。 詳細については、wIPS プロファイルを参照してください。
      ステップ 5   監視する SSID を設定します。

      (任意)[SSID Group List] ページで SSID を設定します。 デフォルトで、ローカル ワイヤレス LAN インフラストラクチャ(同じ RF グループ名を持つ AP によって定義された)に対して仕掛けられた攻撃が監視されます。 オーバーレイ構成モデルで構成する場合など、他のネットワークに対する攻撃を監視させる必要がある場合は、SSID グループ機能を使用する必要があります。

      (注)     

      この手順が必要ない場合は、単に [Next] をクリックします。

      図 7. [SSID Groups Summary] ペイン

      1. [MyWLAN] チェックボックスをオンにし、ドロップダウン リストから [Edit Group] を選択して、[Go] をクリックします。

      2. 監視する SSID を入力します。 この手順は、オーバーレイ構成モデルで一般的な別の WLAN インフラストラクチャに対する攻撃を監視するためにシステムが使用される場合に必要です。

      3. SSID 名を入力し(複数の名前を入力する場合は 1 つのスペースで区切る)、[Save] をクリックします。

        図 8. [SSID Group Configuration] ダイアログボックス

        SSID が正常に追加されたことを確認する [SSID Groups] ページが表示されます。 詳細については、wIPS SSID グループ リストの設定を参照してください。

        図 9. [New Profile] > [SSID Groups] ページ

      4. [Next] をクリックします。

        [Select Policy] および [Policy Rules] 概要ペインが表示されます。

        図 10. [Next] > [Select Policy Summary] ペイン

      ステップ 6   プロファイルの編集

      検出および報告対象の攻撃を有効または無効にするには、[Select Policy] ペインでその攻撃タイプの横にあるチェックボックスをオンにします。

      ステップ 7   プロファイルを編集するには、攻撃タイプの名前(DoS:アソシエーション フラッドなど)をクリックします。

      その攻撃タイプの設定ペインが、ポリシー ルールの説明の上の右側のペインに表示されます。

      図 11. [Policy Rules]ペイン

      ステップ 8   ポリシー ルールの編集

      ポリシー ルールを変更するには、[Policy Rules] ページで、ポリシー ルールの横にあるチェックボックスをオンにし、[Edit] をクリックします。

      [Policy Rule Configuration] ダイアログボックスが表示されます。 ポリシーの[Policy Rule Configuration] ダイアログボックスで次を設定します。

      図 12. [Policy Rule Configuration] ダイアログボックス



      1. [Severity] ドロップダウン リストから、変更するアラームの重大度を選択します。 使用可能なオプションは、[Minor][Major][Critical][Warning]です。
      2. 自動封じ込め動作を有効にするには、[Containment] チェックボックスをオンにします。
        (注)     

        次のセキュリティ突破攻撃は、リリース 7.5 で不正 AP 封じ込めに対して設定できます。

        • ソフト AP またはホスト AP の検出

        • Airsnarf 攻撃の検出

        • ハニーポット AP の検出

        • Hotspotter ツールの検出

        • Karma ツールの検出

        • デバイス ブロードキャスト XSS SSID

      3. このアラームのパケットをキャプチャする場合は、[Forensic] チェックボックスをオンにします。
      4. 必要に応じて、アクティブなアソシエーションの数を変更します。 (この値はアラーム タイプによって異なります)。
      5. [SSID Group] ドロップダウン リストから、攻撃を監視する WLAN インフラストラクチャのタイプ([SSID] または [Device Group])を選択します。
        • [SSID] を選択した場合は、ステップ 9 に進みます。

        • [Device Group]を選択した場合は、ステップ 10 に進みます。

          (注)     

          [Device Group]([Type])および [Internal] はデフォルトです。 Internal は、同じ RF グループ内のすべてのアクセス ポイントを示します。 タイプに [SSID] を選択すると、オーバーレイ構成に一般的な個別ネットワークを監視できます。

      ステップ 9   ポリシー ルールの追加(任意)

      (任意)オーバーレイ構成に限り、SSID のポリシー ルールを追加するには、以下の手順に従います。

      1. ポリシー ルールを追加するには、[Add] をクリックします。

        図 13. ポリシー ルールの追加

      2. [Policy Rule Configuration] ダイアログボックスで、[SSID Group] リストから [MyWLAN] を選択します。

        (注)     

        タイプに SSID がすでに選択されています。

      3. すべての変更が完了したら、[Save] をクリックします。

      4. 各ポリシー ルールを変更します。 すべての変更を完了したら、ステップ 10 に進みます。

        (注)     

        SSID によって別の WLAN インフラストラクチャを監視するようにシステムを設定する場合、監視するすべてのポリシー ルールごとに変更する必要があります。 個別の各アラームに、システムで以前に作成した SSID グループに対する攻撃を監視するように定義したポリシー ルールを作成する必要があります。

        図 14. SSID モニタリングに関するポリシー ルールの編集

      ステップ 10   [Profile Configuration] ダイアログボックスで、[Save] をクリックしてプロファイル(SSID またはデバイス グループ)を保存します。 [Next] をクリックします。
      図 15. [Profile Configuration] ダイアログボックス

      ステップ 11   プロファイルを適用する MSE/コントローラの組み合わせを選択して、[Apply] をクリックします。
      図 16. [Apply Profile] ダイアログボックス


      wIPS プロファイル

      [wIPS Profiles] > [Profile List] ページでは、現在の wIPS プロファイルの表示、編集、適用、削除を行ったり、新しいプロファイルを追加したりできます。


      ヒント


      Cisco Adaptive wIPS 機能の詳細については、Cisco.com にアクセスして、マルチメディア プレゼンテーションをご覧ください。 Prime Infrastructure に関するさまざまなトピックについての学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


      Prime Infrastructure の wIPS プロファイル リストにアクセスするには、[Configure] > [wIPS Profiles] の順に選択します。 ページのデフォルトは、[wIPS Profiles] > [Profile List] です。 [Profile List] が現在表示されていない場合は、左側のサイドメニュー バー [wIPS Profiles] から [Profile List] を選択します。

      [Profile List] には、各プロファイルの次の情報が表示されます。

      • [Profile Name]:現在のプロファイルのユーザ定義名を示します。 プロファイルの詳細を表示または編集するには、プロファイル名をクリックします。


        (注)  


        マウス カーソルをプロファイル名に合わせると、プロファイル ID とバージョンが表示されます。


      • [MSE(s) Applied To]:このプロファイルが適用されている Mobility Services Engine(MSE)の数を示します。 MSE 番号をクリックすると、プロファイルの割り当ての詳細が表示されます。

      • [Controller(s) Applied To]:このプロファイルが適用されているコントローラの数を示します。 コントローラ番号をクリックすると、プロファイルの割り当ての詳細が表示されます。

      ここでは、次の内容について説明します。

      プロファイル エディタを使用すると、新しいプロファイルの作成や現在のプロファイルの変更が可能です。 詳細については、「プロファイル エディタ」(8-256 ページ)を参照してください。

      プロファイルの追加

      デフォルトまたは事前設定されたプロファイルを使用して、新しい wIPS プロファイルを作成できます。


      ヒント


      ヒント Cisco Adaptive wIPS 機能の詳細については、Cisco.com にアクセスして、マルチメディア プレゼンテーションをご覧ください。 Prime Infrastructure に関するさまざまなトピックについての学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


      wIPS プロファイルを追加するには、次の手順を実行します。


        ステップ 1   [Configure] > [wIPS Profiles] の順に選択します。 ページのデフォルトは、[wIPS Profiles] > [Profile List] です。
        ステップ 2   [Select a command] ドロップダウン リストから [Add Profile] を選択します。
        ステップ 3   [Go] をクリックします。
        ステップ 4   [Profile Parameters] ページの [Profile Name] テキスト ボックスにプロファイル名を入力します。
        ステップ 5   ドロップダウン リストから、該当する定義済みのプロファイルを選択するか、[Default] を選択します。 定義済みのプロファイルには次のものがあります。
        • Education

        • EnterpriseBest

        • EnterpriseRogue

        • Financial

        • HealthCare

        • HotSpotOpen

        • Hotspot8021x

        • Military

        • Retail

        • Tradeshow

        • Warehouse

        ステップ 6   次のいずれかを選択します。
        • [Save]:プロファイルを、Mobility Services Engine やコントローラを割り当てずに、変更なしで Prime Infrastructure データベースに保存します。 プロファイルはプロファイル リストに表示されます。

        • [Save and Edit]:プロファイルを保存し、編集します。

        • [Cancel]:プロファイルを作成せずに [Profile Parameters] ページを閉じます。


        プロファイルの削除

        wIPS プロファイルを削除するには、次の手順を実行します。


          ステップ 1   [Configure] > [wIPS Profiles] を選択します。 ページのデフォルトは、[wIPS Profiles] > [Profile List] です。
          ステップ 2   削除する wIPS プロファイルのチェックボックスをオンにします。
          ステップ 3   [Select a command] ドロップダウン リストから [Delete Profile] を選択します。
          ステップ 4   [Go] をクリックします。
          ステップ 5   [OK] をクリックして、削除を実行します。
          (注)     

          プロファイルがコントローラに適用されている場合、そのプロファイルは削除できません。


          現在のプロファイルの適用


          ヒント


          ヒント Cisco Adaptive wIPS 機能の詳細については、次の URL にアクセスしてください。 http:/​/​www.cisco.com/​en/​US/​products/​ps6305/​tsd_​products_​support_​online_​learning_​modules_​list.html Prime Infrastructure に関するさまざまなトピックについての学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


          wIPS プロファイルを適用するには、次の手順を実行します。


            ステップ 1   [Configure] > [wIPS Profiles] を選択します。 ページのデフォルトは、[wIPS Profiles] > [Profile List] です。
            ステップ 2   適用する wIPS プロファイルのチェックボックスをオンにします。
            ステップ 3   [Select a command] ドロップダウン リストから [Apply Profile] を選択します。
            ステップ 4   [Go] をクリックします。
            ステップ 5   プロファイルを適用する Mobility Services Engine とコントローラを選択します。
            (注)     

            新しい割り当てが現在の割り当てと異なる場合、プロファイルを異なる名前で保存するよう求められます

            ステップ 6   該当する Mobility Services Engine とコントローラが選択されている場合、次のいずれかを選択します。
            • [Apply]:現在のプロファイルを、選択された Mobility Services Engine またはコントローラに適用します。

            • [Cancel]:変更を行わずにプロファイル リストに戻ります。


            wIPS SSID グループ リストの設定

            SSID(Service Set IDentifier)は、802.11(Wi-Fi)ネットワークを識別するトークンまたはキーです。 802.11 ネットワークに参加するには、SSID を知っている必要があります。 SSID は、SSID グループ リスト機能を使用して、グループとして wIPS プロファイルに関連付けることができます。

            SSID グループは、[Global SSID Group List] ページ([Configure] > [wIPS Profiles] > [SSID Group List])からインポートするか、[SSID Groups] ページから直接追加することで、プロファイルに追加できます。

            ここでは、次の内容について説明します。

            グローバル SSID グループ リスト

            [SSID Group List] ページでは、グローバル SSID グループを追加または設定できます。このグローバル SSID グループは、後で該当する wIPS プロファイルにインポートできます。


            ヒント


            ヒント Cisco Adaptive wIPS 機能の詳細については、次の URL にアクセスしてください。 http:/​/​www.cisco.com/​en/​US/​products/​ps6305/​tsd_​products_​support_​online_​learning_​modules_​list.htmlここには、さまざまな Prime Infrastructure トピックに関する学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


            [SSID Group List] ページにアクセスするには、[Configure] > [wIPS Profiles] の順に選択します。 左側のサイドバー メニューから、[SSID Group List] を選択します。 [SSID Group List] ページには、現在の SSID グループとそれに関連付けられた SSID が表示されます。

            ここでは、次の内容について説明します。

            グループの追加

            SSID グループを追加するには、次の手順を実行します。


              ステップ 1   [Configure] > [wIPS Profiles] を選択します。
              ステップ 2   左側のサイドバー メニューから、[SSID Group List] を選択します。
              ステップ 3   [Select a command] ドロップダウン リストから [Add Group] を選択します。
              ステップ 4   [Go] をクリックします。
              ステップ 5   SSID 設定ページで、テキスト ボックスに SSID グループ名を入力します。
              ステップ 6   [SSID List] テキスト ボックスに SSID を入力します。 SSID が複数ある場合はスペースで区切ります。
              ステップ 7   終了したら、次のいずれかを選択します。
              • [Save]:SSID グループを保存し、SSID グループ リストに追加します。

              • [Cancel]:新しい SSID グループを保存せずに SSID 設定ページを閉じます。

                (注)     

                SSID グループをプロファイルにインポートするには、[Configure] > [wIPS Profile] の順に選択します。 [SSID Groups] ページを開くには、該当するプロファイルのプロファイル名をクリックします。 [Select a command] ドロップダウン リストから、[Add Groups from Global List] を選択します。 インポートする SSID グループのチェックボックスをオンにし、[Save] をクリックします。


              グループの編集

              現在の SSID グループを編集するには、次の手順を実行します。


                ステップ 1   [Configure] > [wIPS Profiles] を選択します。
                ステップ 2   左側のサイドバー メニューから、[SSID Group List] を選択します。
                ステップ 3   編集する SSID グループのチェックボックスをオンにします。
                ステップ 4   [Select a command] ドロップダウン リストから [Edit Group] を選択します。
                ステップ 5   [Go] をクリックします。
                ステップ 6   SSID 設定ページで、SSID グループ名または SSID リストに必要な変更を行います。
                ステップ 7   終了したら、次のいずれかを選択します。
                • [Save]:現在の変更内容を保存し、SSID 設定ページを閉じます。

                • [Cancel]:変更内容を保存せずに SSID 設定ページを閉じます。


                グループの削除

                現在の SSID グループを削除するには、次の手順を実行します。


                  ステップ 1   [Configure] > [wIPS Profiles] を選択します。
                  ステップ 2   左側のサイドバー メニューから、[SSID Group List] を選択します。
                  ステップ 3   削除する SSID グループのチェックボックスをオンにします。
                  ステップ 4   [Select a command] ドロップダウン リストから [Delete Group] を選択します。
                  ステップ 5   [Go] をクリックします。
                  ステップ 6   [OK] をクリックして、削除を実行します。

                  SSID グループ

                  [SSID Groups] ページは、プロファイル エディタにアクセスしたときに表示される最初のページです。 このページには、現在の wIPS プロファイルに含まれている SSID グループが表示されます。

                  このページから、現在のプロファイルの SSID グループを追加、インポート、編集、または削除できます。


                  ヒント


                  Cisco Adaptive wIPS 機能の詳細については、次の URL にアクセスしてください。 http:/​/​www.cisco.com/​en/​US/​products/​ps6305/​tsd_​products_​support_​online_​learning_​modules_​list.html. Prime Infrastructure に関するさまざまなトピックについての学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


                  ここでは、次の内容について説明します。

                  グループの追加

                  SSID グループを現在の wIPS プロファイルに追加するには、次の手順を実行します。


                    ステップ 1   [Configure] > [wIPS Profiles] を選択します。
                    ステップ 2   左側のサイドバー メニューから、[Profile List] を選択します。
                    ステップ 3   該当する wIPS プロファイルのプロファイル名をクリックします。
                    ステップ 4   [Select a command] ドロップダウン リストから [Add Group] を選択します。
                    ステップ 5   [Go] をクリックします。
                    ステップ 6   SSID 設定ページで、テキスト ボックスに SSID グループ名を入力します。
                    ステップ 7   [SSID List] テキスト ボックスに SSID を入力します。 SSID が複数ある場合はカンマで区切ります。
                    ステップ 8   終了したら、次のいずれかを選択します。
                    • [Save]:SSID グループを保存し、SSID グループ リストに追加します。

                    • [Cancel]:新しい SSID グループを保存せずに SSID 設定ページを閉じます。


                    グローバル リストからのグループの追加

                    SSID グループは、グローバル SSID グループ リストからインポートして追加することもできます。 グローバル SSID グループ リスト作成の詳細については、「グローバル SSID グループ リスト」(8-260 ページ)を参照してください。

                    SSID グループをプロファイルにインポートするには、次の手順を実行します。


                      ステップ 1   [Configure] > [wIPS Profile] の順に選択します。
                      ステップ 2   [SSID Groups] ページを開くには、該当するプロファイルのプロファイル名をクリックします。
                      ステップ 3   [Select a command] ドロップダウン リストから、[Add Groups from Global List] を選択します。
                      ステップ 4   インポートする SSID グループのチェックボックスをオンにします。
                      ステップ 5   [Save] をクリックします。

                      グループの編集

                      現在の SSID グループを編集するには、次の手順を実行します。


                        ステップ 1   [Configure] > [wIPS Profiles] を選択します。
                        ステップ 2   左側のサイドバー メニューから、[Profile List] を選択します。
                        ステップ 3   該当する wIPS プロファイルのプロファイル名をクリックします。
                        ステップ 4   編集する SSID グループのチェックボックスをオンにします。
                        ステップ 5   [Select a command] ドロップダウン リストから [Edit Group] を選択します。
                        ステップ 6   [Go] をクリックします。
                        ステップ 7   SSID 設定ページで、SSID グループ名または SSID リストに必要な変更を行います。
                        ステップ 8   終了したら、次のいずれかを選択します。
                        • [Save]:現在の変更内容を保存し、SSID 設定ページを閉じます。

                        • [Cancel]:変更内容を保存せずに SSID 設定ページを閉じます。


                        グループの削除

                        現在の SSID グループを削除するには、次の手順を実行します。


                          ステップ 1   [Configure] > [wIPS Profiles] を選択します。
                          ステップ 2   左側のサイドバー メニューから、[Profile List] を選択します。
                          ステップ 3   該当する wIPS プロファイルのプロファイル名をクリックします。
                          ステップ 4   削除する SSID グループのチェックボックスをオンにします。
                          ステップ 5   [Select a command] ドロップダウン リストから [Delete Group] を選択します。
                          ステップ 6   [Go] をクリックします。
                          ステップ 7   [OK] をクリックして、削除を実行します。

                          プロファイル エディタを使用したプロファイル設定


                          ヒント


                          Cisco Adaptive wIPS 機能の詳細については、次の URL にアクセスしてください。 http:/​/​www.cisco.com/​en/​US/​products/​ps6305/​tsd_​products_​support_​online_​learning_​modules_​list.html. Prime Infrastructure に関するさまざまなトピックについての学習モジュールもあります。 今後のリリースに合わせて、学習を強化する概要プレゼンテーションおよび技術プレゼンテーションが追加されていく予定です。


                          プロファイル エディタを使用すると、次のものを含むプロファイルの詳細を設定できます。

                          • SSID グループ:SSID グループを追加、編集、または削除します。

                          • ポリシーの包含:プロファイルに含めるポリシーを決定します。

                          • ポリシー レベル設定:閾値、重大度、通知の種類、ACL または SSID グループなど、各ポリシーの設定を行います。

                          • MSE またはコントローラ アプリケーション:プロファイルを適用する Mobility Services Engine またはコントローラを選択します。

                          プロファイルの詳細を設定するには、次の手順を実行します。


                            ステップ 1   プロファイル エディタにアクセスします。 これには、次の 2 つの方法があります。
                            • 新しいプロファイルを作成するときは、[Profile Parameters] ページで [Save and Edit] をクリックします。

                            • [Profile List] ページからプロファイル名をクリックします。

                            ステップ 2   [SSID Groups] ページから、現在のグループの編集および削除、または新しいグループの追加を行うことができます。 SSID グループの追加、編集、削除の詳細については、「[Configure] > [wIPS] > [SSID Group List]」(8-259 ページ)を参照してください。
                            ステップ 3   SSID グループを必要に応じて追加または編集した後、次のいずれかを選択します。
                            • [Save]:SSID グループに対して行った変更を保存します。

                            • [Cancel]:変更を行わずにプロファイル リストに戻ります。

                            • [Next]:[Profile Configuration] ページに進みます。

                            ステップ 4   [Profile Configuration] ページでは、現在のプロファイルに含めるポリシーを決定できます。 ポリシー ツリーのチェックボックス(左側の [Select Policy] ペインにあります)は、現在のプロファイルで有効または無効になっているポリシーを示します。 該当するブランチまたはポリシーのチェックボックスをオンにすることで、必要に応じてブランチ全体または個別のポリシーを有効または無効にできます。
                            (注)     

                            デフォルトでは、すべてのポリシーが選択されています。

                            (注)     

                            各 wIPS ポリシーの詳細については、wIPS ポリシー アラーム リファレンスを参照してください。

                            ステップ 5   [Profile Configuration] ページで、個々のポリシーをクリックしてポリシーの説明を表示したり、現在のポリシー ルール設定を表示または変更します。

                            各ポリシーで次のオプションを使用できます。

                            • [Add]:このポリシーに新しいルールを作成するには、[Add] をクリックして [Policy Rule Configuration] ページにアクセスします。

                            • [Edit]:このルールの設定を編集するには、該当するルールのチェックボックスをオンにし、[Edit] をクリックして [Policy Rule Configuration] ページにアクセスします。

                            • [Delete]:削除するルールのチェックボックスをオンにし、[Delete] をクリックします。 [OK] をクリックして、削除を実行します。

                              (注)     

                              1 つ以上のポリシー ルールが存在する必要があります。 リスト内で唯一のポリシー ルールは削除できません。

                            • [Move Up]:リスト内で上に移動するルールのチェックボックスをオンにします。 [Move Up] をクリックします。

                            • [Move Down]:リスト内で下に移動するルールのチェックボックスをオンにします。 [Move Down] をクリックします。

                              ポリシー レベルで次の設定を行うことができます。

                            • [Threshold](すべてのポリシーに適用されるわけではありません):選択したポリシーに関連付けられた閾値または上限を示します。 ポリシーの閾値に達すると、アラームが生成されます。

                              (注)     

                              すべてのポリシーに 1 つ以上のしきい値が含まれている必要があるため、標準的なワイヤレス ネットワークの問題に基づいて、各ポリシーにデフォルトのしきい値が定義されています。

                              (注)     

                              閾値オプションは、選択したポリシーに応じて異なります。

                              (注)     

                              Cisco Adaptive wIPS DoS およびセキュリティ ペネトレーション攻撃からのアラームは、セキュリティ アラームとして分類されます。 これらの攻撃の概要は [Security Summary] ページにあります。 このページにアクセスするには、[Monitor] > [Security] の順に選択します。 wIPS の攻撃は [Threats and Attacks] セクションにあります。

                            • [Severity]:選択したポリシーの重大度を示します。 パラメータとしては、[critical]、[major]、[info]、および [warning] があります。 このフィールドの値は、ワイヤレス ネットワークに応じて変わります。

                            • [Notification]:閾値に関連付けられた通知の種類を示します。

                            • [ACL/SSID Group]:この閾値が適用される ACL または SSID グループを示します。

                              (注)     

                              選択されたグループに対してのみポリシーが適用されます。

                            ステップ 6   プロファイルの設定が完了したら、次のいずれかを選択します。
                            • [Save]:現在のプロファイルに対して行った変更を保存します。

                            • [Cancel]:変更を行わずにプロファイル リストに戻ります。

                            • [Back]:[SSID Groups] ページに戻ります。

                            • [Next]:[MSE/Controller(s)] ページに進みます。

                            ステップ 7   [Apply Profile] ページで、現在のプロファイルを適用する Mobility Services Engine とコントローラのチェックボックスをオンにします。
                            ステップ 8   該当する Mobility Services Engine とコントローラが選択されている場合、次のいずれかを選択します。
                            • [Apply]:現在のプロファイルを、選択された Mobility Services Engine またはコントローラに適用します。

                            • [Cancel]:変更を行わずにプロファイル リストに戻ります。

                              (注)     

                              作成したプロファイルは、プロファイル リストから直接適用することもできます。 [Profile List] ページから、適用するプロファイルのチェックボックスをオンにし、[Select a command] ドロップダウン リストから [Apply Profile] をクリックします。 [Apply Profile] ページにアクセスするには、[Go] をクリックします。