Cisco Wireless LAN Controller コンフィギュレーション ガイド Release 4.0
セキュリティ ソリューションの設定
セキュリティ ソリューションの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

セキュリティ ソリューションの設定

Cisco UWN Solution のセキュリティ

セキュリティ概要

レイヤ 1 ソリューション

レイヤ 2 ソリューション

レイヤ 3 ソリューション

不正アクセス ポイントのソリューション

不正アクセス ポイントの問題

不正アクセス ポイントのタグ付けと阻止

統合されたセキュリティ ソリューション

SpectraLink 社の NetLink 電話に対するシステムの設定

GUI を使用した長いプリアンブルの有効化

CLI を使用した長いプリアンブルの有効化

CLI を使用した Enhanced Distributed Channel Access の設定

無線による管理の使用

GUI を使用した無線による管理の有効化

CLI を使用した無線による管理の有効化

DHCP オプション 82 の使用

アクセス コントロール リストの設定

GUI を使用したアクセス コントロール リストの設定

CLI を使用したアクセス コントロール リストの設定

管理フレーム保護の設定

GUI を使用した MFP の設定

GUI を使用した MFP 設定の表示

CLI を使用した MFP の設定

CLI を使用した MFP 設定の表示

ID ネットワーキングの設定

ID ネットワーキングの概要

ID ネットワーキングで使用される RADIUS 属性

QoS-Level

ACL-Name

Interface-Name

VLAN-Tag

トンネル属性

AAA Override の設定

GUI を使用した AAA Override の設定

CLI を使用した AAA Override の設定

IDS の設定

IDS センサーの設定

GUI を使用した IDS センサーの設定

CLI を使用した IDS センサーの設定

回避クライアントの表示

IDS シグニチャの設定

GUI を使用した IDS シグニチャの設定

CLI を使用した IDS シグニチャの設定

CLI を使用した IDS シグニチャ イベントの表示

AES キー ラップの設定

GUI を使用した AES キー ラップの設定

CLI を使用した AES キー ラップの設定

最大ローカル データベース エントリの設定

GUI を使用したローカル データベース エントリの最大数の指定

CLI を使用したローカル データベース エントリの最大数の指定

Cisco UWN Solution のセキュリティ

Cisco UWN Solution セキュリティの内容は、次のとおりです。

「セキュリティ概要」

「レイヤ 1 ソリューション」

「レイヤ 2 ソリューション」

「レイヤ 3 ソリューション」

「不正アクセス ポイントのソリューション」

「統合されたセキュリティ ソリューション」

セキュリティ概要

Cisco UWN セキュリティ ソリューションは、802.11 アクセス ポイントのセキュリティを構成する潜在的に複雑なレイヤ 1、レイヤ 2、およびレイヤ 3 を 1 つの単純なポリシー マネージャにまとめたもので、システム全体のセキュリティ ポリシーを WLAN 単位でカスタマイズできます。Cisco UWN セキュリティ ソリューションは、単純で、統一された、体系的なセキュリティ管理ツールを提供します。

企業での WLAN 展開の最も大きな障害の 1 つが、脆弱な独立型の暗号化方式である Wired Equivalent Privacy(WEP)です。低価格のアクセス ポイントの登場も新たな問題で、企業ネットワークに接続して Man-in-the-Middle および Denial-of-Service(DoS)攻撃に利用される可能性があります。また、次々に追加されるセキュリティ ソリューションの複雑さから、多くの IT マネージャが WLAN セキュリティの最新技術を採用することをためらっています。

レイヤ 1 ソリューション

Cisco UWN セキュリティ ソリューションによって、すべてのクライアントは、アクセスの試行回数をオペレータが設定した回数までに制限されます。クライアントがその制限回数内にアクセスできなかった場合、そのクライアントは、オペレータが設定したタイマーが切れるまで自動的に除外(アクセスをブロック)されます。オペレーティング システムでは、WLAN ごとに SSID ブロードキャストを無効にすることもできます。

レイヤ 2 ソリューション

上位レベルのセキュリティと暗号化が必要な場合、ネットワーク管理者は、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)を使用する 802.1X 動的キーや Wi-Fi Protected Access(WPA)動的キーなど業界標準のセキュリティ ソリューションも実装できます。Cisco UWN Solution の WPA 実装には、Advanced Encryption Standard(AES)動的キー、Temporal Key Integrity Protocol + Message Integrity Code Checksum(TKIP + Michael)動的キー、WEP 静的キーが含まれます。無効化も使用され、オペレータが設定した回数だけ認証の試行に失敗すると、自動的にレイヤ 2 アクセスがブロックされます。

どの無線セキュリティ ソリューションを採用した場合も、コントローラと Lightweight アクセス ポイントとの間のすべてのレイヤ 2 有線通信は、Lightweight Access Point Protocol(LWAPP; Lightweight アクセス ポイント プロトコル)トンネルを使用してデータを渡すことにより保護されます。

レイヤ 3 ソリューション

WEP 問題は、パススルー Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。

Cisco UWN Solution では、ローカルおよび RADIUS Media Access Control(RADIUS MAC; RADIUS メディア アクセス制御)フィルタリングがサポートされています。このフィルタリングは、802.11 アクセス カード MAC アドレスの既知のリストがある小規模のクライアント グループに適しています。

さらに、Cisco UWN Solution では、ローカルおよび RADIUS ユーザおよびパスワード認証がサポートされています。この認証は、小規模から中規模のクライアント グループに適しています。

不正アクセス ポイントのソリューション

この項では、不正アクセス ポイントに対するセキュリティ ソリューションについて説明します。

不正アクセス ポイントの問題

不正アクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や MITM 攻撃を使用することによって、WLAN の運用を妨害します。つまり、ハッカーは不正アクセス ポイントを使用することで、パスワードやユーザ名などの機密情報を取り出すことができます。すると、ハッカーは一連の Clear To Send(CTS; クリア ツー センド)フレームを送信できるようになります。このフレームはアクセス ポイントを模倣し、特定の Network Interface Card(NIC; ネットワーク インターフェイス カード)に伝送して、他のすべての NIC には待機するように指示します。その結果、正規のクライアントは、WLAN リソースに接続できなくなってしまいます。したがって、WLAN サービス プロバイダーは、空間からの不正アクセス ポイントの締め出しに強い関心を持っています。

オペレーティング システムのセキュリティ ソリューションでは、「不正アクセス ポイントのタグ付けと阻止」の説明にあるように、Radio Resource Management(RRM)機能を使用して、すべての近隣のアクセス ポイントを継続的に監視し、不正アクセス ポイントを自動的に検出して、それらを特定します。

不正アクセス ポイントのタグ付けと阻止

WCS を使用して Cisco UWN Solution を監視する場合、不正アクセス ポイントが検出されるとフラグが生成され、既知の不正アクセス ポイントが MAC アドレスで表示されます。オペレータは、それぞれの不正アクセス ポイントに最も近い Lightweight アクセス ポイントの場所を示すマップを表示して、Known または Acknowledged 不正アクセス ポイントを(追加の処置をせずに)許可するか、これらを Alert 不正アクセス ポイントとしてマークする(監視し、アクティブになったときに通知する)か、または Contained 不正アクセス ポイントとしてマークすることができます。1 ~ 4 個の Lightweight アクセス ポイントを使用して、不正アクセス ポイント クライアントが不正アクセス ポイントとアソシエートするたびに、そのクライアントに認証解除メッセージおよびアソシエート解除メッセージを送信して、そのクライアントを阻止することができます。

Graphical User Interface(GUI; グラフィカル ユーザ インターフェイス) または Command Line Interface(CLI; コマンド ライン インターフェイス)を使用して Cisco UWN Solution を監視する場合、既知の不正アクセス ポイントが MAC アドレスで表示されます。その後、オペレータは、それを Known または Acknowledged 不正アクセス ポイントとしてマークするか(追加の処置はなし)、それらを Alert 不正アクセス ポイントとしてマークする(監視し、アクティブになったときに通知)ことができます。また、それらを Contained 不正アクセス ポイントとしてマークすることもできます。この場合、1 ~ 4 つの Lightweight アクセス ポイントに対して、不正アクセス ポイント クライアントが不正アクセス ポイントとアソシエートするたびに、それらのクライアントに認証解除メッセージおよびアソシエーション解除メッセージを送信して阻止します。

統合されたセキュリティ ソリューション

Cisco UWN Solution オペレーティング システムのセキュリティは、堅牢な 802.1X AAA(認証、認可、アカウンティング)エンジンを中心に構築されており、オペレータは、Cisco UWN Solution 全体にわたってさまざまなセキュリティ ポリシーを迅速に設定および適用できます。

コントローラおよび Lightweight アクセス ポイントには、システム全体の認証および認可プロトコルがすべてのポートおよびインターフェイスに装備され、最大限のシステム セキュリティが提供されています。

オペレーティング システムのセキュリティ ポリシーは個別の WLAN に割り当てられ、Lightweight アクセス ポイントは設定されたすべての WLAN(最大 16)に同時にブロードキャストします。これにより、干渉を増加させ、システム スループットを低下させる可能性があるアクセス ポイントを追加する必要はなくなります。

オペレーティング システム セキュリティは、RRM 機能を使用して、干渉およびセキュリティ侵犯がないか継続的に空間を監視し、それらを検出したときはオペレータに通知します。

オペレーティング システム セキュリティは、業界標準の AAA(認証、認可、アカウンティング)サーバで動作し、システム統合が単純で簡単です。

SpectraLink 社の NetLink 電話に対するシステムの設定

SpectraLink 社の NetLink 電話を Cisco UWN Solution と最適な形で統合するためには、長いプリアンブルを使用可能にする特別なオペレーティング システム設定が必要です。無線プリアンブル(ヘッダーとも呼ばれる)はパケットの先頭部分にあるデータで、パケットを送受信する際に無線デバイスが必要とする情報が格納されています。短いプリアンブルの方がスループット パフォーマンスが向上するため、デフォルトではこちらが有効になっています。ただし、SpectraLink 社の NetLink 電話などの一部の無線デバイスは、長いプリアンブルを必要とします。

長いプリアンブルを有効にするには、次のいずれかの方法を使用します。

「GUI を使用した長いプリアンブルの有効化」

「CLI を使用した長いプリアンブルの有効化」

GUI を使用した長いプリアンブルの有効化

GUI を使用して長いプリアンブルを有効化し、無線 LAN 上にある SpectraLink 社の NetLink 電話の動作を最適化する手順は次のとおりです。


ステップ 1 コントローラの GUI にログインします。

ステップ 2 次のようにメニューを選択し、802.11b/g Global Parameters ページへ移動します。

Wireless > Global RF > 802.11b/g Network

Short Preamble Enabled チェックボックスがオンの場合は、以降の手順に進みます。Short Preamble Enabled チェックボックスがオフの場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。

ステップ 3 Short Preamble Enabled チェックボックスをオフにして長いプリアンブルを有効にします。

ステップ 4 Apply をクリックして、コントローラの設定を更新します。


) コントローラへの CLI セッションがアクティブでない場合は、CLI セッションを開始してコントローラをリブートし、リブート プロセスを監視することをお勧めします。コントローラがリブートすると GUI が切断されるため、その意味でも CLI セッションは役に立ちます。


ステップ 5 Commands > Reboot > Reboot を選択し、コントローラをリブートします。次のプロンプトに対し OK をクリックします。

Configuration will be saved and switch will be rebooted. Click ok to confirm.
 

コントローラがリブートします。

ステップ 6 コントローラの GUI にもう一度ログインし、コントローラが正しく設定されていることを確認します。次のようにメニューを選択し、802.11b/g Global Parameters ページへ移動します。

Wireless > Global RF > 802.11b/g Network

Short Preamble Enabled チェックボックスがオフの場合、コントローラは SpectraLink 社の NetLink 電話に対して最適化されています。


 

CLI を使用した長いプリアンブルの有効化

CLI を使用して長いプリアンブルを有効化し、無線 LAN 上にある SpectraLink 社 NetLink 電話の動作を最適化する手順は次のとおりです。


ステップ 1 コントローラの CLI にログインします。

ステップ 2 show 802.11b と入力し、Short Preamble mandatory パラメータをチェックします。短いプリアンブルが有効になっている場合は、以降の手順に進みます。短いプリアンブルが有効な場合、次のように表示されます。

Short Preamble mandatory....................... Enabled
 

短いプリアンブルが無効になっている場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。長いプリアンブルが有効な場合、次のように表示されます。

Short Preamble mandatory....................... Disabled
 

ステップ 3 config 802.11b disable network と入力して 802.11b/g ネットワークを無効にします(802.11a ネットワークでは長いプリアンブルを有効にできません)。

ステップ 4 config 802.11b preamble long と入力して長いプリアンブルを有効にします。

ステップ 5 config 802.11b enable network と入力して 802.11b/g ネットワークを再度有効にします。

ステップ 6 reset system と入力して、コントローラをリブートします。次のプロンプトに対して y と入力します。

The system has unsaved changes. Would you like to save them now? (y/n)
 

コントローラがリブートします。

ステップ 7 もう一度 CLI にログインし、show 802.11b と入力して次のパラメータを表示し、コントローラが正しく設定されていることを確認します。

802.11b Network................................ Enabled
Short Preamble mandatory....................... Disabled
 

上記のパラメータは、802.11b/g ネットワークが有効になっていて、短いプリアンブルが無効になっていることを示しています。


 

CLI を使用した Enhanced Distributed Channel Access の設定

次の CLI コマンドを使用すると、802.11 Enhanced Distributed Channel Access(EDCA; 拡張型分散チャネル アクセス)パラメータを設定して SpectraLink の電話をサポートできます。

config advanced edca-parameters { svp-voice | wmm-default }

このとき、次のようになります。

svp-voice は SpectraLink Voice Priority(SVP)パラメータを有効にし、 wmm-default は Wireless Multimedia(WMM)デフォルト パラメータを有効にします。


) このコマンドをコントローラに接続されたすべてのアクセス ポイントに適用するには、このコマンドを入力した後、802.11b/g ネットワークを無効にし、その後再び有効にしてください。


無線による管理の使用

Cisco UWN Solution の無線による管理機能を使用すると、オペレータは、無線クライアントを使用してローカル コントローラを監視および設定できます。この機能は、コントローラとの間のアップロードおよびダウンロード(転送)以外のすべての管理タスクに対して使用できます。

無線による管理機能を使用するには、次のいずれかの方法でコントローラを適切に設定しておく必要があります。

「GUI を使用した無線による管理の有効化」

「CLI を使用した無線による管理の有効化」

GUI を使用した無線による管理の有効化


ステップ 1 Management > Mgmt Via Wireless の順にクリックして、Management Via Wireless ページを開きます。

ステップ 2 Enable Controller Management to be accessible from Wireless Clients チェックボックスをオンにして WLAN に対して無線による管理を有効にするか、オフにしてこの機能を無効にします。デフォルトではオフになっています。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 Save Configuration をクリックして、変更内容を保存します。

ステップ 5 無線クライアント Web ブラウザを使用して、コントローラ管理ポートまたはディストリビューション システム ポート IPアドレスに接続し、コントローラ GUI にログインして、無線クライアントを使用して WLAN を管理できていることを確認します。


 

CLI を使用した無線による管理の有効化


ステップ 1 CLI で、 show network コマンドを使用して、Mgmt Via Wireless Interface が Enabled に設定されているか Disabled に設定されているかを確認します。Mgmt Via Wireless Interface が Disabled に設定されている場合、ステップ 2 に進みます。それ以外の場合、ステップ 3 に進みます。

ステップ 2 無線による管理を有効にするには、config network mgmt-via-wireless enable と入力します。

ステップ 3 無線クライアントを使用して、管理対象のコントローラに接続されているアクセス ポイントにアソシエートします。

ステップ 4 telnet controller-ip-address と入力して CLI にログインし、無線クライアントを使用して WLAN を管理できることを確認します。


 

DHCP オプション 82 の使用

DHCP を使用してネットワーク アドレスを割り当てるとき、DHCP オプション 82 はセキュリティの補強を提供します。具体的には、コントローラが DHCP リレイ エージェントとして動作して、信頼できないソースからの DHCP クライアント要求を阻止できるようにします。DHCP 要求にオプション 82 情報を追加してから DHCP サーバに転送するように、コントローラを設定することができます。このプロセスの図は、図5-1 を参照してください。

図5-1 DHCP オプション 82

 

アクセス ポイントは、クライアントからのすべての DHCP 要求をコントローラに転送します。コントローラは、DHCP オプション 82 ペイロードを追加してから要求を DHCP サーバに転送します。このオプションの設定方法によって、ペイロードには MAC アドレス、または MAC アドレスとアクセス ポイントの SSID が含まれます。


) すでにリレー エージェント オプションが含まれている DHCP パケットは、コントローラでドロップされます。



) DHCP オプション 82 は、第 11 章「モビリティ グループの設定」で説明されている自動アンカー モビリティと共に使用することはできません。


次のコマンドを使用して DHCP オプション 82 をコントローラに設定できます。

1. DHCP オプション 82 ペイロードの形式を設定するには、次のコマンドの 1 つを入力します。

config dhcp opt-82 remote-id ap_mac

このコマンドは DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスを追加します。

config dhcp opt-82 remote-id ap_mac:ssid

このコマンドは DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスと SSID を追加します。

2. コントローラで DHCP オプション 82 を有効または無効にするには、次のコマンドを入力します。

config interface dhcp ap-manager opt-82 {enable | disable}

3. コントローラで DHCP オプション 82 のステータスを表示するには、次のコマンドを入力します。

show interface detailed ap-manager

次のような情報が表示されます。

Interface Name................................... ap-manager
IP Address....................................... 10.30.16.13
IP Netmask....................................... 255.255.248.0
IP Gateway....................................... 10.30.16.1
VLAN............................................. untagged
Active Physical Port............................. LAG (29)
Primary Physical Port............................ LAG (29)
Backup Physical Port............................. Unconfigured
Primary DHCP Server.............................. 10.1.0.10
Secondary DHCP Server............................ Unconfigured
DHCP Option 82................................... Enabled
ACL.............................................. Unconfigured
AP Manager....................................... Yes

アクセス コントロール リストの設定

Access Control List(ACL; アクセス コントロール リスト)は、特定のインターフェイスへのアクセスを制限するために使用する一連のルールです(たとえば、無線クライアントがコントローラの管理インターフェイスに ping を実行するのを制限する場合などに使用します)。ACL は、無線クライアントで送受信されるデータ トラフィック、またはコントローラ CPU 宛の全トラフィックに適用できます。定義した ACL は、クライアント データ トラフィックについては、管理インターフェイス、AP マネージャ インターフェイス、または任意の動的インターフェイスに、コントローラ CPU 宛トラフィックについては、NPU インターフェイスに適用できます。


) 外部 Web サーバを使用している場合は、WLAN 上で外部 Web サーバに対する事前認証 ACL を設定する必要があります。


最大で 64 の ACL を定義することができ、各 ACL に最大 64 のルール(またはフィルタ)を設定できます。各ルールには、ルールの処理に影響を与えるパラメータがあります。パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。

ACL は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用したアクセス コントロール リストの設定

コントローラ GUI を使用して ACL を設定する手順は、次のとおりです。


ステップ 1 Security > Access Control Lists をクリックして、Access Control Lists ページにアクセスします(図5-2 を参照)。

図5-2 Access Control Lists ページ

 

このページでは、このコントローラに設定されたすべての ACL が表示されます。任意の ACL を編集したり、削除したりすることもできます。

ステップ 2 新しい ACL を追加するには、New をクリックします。Access Control Lists > New ページが表示されます(図5-3 を参照)。

図5-3 Access Control Lists > New ページ

 

ステップ 3 Access Control List Name フィールドに新しい ACL の名前を入力します。最大 32 文字の英数字を入力できます。

ステップ 4 Apply をクリックします。Access Control Lists ページが再度表示されたら、新しい ACL の Edit リンクをクリックします。

ステップ 5 Access Control Lists > Edit ページが表示されたら、Add New Rule をクリックします。Access Control Lists > Rules > New ページが表示されます(図5-4 を参照)。

図5-4 Access Control Lists > Rules > New ページ

 

ステップ 6 この ACL にルールを設定する手順は、次のとおりです。

a. コントローラは各 ACL について最大 64 のルールをサポートします。これらのルールは 1 ~ 64 の順にリストされます。Sequence フィールドに値(1 ~ 64)を入力し、この ACL に定義された他のルールとの順序関係を明確にします。


) ルール 1 ~ 4 がすでに設定されている場合にルール 29 を追加すると、これはルール 5 として追加されます。ルールのシーケンス番号を追加したり、変更した場合には、順序を維持するために他のルールのシーケンス番号が調整されます。たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ、自動的に 6 および 7 へと番号が変更されます。


b. Source ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するパケットのソースを指定します。

Any:任意のソース(これは、デフォルト値です)。

IP Address:特定のソース。このオプションを選択した場合、編集ボックスに、ソースの IP アドレスとネットマスクを入力します。

c. Destination ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するパケットの宛先を指定します。

Any:任意の宛先(これは、デフォルト値です)。

IP Address:特定の宛先。このオプションを選択した場合、編集ボックスに、宛先の IP アドレスとネットマスクを入力します。

d. Protocol ドロップダウン ボックスから、この ACL に使用するプロトコルを選択します。プロトコル オプションは次のとおりです。

Any:任意のプロトコル(これは、デフォルト値です)。

TCP:転送制御プロトコル

UDP:ユーザ データグラム プロトコル

ICMP:インターネット制御メッセージ プロトコル

ESP:IP Encapsulating Security Payload

AH:認証ヘッダー

GRE:ジェネリック ルーティング カプセル化

IP:インターネット プロトコル

Eth Over IP:Ethernet-over-Internet プロトコル

OSPF:Open Shortest Path First

Other:その他の Internet Assigned Numbers Authority(IANA)プロトコル (http://www.iana.org)

e. 前の手順で TCP または UDP を選択した場合には、Source Port および Destination Port の 2 つのパラメータも追加で表示されます。これらのパラメータを使用すれば、特定のソース ポートと宛先プロトコル、またはポート範囲を選択できます。ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。一部のポートは、telnet、ssh、http、ICMP などの特定のアプリケーション用に指定されています。

f. DSCP ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL の Differentiated Services Code Point(DSCP)値を指定します。DSCP は、インターネット上のサービスの質を定義するのに使用できるパケット ヘッダー コードです。

Any:任意の DSCP(これは、デフォルト値です)。

Specific:DSCP 編集ボックスに入力した、0 ~ 63 の特定の DSCP

g. Direction ドロップダウン ボックスから、これらオプションの 1 つを選択してこの ACL を適用するトラフィックの方向を指定します。

Any:任意の方向(これは、デフォルト値です)。

Inbound:クライアントから

Outbound:クライアントへ

h. Action ドロップダウン ボックスから、Deny を選択してこの ACL にパケットをブロックさせるか、Permit を選択してこの ACL にパケットを許可させるようにします。デフォルト値は Deny です。

i. Apply をクリックして、変更を適用します。Access Control Lists > Edit ページが再表示され、この ACL のルールが示されます。図5-5 を参照してください。

図5-5 Access Control Lists > Edit ページ

 

このページを使用して、任意のルールを編集したり、削除したりすることもできます。

j. この ACL にさらにルールを追加するにはこの手順を繰り返します。

ステップ 7 Save Configuration をクリックして、変更を保存します。

ステップ 8 さらに ACL を追加するにはこの手順を繰り返します。

ステップ 9 管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスに ACL を適用するには、インターフェイスの Edit ページの ACL Name ドロップダウン ボックスから必要な ACL を選択して、Apply をクリックします。コントローラ インターフェイスの設定の詳細は、 第 3 章「ポートとインターフェイスの設定」 を参照してください。


) ACL は、GUI を使用して NPU-CPU インターフェイスに適用することはできません。この設定は CLI を使用してのみ行えます。


ステップ 10 外部 Web サーバ用の WLAN に事前認証 ACL を適用するには、WLAN の Edit ページの Security Policies > Web Policy の Preauthentication ACL ドロップダウン ボックスから必要な ACL を選択します。WLAN の設定の詳細は、 第 6 章「WLAN の設定」 を参照してください。

ステップ 11 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用したアクセス コントロール リストの設定

コントローラ CLI を使用して ACL を設定する手順は、次のとおりです。


ステップ 1 コントローラ上に設定されているすべての ACL を表示するには、次のコマンドを入力します。

show acl summary

ステップ 2 特定の ACL の詳細情報を表示するには、次のコマンドを入力します。

show acl detailed acl_name

ステップ 3 新しい ACL を追加するには、次のコマンドを入力します。

config acl create acl_name

acl_name パラメータには、最大 32 文字の英数字を入力できます。

ステップ 4 ACL に新しいルールを追加するには、次のコマンドを入力します。

config acl rule {

action acl_name rule_index {permit | deny} |

add acl_name rule_index |

change index acl_name old_index new_index |

destination address acl_name rule_index ip_address netmask |

destination port range acl_name rule_index start_port end_port |

direction acl_name rule_index {in | out | any} |

dscp acl_name rule_index dscp |

protocol acl_name rule_index protocol |

source address acl_name rule_index ip_address netmask |

source port range acl_name rule_index start_port end_port |

swap index acl_name index_1 index_2}

ルール パラメータの説明については、前の項の ステップ 6 を参照してください。

ステップ 5 ACL をデータ パスに適用するには、次のコマンドを入力します。

config acl apply acl_name

ステップ 6 新しいACL 作成して、コントローラ CPU に到達するトラフィックのタイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

config acl cpu acl_name {wired | wireless | both}

ステップ 7 コントローラ CPU 上に設定されている ACL を表示するには、次のコマンドを入力します。

show acl cpu

ステップ 8 管理インターフェイス、AP マネージャ インターフェイス、または動的インターフェイスに ACL を適用するには、次のコマンドを入力します。

config interface acl {management | ap-manager | dynamic_interface_name} acl_name

コントローラ インターフェイスの設定の詳細は、 第 3 章「ポートとインターフェイスの設定」 を参照してください。

ステップ 9 外部 Web サーバ用の WLAN に事前認証 ACL を適用するには、次のコマンドを入力します。

config wlan security web-auth acl wlan_id acl_name

WLAN の設定の詳細は、 第 6 章「WLAN の設定」 を参照してください。

ステップ 10 設定を保存するには、次のコマンドを入力します。

save config


) ACL を削除するには、config acl delete acl_name を入力します。ACL ルールを削除するには、config acl rule delete acl_name rule_index を入力します。



 

管理フレーム保護の設定

Management Frame Protection(MFP; 管理フレーム保護)は、無線ネットワーク インフラストラクチャにより、802.11 管理フレームの認証を提供します。サービス拒否攻撃を引き起こす、ネットワークにアソシエーションとプローブをあふれさせる、不正アクセス ポイントとして介入する、および QoS と無線測定フレームへの攻撃によりネットワーク パフォーマンスを低下させるような敵対者を検出するために、管理フレームを保護できます。MFP はまた、フィッシング インシデントの効果的かつ迅速な検出/報告手段を提供します。

MFP の主要な 3 つの機能は、次のとおりです。

管理フレーム保護:管理フレーム保護が有効な場合は、アクセス ポイントは送信する管理フレームのそれぞれに、Message Integrity Check Information Element(MIC IE; メッセージ整合性チェック情報要素)を追加することにより、フレームを保護します。フレームのコピー、変更、リプレイが試みられた場合、MICは無効となり、MFP フレームを検出するよう設定された受信アクセス ポイントは不具合を報告します。

管理フレーム検証:管理フレーム検証が有効な場合は、アクセス ポイントはネットワークの他のアクセス ポイントから受信する管理フレームのそれぞれを検証します。MIC IE が存在しており(送信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身に一致していることを確認します。MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID からの有効な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。タイムスタンプが適切に機能できるように、すべてのコントローラは Network Time Protocol(NTP; ネットワーク タイム プロトコル)で同期化されている必要があります。

イベント報告:アクセス ポイントは異常を検出するとコントローラに通知し、コントローラは異常イベントを集計して結果を SNMP トラップを使用してネットワーク マネージャに報告して警告することができます。

MFP をコントローラ上でグローバルに設定できます。グローバルに設定すると、管理フレーム保護と管理フレーム検証は、接続されているアクセス ポイントそれぞれに対してデフォルトで有効になり、アクセス ポイントの認証は自動的に無効になります。MFP をコントローラ上でグローバルに有効にすると、個別の WLAN およびアクセス ポイントに対して、MFP を無効にしたり再度有効にしたりできます。


) アクセス ポイントでは、ローカル モードおよび監視モードで、およびアクセス ポイントがコントローラに接続されているときは REAP モードおよび H-REAP モードで MFP がサポートされます。


GUI または CLI のいずれを使用しても MFP を設定することができます。

GUI を使用した MFP の設定

コントローラ GUI を使用して MFP を設定する手順は、次のとおりです。


ステップ 1 Security、Wireless Protection Policies の AP Authentication/MFP の順にをクリックします。AP Authentication Policy ページが表示されます(図5-6 を参照)。

図5-6 AP Authentication Policy ページ

 

ステップ 2 コントローラで MFP をグローバルに有効化するには、Protection Type ドロップダウン ボックスから Management Frame Protection を選択します。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 コントローラで MFP をグローバルで有効化した後、特定の WLAN に対して MFP 保護の無効化や再有効化を行う手順は、次のとおりです。

a. WLANs をクリックします。

b. 必要な WLAN の Edit リンクをクリックします。WLANs > Edit ページが表示されます。

c. MFP Signature Generation チェックボックスをオフにしてこの WLAN に対して MFP を無効にするか、このチェックボックスをオンにしてこの WLAN に対して MFP を有効にします。

d. Apply をクリックして、変更を適用します。

ステップ 5 コントローラで MFP をグローバルで有効化した後、特定のアクセス ポイントに対して MFP 検証の無効化や再有効化を行う手順は、次のとおりです。

a. Wireless をクリックして、All APs ページにアクセスします。

b. 必要なアクセス ポイントの Detail リンクをクリックします。All APs > Details ページが表示されます。

c. MFP Frame Validation チェックボックスをオフにしてこのアクセス ポイントに対して MFP を無効にするか、このチェックボックスをオンにしてこのアクセス ポイントに対して MFP を有効にします。

d. Apply をクリックして、変更を適用します。

ステップ 6 Save Configuration をクリックして、設定を保存します。


 

GUI を使用した MFP 設定の表示

コントローラ GUI を使用して MFP 設定を表示する手順は、次のとおりです。


ステップ 1 コントローラの現在のグローバル MFP 設定を表示するには、Security、Wireless Protection Policies の Management Frame Protection の順にクリックします。Management Frame Protection Settings ページが表示されます(図5-7 を参照)。

図5-7 Management Frame Protection Settings ページ

 

このページでは、次の MFP 設定が表示されます。

Management Frame Protection フィールドは、MFP がコントローラでグローバルに有効化されているかどうかを示します。

Controller Time Source Valid フィールドは、コントローラ時刻が(時刻を手動で入力することにより)ローカルで設定されているか、外部ソース(NTP サーバなど)を通して設定されているかを示します。時刻が外部ソースにより設定されている場合、このフィールドの値は「True」です。時刻がローカルで設定されている場合、この値は「False」です。時刻ソースは、モビリティが設定されている複数のコントローラのアクセス ポイント間の管理フレームの検証に使用されます。

MFP Protection フィールドは、MFP が個別の WLAN に対して有効化されているかどうかを示します。

MFP Validation フィールドは、MFP が個別のアクセス ポイントに対して有効化されているかどうかを示します。

ステップ 2 特定のアクセス ポイントの現在の MFP 状態を表示するには、Wireless、Access Points の 802.11a Radios または 802.11b/g Radios、必要なアクセス ポイントの Configure リンクの順にクリックします。802.11a(または 802.11b/g)Cisco APs > Configure ページが表示されます(図5-8 を参照)。

図5-8 802.11a Cisco APs > Configure ページ

 

このページの Management Frame Protection の下には、MFP の保護と検証のレベルが表示されます。


 

CLI を使用した MFP の設定

コントローラ CLI を使用して MFP を設定するには、次のコマンドを使用します。

1. コントローラで MFP をグローバルに有効または無効にするには、次のコマンドを入力します。

config wps mfp {enable | disable}

2. コントローラで MFP がグローバルに有効化されている場合に、特定の WLAN に対して MFP を無効化または再有効化するには、次のコマンドを入力します。

config wlan mfp protection {enable | disable} wlan_id

3. コントローラで MFP がグローバルに有効化されている場合に、特定のアクセス ポイントに対して MFP を無効化または再有効化するには、次のコマンドを入力します。

config ap mfp validation {enable | disable} Cisco_AP

CLI を使用した MFP 設定の表示

コントローラ CLI を使用して MFP 設定を表示するには、次のコマンドを使用します。

1. コントローラの現在の無線保護ポリシーの概要(MFP を含む)を表示するには、次のコマンドを入力します。

show wps summary

次のような情報が表示されます。

Client Exclusion Policy
Excessive 802.11-association failures.......... Enabled
Excessive 802.11-authentication failures....... Enabled
Excessive 802.1x-authentication................ Enabled
Network access control failure................. Enabled
IP-theft....................................... Enabled
Excessive Web authentication failure........... Enabled
 
Trusted AP Policy
Management Frame Protection.................... Enabled
Mis-configured AP Action....................... Alarm Only
Enforced encryption policy................... none
Enforced preamble policy..................... none
Enforced radio type policy................... none
Validate SSID................................ Disabled
Alert if Trusted AP is missing................. Disabled
Trusted AP timeout............................. 120
 
Untrusted AP Policy
Rogue Location Discovery Protocol.............. Disabled
RLDP Action.................................. Alarm Only
Automatically contain rogues advertising .... Alarm Only
Detect Ad-Hoc Networks....................... Alarm Only
Rogue Clients
Validate rogue clients against AAA........... Disabled
Detect trusted clients on rogue APs.......... Alarm Only
Rogue AP timeout............................... 1200
 
Signature Policy
Signature Processing........................... Enabled
 

2. コントローラの現在のグローバル MFP 設定を表示するには、次のコマンドを入力します。

show wps mfp summary

次のような情報が表示されます。

Management Frame Protection state................ enabled
Controller Time Source Valid..................... true
WLAN ID WLAN Name Status MFP Protection
------- ---------------------- --------- --------------
1 tester-2006 Enabled Enabled
MFP Operational MFP Capability
AP Name Validation Slot Radio State Protection Validation
-------------------- ---------- ---- ----- -------------- -------- ----------
tester-1000 Enabled 0 a Up Full Full
1 b/g Up Full Full
tester-1000b Enabled 0 a Up Full Full
1 b/g Up Full Full
 

3. 特定の WLAN の現在の MFP 状態を表示するには、次のコマンドを入力します。

show wlan wlan_id

次のような情報が表示されます。

WLAN Identifier.................................. 1
Network Name (SSID).............................. tester-2006
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Disabled
AAA Policy Override.............................. Disabled
Network Access Control........................... Disabled
Number of Active Clients......................... 0
Exclusionlist.................................... Disabled
Session Timeout.................................. 1800 seconds
Interface........................................ management
DHCP Server...................................... Default
Quality of Service............................... Silver (best effort)
WMM.............................................. Disabled
CCX - AironetIe Support.......................... Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None
IPv6 Support..................................... Disabled
Radio Policy..................................... All
Security
802.11 Authentication:........................ Open System
Static WEP Keys............................... Disabled
802.1X........................................ Enabled
Encryption:................................... 104-bit WEP
Wi-Fi Protected Access (WPA1)................. Disabled
Wi-Fi Protected Access v2 (WPA2).............. Disabled
IP Security Passthru.......................... Disabled
Web Based Authentication...................... Disabled
Web-Passthrough............................... Disabled
Auto Anchor................................... Disabled
Management Frame Protection .................. Enabled
 

4. 特定のアクセス ポイントの現在の MFP 状態を表示するには、次のコマンドを入力します。

show ap config general AP_name

次のような情報が表示されます。

Cisco AP Identifier.............................. 0
Cisco AP Name.................................... ap:52:c5:c0
AP Regulatory Domain............................. 80211bg: -N 80211a: -N
Switch Port Number .............................. 1
MAC Address...................................... 00:0b:85:52:c5:c0
IP Address Configuration......................... Static IP assigned
IP Address....................................... 10.67.73.33
IP NetMask....................................... 255.255.255.192
Cisco AP Location................................ default_location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch............................. tester-2006
Secondary Cisco Switch...........................
Tertiary Cisco Switch............................
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Remote AP Debug ................................. Disabled
S/W Version .................................... 4.0.2.0
Boot Version ................................... 2.1.78.0
Mini IOS Version ................................ --
Stats Reporting Period .......................... 180
LED State........................................ Enabled
ILP Pre Standard Switch.......................... Disabled
ILP Power Injector............................... Disabled
Number Of Slots.................................. 2
AP Model......................................... AP1020
AP Serial Number................................. WCN09260057
AP Certificate Type.............................. Manufacture Installed
Management Frame Protection Validation .......... Enabled
 

5. コントローラの MFP 統計を表示するには、次のコマンドを入力します。

show wps mfp statistics

次のような情報が表示されます。

BSSID Radio Validator AP Name Invalid MIC Invalid Seq No MIC MIC
---------------- ------- ----------------- ------------ ------------ ------- ------
00:12:44:b0:6a:80 a tester-1000b 28 0 0 0
00:0b:85:56:c2:c0 b/g tester-1000b 0 0 3 0
00:14:1b:5b:fc:80 a tester-1000b 774 0 0 0

6. 次のコマンドを使用して、MFP デバッグ情報を取得します。

debug wps mfp ?

? は、次のいずれかです。

lwapp:MFP メッセージのデバッグ情報を表示します。

detail:MFP メッセージの詳細なデバッグを表示します。

report:MFP レポートのデバッグを表示します。

mm:MFP モビリティ(コントローラ間)メッセージのデバッグ情報を表示します。

ID ネットワーキングの設定

この項では、ID ネットワーキング機能とその設定方法、およびさまざまなセキュリティ ポリシーに対して予想される動作について説明します。

「ID ネットワーキングの概要」

「ID ネットワーキングで使用される RADIUS 属性」

「AAA Override の設定」

ID ネットワーキングの概要

ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。これは強力な方式ですが、クライアントに複数の Quality of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。

これに対して Cisco Wireless LAN Solution は、ID ネットワーキングをサポートしています。これは、ネットワークが 1 つの SSID をアドバタイズできるようにすると同時に、特定のユーザに対して、ユーザ プロファイルに基づいて異なる QoS またはセキュリティ ポリシーの適用を可能にするものです。ID ネットワーキングを使用して制御できるポリシーには、次のものがあります。

Quality of Service。RADIUS Access Accept に QoS-Level 値が指定されている場合、WLAN プロファイルで指定された QoS 値を上書きします。

ACL。RADIUS Access Accept に ACL 属性が指定されている場合、認証が行われた後にクライアント ステーションに ACL-Name が適用されます。これにより、そのインターフェイスに割り当てられている ACL がすべて上書きされます。

VLAN。VLAN Interface-Name または VLAN-Tag が RADIUS Access Accept に存在する場合は、クライアントが特定のインターフェイス上に配置されます。


) VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。Web 認証または IPSec はサポートしません。


トンネル属性。


) この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張され、ローカル MAC フィルタで、クライアントが割り当てられるインターフェイスを指定できるようになりました。別の RADIUS サーバも使用できますが、その RADIUS サーバは Security メニューを使用して定義する必要があります。

ID ネットワーキングで使用される RADIUS 属性

この項では、ID ネットワーキングで使用される RADIUS 属性について説明します。

QoS-Level

この属性は、スイッチング ファブリック内および空間経由のモバイル クライアントのトラフィックに適用される Quality of Service レベルを示します。この例は、QoS-Level 属性フォーマットの要約を示しています。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| QoS Level |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Type - 26(Vendor-Specific)

Length ñ 10

Vendor-Id - 14179

Vendor type - 2

Vendor length - 4

Value - 3 オクテット:

0 - Bronze(バックグラウンド)

1 - Silver(ベストエフォート)

2 - Gold(ビデオ)

3 - Platinum(音声)

ACL-Name

この属性は、クライアントに適用される ACL 名を示します。ACL-Name 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ACL Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Type - 26(Vendor-Specific)

Length - >7

Vendor-Id - 14179

Vendor type - 6

Vendor length - >0

Value - クライアントに対して使用する ACL の名前を含む文字列

Interface-Name

この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。Interface-Name 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Vendor-Id
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Vendor-Id (cont.) | Vendor type | Vendor length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Interface Name...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

Type - 26(Vendor-Specific)

Length - >7

Vendor-Id - 14179

Vendor type - 5

Vendor length - >0

Value - クライアントが割り当てられるインターフェイスの名前を含む文字列


) この属性は、MAC フィルタリングが有効になっている場合、またはセキュリティ ポリシーとして 802.1X または WPA が使用されている場合にのみ機能します。


VLAN-Tag

この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。

この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。

Tunnel-Private-Group-ID 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Tag | String...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Type - 81(Tunnel-Private-Group-ID 用)

Length - >= 3

Tag - Tag フィールドの長さは 1 オクテットで、同じパケット内の、同じトンネルを示す属性をグループ化するために使用します。Tag フィールドの値が 0x00 より大きく、0x1F 以下である場合、(いくつかの選択肢のうちの)この属性が属するトンネルを示すと解釈されます。Tag フィールドが 0x1F より大きい場合、後続の String フィールドの最初のバイトとして解釈されます。

String - このフィールドは必須です。グループはこの String フィールドによって表されます。グループ ID の形式に制約はありません。

トンネル属性


) この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


RFC2868 では、認証と認可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルをセットアップできます。

これは、特に、認証の結果に基づいて IEEE8021Q で定義されている特定のバーチャル LAN(VLAN)にポートを配置できるようにする場合に適しています。たとえば、これを使用すると、無線ホストが大学のネットワーク内で移動するときに同じ VLAN 上にとどまれるようになります。

RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。ただし、IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによってサプリカントに割り当てる VLAN に関するヒントを提供できます。

VLAN 割り当てのために、次のトンネル属性が使用されます。

Tunnel-Type=VLAN(13)

Tunnel-Medium-Type=802

Tunnel-Private-Group-ID=VLANID

VLANID は 12 ビットであり、1 ~ 4094(両端の値を含む)の値をとることに注意してください。Tunnel-Private-Group-ID は、RFC2868 で定義されているように String 型なので、IEEE 802.1X で使用するために VLANID 整数値は文字列としてエンコードされます。

トンネル属性が送信されるときは、Tag フィールドに値が含まれている必要があります。RFC2868 の第 3.1 項には次のように明記されています。

この Tag フィールドは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化する方法を提供することを目的としています。このフィールドの有効な値は、0x01 ~ 0x1F(両端の値を含む)です。この Tag フィールドが使用されない場合は、ゼロ(0x00)である必要があります。

Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-Client-Auth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、
Tunnel-Medium-Type、Tunnel-Password、Tunnel-Preference は含まない)で使用する場合、0x1F より大きい Tag フィールドは、次のフィールドの最初のオクテットと解釈されます。

代替トンネル タイプが提供されない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない IEEE 802.1X Authenticator の場合)、トンネル属性に必要なのは 1 つのトンネルを指定することのみです。したがって、VLANID を指定することのみが目的の場合、すべてのトンネル属性の Tag フィールドをゼロ(0x00)に設定する必要があります。代替トンネル タイプが提供される場合、0x01 ~ 0x1F の値を指定する必要があります。

AAA Override の設定

WLAN の Allow AAA Override オプションを使用すると、WLAN で ID ネットワーキングを設定できます。このオプションにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

AAA Override を許可する設定の多くは、RADIUS サーバで実行されます。RADIUS サーバでは、コントローラに返すようにする上書きプロパティで、Access Control Server(ACS)を設定する必要があります(Interface-Name、QoS-Level、および VLAN-Tag など)。

コントローラでは、GUI または CLI を使用して、Allow AAA Override 設定パラメータを有効にするだけです。このフラグを有効にすることにより、コントローラで RADIUS サーバから返される属性を受け入れるようになります。次にコントローラはそれらの属性をクライアントに適用します。


) クライアントの AAA Override によって、WLAN にマップされていない VLAN が割り当てられた場合は、マルチキャスト トラフィックはサポートされません。


GUI を使用した AAA Override の設定

コントローラ GUI を使用して AAA Override を設定する手順は、次のとおりです。


ステップ 1 WLANs をクリックします。

ステップ 2 設定する WLAN の Edit リンクをクリックします。

ステップ 3 Allow AAA Override チェックボックスをオンにします(図5-9 を参照)。

図5-9 WLANs > Edit ページ

 

ステップ 4 Apply をクリックして、変更を適用します。

ステップ 5 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した AAA Override の設定

コントローラ CLI を使用して AAA Override を有効にするには、次のコマンドを入力します。

config wlan aaa-override enable wlan-id

wlan-id には、1 ~ 16 の ID を入力します。

IDS の設定

Cisco Intrusion Detection System/Intrusion Prevention System(CIDS/IPS; 侵入検知システム/侵入防御システム)は、特定のクライアントに関わる攻撃がレイヤ 3 ~ レイヤ 7 で検出されたとき、これらクライアントによる無線ネットワークへのアクセスをブロックするよう、コントローラに指示します。このシステムは、ワーム、スパイウェア/アドウェア、ネットワーク ウィルス、およびアプリケーションの不正使用などの脅威の検出、分類、阻止を支援することにより、強力なネットワーク保護を提供します。IDS 攻撃を検出するには 2 つの方法があります。

IDS センサー。次の項を参照してください。

IDS シグニチャ。IDS シグニチャの設定を参照してください。

IDS センサーの設定

ネットワークのさまざまなタイプの IP レベル攻撃を検出するように、IDS センサーを設定することができます。センサーで攻撃が特定されたら、違反クライアントを回避するよう、コントローラに警告することができます。新しく IDS センサーを追加したときは、コントローラをその IDS センサーに登録し、回避クライアントのリストをセンサーから取得できるようにします。IDS センサー登録 は、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した IDS センサーの設定

コントローラ GUI を使用して IDS センサーを設定する手順は、次のとおりです。


ステップ 1 Security、CIDS の Sensors の順にクリックします。CIDS Sensors List ページが表示されます(図5-10 を参照)。

図5-10 CIDS Sensors List ページ

 

このページでは、このコントローラに設定されたすべての IDS センサーが表示されます。任意のセンサーを編集したり、削除したりすることもできます。

ステップ 2 IDS センサーをリストに追加するには、New をクリックします。CIDS Sensors Add ページが表示されます(図5-11 を参照)。

図5-11 CIDS Sensor Add ページ

 

ステップ 3 コントローラでは最大 5 つの IPS センサーをサポートします。Index ドロップダウン ボックスから、数字(1 ~ 5)を選択してコントローラが IPS センサーを検索する順序を決定します。たとえば、1 を選択した場合には、コントローラは最初にこの IPS センサーを検索します。

ステップ 4 Server Address フィールドに、IDS サーバの IP アドレスを入力します。

ステップ 5 Port フィールドには、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号が設定されます。センサーはデフォルトで 443 を使用して通信するので、このパラメータを 443 に設定することをお勧めします。

デフォルト:0

範囲:1 ~ 65535

ステップ 6 Username フィールドで、コントローラが IDS センサーの認証に使用するユーザ名を入力します。


) このユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。


ステップ 7 Password フィールドと Confirm Password フィールドに、コントローラが IDS センサーの認証に使用するパスワードを入力します。

ステップ 8 Query Interval フィールドに、コントローラが IDS イベントについて IDS センサーを検索する間隔(秒)を入力します。

デフォルト:0 秒

範囲:10 ~ 3600 秒

ステップ 9 State チェックボックスをオンにしてコントローラをこの IDS センサーに登録するか、このチェックボックスをオフにして登録を解除します。

ステップ 10 Fingerprint フィールドに、40 桁の 16 進数文字のセキュリティ キーを入力します。このキーは、センサーの有効性の確認、およびセキュリティ攻撃の防止に使用されます。


) キー内に 2 バイト間隔で現れるコロン(:)を含めないようにしてください。たとえば、AA:BB:CC:DD の代わりに、AABBCCDD と入力します。


ステップ 11 Apply をクリックします。CIDS Sensors List ページのセンサーのリストに新しい IDS センサーが表示されます。

ステップ 12 Save Configuration をクリックして、変更内容を保存します。


 

CLI を使用した IDS センサーの設定

コントローラ CLI を使用して IDS センサーを設定する手順は、次のとおりです。


ステップ 1 IDS センサーを追加するには、次のコマンドを入力します。

config wps cids-sensor add index ids_ip_address username password

index パラメータは、コントローラが IPS センサーを検索する順序を決定します。コントローラでは最大 5 つの IPS センサーをサポートします。数字(1 ~ 5)を選択してこのセンサーの優先順位を決定します。たとえば、1 を入力した場合には、コントローラは最初にこの IPS センサーを検索します。


) ユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。


ステップ 2 (オプション)コントローラが IDS センサーとの通信に使用する HTTPS ポートの数を指定するには、このコマンドを入力します。

config wps cids-sensor port index port_number

port-number パラメータには、1 ~ 65535 の値を入力することができます。デフォルト値は 443 です。この手順はオプションであり、デフォルト値の 443 の使用をお勧めします。センサーはデフォルトでこの値を使用して通信します。

ステップ 3 コントローラが IDS イベントについて IDS センサーを検索する間隔を指定するには、次のコマンドを入力します。

config wps cids-sensor interval index interval

interval パラメータには、10 ~ 3600 の値を入力することができます。デフォルト値は 60 秒です。

ステップ 4 センサーの有効性の確認に使用する 40 桁の 16 進数文字のセキュリティ キーを入力するには、このコマンドを入力します。

config wps cids-sensor fingerprint index sha1 fingerprint

センサーのコンソール上で、show tls fingerprint を入力することにより、フィンガープリントの値を取得できます。


) キー内にコロン(:)が 2 バイト間隔で現れるようにしてください(たとえば、AA:BB:CC:DD)。


ステップ 5 このコントローラの IDS センサーへの登録を有効化または無効化するには、次のコマンドを入力します。

config wps cids-sensor {enable | disable} index

ステップ 6 設定を保存するには、次のコマンドを入力します。

save config

ステップ 7 IDS センサー設定を表示するには、次のコマンドの 1 つを入力します。

show wps cids-sensor summary

show wps cids-sensor detail index

2 つ目のコマンドは、1 つ目のコマンドよりも詳細な情報を提供します。

ステップ 8 IDS センサー設定に関連したデバッグ情報を取得するには、次のコマンドを入力します。

debug wps cids enable


) センサーの設定を削除または変更するには、まず、config wps cids-sensor disable index を入力して設定を無効化する必要があります。その後、センサーを削除するには、config wps cids-sensor delete index と入力します。



 

回避クライアントの表示

IDS センサーは疑わしいクライアントを検出すると、コントローラにこのクライアントを回避するよう警告します。回避エントリは、同じモビリティ グループ内のすべてのコントローラに配信されます。回避すべきクライアントが現在、このモビリティ グループ内のコントローラに接続されている場合、アンカー コントローラはこのクライアントを動的除外リストに追加し、外部コントローラはクライアントを切り離します。次回、このクライアントがコントローラに接続を試みた場合、アンカー コントローラはハンドオフを拒否し、外部コントローラにクライアントを除外することを通知します。モビリティ グループの詳細は、 第 11 章「モビリティ グループの設定」 を参照してください。

GUI または CLI により、IDS センサーが回避すべきと特定したクライアントのリストを表示できます。

GUI を使用した 回避クライアントの表示

コントローラ GUI を使用して、IDS センサーが回避すべきと特定したクライアントのリストを表示する手順は、次のとおりです。


ステップ 1 Security、CIDS の Shunned Clients の順にクリックします。CIDS Shun List ページが表示されます(図5-12 を参照)。

図5-12 CIDS Shun List ページ

 

このページには、回避クライアントそれぞれの IP アドレスと MAC アドレス、IDS センサーの依頼によってコントローラがクライアントのデータ パケットをブロックする期間、およびクライアントを発見した IDS センサーの IP アドレスが表示されます。

ステップ 2 必要に応じてリストを削除、リセットするには、Re-sync をクリックします。


 

CLI を使用した 回避クライアントの表示

コントローラ CLI を使用して、IDS センサーが回避すべきと特定したクライアントのリストを表示する手順は、次のとおりです。


ステップ 1 回避すべきクライアントのリストを表示するには、次のコマンドを入力します。

show wps shun-list

ステップ 2 コントローラに対し、このモビリティ グループ内の他のコントローラの回避リストと同期をとるよう強制するには、次のコマンドを入力します。

config wps shun-list re-sync


 

IDS シグニチャの設定

コントローラ上で、IDS シグニチャ、つまり、受信 802.11 パケットでのさまざまな攻撃タイプを特定するのに使用するビット パターンのマッチング ルールを設定することができます。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレーム上でシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。シグニチャは、GUI または CLI のいずれかを使用して設定できます。

GUI を使用した IDS シグニチャの設定

コントローラ GUI を使用してシグニチャを設定する手順は、次のとおりです。

IDS シグニチャのアップロードまたはダウンロード。GUI を使用した IDS シグニチャのアップロードまたはダウンロード

IDS シグニチャの有効化または無効化。GUI を使用した IDS シグニチャの有効化または無効化

IDS シグニチャ イベントの表示。GUI を使用した IDS シグニチャ イベントの表示

GUI を使用した IDS シグニチャのアップロードまたはダウンロード

コントローラ GUI を使用して IDS シグニチャをアップロードまたはダウンロードする手順は、次のとおりです。


ステップ 1 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2 Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。TFTP サーバをセットアップする際の注意事項は次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。

ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

サードパーティの TFTP サーバと WCS 内蔵型 TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Cisco WCS と同じコンピュータ上で実行できません。

ステップ 3 カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4 Commands をクリックして、Download File to Controller ページにアクセスします(図5-13 を参照)。

図5-13 Download File to Controller ページ

 

ステップ 5 次のいずれかの操作を行います。

カスタム シグニチャ ファイルをコントローラにダウンロードする場合は、Download File to Controller ページの File Type ドロップダウン ボックスから Signature File を選択します。

標準シグニチャ ファイルをコントローラからアップロードする場合は、Upload File をクリックしてから、Upload File from Controller ページの File Type ドロップダウン ボックスから Signature File を選択します。

ステップ 6 IP Address フィールドに、TFTP サーバの IP アドレスを入力します。

ステップ 7 シグニチャ ファイルをダウンロードする場合は、Maximum Retries フィールドにコントローラによるシグニチャ ファイルのダウンロードの最大試行回数を入力します。

範囲:1 ~ 254

デフォルト:10

ステップ 8 シグニチャ ファイルをダウンロードする場合は、Timeout フィールドにシグニチャ ファイルのダウンロードの際にコントローラがタイムアウトするまでの時間(秒)を入力します。

範囲:1 ~ 254 秒

デフォルト:6 秒

ステップ 9 File Path フィールドに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。デフォルト値は「/」です。

ステップ 10 File Name フィールドに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。


) シグニチャのアップロード時、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードするため、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用します。たとえば、「ids1」という名のシグニチャ ファイルをアップロードする場合、コントローラは自動的に
ids1_std.sig と ids1_custom.sig を生成して、両方を TFTP サーバにアップロードします。必要に応じてその後、TFTP サーバ上で ids1_custom.sig を変更して(必ず「Revision = custom」を設定してください)、ダウンロードすることもできます。


ステップ 11 Download をクリックしてシグニチャ ファイルをコントローラにダウンロードするか、Upload をクリックしてシグニチャ ファイルをコントローラからアップロードします。


 

GUI を使用した IDS シグニチャの有効化または無効化

コントローラ GUI を使用して IDS シグニチャを有効化または無効化する手順は、次のとおりです。


ステップ 1 Security をクリックし、次に Wireless Protection Policies の Standard Signatures または Custom Sigunatures をクリックします。Standard Signatures ページ(図5-14 を参照)、またはCustom Signatures ページが表示されます。

図5-14 Standard Signatures ページ

 

Standard Signatures ページには、現在コントローラ上に存在する Cisco 提供のシグニチャのリストが表示されます。Custom Signatures ページには、現在コントローラ上に存在する、ユーザ提供のシグニチャのリストが表示されます。このページには、各シグニチャについて次の情報が表示されます。

コントローラがシグニチャ チェックをする順序、または優先順位。

シグニチャ名。シグニチャが検出しようとする攻撃タイプを明示するもの。

シグニチャがセキュリティ攻撃を検出するフレーム タイプ。フレーム タイプとしては、データおよび管理があります。

シグニチャが攻撃を検出したとき、コントローラが行うべき処理。処理としては、None と Report があります。

シグニチャの状態。セキュリティ攻撃を検出するために、シグニチャが有効化されているかどうかを示すもの。

シグニチャが検出しようとする攻撃のタイプの説明。

ステップ 2 次のいずれかの操作を行います。

すべてのシグニチャ(標準およびカスタムの両方)の個別の状態を Enabled に設定して有効化しておく場合には、Standard Signatures ページまたは Custom Signatures ページの上部の Enable Check for All Standard and Custom Signatures チェックボックスをオンにします。デフォルト値は、有効になっています(オンになっています)。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレーム上でシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

コントローラ上のすべてのシグニチャ(標準およびカスタムの両方)を無効化しておく場合には、Enable Check for All Standard and Custom Signatures チェックボックスをオフにします。このチェックボックスをオフにすると、たとえ個別のシグニチャの状態が Enabled に設定されている場合でも、すべてのシグニチャが無効になります。

ステップ 3 Apply をクリックして、変更を適用します。

ステップ 4 個別のシグニチャを有効化または無効化するには、そのシグニチャの Detail リンクをクリックします。Signature > Detail ページが表示されます(図5-15 を参照)。

図5-15 Signature > Detail ページ

 

このページには、Standard Signatures ページおよび Custom Signatures ページとほぼ同じ情報が表示されますが、次のような詳細も提供します。

測定間隔。コントローラがシグニチャしきい値カウンタをリセットするまでに経過するべき時間(秒)。

アクセス ポイントがシグニチャ分析をして結果をコントローラに報告するのに使用する追跡方法。次の値が設定可能です。

Per Signature:シグニチャ分析とパターン マッチングは、シグニチャ別およびチャネル別ベースに追跡、報告されます。

Per MAC:シグニチャ分析とパターン マッチングは、チャネル別ベースの個別のクライアント MAC アドレスについて個別に追跡、報告されます。

Per Signature and MAC:シグニチャ分析とパターン マッチングは、シグニチャ別/チャネル別ベース、およびMAC アドレス別/チャネル別ベースの双方で追跡、報告されます。

シグニチャ頻度。攻撃が検出される前に個別のアクセス ポイント レベルで特定されるべき 1 秒当たりのマッチング パケットの数。

シグニチャ MAC 頻度。攻撃が検出される前に個別のアクセス ポイントでクライアント別に特定されるべき 1 秒当たりのマッチング パケットの数。

静穏時間。個別アクセス ポイント レベルで攻撃が検出されない状態でこの時間(秒)が経過すると、アラームを停止することができます。

セキュリティ攻撃の検出に使用されるパターン。

ステップ 5 State チェックボックスをオンにしてこのシグニチャを有効化してセキュリティ攻撃を検出するか、これをオフにしてこのシグニチャを無効化します。デフォルト値は、有効になっています(オンになっています)。

ステップ 6 Apply をクリックして、変更を適用します。Standard Signatures または Custom Signatures ページに、シグニチャの更新された状態が反映されます。

ステップ 7 Save Configuration をクリックして、変更内容を保存します。


 

GUI を使用した IDS シグニチャ イベントの表示

コントローラ GUI を使用してシグニチャ イベントを表示する手順は、次のとおりです。


ステップ 1 Security、Wireless Protection Policies の Signature Events Summary の順にクリックします。Signature Events Summary ページが表示されます(図5-16 を参照)。

図5-16 Signature Events Summary ページ

 

このページには有効化されたシグニチャによって検出された攻撃の数が表示されます。

ステップ 2 特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャの Detail リンクをクリックします。Signature Events Detail ページが表示されます(図5-17 を参照)。

図5-17 Signature Events Detail ページ

 

このページには、次の情報が表示されます。

攻撃者として特定されたクライアントの MAC アドレス

アクセス ポイントが攻撃の追跡に使用する方法

攻撃が検出されるまでに特定された 1 秒当たりのマッチング パケットの数

攻撃が検出されたチャネル上のアクセス ポイント数

アクセス ポイントが攻撃を検出した日時

ステップ 3 特定の攻撃の詳細を表示するには、その攻撃の Detail リンクをクリックします。Signature Events Track Detail ページが表示されます(図5-18 を参照)。

図5-18 Signature Events Track Detail ページ

 

このページには、次の情報が表示されます。

攻撃を検出したアクセス ポイントの MAC アドレス

攻撃を検出したアクセス ポイントの名前

アクセス ポイントが攻撃の検出に使用した無線のタイプ(802.11a または 802.11b/g)

攻撃が検出された無線チャネル

アクセス ポイントが攻撃を報告した日時


 

CLI を使用した IDS シグニチャの設定

コントローラ CLI を使用して IDS シグニチャを設定する手順は、次のとおりです。


ステップ 1 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2 TFTP サーバが使用可能であることを確認します。「GUI を使用した IDS シグニチャのアップロードまたはダウンロード」ステップ 2 にある TFTP サーバのセットアップのガイドラインを参照してください。

ステップ 3 カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4 ダウンロード モードまたはアップロード モードを指定するには、 transfer {download | upload} mode tftp と入力します。

ステップ 5 ダウンロードまたはアップロードするファイルのタイプを指定するには、transfer {download | upload} datatype signature と入力します。

ステップ 6 TFTP サーバの IP アドレスを指定するには、 transfer {download | upload} serverip tftp-server-ip-address と入力します。


) TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。


ステップ 7 ダウンロードまたはアップロードのパスを指定するには、 transfer {download | upload} path absolute-tftp-server-path-to-file と入力します。

ステップ 8 ダウンロードまたはアップロードするファイルを指定するには、 transfer {download | upload} filename filename.sig と入力します。


) シグニチャのアップロード時、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードするため、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用します。たとえば、「ids1」という名のシグニチャ ファイルをアップロードする場合、コントローラは自動的に
ids1_std.sig と ids1_custom.sig を生成して、両方を TFTP サーバにアップロードします。必要に応じてその後、TFTP サーバ上で ids1_custom.sig を変更して(必ず「Revision = custom」を設定してください)、ダウンロードすることもできます。


ステップ 9 transfer {download | upload} start と入力し、プロンプトに y と応答して現在の設定を確認し、ダウンロードまたはアップロードを開始します。

ステップ 10 個別のシグニチャを有効または無効にするには、次のコマンドを入力します。

config wps signature {standard | custom} state precedence# {enable | disable}

ステップ 11 変更を保存するには、次のコマンドを入力します。

save config


 

CLI を使用した IDS シグニチャ イベントの表示

コントローラ CLI を使用してシグニチャ イベントを表示するには、次のコマンドを使用します。

1. コントローラ上にインストールされているすべての標準シグニチャとカスタム シグニチャを表示するには、次のコマンドを入力します。

show wps signature summary

2. 有効化されたシグニチャによって検出された攻撃の数を表示するには、次のコマンドを入力します。

show wps signature events summary

次のような情報が表示されます。

Precedence Signature Name Type No. Events
---------- ------------------ ----- -----------
1 Bcast deauth Standard 2
2 NULL probe resp 1 Standard 1

3. 特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} precedence# summary

次のような情報が表示されます。

Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. Standard
Number of active events....................... 2
Source MAC Addr Track Method Frequency No. APs Last Heard
----------------- ------------ --------- -------- ------------------------
00:01:02:03:04:01 Per Signature 4 3 Tue Dec 6 00:17:44 2005
00:01:02:03:04:01 Per Mac 6 2 Tue Dec 6 00:30:04 2005

4. アクセス ポイントによってシグニチャ別/チャネル別ベースで追跡される攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} precedence# detailed per-signature source_mac

5. アクセス ポイントによって個別クライアント ベース(MAC アドレス)で追跡される攻撃の詳細を表示するには、次のコマンドを入力します。

show wps signature events {standard | custom} precedence# detailed per-mac source_mac

次のような情報が表示されます。

Source MAC....................................... 00:01:02:03:04:01
Precedence....................................... 1
Signature Name................................... Bcast deauth
Type............................................. Standard
Track............................................ Per Mac
Frequency........................................ 6
Reported By
AP 1
MAC Address.............................. 00:0b:85:01:4d:80
Name..................................... Test_AP_1
Radio Type............................... 802.11bg
Channel.................................. 4
Last reported by this AP................. Tue Dec 6 00:17:49 2005
AP 2
MAC Address.............................. 00:0b:85:26:91:52
Name..................................... Test_AP_2
Radio Type............................... 802.11bg
Channel.................................. 6

Last reported by this AP.................Tue Dec 6 00:30:04 2005

AES キー ラップの設定

GUI または CLI を使用して、AES キー ラップを使用するようコントローラを設定できます。これにより、コントローラと RADIUS サーバ間の共有秘密の安全性を高めることができます。AES キー ラップは、Federal Information Processing Standards(FIPS)顧客のために設計されており、キー ラップ準拠の RADIUS 認証サーバを必要とします。

GUI を使用した AES キー ラップの設定

GUI を使用して AES キー ラップを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 Security > AAA > RADIUS Authentication の順にクリックして、RADIUS Authentication Servers ページにアクセスします。

ステップ 2 AES キー ラップを有効にするには、 Use AES Key Wrap チェックボックスをオンにします。

ステップ 3 Apply をクリックします。

ステップ 4 Save Configuration をクリックします。

図5-19 RADIUS Authentication Servers ページ

 

ステップ 5 New をクリックして新しい RADIUS 認証サーバを設定するか、ページに表示されているいずれかのサーバの Edit リンクをクリックして AES キー ラップを設定します。

ステップ 6 Key Wrap チェックボックスをオンにします(図5-20 を参照)。

ステップ 7 Key Wrap Format ドロップダウン ボックスから ASCII または Hex を選択し、Key Encryption Key (KEK) または Message Authentication Code Key (MACK) のどちらかの AES キー ラップ キーの形式を指定します。

ステップ 8 Key Encryption Key (KEK) フィールドに、16 バイトの KEK を入力します。

ステップ 9 Message Authentication Code Key (MACK) フィールドに、20 バイトの MACK を入力します。

図5-20 RADIUS Authentication Servers > New ページ

 

ステップ 10 Apply をクリックします。

ステップ 11 Save Configuration をクリックします。


 

CLI を使用した AES キー ラップの設定

CLI を使用して AES キー ラップを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 AES キー ラップ属性の使用を有効にするには、次のコマンドを入力します。

config radius auth keywrap enable

ステップ 2 AES キー ラップ属性を設定するには、次のコマンドを入力します。

config radius auth keywrap add {ascii | hex} index

index 属性は、AES キー ラップを設定する RADIUS 認証サーバのインデックスを指定します。


 

最大ローカル データベース エントリの設定

GUI または CLI を使用して、ユーザ認証情報を格納するために使用する最大ローカル データベース エントリを指定できます。データベース内の情報は、コントローラの Web 認証機能と連携して使用されます。

GUI を使用したローカル データベース エントリの最大数の指定

GUI を使用して最大ローカル データベース エントリを使用するようコントローラを設定する手順は、次のとおりです。


ステップ 1 Security > AAA > General の順にクリックして General ページを表示します(図5-21 を参照)。

ステップ 2 Maximum Local Database entries フィールドに、必要な最大値を入力します。可能な値の範囲は 512 ~ 2048 です(これには任意の設定された MAC フィルタ エントリも含まれます)。デフォルト値は 2048 です。

図5-21 Security > AAA > General ページ

 

ステップ 3 Apply をクリックします。

ステップ 4 Save Configuration をクリックします。


 

CLI を使用したローカル データベース エントリの最大数の指定

CLI を使用して、ローカル データベース エントリの最大数を設定するには、次のコマンドを入力します。

config database size max_entries