Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 7.3
セキュリティ ソリューションの設定
セキュリティ ソリューションの設定
発行日;2013/02/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

セキュリティ ソリューションの設定

この章では、無線 LAN のセキュリティ ソリューションについて説明します。 この章の内容は、次のとおりです。

Cisco Unified Wireless Network Solution セキュリティ

セキュリティの概要

Cisco Unified Wireless Network(UWN)セキュリティ ソリューションは、複雑になりがちなレイヤ 1、レイヤ 2、およびレイヤ 3 の 802.11 アクセス ポイントのセキュリティ コンポーネントを 1 つのシンプルなポリシー マネージャにまとめたもので、システム全体のセキュリティ ポリシーを WLAN 単位でカスタマイズできます。 Cisco UWN セキュリティ ソリューションは、シンプルで、統一された、体系的なセキュリティ管理ツールを提供します。

企業での WLAN 展開の最も大きな障害の 1 つが、脆弱な独立型の暗号化方式である Wired Equivalent Privacy(WEP)です。 低価格のアクセス ポイントの登場も新たな問題であり、それらは企業ネットワークに接続して man-in-the-middle 攻撃や DoS 攻撃(サービス拒絶攻撃)に利用される可能性があります。

レイヤ 1 ソリューション

Cisco UWN セキュリティ ソリューションによって、すべてのクライアントのアクセス回数は、ユーザが設定した数値までに制限されます。 制限回数内でアクセスできなかった場合、そのクライアントはユーザが設定したタイマーが切れるまで自動的に除外(アクセスをブロック)されます。 オペレーティング システムでは、WLAN ごとに SSID ブロードキャストを無効にすることもできます。

レイヤ 2 ソリューション

上位レベルのセキュリティと暗号化が必要な場合は、拡張認証プロトコル(EAP)や Wi-Fi Protected Access(WPA)、および WPA2 など業界標準のセキュリティ ソリューションを実装することもできます。 Cisco UWN ソリューションの WPA 実装には、AES(Advanced Encryption Standard)ダイナミック キー、TKIP + Michael(Temporal Key Integrity Protocol + Message Integrity Code Checksum)ダイナミック キー、WEP(Wired Equivalent Privacy)スタティック キーが含まれます。 無効化も使用され、ユーザが設定した回数だけ認証の試行に失敗すると、自動的にレイヤ 2 アクセスがブロックされます。

どの無線セキュリティ ソリューションを採用した場合も、コントローラと Lightweight アクセス ポイントとの間のすべてのレイヤ 2 有線通信は、Control and Provisioning of Wireless Access Points(CAPWAP)トンネルを使用してデータを渡すことにより保護されます。

注意事項および制約事項

Layer 2 Security

認証キー管理として WPA/WPA2 と CCKM が使用されている場合、Cisco Aironet クライアント アダプタ バージョン 4.2 で認証は行われず、コントローラと AP 間に 2 秒の遅延があります。

レイヤ 3 ソリューション

WEP の問題は、パススルー VPN のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。

Cisco UWN ソリューションでは、ローカルおよび RADIUS MAC(Media Access Control)フィルタリングがサポートされています。 このフィルタリングは、802.11 アクセス カードの MAC アドレス一覧情報が把握できている小規模のクライアント グループに適しています。

Cisco UWN ソリューションでは、ローカルおよび RADIUS ユーザおよびパスワード認証がサポートされています。 この認証は、小規模から中規模のクライアント グループに適しています。

統合されたセキュリティ ソリューション

統合されたセキュリティ ソリューションを次に示します。

  • Cisco Unified Wireless Network(UWN)ソリューションオペレーティング システムのセキュリティは、802.1X AAA(認証、許可、アカウンティング)エンジンを中心に構築されており、ユーザは Cisco UWN ソリューション全体にわたってさまざまなセキュリティ ポリシーを迅速に設定および適用できます。
  • コントローラおよび Lightweight アクセス ポイントには、システム全体の認証および認可プロトコルがすべてのポートおよびインターフェイスに装備され、最大限のシステム セキュリティが提供されています。
  • オペレーティング システムのセキュリティ ポリシーは個々の WLAN に割り当てられ、Lightweight アクセス ポイントは設定されたすべての WLAN(最大 16)を同時にブロードキャストします。これによって追加のアクセス ポイントは不要になりますが、干渉が増加し、システム スループットが低下する可能性があります。
  • オペレーティング システム セキュリティは RRM 機能を使用して、干渉およびセキュリティ違反がないか継続的に空間を監視し、それらを検出したときはユーザに通知します。
  • オペレーティング システム セキュリティは、業界標準の認証、許可、アカウンティング(AAA)サーバで機能します。

RADIUS の設定

RADIUS について

Remote Authentication Dial-In User Service(RADIUS)とは、ネットワークへの管理アクセス権を取得しようとするユーザに対して中央管理されたセキュリティ機能を提供する、クライアント/サーバ プロトコルです。 このプロトコルは、ローカル認証や TACACS+ 認証と同様に、バックエンドのデータベースとして機能し、認証サービスおよびアカウンティング サービスを提供します。

  • 認証:コントローラにログインしようとするユーザを検証するプロセス。 コントローラで RADIUS サーバに対してユーザが認証されるようにするには、ユーザは有効なユーザ名とパスワードを入力する必要があります。 複数のデータベースを設定する場合は、バックエンド データベースを試行する順序を指定できます。
  • アカウンティング:ユーザによる処理と変更を記録するプロセス。 ユーザによる処理が正常に実行される度に、RADIUS アカウンティング サーバでは、変更された属性、変更を行ったユーザのユーザ ID、ユーザがログインしたリモート ホスト、コマンドが実行された日付と時刻、ユーザの認可レベル、および実行された処理と入力された値の説明がログに記録されます。 RADIUS アカウンティング サーバが接続不能になった場合、ユーザはセッションを続行できなくなります。

RADIUS では、転送に User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を使用します。 RADIUS では、1 つのデータベースが保持されます。そして、UDP ポート 1812 で受信認証要求がリッスンされ、UDP ポート 1813 で受信アカウンティング要求がリッスンされます。 アクセス コントロールを要求するコントローラは、クライアントとして動作し、サーバから AAA サービスを要求します。 コントローラとサーバ間のトラフィックは、プロトコルで定義されるアルゴリズムと、両方のデバイスにおいて設定される共有秘密キーによって暗号化されます。

複数の RADIUS アカウンティングおよび認証サーバを設定できます。たとえば、1 台の RADIUS 認証サーバを中央に配置し、複数の RADIUS アカウンティング サーバを異なる地域に配置することができます。 同じタイプのサーバを複数設定すると、最初のサーバで障害が発生したり、接続不能になったりしても、コントローラは、必要に応じて 2 台目や 3 台目あるいはそれ以降のサーバへの接続を自動的に試行します。

注意事項および制約事項

RADIUS サーバのサポート

  • RADIUS 認証サーバおよびアカウンティング サーバは、それぞれ最大 17 台まで設定できます。
  • 冗長性を保つために複数の RADIUS サーバが設定されている場合、バックアップが適切に機能するようにするには、すべてのサーバでユーザ データベースを同一にする必要があります。
  • ワンタイム パスワード(OTP)は、RADIUS を使用しているコントローラでサポートされます。 この設定では、コントローラがトランスペアレント パススルー デバイスとして動作します。 コントローラは、クライアント動作をチェックせずにすべてのクライアント要求を RADIUS サーバに転送します。 OTP を使用する場合は、クライアントが正しく機能するためにはコントローラへの接続を 1 つ確立する必要があります。 現在、コントローラには、複数の接続を確立しようとしているクライアントを修正するチェック機能はありません。

Radius ACS サポート

  • CiscoSecure Access Control Server(ACS)とコントローラの両方で、RADIUS を設定する必要があります。
  • RADIUS は、CiscoSecure ACS バージョン 3.2 以降のリリースでサポートされます。 実行しているバージョンに対応する CiscoSecure ACS のマニュアルを参照してください。

プライマリおよびフォールバック RADIUS サーバ

プライマリ RADIUS サーバ(最も低いサーバ インデックスを持つサーバ)は、コントローラの最優先サーバであるとみなされます。 プライマリ サーバが応答しなくなると、コントローラは、次にアクティブなバックアップ サーバ(低い方から 2 番目のサーバ インデックスを持つサーバ)に切り替えます。 コントローラは、プライマリ RADIUS サーバが回復して応答可能になるとそのサーバにフォールバックするように設定されているか、使用可能なバックアップ サーバの中からより優先されるサーバにフォールバックするように設定されていない限り、このバックアップ サーバを引き続き使用します。

ACS 上での RADIUS の設定


    ステップ 1   ACS のメイン ページで、[Network Configuration] を選択します。
    ステップ 2   [AAA Clients] の下の [Add Entry] を選択し、使用しているコントローラをサーバに追加します。 [Add AAA Client] ページが表示されます。
    図 1. CiscoSecure ACS の [Add AAA Client] ページ

    ステップ 3   [AAA Client Hostname] テキスト ボックスに、コントローラの名前を入力します。
    ステップ 4   [AAA Client IP Address] テキスト ボックスに、コントローラの IP アドレスを入力します。
    ステップ 5   [Shared Secret] テキスト ボックスに、サーバとコントローラ間の認証に使用する共有秘密キーを入力します。
    (注)     

    共有秘密キーは、サーバとコントローラの両方で同一である必要があります。

    ステップ 6   [Authenticate Using] ドロップダウン リストから [RADIUS (Cisco Airespace)] を選択します。
    ステップ 7   [Submit + Apply] をクリックして、変更内容を保存します。
    ステップ 8   ACS のメイン ページで、[Interface Configuration] を選択します。
    ステップ 9   [RADIUS (Cisco Aironet)] を選択します。 [RADIUS (Cisco Aironet)] ページが表示されます。
    ステップ 10   [User Group] の [Cisco-Aironet-Session-Timeout] チェックボックスをオンにします。
    ステップ 11   [Submit] をクリックして変更を保存します。
    ステップ 12   ACS のメイン ページで、左のナビゲーション ペインから [System Configuration] を選択します。
    ステップ 13   [Logging] を選択します。
    ステップ 14   [Logging Configuration] ページが表示されたら、ログ記録するすべてのイベントを有効にし、変更内容を保存します。
    ステップ 15   ACS のメイン ページで、左のナビゲーション ペインから [Group Setup] を選択します。
    ステップ 16   [Group] ドロップダウン リストから、以前に作成したグループを選択します。
    (注)     

    この手順では、ユーザが割り当てられることになるロールに基づいて、ACS のグループにすでにユーザが割り当てられていることを想定しています。

    ステップ 17   [Edit Settings] をクリックします。 [Group Setup] ページが表示されます。
    ステップ 18   [Cisco Aironet Attributes] の [Cisco-Aironet-Session-Timeout] チェックボックスをオンにし、編集ボックスにセッション タイムアウト値を入力します。
    ステップ 19   RADIUS 認証を使用したコントローラへの読み取り専用アクセスまたは読み取りと書き込みアクセスを指定します。読み取り専用アクセスが必要な場合は、Service-Type 属性(006)を [Callback NAS Prompt] に設定し、読み取りと書き込みの両方の権限が必要な場合は [Administrative] に設定してください。 この属性を設定しない場合、認証プロセスはコントローラ上での認可エラーなしで正常に完了しますが、認証を再試行するようにプロンプトが表示されることがあります。
    (注)     

    ACS 上で Service-Type 属性を設定する場合は、必ずコントローラの GUI の [RADIUS Authentication Servers] ページ上にある [Management] チェックボックスをオンにします。

    ステップ 20   [Submit] をクリックして変更を保存します。

    RADIUS の設定(GUI)


      ステップ 1   [Security] > [AAA] > [RADIUS] を選択します。
      ステップ 2   次のいずれかの操作を行います。
      • RADIUS サーバを認証用に設定する場合は、[Authentication] を選択します。
      • RADIUS サーバをアカウンティング用に設定する場合は、[Accounting] を選択します。
      (注)     

      認証およびアカウンティングの設定に使用されるページでは、ほとんど同じテキスト ボックスが表示されます。 そのため、ここでは [Authentication] ページを例にとって、設定の手順を一度だけ示します。 同じ手順に従って、複数のサービスまたは複数のサーバを設定できます。

      [RADIUS Authentication(または Accounting)Servers] ページが表示されます。
      図 2. [RADIUS Authentication Servers] ページ

      このページには、これまでに設定されたすべての RADIUS サーバが表示されます。

      • 既存のサーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
      • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。
      ステップ 3   [Call Station ID Type] ドロップダウン リストから、[IP Address]、[System MAC Address]、または [AP MAC Address] を選択して、送信側の IP アドレス、システム MAC アドレス、または AP MAC アドレスが Access-Request メッセージで RADIUS サーバに送信されるかどうかを指定します。
      ステップ 4   [Use AES Key Wrap] チェックボックスをオンにし、AES キー ラップ保護を使用して RADIUS からコントローラへのキーの転送を有効にします。 デフォルト値はオフです。 この機能は、FIPS を使用するユーザにとって必要です。
      ステップ 5   [Apply] をクリックして、変更を確定します。 次のいずれかの操作を行います。
      • 既存の RADIUS サーバを編集するには、そのサーバのサーバ インデックス番号をクリックします。 [RADIUS Authentication(または Accounting)Servers > Edit] ページが表示されます。
      • RADIUS サーバを追加するには、[New] をクリックします。 [RADIUS Authentication(または Accounting)Servers > New] ページが表示されます。
      ステップ 6   新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、同じサービスを提供するその他の設定済みの RADIUS サーバに対してこのサーバの優先順位を指定します。
      ステップ 7   新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに RADIUS サーバの IP アドレスを入力します。
      ステップ 8   [Shared Secret Format] ドロップダウン リストから [ASCII] または [Hex] を選択し、コントローラと RADIUS サーバ間で使用される共有秘密キーの形式を指定します。 デフォルト値は [ASCII] です。
      ステップ 9   [Shared Secret] テキスト ボックスと [Confirm Shared Secret] テキスト ボックスに、コントローラとサーバ間で認証に使用される共有秘密キーを入力します。
      (注)     

      共有秘密キーは、サーバとコントローラの両方で同一である必要があります。

      ステップ 10   新しい RADIUS 認証サーバを設定して AES キー ラップを有効にすると、コントローラと RADIUS サーバ間の共有秘密の安全性を高めることができます。そのための手順は次のとおりです。
      (注)     

      AES キー ラップは、Federal Information Processing Standards(FIPS)を使用するユーザのために設計されており、キー ラップ準拠の RADIUS 認証サーバを必要とします。

      1. [Key Wrap] チェックボックスをオンにします。
      2. [Key Wrap Format] ドロップダウン リストから [ASCII] または [HEX] を選択して、Key Encryption Key(KEK)または Message Authentication Code Key(MACK)の AES キー ラップ キーを指定します。
      3. [Key Encryption Key (KEK)] テキスト ボックスに、16 バイトの KEK を入力します。
      4. [Message Authentication Code Key (MACK)] テキスト ボックスに、20 バイトの KEK を入力します。
      ステップ 11   新しいサーバを追加している場合は、[Port Number] テキスト ボックスに、インターフェイス プロトコルに対応する RADIUS サーバの UDP ポート番号を入力します。 有効な値の範囲は 1 ~ 65535 で、認証用のデフォルト値は 1812、アカウンティング用のデフォルト値は 1813 です。
      ステップ 12   [Server Status] テキスト ボックスから [Enabled] を選択してこの RADIUS サーバを有効にするか、[Disabled] を選択して無効にします。 デフォルト値はイネーブルです。
      ステップ 13   新しい RADIUS 認証サーバを設定している場合は、[Support for RFC 3576] ドロップダウン リストから [Enabled] を選択して RFC 3576 を有効にするか、[Disabled] を選択してこの機能を無効にします。RFC 3576 では、ユーザ セッションの動的な変更を可能にするよう RADIUS プロトコルが拡張されています。 デフォルト値は [Enabled] です。 RFC 3576 では、ユーザの切断およびユーザ セッションに適用される許可の変更のほか、Disconnect メッセージと Change-of-Authorization(CoA)メッセージがサポートされています。 Disconnect メッセージはユーザ セッションをただちに終了させ、CoA メッセージはデータ フィルタなどのセッション認証属性を変更します。
      ステップ 14   [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。

      [Key Wrap] チェックボックスをオンにします。

      (注)     

      再認証が繰り返し試行されたり、プライマリ サーバがアクティブで接続可能なときにコントローラがバックアップ サーバにフォールバックしたりする場合には、タイムアウト値を増やすことをお勧めします。

      ステップ 15   [Network User] チェックボックスをオンにしてネットワーク ユーザ認証(またはアカウンティング)を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオンです。 この機能を有効にすると、ここで設定するサーバはネットワーク ユーザの RADIUS 認証(アカウンティング)サーバと見なされます。 WLAN 上の RADIUS サーバを設定しなかった場合は、ネットワーク ユーザに対してこのオプションを有効にする必要があります。
      ステップ 16   RADIUS 認証サーバを設定している場合は、[Management] チェックボックスをオンにして管理認証を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオンです。 この機能を有効にすると、ここで設定するサーバは管理ユーザの RADIUS 認証サーバと見なされ、認証要求が RADIUS サーバに送られます。
      ステップ 17   [IPSec] チェックボックスをオンにして IP セキュリティ メカニズムを有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオフです。
      ステップ 18   ステップ 17 で IPSec を有効にした場合は、次の手順に従って追加の IPSec パラメータを設定します。
      1. [IPSec] ドロップダウン リストから、IP セキュリティで使用する認証プロトコルとして、[HMAC MD5] または [HMAC SHA1] のいずれかのオプションを選択します。 デフォルト値は [HMAC SHA1] です。

        Message Authentication Code(MAC; メッセージ認証コード)は、秘密キーを共有する 2 者間で送信される情報を検証するために使用されます。 HMAC(Hash MAC)は暗号ハッシュ関数に基づくメカニズムです。 任意の反復暗号ハッシュ関数との組み合わせで使用できます。 HMAC でハッシュ関数として MD5 を使用するのが HMAC MD5 であり、SHA1 を使用するのが HMAC SHA1 です。 また、HMAC では、メッセージ認証値の計算と検証に秘密キーを使用します。

      2. [IPSec Encryption] ドロップダウン リストで次のオプションのいずれかを選択して、IP セキュリティ暗号化メカニズムを指定します。
        • [DES]:データ暗号化規格。プライベート(秘密)キーを使用するデータ暗号化の方法です。 DES では、56 ビットのキーを 64 ビットのデータ ブロックごとに適用します。
        • [3DES]:連続して 3 つのキーを適用するデータ暗号化規格です。 768 ビットは、デフォルト値です。
        • [AES CBS]:高度暗号化規格。128、192、または 256 ビット長のキーを使用して 128、192、または 256 ビット長のデータ ブロックを暗号化します。 AES 128 CBC では、Cipher Block Chaining(CBC; 暗号ブロック連鎖)モードで 128 ビットのデータ パスを使用します。
      3. [IKE Phase 1] ドロップダウン リストから [Aggressive] または [Main] のいずれかのオプションを選択して、インターネット キー交換(IKE)プロトコルを指定します。 デフォルト値は [Aggressive] です。

        IKE Phase 1 は、IKE の保護方法をネゴシエートするために使用されます。 Aggressive モードでは、セキュリティ ゲートウェイの ID をクリアで送信するだけで、わずかに高速な接続が確立され、より少ないパケットでより多くの情報が渡されます。

      4. [Lifetime] テキスト ボックスに値(秒単位)を入力して、セッションのタイムアウト間隔を指定します。 有効な範囲は 1800 ~ 57600 秒で、デフォルト値は 1800 秒です。
      5. [IKE Diffie Hellman Group] ドロップダウン リストから [Group 1 (768 bits)]、[Group 2 (1024 bits)]、または [Group 5 (1536 bits)] のいずれかのオプションを選択して、IKE Diffie Hellman グループを指定します。 デフォルト値は [Group 1 (768 bits)] です。

        Diffie Hellman 技術を 2 つのデバイスで使用して共通キーを生成します。このキーを使用すると、値を公開された状態で交換して、同じ共通キーを生成することができます。 3 つのグループのすべてで従来の攻撃に対するセキュリティが確保されますが、キーのサイズが大きいことから、Group 5 の安全性がより高くなります。 ただし、Group 1 および Group 2 のキーを使用した計算は、素数サイズがより小さいために、多少高速に実行される可能性があります。

      ステップ 19   [Apply] をクリックして、変更を確定します。
      ステップ 20   [Save Configuration] をクリックして、変更を保存します。
      ステップ 21   同じサーバ上または追加の RADIUS サーバ上で追加のサービスを設定する場合は、上記の手順を繰り返します。
      ステップ 22   次の手順を実行して、RADIUS サーバ フォールバックの動作を指定します。
      1. [Security] > [AAA] > [RADIUS] > [Fallback to open the RADIUS] > [Fallback Parameters] の順に選択し、フォールバック パラメータ ページを開きます。
      2. [Fallback Mode] ドロップダウン リストから、次のオプションのいずれかを選択します。
        • [Off]:RADIUS サーバのフォールバックを無効にします。 768 ビットは、デフォルト値です。
        • [Passive]:コントローラが、関係のないプローブ メッセージを使用することなく、使用可能なバックアップ サーバからより低い優先順位を持つサーバへの復帰を実行するようにします。 コントローラは、しばらくの間非アクティブなすべてのサーバを無視し、あとで RADIUS メッセージの送信が必要になったときに再試行します。
        • [Active]:コントローラが、RADIUS プローブ メッセージを使用して、使用可能なバックアップ サーバからより低い優先順位を持つサーバへの復帰を実行し、非アクティブとマークされたサーバがオンラインに戻ったかどうかを判断するようにします。 コントローラは、すべてのアクティブな RADIUS 要求に対して、非アクティブなすべてのサーバを無視します。 プライマリ サーバが回復した ACS サーバからの応答を一旦受信すると、アクティブ フォールバック RADIUS サーバは、アクティブ プローブ認証を要求しているサーバにプローブ メッセージを送信しなくなります。
      3. ステップ b でフォールバック モードを [Active] にした場合は、非アクティブなサーバ プローブで送信される名前を [Username] テキスト ボックスに入力します。 最大 16 文字の英数字を入力できます。 デフォルト値は「cisco-probe」です。
      4. ステップ b でフォールバック モードを [Active] にした場合は、[Sec] テキスト ボックスの [Interval] にプローブ間隔値(秒単位)を入力します。 この間隔は、Passive モードでの非アクティブ時間、および Active モードでのプローブ間隔としての意味を持ちます。 有効な範囲は 180 ~ 3600 秒で、デフォルト値は 300 秒です。
      ステップ 23   [Security] > [Priority Order] > [Management User] の順に選択し、複数のデータベースを設定する際の認証の順序を指定します。 [Priority Order > Management User] ページが表示されます。
      ステップ 24   [Order Used for Authentication] テキスト ボックスで、コントローラが管理ユーザを認証する際にどのサーバを優先するかを指定します。 [Not Used] テキスト ボックスと [Order Used for Authentication] テキスト ボックスの間でサーバを移動するには、[>] および [<] ボタンを使用します。 希望するサーバが [Order Used for Authentication] テキスト ボックスに表示されたら、[Up] ボタンと [Down] ボタンを使用して優先するサーバをリストの先頭に移動します。

      デフォルトで、ローカル データベースは常に最初に検索されます。 ユーザ名が見つからない場合、コントローラは、RADIUS に設定されている場合は RADIUS サーバへの切り換え、TACACS+ に設定されている場合は TACACS+ サーバへの切り換えを行います。 デフォルトの設定はローカル、RADIUS の順になっています。

      ステップ 25   [Apply] をクリックします。
      ステップ 26   [Save Configuration] をクリックします。

      RADIUS の設定(CLI)


        ステップ 1   次のコマンドを入力して、送信側の IP アドレス、システム MAC アドレス、または AP MAC アドレスが Access-Request メッセージで RADIUS サーバに送信されるかどうかを指定します。

        config radius callStationIdType {ip_address, mac_address, ap_mac_address, ap_macaddr_ssid}

        (注)     

        デフォルトは MAC アドレスです。

        (注)     

        IPv6-only クライアントには callStation IdType を使用しないでください。

        ステップ 2   次のコマンドを入力して、Access-Request メッセージで RADIUS 認証サーバまたはアカウンティング サーバに送信される MAC アドレスにデリミタを指定します。

        config radius {auth | acct} mac-delimiter {colon | hyphen | single-hyphen | none}

        値は次のとおりです。

        • colon はデリミタをコロンに設定します(書式は xx:xx:xx:xx:xx:xx となります)。
        • hyphen はデリミタをハイフンに設定します(書式は xx-xx-xx-xx-xx-xx となります)。 768 ビットは、デフォルト値です。
        • single-hyphen はデリミタを単一のハイフンに設定します(書式は xxxxxx-xxxxxx となります)。
        • none はデリミタを無効にします(書式は xxxxxxxxxxxx となります)。
        ステップ 3   次のコマンドを入力して、RADIUS 認証サーバを設定します。
        • config radius auth add index server_ip_address port# {ascii | hex} shared_secret:RADIUS 認証サーバを追加します。
        • config radius auth keywrap {enable | disable}:AES キー ラップを有効にします。これにより、コントローラと RADIUS サーバ間の共有秘密の安全性が高まります。 AES キー ラップは、Federal Information Processing Standards(FIPS)を使用するユーザのために設計されており、キー ラップ準拠の RADIUS 認証サーバを必要とします。
        • config radius auth keywrap add {ascii | hex} kek mack index:AES キー ラップ属性を設定します。 値は次のとおりです。
          • kek では、16 バイトの Key Encryption Key(KEK)が指定されます。
          • mack では、20 バイトの Message Authentication Code Key(MACK)が指定されます。
          • index では、AES キー ラップを設定する RADIUS 認証サーバのインデックスが指定されます。
        • config radius auth rfc3576 {enable | disable} index:RFC 3576 を有効または無効にします。RFC 3576 では、ユーザ セッションの動的な変更を可能にするように RADIUS プロトコルが拡張されています。 RFC 3576 では、ユーザの切断およびユーザ セッションに適用される許可の変更のほか、Disconnect メッセージと Change-of-Authorization(CoA)メッセージがサポートされています。 Disconnect メッセージはユーザ セッションをただちに終了させ、CoA メッセージはデータ フィルタなどのセッション認証属性を変更します。
        • config radius auth retransmit-timeout index timeout:RADIUS 認証サーバの再送信のタイムアウト値を設定します。
        • config radius auth network index {enable | disable}:ネットワーク ユーザ認証を有効または無効にします。 この機能を有効にすると、こここで設定するサーバはネットワーク ユーザの RADIUS 認証サーバと見なされます。 WLAN 上の RADIUS サーバを設定しなかった場合は、ネットワーク ユーザに対してこのオプションを有効にする必要があります。
        • config radius auth management index {enable | disable}:管理認証を有効または無効にします。 この機能を有効にすると、ここで設定するサーバは管理ユーザの RADIUS 認証サーバと見なされ、認証要求が RADIUS サーバに送られます。
        • config radius auth ipsec {enable | disable} index:IP セキュリティ メカニズムを有効または無効にします。
        • config radius auth ipsec authentication {hmac-md5 | hmac-sha1} index:IP セキュリティに使用する認証プロトコルを設定します。
        • config radius auth ipsec encryption {3des | aes | des | none} index:IP セキュリティ暗号化メカニズムを設定します。
        • config radius auth ipsec ike dh-group {group-1 | group-2 | group-5} index:IKE Diffie Hellman グループを設定します。
        • config radius auth ipsec ike lifetime interval index:セッションのタイムアウト間隔を設定します。
        • config radius auth ipsec ike phase1{aggressive | main} index:Internet Key Exchange(IKE)プロトコルを設定します。
        • config radius auth {enable | disable} index:RADIUS 認証サーバを有効または無効にします。
        • config radius auth delete index:以前に追加された RADIUS 認証サーバを削除します。
        ステップ 4   次のコマンドを入力して、RADIUS アカウンティング サーバを設定します。
        • config radius acct add index server_ip_address port# {ascii | hex} shared_secret:RADIUS アカウンティング サーバを追加します。
        • config radius acct server-timeout index timeout:RADIUS アカウンティング サーバの再送信のタイムアウト値を設定します。
        • config radius acct network index {enable | disable}:ネットワーク ユーザ アカウンティングを有効または無効にします。 この機能を有効にすると、こここで設定するサーバはネットワーク ユーザの RADIUS アカウンティング サーバと見なされます。 WLAN 上の RADIUS サーバを設定しなかった場合は、ネットワーク ユーザに対してこのオプションを有効にする必要があります。
        • config radius acct ipsec {enable | disable} index:IP セキュリティ メカニズムを有効または無効にします。
        • config radius acct ipsec authentication {hmac-md5 | hmac-sha1} index:IP セキュリティに使用する認証プロトコルを設定します。
        • config radius acct ipsec encryption {3des | aes | des | none} index:IP セキュリティ暗号化メカニズムを設定します。
        • config radius acct ipsec ike dh-group {group-1 | group-2 | group-5} index:IKE Diffie Hellman グループを設定します。
        • config radius acct ipsec ike lifetime interval index:セッションのタイムアウト間隔を設定します。
        • config radius acct ipsec ike phase1{aggressive | main} index:Internet Key Exchange(IKE)プロトコルを設定します。
        • config radius acct {enable | disable} index:RADIUS アカウンティング サーバを有効または無効にします。
        • config radius acct delete index:以前に追加された RADIUS アカウンティング サーバを削除します。
        ステップ 5   次のコマンドを入力して、RADIUS サーバのフォールバック動作を設定します。

        config radius fallback-test mode {off | passive | active}

        値は次のとおりです。

        • off は、RADIUS サーバのフォールバックを無効にします。
        • passive は、コントローラが、関係のないプローブ メッセージを使用することなく、使用可能なバックアップ サーバから優先順位のより低いサーバへ復帰するようにします。 当座は非アクティブなすべてのサーバを無視し、その後、RADIUS メッセージの送信が必要になったとき再試行します。
        • active は、コントローラが、RADIUS プローブ メッセージを使用して、使用可能なバックアップ サーバから優先順位のより低いサーバへ復帰し、非アクティブとマークされたサーバがオンラインに戻ったかどうかを判断するようにします。 アクティブな RADIUS 要求に対して、コントローラは単に非アクティブなすべてのサーバを無視します。 プライマリ サーバが回復した ACS サーバからの応答を一旦受信すると、アクティブ フォールバック RADIUS サーバは、アクティブ プローブ認証を要求しているサーバにプローブ メッセージを送信しなくなります。
        ステップ 6   ステップ 5 で Active モードを有効にした場合は、次のコマンドを入力して追加のフォールバック パラメータを設定します。
        • config radius fallback-test username username:非アクティブなサーバ プローブで送信する名前を指定します。 username パラメータには、最大 16 文字の英数字を入力できます。
        • config radius fallback-test interval interval:プローブ間隔の値(秒単位)を指定します。
        ステップ 7   次のコマンドを入力して、変更を保存します。 save config
        ステップ 8   次のコマンドを入力して、複数のデータベースを設定する際の認証の順序を設定します。

        config aaa auth mgmt AAA_server_type AAA_server_type

        ここで、AAA_server_type は local、radius、または tacacs となります。

        現在の管理認証サーバの順序を表示するには、show aaa auth コマンドを入力します。

        ステップ 9   次のコマンドを入力して、RADIUS の統計情報を表示します
        • show radius summary:RADIUS サーバと統計情報の概要を表示します。
        • show radius auth statistics:RADIUS 認証サーバの統計情報を表示します。
        • show radius acct statistics:RADIUS アカウンティング サーバの統計情報を表示します。
        • show radius rfc3576 statistics:RADIUS RFC 3576 サーバの概要を表示します。
        ステップ 10   次のコマンドを入力して、アクティブなセキュリティ アソシエーションを表示します。
        • show ike {brief | detailed} ip_or_mac_addr:アクティブな IKE セキュリティ アソシエーションの簡単な概要または詳しい要約を表示します。
        • show ipsec {brief | detailed} ip_or_mac_addr:アクティブな IPSec セキュリティ アソシエーションの簡単な概要または詳しい要約を表示します。
        ステップ 11   次のコマンドを入力して、1 台または複数の RADIUS サーバの統計情報をクリアします。

        clear stats radius {auth | acct} {index | all}

        ステップ 12   次のコマンドを入力して、コントローラが RADIUS サーバに到達できることを確認します。

        ping server_ip_address


        アクセス ポイントによって送信される RADIUS 認証属性

        この表に RADIUS 認証属性を示します。この認証属性は、Access-Request パケットおよび Access-Accept パケットで Lightweight アクセス ポイントからクライアントに送信されます。

        表 1 Access-Request パケットで送信される認証属性

        属性 ID

        説明

        1 User-Name
        2 Password
        3 CHAP-Password
        4 NAS-IP-Address
        5 NAS-Port
        6 Service-Type
        12 Framed-MTU
        30 Called-Station-ID(MAC アドレス)
        31 Calling-Station-ID(MAC アドレス)
        32 NAS-Identifier
        33 Proxy-State
        60 CHAP-Challenge
        61 NAS-Port-Type
        79 EAP-Message
        243 TPLUS-Role
        1 RADIUS 認証を使用してコントローラへの読み取り専用アクセスまたは読み取りと書き込みアクセスを指定するには、RADIUS サーバで Service-Type 属性(6)を設定する必要があります。読み取り専用アクセスが必要な場合は [Callback NAS Prompt] を設定し、読み取りと書き込みの両方の権限が必要な場合は [Administrative] を設定してください。
        表 2 Access-Accept パケットで受け付けられる認証属性(シスコ)

        属性 ID

        説明

        1 Cisco-LEAP-Session-Key
        2 Cisco-Keywrap-Msg-Auth-Code
        3 Cisco-Keywrap-NonCE
        4 Cisco-Keywrap-Key
        5 Cisco-URL-Redirect
        6 Cisco-URL-Redirect-ACL

        (注)  


        シスコ固有の属性 Auth-Algo-Type および SSID はサポートされません。


        表 3 Access-Accept パケットで受け付けられる認証属性(標準)

        属性 ID

        説明

        6 Service-Type RADIUS 認証を使用してコントローラへの読み取り専用アクセスまたは読み取りと書き込みアクセスを指定するには、RADIUS サーバで Service-Type 属性(6)を設定する必要があります。読み取り専用アクセスが必要な場合は [Callback NAS Prompt] を設定し、読み取りと書き込みの両方の権限が必要な場合は [Administrative] を設定してください。
        8 Framed-IP-Address
        25 Class
        26 Vendor-Specific
        27 Timeout
        29 Termination-Action
        40 Acct-Status-Type
        64 Tunnel-Type
        79 EAP-Message
        81 Tunnel-Group-ID

        (注)  


        メッセージ認証はサポートされていません。


        表 4 Access-Accept パケットで受け付けられる認証属性(Microsoft)

        属性 ID

        説明

        11 MS-CHAP-Challenge
        16 MS-MPPE-Send-Key
        17 MS-MPPE-Receive-Key
        25 MS-MSCHAP2-Response
        26 MS-MSCHAP2-Success
        表 5 Access-Accept パケットで受け付けられる認証属性(Airespace)

        属性 ID

        説明

        1 VAP-ID
        3 DSCP
        4 8021P-Type
        5 VLAN-Interface-Name
        6 ACL-Name
        7 Data-Bandwidth-Average-Contract
        8 Real-Time-Bandwidth-Average-Contract
        9 Data-Bandwidth-Burst-Contract
        10 Real-Time-Bandwidth-Burst-Contract
        11 Guest-Role-Name

        RADIUS アカウンティング属性

        次の表に、コントローラから RADIUS サーバに送信されるアカウンティング要求の RADIUS アカウンティング属性を示します。



        表 6 アカウンティング要求のアカウンティング属性

        属性 ID

        説明

        1 User-Name
        4 NAS-IP-Address
        5 NAS-Port
        8 Framed-IP-Address
        25 Class
        30 Called-Station-ID(MAC アドレス)
        31 Calling-Station-ID(MAC アドレス)
        32 NAS-Identifier
        40 Accounting-Status-Type
        41 Accounting-Delay-Time(ストップおよび中間メッセージのみ)
        42 Accounting-Input-Octets(ストップおよび中間メッセージのみ)
        43 Accounting-Output-Octets(ストップおよび中間メッセージのみ)
        44 Accounting-Session-ID
        45 Accounting-Authentic
        46 Accounting-Session-Time(ストップおよび中間メッセージのみ)
        47 Accounting-Input-Packets(ストップおよび中間メッセージのみ)
        48 Accounting-Output-Packets(ストップおよび中間メッセージのみ)
        49 Accounting-Terminate-Cause(ストップおよび中間メッセージのみ)
        64 Tunnel-Type
        65 Tunnel-Medium-Type
        81 Tunnel-Group-ID

        次の表に Accounting-Status-Type 属性(40)のさまざまな値の一覧を示します。



        表 7 Accounting-Status-Type 属性の値

        属性 ID

        説明

        1 Start
        2 Stop
        3 Interim-Update
        7 Accounting-On
        8 Accounting-Off
        9-14 トンネリングのアカウンティング用に予約
        15 Failed 用に予約

        TACACS+ の設定

        TACACS+ について

        Terminal Access Controller Access Control System Plus(TACACS+)は、コントローラへの管理アクセスを取得しようとするユーザに中央管理されたセキュリティを提供する、クライアント/サーバ プロトコルです。 このプロトコルは、ローカルおよび RADIUS に類似したバックエンドのデータベースとして機能します。 ただし、ローカルおよび RADIUS では、認証サポートと制限のある認可サポートしか提供されないのに対し、TACACS+ では、次の 3 つのサービスが提供されます。

        • 認証:コントローラにログインしようとするユーザを検証するプロセス。 コントローラで TACACS+ サーバに対してユーザが認証されるようにするには、ユーザは有効なユーザ名とパスワードを入力する必要があります。 認証サービスおよび認可サービスは、互いに密接に関連しています。 たとえば、ローカルまたは RADIUS データベースを使用して認証が実行された場合、認可ではそのローカルまたは RADIUS データベース内のユーザに関連したアクセス権(read-only、read-write、lobby-admin のいずれか)が使用され、TACACS+ は使用されません。 同様に、TACACS+ を使用して認証が実行されると、認可は TACACS+ に関連付けられます。

          (注)  


          複数のデータベースを設定する場合、コントローラ GUI または CLI を使用して、バックエンド データベースが試行される順序を指定できます。


        • 認可:ユーザのアクセス レベルに基づいて、ユーザがコントローラで実行できる処理を決定するプロセス。 TACACS+ の場合、認可は特定の処理ではなく、権限(またはロール)に基づいて実行されます。 利用可能なロールは、コントローラ GUI の 7 つのメニュー オプション([MONITOR]、[WLAN]、[CONTROLLER]、[WIRELESS]、[SECURITY]、[MANAGEMENT]、および [COMMANDS])に対応しています。 ロビー アンバサダー権限のみを必要とするユーザは、追加のロールである LOBBY を使用できます。 ユーザが割り当てられるロールは、TACACS+ サーバ上で設定されます。 ユーザは 1 つまたは複数のロールに対して認可されます。 最小の認可は MONITOR のみで、最大は ALL です。ALL では、ユーザは 7 つのメニュー オプションすべてに関連付けられた機能を実行できるよう認可されます。 たとえば、SECURITY のロールを割り当てられたユーザは、[Security] メニューに表示される(または CLI の場合はセキュリティ コマンドとして指定される)すべてのアイテムに対して変更を実行できます。 ユーザが特定のロール(WLAN など)に対して認可されていない場合でも、そのユーザは読み取り専用モード(または関連する CLI の show コマンド)で、そのメニュー オプションにアクセスできます。 TACACS+ 許可サーバが接続不能または認可不能になった場合、ユーザはコントローラにログインできません。

          (注)  


          ユーザが割り当てられたロールでは許可されていないコントローラ GUI のページに変更を加えようとすると、十分な権限がないことを示すメッセージが表示されます。 ユーザが割り当てられたロールでは許可されていないコントローラ CLI コマンドを入力すると、実際にはそのコマンドは実行されていないのに、正常に実行されたというメッセージが表示されます。 この場合、「Insufficient Privilege! Cannot execute command!」というメッセージがさらに表示され、コマンドを実行するための十分な権限がないことがユーザに通知されます。


        • アカウンティング:ユーザによる処理と変更を記録するプロセス。 ユーザによる処理が正常に実行される度に、TACACS+ アカウンティング サーバでは、変更された属性、変更を行ったユーザのユーザ ID、ユーザがログインしたリモート ホスト、コマンドが実行された日付と時刻、ユーザの認可レベル、および実行された処理と入力された値の説明がログに記録されます。 TACACS+ アカウンティング サーバが接続不能になった場合、ユーザはセッションを中断されずに続行できます。

        RADIUS でユーザ データグラム プロトコル(UDP)を使用するのとは異なり、TACACS+ では、転送にトランスミッション コントロール プロトコル(TCP)を使用します。 1 つのデータベースを維持し、TCP ポート 49 で受信要求をリッスンします。 アクセス コントロールを要求するコントローラは、クライアントとして動作し、サーバから AAA サービスを要求します。 コントローラとサーバ間のトラフィックは、プロトコルで定義されるアルゴリズムと、両方のデバイスにおいて設定される共有秘密キーによって暗号化されます。

        最大 3 台の TACACS+ 認証サーバ、認可サーバ、およびアカウンティング サーバをそれぞれ設定できます。 たとえば、1 台の TACACS+ 認証サーバを中央に配置し、複数の TACACS+ 許可サーバを異なる地域に配置できます。 同じタイプの複数のサーバを設定していると、最初のサーバで障害が発生したり、接続不能になっても、コントローラは自動的に 2 台目、および必要に応じて 3 台目のサーバを試行します。


        (注)  


        複数の TACACS+ サーバが冗長性のために設定されている場合、バックアップが適切に機能するようにするには、すべてのサーバにおいてユーザ データベースを同一にする必要があります。


        TACACS+ VSA

        インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間でベンダー固有属性(VSA)を伝達する方法が規定されています。 IETF は属性 26 を使用します。 ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。

        シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有のオプションを 1 つサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は次の形式のストリングです。

        
        protocol : attribute separator value *
        

        protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。

        注意事項および制約事項

        • CiscoSecure Access Control Server(ACS)とコントローラの両方で、TACACS+ を設定する必要があります。 コントローラは、GUI または CLI のいずれかを使用して設定できます。
        • TACACS+ は、CiscoSecure ACS バージョン 3.2 以降のリリースでサポートされます。 実行しているバージョンに対応する CiscoSecure ACS のマニュアルを参照してください。
        • ワンタイム パスワード(OTP)は、TACACS を使用しているコントローラでサポートされます。 この設定では、コントローラがトランスペアレント パススルー デバイスとして動作します。 コントローラは、クライアント動作をチェックせずにすべてのクライアント要求を TACACS サーバに転送します。 OTP を使用する場合は、クライアントが正しく機能するためにはコントローラへの接続を 1 つ確立する必要があります。 現在、コントローラには、複数の接続を確立しようとしているクライアントを修正するチェック機能はありません。
        • 再認証が繰り返し試行されたり、プライマリ サーバがアクティブで接続可能なときにコントローラがバックアップ サーバにフォールバックしたりする場合には、TACACS+ 認証サーバ、認可サーバ、およびアカウンティング サーバの再送信のタイムアウト値を増やすことをお勧めします。 デフォルトの再送信のタイムアウト値は 2 秒です。この値は最大 30 秒まで増やすことができます。

        ACS 上での TACACS+ の設定


          ステップ 1   ACS のメイン ページで、[Network Configuration] を選択します。
          ステップ 2   [AAA Clients] の下の [Add Entry] を選択し、使用しているコントローラをサーバに追加します。 [Add AAA Client] ページが表示されます。
          図 3. CiscoSecure ACS の [Add AAA Client] ページ

          ステップ 3   [AAA Client Hostname] テキスト ボックスに、コントローラの名前を入力します。
          ステップ 4   [AAA Client IP Address] テキスト ボックスに、コントローラの IP アドレスを入力します。
          ステップ 5   [Shared Secret] テキスト ボックスに、サーバとコントローラ間の認証に使用する共有秘密キーを入力します。
          (注)     

          共有秘密キーは、サーバとコントローラの両方で同一である必要があります。

          ステップ 6   [Authenticate Using] ドロップダウン リストから [TACACS+ (Cisco IOS)] を選択します。
          ステップ 7   [Submit + Apply] をクリックして、変更内容を保存します。
          ステップ 8   ACS のメイン ページで、左のナビゲーション ペインから [Interface Configuration] を選択します。
          ステップ 9   [TACACS+ (Cisco IOS)] を選択します。 [TACACS+ (Cisco)] ページが表示されます。
          ステップ 10   [TACACS+ Services] の [Shell (exec)] チェックボックスをオンにします。
          ステップ 11   [New Services] で最初のチェックボックスをオンにし、[Service] テキスト ボックスに ciscowlc、[Protocol] テキスト ボックスに common と入力します。
          ステップ 12   [Advanced Configuration] オプションの [Advanced TACACS+ Features] チェックボックスをオンにします。
          ステップ 13   [Submit] をクリックして変更を保存します。
          ステップ 14   ACS のメイン ページで、左のナビゲーション ペインから [System Configuration] を選択します。
          ステップ 15   [Logging] を選択します。
          ステップ 16   [Logging Configuration] ページが表示されたら、ログ記録するすべてのイベントを有効にし、変更内容を保存します。
          ステップ 17   ACS のメイン ページで、左のナビゲーション ペインから [Group Setup] を選択します。
          ステップ 18   [Group] ドロップダウン リストから、以前に作成したグループを選択します。
          (注)     

          この手順では、ユーザが割り当てられることになるロールに基づいて、ACS のグループにすでにユーザが割り当てられていることを想定しています。

          ステップ 19   [Edit Settings] をクリックします。 [Group Setup] ページが表示されます。
          ステップ 20   [TACACS+ Settings] の [ciscowlc common] チェックボックスをオンにします。
          ステップ 21   [Custom Attributes] チェックボックスをオンにします。
          ステップ 22   [Custom Attributes] の下のテキストボックスで、このグループに割り当てるロールを指定します。 使用可能なロールは、MONITOR、WLAN、CONTROLLER、WIRELESS、SECURITY、MANAGEMENT、COMMANDS、ALL、および LOBBY です。 最初の 7 つのロールは、コントローラ GUI のメニュー オプションに対応しており、これら特定のコントローラ機能へのアクセスを許可します。 グループでの必要性に応じて、1 つまたは複数のロールを入力できます。 7 つのロールすべてを指定するには ALL を、ロビー アンバサダー ロールを指定するには LOBBY を使用します。 次の形式を使用してロールを入力します。

          rolex=ROLE

          たとえば、特定のユーザ グループに対して WLAN、CONTROLLER、および SECURITY のロールを指定するには、次のテキストを入力します。

          
          role1=WLAN
          role2=CONTROLLER
          role3=SECURITY?
          

          あるユーザ グループに 7 つのロールすべてに対するアクセスを付与するには、次のテキストを入力します。

          
          role1=ALL?
          
          (注)     

          必ず上記の形式を使用してロールを入力するようにしてください。 ロールはすべて大文字で入力する必要があり、テキスト間にスペースは挿入できません。

          (注)     

          MONITOR ロールまたは LOBBY ロールは、その他のロールと組み合わせることはできません。 [Custom Attributes] テキストボックスにこれら 2 つのロールのどちらかを指定すると、追加のロールが指定された場合でも、ユーザには MONITOR または LOBBY 権限のみが付与されます。

          ステップ 23   [Submit] をクリックして変更を保存します。

          TACACS+ の設定(GUI)


            ステップ 1   [Security] > [AAA] > [TACACS+] の順に選択します。
            ステップ 2   次のいずれかの操作を行います。
            • TACACS+ サーバを認証用に設定する場合は、[Authentication] を選択します。

            • TACACS+ サーバを認可用に設定する場合は、[Authorization] を選択します。

            • TACACS+ サーバをアカウンティング用に設定する場合、[Accounting] をクリックします。

            (注)     

            認証、許可、アカウンティングの設定に使用されるページでは、すべて同じテキスト ボックスが表示されます。 そのため、ここでは [Authentication] ページを例にとって、設定の手順を一度だけ示します。 同じ手順に従って、複数のサービスまたは複数のサーバを設定できます。

            (注)     

            TACACS+ を使用して基本的な管理認証が正常に行われるには、WLC で認証サーバと許可サーバを設定する必要があります。 アカウンティングの設定は任意です。

            [TACACS+(Authentication、Authorization、または Accounting)Servers] ページが表示されます。 このページでは、これまでに設定されたすべての TACACS+ サーバが表示されます。

            • 既存のサーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

            • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。

            ステップ 3   次のいずれかの操作を行います。
            • 既存の TACACS+ サーバを編集するには、そのサーバのサーバ インデックス番号をクリックします。 [TACACS+(Authentication、Authorization、または Accounting)Servers > Edit] ページが表示されます。

            • TACACS+ サーバを追加するには、[New] をクリックします。 [TACACS+(Authentication、Authorization、または Accounting)Servers > New] ページが表示されます。

            ステップ 4   新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、同じサービスを提供するその他の設定済みの TACACS+ サーバに対してこのサーバの優先順位を指定します。 最大 3 台のサーバを設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目および必要に応じて 3 番目のサーバへの接続を試行します。
            ステップ 5   新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに TACACS+ サーバの IP アドレスを入力します。
            ステップ 6   [Shared Secret Format] ドロップダウン リストから [ASCII] または [Hex] を選択し、コントローラと TACACS+ サーバ間で使用される共有秘密キーの形式を指定します。 デフォルト値は [ASCII] です。
            ステップ 7   [Shared Secret] テキスト ボックスと [Confirm Shared Secret] テキスト ボックスに、コントローラとサーバ間で認証に使用される共有秘密キーを入力します。
            (注)     

            共有秘密キーは、サーバとコントローラの両方で同一である必要があります。

            ステップ 8   新しいサーバを追加している場合は、[Port Number] テキスト ボックスに、インターフェイス プロトコルに対応する TACACS+ サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 49 です。
            ステップ 9   [Server Status] テキスト ボックスから [Enabled] を選択してこの TACACS+ サーバを有効にするか、[Disabled] を選択して無効にします。 デフォルト値は [Enabled] です。
            ステップ 10   [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 5 ~ 30 秒で、デフォルト値は 5 秒です。
            (注)     

            再認証が繰り返し試行されたり、プライマリ サーバがアクティブで接続可能なときにコントローラがバックアップ サーバにフォールバックしたりする場合には、タイムアウト値を増やすことをお勧めします。

            ステップ 11   [Apply] をクリックして、変更を確定します。
            ステップ 12   [Save Configuration] をクリックして、変更を保存します。
            ステップ 13   同じサーバ上で、または追加の TACACS+ サーバ上で追加のサービスを設定する場合は、上記の手順を繰り返します。
            ステップ 14   [Security] > [Priority Order] > [Management User] の順に選択し、複数のデータベースを設定する際の認証の順序を指定します。 [Priority Order > Management User] ページが表示されます。
            ステップ 15   [Order Used for Authentication] テキスト ボックスで、コントローラが管理ユーザを認証する際にどのサーバを優先するかを指定します。

            [Not Used] テキスト ボックスと [Order Used for Authentication] テキスト ボックスの間でサーバを移動するには、[>] および [<] ボタンを使用します。 希望するサーバが [Order Used for Authentication] テキスト ボックスに表示されたら、[Up] ボタンと [Down] ボタンを使用して優先するサーバをリストの先頭に移動します。 デフォルトで、ローカル データベースは常に最初に検索されます。 ユーザ名が見つからない場合、コントローラは、RADIUS に設定されている場合は RADIUS サーバへの切り換え、TACACS+ に設定されている場合は TACACS+ サーバへの切り換えを行います。 デフォルトの設定はローカル、RADIUS の順になっています。

            ステップ 16   [Apply] をクリックして、変更を確定します。
            ステップ 17   [Save Configuration] をクリックして、変更を保存します。

            TACACS+ の設定(CLI)

            • 次のコマンドを入力して、TACACS+ 認証サーバを設定します。

              • config tacacs auth add index server_ip_address port# {ascii | hex} shared_secret:TACACS+ 認証サーバを追加します。
              • config tacacs auth delete index:以前に追加された TACACS+ 認証サーバを削除します。
              • config tacacs auth (enable | disable} index:TACACS+ 認証サーバを有効または無効にします。
              • config tacacs auth server-timeout index timeout:TACACS+ 認証サーバの再送信のタイムアウト値を設定します。

            • 次のコマンドを入力して、TACACS+ 許可サーバを設定します。

              • config tacacs athr add index server_ip_address port# {ascii | hex} shared_secret:TACACS+ 許可サーバを追加します。

              • config tacacs athr delete index:以前に追加された TACACS+ 許可サーバを削除します。

              • config tacacs athr (enable | disable} index:TACACS+ 許可サーバを有効または無効にします。

              • config tacacs athr server-timeout index timeout:TACACS+ 認可サーバの再送信のタイムアウト値を設定します。

            • 次のコマンドを入力して、TACACS+ アカウンティング サーバを設定します。

              • config tacacs acct add index server_ip_address port# {ascii | hex} shared_secret:TACACS+ アカウンティング サーバを追加します。

              • config tacacs acct delete index:以前に追加された TACACS+ アカウンティング サーバを削除します。

              • config tacacs acct (enable | disable} index:TACACS+ アカウンティング サーバを有効または無効にします。

              • config tacacs acct server-timeout index timeout:TACACS+ アカウンティング サーバの再送信のタイムアウト値を設定します。

            • 次のコマンドを入力して、TACACS+ の統計情報を表示します

              • show tacacs summary:TACACS+ サーバと統計情報の概要を表示します。

              • show tacacs auth stats:TACACS+ 認証サーバの統計情報を表示します。

              • show tacacs athr stats:TACACS+ 許可サーバの統計情報を表示します。

              • show tacacs acct stats:TACACS+ アカウンティング サーバの統計情報を表示します。

            • 次のコマンドを入力して、1 台または複数の TACACS+ サーバの統計情報をクリアします。

              clear stats tacacs [auth | athr | acct] {index | all}

            • 次のコマンドを入力して、複数のデータベースを設定する際の認証の順序を設定します。 デフォルト設定では local、radius の順になっています。

              config aaa auth mgmt [radius | tacacs]

              現在の管理認証サーバの順序を表示するには、show aaa auth コマンドを入力します。

            • 次のコマンドを入力して、コントローラが TACACS+ サーバに到達できることを確認します。

              ping server_ip_address

            • 次のコマンドを入力して、TACACS+ のデバッグを有効または無効にします。

              debug aaa tacacs {enable | disable}

            • 次のコマンドを入力して、変更を保存します。

              save config

            TACACS+ 管理サーバのログの表示


              ステップ 1   ACS のメイン ページで、左のナビゲーション ペインから [Reports and Activity] を選択します。
              ステップ 2   [Reports] の [TACACS+ Administration] を選択します。

              表示するログの日付に対応する .csv ファイルをクリックします。 [TACACS+ Administration .csv] ページが表示されます。

              図 4. CiscoSecure ACS の [TACACS+ Administration .csv] ページ

              このページは、次の情報を表示します。
              • 処理が実行された日付と時刻
              • 処理を実行したユーザの名前と割り当てられたロール
              • ユーザが属するグループ
              • ユーザが実行した特定の処理
              • 処理を実行したユーザの権限レベル
              • コントローラの IP アドレス
              • 処理が実行されたノートパソコンまたはワークステーションの IP アドレス
              単一の処理(またはコマンド)が、コマンド内のパラメータごとに、複数回ログ記録される場合があります。 たとえば、ユーザが snmp community ipaddr ip_address subnet_mask community_name というコマンドを入力したとします。このとき、ある行では、IP アドレスはログに記録されても、サブネット マスクとコミュニティ名はログに「E」と記録されることがあります。また別の行では、サブネット マスクがログに記録され、IP アドレスとコミュニティ名はログに「E」と記録されることがあります。次の図の例の最初の行と 3 番目の行を参照してください。
              図 5. CiscoSecure ACS の [TACACS+ Administration .csv] ページ


              最大ローカル データベース エントリの設定

              最大ローカル データベース エントリの設定について

              コントローラを設定して、ユーザ認証情報を格納するために使用するローカル データベース エントリの最大数を指定できます。 データベース エントリには、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイント認可リスト エントリが含まれます。 これらを合わせて、設定されている最大値を超えることはできません。

              最大ローカル データベース エントリの設定(GUI)


                ステップ 1   [Security] > [AAA] > [General] の順に選択して、[General] ページを開きます。
                ステップ 2   [Maximum Local Database Entries] テキスト ボックスに、次回コントローラがリブートしたときにローカル データベースに追加できる最大エントリ数を入力します。 現在設定されている値が、テキスト ボックスの右側のカッコ内に表示されます。 有効な範囲は 512 ~ 2048 で、デフォルトの設定は 2048 です。

                [Number of Entries, Already Used] テキスト ボックスに、データベースに現存するエントリ数が表示されます。

                ステップ 3   [Apply] をクリックして、変更を確定します。
                ステップ 4   [Save Configuration] をクリックして設定を保存します。

                最大ローカル データベース エントリの設定(CLI)


                  ステップ 1   次のコマンドを入力して、次回コントローラがリブートしたときにローカル データベースに追加できる最大エントリ数を指定します。

                  config database size max_entries

                  ステップ 2   次のコマンドを入力して、変更を保存します。

                  save config

                  ステップ 3   次のコマンドを入力して、データベース エントリの最大数およびデータベースの現在の内容を表示します。 show database summary

                  コントローラでのローカル ネットワーク ユーザの設定

                  コントローラ上のローカル ネットワーク ユーザについて

                  コントローラ上のローカル ユーザ データベースに、ローカル ネットワーク ユーザを追加することができます。 ローカル ユーザ データベースには、すべてのローカル ネットワーク ユーザの資格情報(ユーザ名とパスワード)が保存されます。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとしてローカル ユーザ データベースを使用する場合があります。


                  (注)  


                  コントローラはクライアント情報をまず RADIUS 認証サーバに渡します。 クライアント情報が RADIUS データベースのエントリに一致しない場合、RADIUS 認証サーバは認証失敗メッセージで応答します。 RADIUS 認証サーバが応答しない場合は、ローカル ユーザ データベースにクエリーが送信されます。 RADIUS 認証が失敗した場合、または存在しない場合は、このデータベースで見つかったクライアントがネットワーク サービスへのアクセスを付与されます。


                  コントローラに対するローカル ネットワーク ユーザの設定(GUI)


                    ステップ 1   [Security] > [AAA] > [Local Net Users] の順に選択して、[Local Net Users] ページを開きます。
                    (注)     

                    既存のユーザを削除するには、そのユーザの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

                    ステップ 2   次のいずれかの操作を行います。
                    • 既存のローカル ネットワーク ユーザを編集するには、そのユーザのユーザ名をクリックします。 [Local Net Users > Edit] ページが表示されます。

                    • ローカル ネットワーク ユーザを追加するには、[New] をクリックします。 [Local Net Users > New] ページが表示されます。

                    ステップ 3   新しいユーザを追加している場合は、[User Name] テキスト ボックスにローカル ユーザのユーザ名を入力します。 最大 24 文字の英数字を入力できます。
                    (注)     

                    ローカル ネットワーク ユーザ名は、すべて同じデータベース内に保存されるため、一意である必要があります。

                    ステップ 4   [Password] および [Confirm Password] テキスト ボックスに、ローカル ユーザのパスワードを入力します。 最大 24 文字の英数字を入力できます。
                    ステップ 5   新しいユーザを追加している場合、そのユーザがローカル ネットワークにアクセスできる時間を制限するには、[Guest User] チェックボックスをオンにします。 デフォルト設定は選択されていません。
                    ステップ 6   新しいユーザを追加していて、[Guest User] チェックボックスをオンにした場合は、[Lifetime] テキスト ボックスに、ゲスト ユーザ アカウントをアクティブにしておく時間(秒単位)を入力します。 有効な範囲は 60 ~ 2,592,000(30 日間)秒(両端の値を含む)で、デフォルトの設定は 86,400 秒です。
                    ステップ 7   新しいユーザを追加していて、[Guest User] チェックボックスをオンにした場合、そのゲスト ユーザに QoS ロールを割り当てるには、[Guest User Role] チェックボックスをオンにします。 デフォルト設定は選択されていません。
                    (注)     

                    ゲスト ユーザに QoS ロールを割り当てない場合、このユーザの帯域幅コントラクトは、WLAN の QoS プロファイルで定義されます。

                    ステップ 8   新しいユーザを追加していて、[Guest User Role] チェックボックスをオンにした場合は、そのゲスト ユーザに割り当てる QoS ロールを [Role] ドロップダウン リストから選択します。
                    ステップ 9   [WLAN Profile] ドロップダウン リストから、ローカル ユーザによってアクセスされる WLAN の名前を選択します。 デフォルトの設定である [Any WLAN] を選択すると、ユーザは設定済みのどの WLAN にもアクセスできるようになります。
                    ステップ 10   [Description] テキスト ボックスに、ローカル ユーザを説明するタイトル(「ユーザ 1」など)を入力します。
                    ステップ 11   [Apply] をクリックして、変更を確定します。
                    ステップ 12   [Save Configuration] をクリックして、変更を保存します。

                    コントローラに対するローカル ネットワーク ユーザの設定(CLI)

                    • 次のコマンドを入力して、ローカル ネットワーク ユーザを設定します。

                      • config netuser add username password wlan wlan_id userType permanent description description:コントローラ上のローカル ユーザ データベースに永久ユーザを追加します。

                      • config netuser add username password {wlan | guestlan} {wlan_id | guest_lan_id} userType guestlifetime seconds description description:WLAN または有線ゲスト LAN 上のゲスト ユーザを、コントローラのローカル ユーザ データベースに追加します。

                        (注)  


                        永久ユーザまたはゲスト ユーザをコントローラからローカル ユーザ データベースに追加する代わりに、RADIUS サーバ上にユーザに対するエントリを作成して Web 認証が実行される WLAN に対して RADIUS 認証を有効にするよう選択できます。


                      • config netuser delete username:コントローラ上のローカル ユーザ データベースからユーザを削除します。

                        (注)  


                        ローカル ネットワーク ユーザ名は、すべて同じデータベース内に保存されるため、一意である必要があります。


                    • 次のコマンドを入力して、コントローラに設定されたローカル ネットワーク ユーザに関する情報を表示します。

                      • show netuser detail username:ローカル ユーザ データベース内の特定のユーザの設定を表示します。
                      • show netuser summary:ローカル ユーザ データベース内のすべてのユーザの一覧を表示します。

                    • 次のコマンドを入力して、変更を保存します。

                      save config

                    その他の関連資料

                    ローカル ネットワーク ユーザの設定の詳細については、ローカル EAP の設定を参照してください。

                    パスワード ポリシーの設定

                    パスワード ポリシーについて

                    パスワード ポリシーを使用すると、コントローラおよびアクセス ポイントの追加管理ユーザ用に新しく作成されたパスワードに対し、強力なパスワード チェックを適用できます。 新規パスワードには次の要件が適用されます。

                    • コントローラが旧バージョンからアップグレードされた場合、古いパスワードはすべて現状のまま維持されます。ただし、パスワードの強度は低下します。 システムのアップグレード後、強力なパスワード チェックが有効になると、それ以降は強力なパスワード チェックが適用され、以前に追加されたパスワードの強度のチェックまたは変更は行われません。
                    • [Password Policy] ページで設定された内容によっては、ローカル管理ユーザおよびアクセス ポイント ユーザの設定が影響を受けます。

                    パスワード ポリシーの設定(GUI)


                      ステップ 1   [Security] > [AAA] > [Password Policies] の順に選択して、[Password Policies] ページを開きます。
                      ステップ 2   小文字、大文字、数字、特殊文字の中から少なくとも 3 種類の文字をパスワードに含める場合は、[Password must contain characters from at least 3 different classes] チェックボックスをオンにします。
                      ステップ 3   新規パスワード内で同じ文字が 4 回以上連続して繰り返されないようにするには、[No character can be repeated more than 3 times consecutively] チェックボックスをオンにします。
                      ステップ 4   パスワードに Cisco、ocsic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列をパスワードに含めないようにするには、[Password cannot be the default words like cisco, admin] チェックボックスをオンにします。
                      ステップ 5   パスワードにユーザ名またはユーザ名を逆にした文字を含めないようにするには、[Password cannot contain username or reverse of username] チェックボックスをオンにします。
                      ステップ 6   [Apply] をクリックして、変更を確定します。
                      ステップ 7   [Save Configuration] をクリックして、変更を保存します。

                      パスワード ポリシーの設定(CLI)


                        ステップ 1   次のコマンドを入力して、AP および WLC に対して強力なパスワード チェックを有効または無効にします。

                        config switchconfig strong-pwd {case-check | consecutive-check | default-check | username-check | all-check} {enable | disable}

                        値は次のとおりです。
                        • case-check:同じ文字が 3 回連続して使用されているかを確認します。
                        • consecutive-check:デフォルト値またはそのバリアントが使用されているかを確認します。
                        • default-check:ユーザ名またはそれを逆にした文字が使用されているかを確認します。
                        • all-checks:強力なパスワード チェックをすべて有効または無効にします。
                        ステップ 2   次のコマンドを入力して、強力なパスワード チェックに設定されたオプションを表示します。

                        show switchconfig

                        以下に類似した情報が表示されます。

                        
                        802.3x Flow Control Mode......................... Disabled
                        FIPS prerequisite features....................... Disabled
                        secret obfuscation............................... Enabled
                        Strong Password Check Features:
                        
                                 case-check ...........Enabled
                                 consecutive-check ....Enabled
                                 default-check .......Enabled
                                 username-check ......Enabled
                        

                        LDAP の設定

                        この項では、Lightweight Directory Access Protocol(LDAP)サーバを、RADIUS データベースやローカル ユーザ データベースに類似したバックエンド データベースとして設定する方法について説明します。

                        LDAP について

                        LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとして LDAP を使用する場合があります。


                        (注)  


                        LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。



                        (注)  


                        Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。


                        LDAP の設定(GUI)


                          ステップ 1   [Security] > [AAA] > [LDAP] の順に選択して、[LDAP Servers] ページを開きます。
                          • 既存の LDAP サーバを削除するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。
                          • コントローラが特定のサーバに到達できることを確認するには、そのサーバの青いドロップダウンの矢印の上にカーソルを置いて、[Ping] を選択します。

                          ステップ 2   次のいずれかの操作を行います。
                          • 既存の LDAP サーバを編集するには、そのサーバのインデックス番号をクリックします。 [LDAP Servers > Edit] ページが表示されます。

                          • LDAP サーバを追加するには、[New] をクリックします。 [LDAP Servers > New] ページが表示されます。 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、その他の設定済み LDAP サーバに対してこのサーバの優先順位を指定します。 最大 17 台のサーバを設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目のサーバへの接続を試行する、というようになります。
                          ステップ 3   新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに LDAP サーバの IP アドレスを入力します。
                          ステップ 4   新しいサーバを追加している場合は、[Port Number] テキスト ボックスに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。
                          ステップ 5   [Enable Server Status] チェックボックスをオンにしてこの LDAP サーバを有効にするか、オフにして無効にします。 デフォルト値は [disabled] です。
                          ステップ 6   [Simple Bind] ドロップダウン リストから [Anonymous] または [Authenticated] を選択して、LDAP サーバ用のローカル認証バインド方式を指定します。 [Anonymous] 方式では、LDAP サーバへの匿名アクセスが可能です。 [Authenticated] 方式では、ユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [Anonymous] です。
                          ステップ 7   前の手順で [Authenticated] を選択した場合は、次の手順に従ってください。
                          1. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
                            (注)     

                            ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

                          2. [Bind Username] テキスト ボックスに、LDAP サーバのローカル認証に使用されるユーザ名を入力します。 ユーザ名には、最大 80 文字を使用できます。
                          ステップ 8   [User Base DN] テキスト ボックスに、全ユーザのリストが含まれた、LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com のようになります。 ユーザを含むツリーがベース DN である場合は、 o=corporation.com

                          または

                          dc=corporation,dc=com
                          ステップ 9   [User Attribute] テキスト ボックスに、ユーザ名が含まれたユーザ レコード内の属性の名前を入力します。 この属性はディレクトリ サーバから取得できます。
                          ステップ 10   [User Object Type] テキスト ボックスに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。
                          ステップ 11   [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。
                          ステップ 12   [Apply] をクリックして、変更を確定します。
                          ステップ 13   [Save Configuration] をクリックして、変更を保存します。
                          ステップ 14   次の手順を実行して、LDAP をローカル EAP 認証用の優先バックエンド データベース サーバとして指定します。
                          1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
                          2. [LOCAL] を強調表示して、[<] をクリックし、それを左の [User Credentials] ボックスに移動します。
                          3. [LDAP] を強調表示して、[>] をクリックし、それを右の [User Credentials] ボックスに移動します。 右側の [User Credentials] ボックスの上部に表示されるデータベースは、ユーザの資格情報を取得する際に使用されます。
                            (注)     

                            [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

                          4. [Apply] をクリックして、変更を確定します。
                          5. [Save Configuration] をクリックして、変更を保存します。
                          ステップ 15   (オプション)次の手順を実行して、特定の LDAP サーバを WLAN に割り当てます。
                          1. [WLANs] を選択して、[WLANs] ページを開きます。
                          2. 必要な WLAN の ID 番号をクリックします。
                          3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
                          4. [LDAP Servers] ドロップダウン リストから、この WLAN で使用する LDAP サーバを選択します。 最大 3 台の LDAP サーバを選択できます。これらのサーバは優先順位に従って試行されます。
                            (注)     

                            これらの LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

                          5. [Apply] をクリックして、変更を確定します。
                          6. [Save Configuration] をクリックして、変更を保存します。

                          LDAP の設定(CLI)

                          • 次のコマンドを入力して、LDAP サーバを設定します。

                            • config ldap add index server_ip_address port# user_base user_attr user_type: LDAP サーバを追加します。

                            • config ldap delete index:以前に追加された LDAP サーバを削除します。

                            • config ldap {enable | disable} index:LDAP サーバを有効または無効にします。

                            • config ldap simple-bind {anonymous index | authenticated index username username password password}:LDAP サーバ用のローカル認証バインド方式を指定します。 匿名方式では LDAP サーバへの匿名アクセスが可能です。一方、認可方式ではユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [anonymous] です。 ユーザ名には、最大 80 文字を使用できます。

                              ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。

                            • config ldap retransmit-timeout index timeout:LDAP サーバの再送信の間隔(秒数)を設定します。

                          • 次のコマンドを入力して、LDAP を優先バックエンド データベース サーバとして指定します。

                            config local-auth user-credentials ldap

                            config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

                          • (オプション)次のコマンドを入力して、特定の LDAP サーバを WLAN に割り当てます。

                            • config wlan ldap add wlan_id server_index:設定済みの LDAP サーバを WLAN に接続します。

                              このコマンドで指定される LDAP サーバは、Web 認証が有効になっている WLAN にのみ適用されます。 ローカル EAP によって使用されません。

                            • config wlan ldap delete wlan_id {all | index}:特定の、またはすべての設定済み LDAP サーバを WLAN から削除します。

                          • 次のコマンドを入力して、設定済みの LDAP サーバに関連する情報を表示します。

                            • show ldap summary:設定済みの LDAP サーバの概要を表示します。

                              
                              Idx  Server Address   Port  Enabled
                              ---  ---------------  ----  -------
                              1    2.3.1.4          389 	 No
                              2    10.10.20.22 	 	 	 	 389 	 	 Yes

                              
                            • show ldap index:詳細な LDAP サーバ情報を表示します。 次のような情報が表示されます。

                              
                              Server Index..................................... 2
                              Address.......................................... 10.10.20.22
                              Port............................................. 389
                              Enabled.......................................... Yes
                              User DN.......................................... ou=active,ou=employees,ou=people,
                              													o=cisco.com
                              User Attribute................................... uid
                              User Type........................................ Person
                              Retransmit Timeout............................... 2 seconds
                              Bind Method ..................................... Authenticated
                              Bind Username................................. user1
                              
                            • show ldap statistics:LDAP サーバの統計情報を表示します。

                              
                              Server Index..................................... 1
                              Server statistics:
                                Initialized OK................................. 0
                                Initialization failed.......................... 0
                                Initialization retries......................... 0
                                Closed OK...................................... 0
                              Request statistics:
                                Received....................................... 0
                                Sent........................................... 0
                                OK............................................. 0
                                Success........................................ 0
                                Authentication failed.......................... 0
                                Server not found............................... 0
                                No received attributes......................... 0
                                No passed username............................. 0
                                Not connected to server........................ 0
                                Internal error................................. 0
                                Retries........................................ 0
                              
                              Server Index..................................... 2
                              ..
                              
                            • show wlan wlan_id:WLAN に適用される LDAP サーバを表示します。

                          • 次のコマンドを入力して、コントローラが LDAP サーバに到達できることを確認します。 ping server_ip_address

                          • 次のコマンドを入力して、変更を保存します。

                            save config

                          • 次のコマンドを入力して、LDAP のデバッグを有効または無効にします。 debug aaa ldap {enable | disable}

                          その他の関連資料

                          LEAP の設定方法の詳細については、ローカル EAP の設定を参照してください。

                          ローカル EAP の設定

                          ローカル EAP について

                          ローカル EAP は、ユーザおよびワイヤレス クライアントのローカル認証を可能にする認証方式です。 この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。 ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバに依存する必要がなくなります。 ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。 ローカル EAP では、コントローラとワイヤレス クライアント間で、LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC 認証方式をサポートします。


                          (注)  


                          LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。



                          (注)  


                          Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http:/​/​www.cisco.com/​en/​US/​products/​ps6366/​products_​white_​paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。


                          コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。 ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。 4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番めの RADIUS サーバ、その次にローカル EAP を試行します。 その後クライアントが手動で再認証を試みると、コントローラは 3 番めの RADIUS サーバを試行し、次に 4 番めの RADIUS サーバ、その次にローカル EAP を試行します。 コントローラで外部 RADIUS サーバを使用したクライアント認証を行いたくない場合は、次の CLI コマンドを示された順序どおりに入力します。

                          • config wlan disable wlan_id
                          • config wlan radius_server auth disable wlan_id
                          • config wlan enable wlan_id
                            図 6. ローカル EAP の例

                          注意事項および制約事項

                          AP602 OEAP では、EAP プロファイルはサポートされません。

                          ローカル EAP の設定(GUI)

                          はじめる前に

                          (注)  


                          EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は、認証に証明書を使用し、EAP-FAST は、証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。



                            ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
                            ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
                            ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
                            ステップ 4   次の手順を実行して、ユーザの資格情報をバックエンド データベース サーバから取得する順序を指定します。
                            1. [Security] > [Local EAP] > [Authentication Priority] の順に選択して、[Priority Order > Local-Auth] ページを開きます。
                            2. ユーザの資格情報がローカルまたは LDAP データベースから取得される優先順位を決定します。 たとえば、LDAP データベースがローカル ユーザ データベースよりも優先されるようにすることも、または LDAP データベースがまったく考慮されないようにすることもできます。
                            3. 優先順位を決定したら、目的のデータベースを強調表示します。 次に、左と右の矢印および [Up] ボタンと [Down] ボタンを使用して、目的のデータベースを右側の [User Credentials] ボックスの上部に移動します。
                              (注)     

                              [LDAP] と [LOCAL] の両方が右側の [User Credentials] ボックスに表示され、[LDAP] が上部で [LOCAL] が下部にある場合、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 [LOCAL] が上部にある場合、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

                            4. [Apply] をクリックして、変更を確定します。
                            ステップ 5   次の手順を実行して、ローカル EAP タイマーの値を指定します。
                            1. [Security] > [Local EAP] > [General] の順に選択して、[General] ページを開きます。
                            2. [Local Auth Active Timeout] テキスト ボックスに、コントローラが設定済み RADIUS サーバのペアによる認証に失敗した後、ローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
                            3. [Identity Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
                            4. [Identity Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
                            5. [Dynamic WEP Key Index] テキスト ボックスに、Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを入力します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
                            6. [Request Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を入力します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
                            7. [Request Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を入力します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
                            8. [Max-Login Ignore Identity Response] ドロップダウン リストから [Enable] を選択して、同じユーザ名を使用してコントローラに接続できるデバイスの数を制限できます。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP 電話など)から最大 8 台までログインできます。 デフォルト値はイネーブルです。
                            9. [EAPOL-Key Timeout] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を入力します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
                              (注)     

                              コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

                            10. [EAPOL-Key Max Retries] テキスト ボックスに、コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
                            11. [Apply] をクリックして、変更を確定します。
                            ステップ 6   次の手順を実行して、ワイヤレス クライアントでサポートされる EAP 認証タイプを指定する、ローカル EAP プロファイルを作成します。
                            1. [Security] > [Local EAP] > [Profiles] の順に選択して、[Local EAP Profiles] ページを開きます。

                              このページでは、これまでに設定されたすべてのローカル EAP プロファイルが表示され、その EAP タイプを指定します。 最大 16 個のローカル EAP プロファイルを作成できます。

                              (注)     

                              既存のプロファイルを削除するには、そのプロファイルの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

                            2. [New] をクリックして、[Local EAP Profiles > New] ページを開きます。
                            3. [Profile Name] テキスト ボックスに新しいプロファイルの名前を入力し、[Apply] をクリックします。
                              (注)     

                              プロファイル名には最大 63 文字の英数字を入力できます。 スペースは含めないでください。

                            4. [Local EAP Profiles] ページが再度表示されたら、新しいプロファイルの名前をクリックします。 [Local EAP Profiles > Edit] ページが表示されます。
                            5. [LEAP]、[EAP-FAST]、[EAP-TLS]、または [PEAP] チェックボックスをオンにし、ローカル認証に使用できる EAP タイプを指定します。
                              (注)     

                              プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、PEAPv1/GTC など)を選択する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

                              (注)     

                              [PEAP] チェックボックスをオンにすると、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

                            6. EAP-FAST を選択し、コントローラ上のデバイス証明書を認証に使用する場合は、[Local Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
                              (注)     

                              デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このオプションは EAP-FAST にのみ適用されます。

                            7. EAP-FAST を選択し、ワイヤレス クライアントが認証のためデバイス証明書をコントローラに送信するよう設定するには、[Client Certificate Required] チェックボックスをオンにします。 証明書の代わりに PAC を使用する EAP-FAST を使用する場合は、このチェックボックスをオフのままにしておきます。これはデフォルトの設定です。
                              (注)     

                              クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このオプションは EAP-FAST にのみ適用されます。

                            8. 証明書を使用する EAP-FAST、EAP-TLS、または PEAP を選択する場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。[Cisco] または [Vendor] を [Certificate Issuer] ドロップダウン リストから選択してください。 デフォルトの設定は、[Cisco] になっています。
                            9. 証明書を使用する EAP-FAST または EAP-TLS を選択し、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証する場合は、[Check Against CA Certificates] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
                            10. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証する場合は、[Verify Certificate CN Identity] チェックボックスをオンにします。 デフォルト設定では無効になっています。
                            11. 証明書を使用する EAP-FAST または EAP-TLS を選択し、受信するデバイス証明書が現在有効であり、期限切れでないことをコントローラで検証されるようにする場合は、[Check Certificate Date Validity] チェックボックスをオンにします。 デフォルト設定はイネーブルです。
                              (注)     

                              証明書の日付の有効性が、コントローラに設定された現在の UTC(GMT)時間と照合されます。 タイムゾーンのオフセットは無視されます。

                            12. [Apply] をクリックして、変更を確定します。
                            ステップ 7   EAP-FAST プロファイルを作成した場合、EAP-FAST パラメータを設定する手順は、次のとおりです。
                            1. [Security] > [Local EAP] > [EAP-FAST Parameters] の順に選択して、[EAP-FAST Method Parameters] ページを開きます。
                            2. [Server Key] テキスト ボックスおよび [Confirm Server Key] フィールドに、PAC の暗号化と暗号化解除に使用するキー(16 進数文字)を入力します。
                            3. [Time to Live for the PAC] テキスト ボックスに、PAC の有効日数を入力します。 有効な範囲は 1 ~ 1000 日で、デフォルトの設定は 10 日です。
                            4. [Authority ID] テキスト ボックスに、ローカル EAP-FAST サーバの認証局 ID を 16 進数文字で入力します。 最大 32 文字の 16 進数文字を入力できますが、文字数は偶数である必要があります。
                            5. [Authority ID Information] テキスト ボックスに、ローカル EAP-FAST サーバの Authority ID をテキスト形式で入力します。
                            6. 匿名プロビジョニングを有効にするには、[Anonymous Provision] チェックボックスをオンにします。 この機能を使用すると、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。 この機能を無効にする場合、PAC は手動でプロビジョニングされる必要があります。 デフォルト設定はイネーブルです。
                              (注)     

                              ローカル証明書またはクライアント証明書、あるいはその両方を必要とし、すべての EAP-FAST クライアントで証明書が使用されるよう強制する場合は、[Anonymous Provision] チェックボックスをオフにしてください。

                            7. [Apply] をクリックして、変更を確定します。
                            ステップ 8   次の手順を実行して、WLAN 上でローカル EAP を有効にします。
                            1. [WLANs] を選択して、[WLANs] ページを開きます。
                            2. 必要な WLAN の ID 番号をクリックします。
                            3. [WLANs > Edit] ページが表示されたら [Security] > [AAA Servers] タブを選択し、[WLANs > Edit]([Security > AAA Servers])ページを開きます。
                            4. [Local EAP Authentication] チェックボックスをオンにして、この WLAN に対してローカル EAP を有効にします。
                            5. [EAP Profile Name] ドロップダウン リストから、この WLAN に使用する EAP プロファイルを選択します。
                            6. 必要に応じて、[LDAP Servers] ドロップダウン リストから、この WLAN でローカル EAP と共に使用する LDAP サーバを選択します。
                            7. [Apply] をクリックして、変更を確定します。
                            ステップ 9   [Save Configuration] をクリックして、変更を保存します。

                            ローカル EAP の設定(CLI)

                            はじめる前に

                            (注)  


                            EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は認証に証明書を使用し、EAP-FAST は証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。



                              ステップ 1   上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。
                              ステップ 2   コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。
                              ステップ 3   コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。
                              ステップ 4   次のコマンドを入力して、ローカルまたは LDAP データベースからユーザの資格情報を取得する順位を指定します。

                              config local-auth user-credentials {local | ldap}

                              (注)     

                              config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。

                              ステップ 5   次のコマンドを入力して、ローカル EAP タイマーの値を指定します。
                              • config local-auth active-timeout timeout:設定済み RADIUS サーバのペアによる認証が失敗した後に、コントローラがローカル EAP を使用してワイヤレス クライアントを認証する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 3600 秒で、デフォルトの設定は 100 秒です。
                              • config advanced eap identity-request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
                              • config advanced eap identity-request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP ID 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 20 回で、デフォルトの設定は 20 回です。
                              • config advanced eap key-index index:Dynamic Wired Equivalent Privacy(WEP)に使用するキー インデックスを指定します。 デフォルト値は 0 で、これはキー インデックス 1 に相当します。有効な値は 0 ~ 3(キー インデックス 1 ~ 4)です。
                              • config advanced eap request-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を送信する際の試行時間(秒単位)を指定します。 有効な範囲は 1 ~ 120 秒で、デフォルトの設定は 30 秒です。
                              • config advanced eap request-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに EAP 要求を再送信する際の最大試行回数を指定します。 有効な値の範囲は 1 ~ 120 回で、デフォルトの設定は 20 回です。
                              • config advanced eap eapol-key-timeout timeout:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の試行時間(秒単位)を指定します。 有効な値の範囲は 1 ~ 5 秒で、デフォルトの設定は 1 秒です。
                                (注)     

                                コントローラとアクセス ポイントが WAN リンクによって分離されている場合、デフォルト タイムアウト値の 1 秒では不十分な場合があります。

                              • config advanced eap eapol-key-retries retries:コントローラがローカル EAP を使用してワイヤレス クライアントに LAN 経由で EAP キーを送信する際の最大試行回数を指定します。 有効な値の範囲は 0 ~ 4 回で、デフォルトの設定は 2 回です。
                              • config advanced eap max-login-ignore-identity-response {enable | disable}:このコマンドを有効にすると、同じユーザ名を使用してコントローラに接続できるデバイスの数を制限できます。 同じコントローラ上の異なるデバイス(PDA、ノートパソコン、IP 電話など)から最大 8 台までログインできます。 デフォルト値はイネーブルです。
                              ステップ 6   次のコマンドを入力して、ローカル EAP プロファイルを作成します。

                              config local-auth eap-profile add profile_name

                              (注)     

                              プロファイル名にスペースを含めないでください。

                              (注)     

                              ローカル EAP プロファイルを削除するには、config local-auth eap-profile delete profile_name コマンドを入力します。

                              ステップ 7   次のコマンドを入力して、ローカル EAP プロファイルに EAP 方式を追加します。 config local-auth eap-profile method add method profile_name

                              サポートされている方式は leap、fast、tls、および peap です。

                              (注)     

                              peap を選択する場合、コントローラ上で PEAPv0/MSCHAPv2 と PEAPv1/GTC の両方が有効になります。

                              (注)     

                              プロファイルごとに複数の EAP タイプを指定できます。 ただし、証明書を使用する複数の EAP タイプ(証明書を使用する EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC など)でプロファイルを作成する場合、すべての EAP タイプで同じ証明書(Cisco または他のベンダーが発行する)を使用する必要があります。

                              (注)     

                              ローカル EAP プロファイルから EAP 方式を削除するには、config local-auth eap-profile method delete method profile_name コマンドを入力します。

                              ステップ 8   EAP-FAST プロファイルを作成した場合は、次のコマンドを入力して EAP-FAST パラメータを設定します。

                              config local-auth method fast ?

                              ここで、? は、次のいずれかを示します。

                              • anon-prov {enable | disable}:コントローラで匿名プロビジョニングが許可されるように設定します。これにより、PAC プロビジョニング中に、PAC がないクライアントに PAC が自動的に送信されるようになります。
                              • authority-id auth_id:ローカル EAP-FAST サーバの Authority ID を指定します。
                              • pac-ttl days:PAC の有効日数を指定します。
                              • server-key key:PAC を暗号化および暗号化解除するために使用されるサーバ キーを指定します。
                              ステップ 9   次のコマンドを入力して、プロファイルごとに証明書パラメータを設定します。
                              • config local-auth eap-profile method fast local-cert {enable | disable} profile_name: 認証にコントローラ上のデバイス証明書が必要かどうかを指定します。
                                (注)     

                                デバイス証明書は LEAP と共に使用されず、EAP-TLS と PEAP には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

                              • config local-auth eap-profile method fast client-cert {enable | disable} profile_name: 認証用のデバイス証明書をコントローラへ送信するために、ワイヤレス クライアントが必要かどうかを指定します。
                                (注)     

                                クライアント証明書は LEAP または PEAP と共に使用されず、EAP-TLS には必須であるため、このコマンドは EAP-FAST にのみ適用されます。

                              • config local-auth eap-profile cert-issuer {cisco | vendor} profile_name:証明書を使用する EAP-FAST、EAP-TLS、または PEAP を指定した場合は、クライアントに送信される証明書がシスコから発行されるものか、別のベンダーから発行されるものかを指定します。
                              • config local-auth eap-profile cert-verify ca-issuer {enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、クライアントから受信する証明書をコントローラ上の CA 証明書と照合して検証するかどうかを指定します。
                              • config local-auth eap-profile cert-verify cn-verify {enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信する証明書での Common Name(CN)をコントローラ上の CA 証明書の CN と照合して検証するかどうかを指定します。
                              • config local-auth eap-profile cert-verify date-valid {enable | disable} profile_name:証明書を使用する EAP-FAST または EAP-TLS を選択する場合は、受信するデバイスの証明書が現在も有効であり期限が切れていないことがコントローラで検証されるようにするかどうかを指定します。
                              ステップ 10   次のコマンドを入力して、ローカル EAP を有効にし、EAP プロファイルを WLAN に接続します。

                              config wlan local-auth enable profile_name wlan_id

                              (注)     

                              WLAN でローカル EAP を無効にするには、config wlan local-auth disable wlan_id コマンドを入力します。

                              ステップ 11   次のコマンドを入力して、変更を保存します。

                              save config

                              ステップ 12   次のコマンドを入力して、ローカル EAP に関連する情報を表示します。
                              • show local-auth config:コントローラ上のローカル EAP の設定を表示します。
                                
                                User credentials database search order:
                                   Primary ..................................... Local DB
                                
                                Timer:
                                    Active timeout .............................. 300
                                
                                Configured EAP profiles:
                                   Name ........................................ fast-cert
                                     Certificate issuer ........................ vendor
                                     Peer verification options:
                                       Check against CA certificates ........... Enabled
                                       Verify certificate CN identity .......... Disabled
                                       Check certificate date validity ......... Enabled
                                     EAP-FAST configuration:
                                       Local certificate required .............. Yes
                                       Client certificate required ............. Yes
                                     Enabled methods ........................... fast
                                     Configured on WLANs ....................... 1
                                
                                   Name ........................................ tls
                                     Certificate issuer ........................ vendor
                                     Peer verification options:
                                       Check against CA certificates ........... Enabled
                                       Verify certificate CN identity .......... Disabled
                                       Check certificate date validity ......... Enabled
                                     EAP-FAST configuration:
                                       Local certificate required .............. No
                                       Client certificate required ............. No
                                     Enabled methods ........................... tls
                                     Configured on WLANs ....................... 2
                                
                                EAP Method configuration:
                                   EAP-FAST:
                                     Server key ................................ <hidden>
                                     TTL for the PAC ........................... 10
                                     Anonymous provision allowed ............... Yes
                                     Accept client on auth prov ................ No
                                     Authority ID .............................. 436973636f0000000000000000000000
                                     Authority Information ..................... Cisco A-ID
                                
                              • show local-auth statistics:ローカル EAP の統計情報を表示します。
                              • show local-auth certificates:ローカル EAP で使用可能な証明書を表示します。
                              • show local-auth user-credentials:コントローラがローカル データベースまたは LDAP データベースからユーザの資格情報を取得する際の優先順位を表示します。
                              • show advanced eap:ローカル EAP のタイマーの値を表示します。
                                
                                EAP-Identity-Request Timeout (seconds)........... 1
                                EAP-Identity-Request Max Retries................. 20
                                EAP Key-Index for Dynamic WEP.................... 0
                                EAP Max-Login Ignore Identity Response........... enable
                                EAP-Request Timeout (seconds).................... 20
                                EAP-Request Max Retries.......................... 20
                                EAPOL-Key Timeout (seconds)...................... 1
                                EAPOL-Key Max Retries......................... 2

                                
                              • show ap stats wlan Cisco_AP:各 WLAN の特定のアクセス ポイントにおける EAP タイムアウト回数および失敗回数を表示します。
                              • show client detail client_mac:アソシエートされた特定のクライアントについて、EAP タイムアウト回数および失敗回数を表示します。 これらの統計は、クライアント アソシエーションの問題のトラブルシューティングを行う際に有用です。
                                
                                ...
                                Client Statistics:
                                      Number of Bytes Received................... 10
                                      Number of Bytes Sent....................... 10
                                      Number of Packets Received................. 2
                                      Number of Packets Sent..................... 2
                                      Number of EAP Id Request Msg Timeouts...... 0
                                      Number of EAP Id Request Msg Failures...... 0
                                      Number of EAP Request Msg Timeouts......... 2
                                      Number of EAP Request Msg Failures......... 1
                                      Number of EAP Key Msg Timeouts............. 0
                                      Number of EAP Key Msg Failures............. 0
                                      Number of Policy Errors.................... 0
                                      Radio Signal Strength Indicator............ Unavailable
                                      Signal to Noise Ratio...................... Unavailable
                                
                              • show wlan wlan_id:特定の WLAN のローカル EAP のステータスを表示します。
                              ステップ 13   (オプション)次のコマンドを入力して、ローカル EAP セッションのトラブルシューティングを行います。
                              • debug aaa local-auth eap method {all | errors | events | packets | sm} {enable | disable}: ローカル EAP 方式のデバッグを有効または無効にします。

                              • debug aaa local-auth eap framework {all | errors | events | packets | sm} {enable | disable}: ローカル EAP フレームワークのデバッグを有効または無効にします。

                                (注)     

                                上記の 2 つのコマンドでは、sm とはステート マシンを指します。

                              • clear stats local-auth:ローカル EAP のカウンタをクリアします。

                              • clear stats ap wlan Cisco_AP:各 WLAN の特定のアクセスポイントにおける EAP タイムアウト回数および失敗回数をクリアします。
                                
                                WLAN      1
                                   EAP Id Request Msg Timeouts................... 0
                                   EAP Id Request Msg Timeouts Failures.......... 0
                                   EAP Request Msg Timeouts...................... 2
                                   EAP Request Msg Timeouts Failures............. 1
                                   EAP Key Msg Timeouts.......................... 0
                                   EAP Key Msg Timeouts Failures................. 0
                                WLAN      2
                                   EAP Id Request Msg Timeouts................... 1
                                   EAP Id Request Msg Timeouts Failures.......... 0
                                   EAP Request Msg Timeouts...................... 0
                                   EAP Request Msg Timeouts Failures............. 0
                                   EAP Key Msg Timeouts.......................... 3
                                EAP Key Msg Timeouts Failures.............. 1
                                

                              その他の関連資料

                              証明書と PAC のインポートの手順については、コントローラ ソフトウェアと設定の管理の項を参照してください。

                              コントローラのローカル ネットワーク ユーザの設定手順については、コントローラでのローカル ネットワーク ユーザの設定の項を参照してください。

                              LDAP の設定手順については、LDAP の設定の項を参照してください。

                              SpectraLink 社の NetLink 電話用システムの設定

                              SpectraLink NetLink 電話について

                              SpectraLink 社の NetLink 電話を Cisco UWN ソリューションと最適な形で統合するには、長いプリアンブルを有効にするようオペレーティング システムを設定する必要があります。 無線プリアンブル(ヘッダーとも呼ばれる)とは、パケットの先頭部分のデータ セクションのことであり、ここには、無線デバイスでのパケットの送受信に必要な情報が格納されています。 ショート プリアンブルの方がスループット パフォーマンスが向上するため、デフォルトではこちらが有効になっています。 ただし、SpectraLink 社の NetLink 電話などの一部の無線デバイスは、ロング プリアンブルを必要とします。

                              SpectraLink 社の NetLink 電話の設定

                              長いプリアンブルの有効化(GUI)


                                ステップ 1   [Wireless] > [802.11b/g/n] > [Network] の順に選択して、[802.11b/g Global Parameters] ページを開きます。
                                ステップ 2   [Short Preamble] チェックボックスがオンの場合は、以降の手順に進みます。 [Short Preamble] チェックボックスがオフの場合(つまり、長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話用に最適化されているため、これ以降の手順を実行する必要はありません。
                                ステップ 3   [Short Preamble] チェックボックスをオフにして、長いプリアンブルを有効にします。
                                ステップ 4   [Apply] をクリックして、コントローラの設定を更新します。
                                (注)     

                                コントローラへの CLI セッションがアクティブでない場合は、CLI セッションを開始してコントローラをリブートし、リブート プロセスを監視することをお勧めします。 コントローラがリブートすると GUI が切断されるため、その意味でも CLI セッションは役に立ちます。

                                ステップ 5   [Commands] > [Reboot] > [Reboot] > [Save and Reboot] の順に選択して、コントローラをリブートします。 次のプロンプトに対し [OK] をクリックします。
                                
                                Configuration will be saved and the controller will be rebooted. Click ok to confirm.
                                

                                コントローラがリブートします。

                                ステップ 6   コントローラの GUI にもう一度ログインし、コントローラが正しく設定されていることを確認します。
                                ステップ 7   [Wireless] > [802.11b/g/n] > [Network] の順に選択して、[802.11b/g Global Parameters] ページを開きます。 [Short Preamble] チェックボックスがオフの場合、コントローラは SpectraLink 社の NetLink 電話用に最適化されています。

                                長いプリアンブルの有効化(CLI)


                                  ステップ 1   コントローラ CLI にログインします。
                                  ステップ 2   show 802.11b コマンドを入力し、Short preamble mandatory パラメータを選択します。 短いプリアンブルが有効になっている場合は、以降の手順に進みます。 短いプリアンブルが有効な場合、次のように表示されます。
                                  
                                  Short Preamble mandatory....................... Enabled
                                  

                                  短いプリアンブルが無効になっている場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。

                                  ステップ 3   次のコマンドを入力して、802.11b/g ネットワークを無効にします。

                                  config 802.11b disable network

                                  802.11a ネットワークでは、長いプリアンブルを有効化できません。
                                  ステップ 4   次のコマンドを入力して、長いプリアンブルを有効にします。

                                  config 802.11b preamble long

                                  ステップ 5   次のコマンドを入力して、802.11b/g ネットワークを再度有効にします。

                                  config 802.11b enable network

                                  ステップ 6   reset system コマンドを入力し、コントローラをリブートします。 システムの変更を保存するためのプロンプトが表示されたら、y と入力します。 コントローラがリブートします。
                                  ステップ 7   CLI にログインし直し、show 802.11b コマンドを入力して次のパラメータを表示して、コントローラが正しく設定されていることを確認します。
                                  
                                  802.11b Network................................ Enabled
                                  Short Preamble mandatory....................... Disabled
                                  

                                  上記のパラメータは、802.11b/g ネットワークが有効になっていて、短いプリアンブルが無効になっていることを示しています。


                                  Enhanced Distributed Channel Access(CLI)

                                  802.11 Enhanced Distributed Channel Access(EDCA)パラメータを設定して SpectraLink の電話をサポートするには、次の CLI コマンドを入力します。

                                  config advanced edca-parameter {custom-voice | optimized-video-voice | optimized-voice | svp-voice | wmm-default}

                                  値は次のとおりです。
                                  • custom-voice:カスタム音声 EDCA パラメータを有効にします
                                  • optimized-video-voice:ビデオと音声用に最適化された複合パラメータを有効にします
                                  • optimized-voice:非 SpectraLink の音声用に最適化されたパラメータを有効にします
                                  • svp-voice:SpectraLink Voice Priority(SVP)パラメータを有効にします
                                  • wmm-default:Wireless Multimedia(WMM)のデフォルト パラメータを有効にします

                                  (注)  


                                  このコマンドをコントローラに接続されたすべてのアクセス ポイントに適用するには、このコマンドを入力したあと、802.11b/g ネットワークを無効にし、その後再び有効にしてください。


                                  RADIUS NAC サポートの設定

                                  RADIUS NAC サポートについて

                                  Cisco Identity Services Engine(ISE)は、次世代のコンテキストベース アクセス コントロール ソリューションで、Cisco Secure Access Control System(ACS)と Cisco Network Admission Control(NAC)の機能を 1 つの統合されたプラットフォームで提供します。

                                  ISE は Cisco Unified Wireless Network のリリース 7.0.116.0 で導入されています。 ISE を使用して、配備されたネットワークで高度なセキュリティを実現できます。 ISE は、コントローラ上で設定できる認証サーバです。 RADIUS NAC 対応の WLAN 上のコントローラにクライアントがアソシエートされると、コントローラは ISE サーバに要求を転送します。

                                  ISE サーバはデータベースでユーザを検証し、認証が正常に完了すると、URL と事前認証 ACL がクライアントに送信されます。 このときクライアントは Posture Required 状態になり、ISE サーバから返された URL にリダイレクトされます。


                                  (注)  


                                  ISE サーバから返された URL にキーワード「cwa」が含まれる場合、クライアントは、Central Web Authentication の状態になります。


                                  クライアントの NAC エージェントによって、ポスチャ検証プロセスがトリガーされます。 ISE サーバによるポスチャ検証が正常に完了すると、クライアントは RUN 状態になります。


                                  (注)  


                                  RADIUS NAC による Flex ローカル スイッチングは、リリース 7.2.110.0 で追加されました。 これは、7.0 リリースおよび 7.2 リリースではサポートされていません。 RADIUS NAC 対応の WLAN 機能が動作するよう再設定するには、7.2.110.0 以降のリリースを 7.2 または 7.0 リリースにダウングレードする必要があります。


                                  デバイス登録

                                  デバイス登録を行うと、RADIUS NAC を使用して WLAN の新しいデバイスの認証とプロビジョニングを行えるようになります。 デバイスを WLAN に登録すると、設定されている ACL に基づいてネットワークを使用できるようになります。

                                  中央 Web 認証

                                  中央 Web 認証(CWA)の場合、Web 認証は ISE サーバで行われます。 ISE サーバの Web ポータルに、クライアント用のログイン ページが表示されます。 ISE サーバで資格情報が検証されると、クライアントがプロビジョニングされます。 CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。

                                  ローカル Web 認証

                                  ローカル Web 認証(LWA)の場合、コントローラが Web 認証ログイン ページを表示し、ここでユーザ名とパスワードが検証されます。 クライアントの資格情報が検証されると、制限付き ACL を使用する ISE サーバと URL がクライアントに送信されます。

                                  CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。

                                  次の表に、一般的な ISE でのデバイス登録、CWA、および LWA の有効な組み合わせを示します。



                                  表 8 ISE ネットワーク認証フロー

                                  WLAN の設定

                                  CWA

                                  LWA

                                  デバイス登録

                                  RADIUS NAC 対応 Yes Yes Yes
                                  L2 なし No PSK、Static WEP、CKIP No
                                  L3 なし 該当なし 内部/外部 該当なし
                                  MAC フィルタリング対応 Yes No Yes

                                  注意事項および制約事項

                                  • RADIUS NAC 対応の WLAN は、オープン認証と MAC フィルタリングをサポートしています。 RADIUS NAC によるローカル Web 認証を使用している場合は、レイヤ 3 Web 認証も有効にする必要があります。
                                  • ローカル Web 認証では、Web 認証の優先順位を RADIUS として設定しなければなりません。
                                  • 設定されたアカウンティング サーバが認証(ISE)サーバではない場合、RADIUS NAC は機能しません。 ISE 機能を使用する場合は、認証およびアカウンティング サーバと同じサーバを設定する必要があります。 ISE を ACS 機能専用にする場合は、アカウンティング サーバを柔軟に設定できます。 Dot1x 認証を有効にする必要があります。
                                  • クライアントがある WLAN から別の WLAN へ移動し、アイドル タイムアウトが発生する前に元の WLAN に戻った場合、コントローラはそのクライアントの監査セッション ID を保持しています。 したがって、アイドル タイムアウト セッションの期限が切れる前にクライアントがコントローラに join すると、それらのクライアントはただちに RUN 状態になります。 セッションがタイムアウトしてから、クライアントがコントローラに再アソシエートされているかどうかが検証されます。
                                  • たとえば 2 つの WLAN があり、1 台のコントローラに WLAN 1 が設定され(WLC1)、もう 1 台のコントローラに WLAN2 が設定され(WLC2)、その両方が RADIUS NAC 対応であるとします。 クライアントはまず WLC1 に接続し、ポスチャ検証のあと RUN 状態になります。 次にこのクライアントは、WLC2 に移動するとします。 WLC1 内のこのクライアントに対する PMK の期限が切れる前に、クライアントが WLC1 に再接続した場合、このクライアントに対するポスチャ検証は省略されます。 クライアントはポスチャ検証を省略してただちに RUN 状態になります。これは、コントローラがこのクライアントの古い監査セッション ID を保持し、ISE がその ID をすでに認識しているからです。
                                  • ワイヤレス ネットワークに RADIUS NAC を導入する場合は、プライマリおよびセカンダリ ISE サーバを設定しないでください。 代わりに、2 つの ISE サーバ間に HA を設定することをお勧めします。 プライマリおよびセカンダリ ISE を設定すると、クライアントが RUN 状態に移行する前に、ポスチャ検証が必要になります。 HA を設定すると、クライアントはフォールバック ISE サーバで自動的に RUN 状態に移行します。
                                  • RADIUS NAC が設定されたコントローラ ソフトウェアは、サービス ポートでの認可変更(CoA)をサポートしません。
                                  • アクティブなネットワーク内で AAA サーバ インデックスを入れ替えないでください。クライアントが切断され、RADIUS サーバへの再接続が必要になる可能性があります。それによって、ISE サーバ ログにログ メッセージが追加される場合があります。
                                  • RADIUS NAC を使用するには、WLAN 上で AAA Override を有効にする必要があります。
                                  • WLAN 上で WPA および WPA2 または dot1X を有効にする必要があります。
                                  • 低速なローミング中に、クライアントのポスチャ検証が行われます。
                                  • ゲストのトンネリング モビリティは、ISE NAC 対応の WLAN でサポートされます。
                                  • VLAN Select はサポートされません。
                                  • ワークグループ ブリッジはサポートされません。
                                  • AP Group over NAC は RADIUS NAC ではサポートされません。
                                  • FlexConnect ローカル スイッチングはサポートされません。
                                  • RADIUS NAC を有効にすると、RADIUS サーバの上書きインターフェイスはサポートされません。

                                  RADIUS NAC サポートの設定(GUI)


                                    ステップ 1   [WLANs] タブを選択します。
                                    ステップ 2   ISE を有効にする WLAN の WLAN ID をクリックします。

                                    [WLANs > Edit] ページが表示されます。

                                    ステップ 3   [Advanced] タブをクリックします。
                                    ステップ 4   [NAC State] ドロップダウン リストから [Radius NAC] を選択します。
                                    • [SNMP NAC]:WLAN に SNMP NAC を使用します。
                                    • [Radius NAC]:WLAN に Radius NAC を使用します。
                                      (注)     

                                      WLAN 上で RADIUS NAC を使用すると、自動的に AAA Override が有効になります。

                                    ステップ 5   [Apply] をクリックします。

                                    RADIUS NAC サポートの設定(CLI)

                                    次のコマンドを入力します。

                                    config wlan nac radius { enable | disable} wlan_id

                                    無線による管理機能の使用

                                    無線による管理機能について

                                    無線による管理機能を使用すると、ワイヤレス クライアントを使用してローカル コントローラを監視および設定できます。 この機能は、コントローラとの間のアップロードおよびダウンロード(転送)以外のすべての管理タスクに対して使用できます。

                                    無線による管理機能の有効化(GUI)


                                      ステップ 1   [Management] > [Mgmt Via Wireless] の順に選択して、[Management Via Wireless] ページを開きます。
                                      ステップ 2   [Enable Controller Management to be accessible from Wireless Clients] チェックボックスをオンにして無線による WLAN の管理を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオフです。
                                      ステップ 3   [Apply] をクリックして、変更を確定します。
                                      ステップ 4   [Save Configuration] をクリックして、変更を保存します。

                                      無線による管理機能の有効化(CLI)


                                        ステップ 1   次のコマンドを入力して、無線による管理インターフェイスが有効か無効かを検証します。

                                        show network summary

                                        • 無効である場合は、config network mgmt-via-wireless enable コマンドを入力して、無線による管理を有効にします。
                                        • 無効でない場合は、ワイヤレス クライアントを使用して、管理対象のコントローラに接続されているアクセス ポイントにアソシエートします。
                                        ステップ 2   次のコマンドを入力して CLI にログインし、ワイヤレス クライアントを使用して WLAN を管理できることを確認します。 telnet controller-ip-address command

                                        動的インターフェイスによる管理機能

                                        動的インターフェイスによる管理機能について

                                        動的インターフェイス IP アドレスのいずれかを使用して、コントローラにアクセスできます。 有線コンピュータでは、WLC の動的インターフェイスを使用した CLI アクセスのみが可能ですが、ワイヤレス クライアントでは、動的インターフェイスを使用して CLI アクセスと GUI アクセスの両方が可能です。

                                        動的インターフェイスによる管理機能が無効な場合、SSH プロトコルが有効であれば、デバイスは SSH 接続を開くことができます。 ただし、ユーザにログオン プロンプトは表示されません。 さらに、CPU ACL が設定されていない限り、動的インターフェイス VLAN から管理アドレスへのアクセスは引き続き可能です。

                                        動的インターフェイスによる管理機能の有効化(CLI)

                                        次のコマンドを入力します。

                                        config network mgmt-via-dynamic-interface {enable | disable}

                                        DHCP オプション 82 の設定

                                        DHCP オプション 82 について

                                        DHCP オプション 82 では、DHCP を使用してネットワーク アドレスを割り当てる場合のセキュリティが強化されます。 具体的には、コントローラが DHCP リレー エージェントとして動作して、信頼できないソースからの DHCP クライアント要求を阻止できるようにします。 DHCP 要求にオプション 82 情報を追加してから DHCP サーバに転送するように、コントローラを設定することができます。

                                        図 7. DHCP オプション 82

                                        アクセス ポイントは、クライアントからのすべての DHCP 要求をコントローラに転送します。 コントローラは、DHCP オプション 82 ペイロードを追加してから要求を DHCP サーバに転送します。 このオプションの設定方法によって、ペイロードには MAC アドレス、または MAC アドレスとアクセス ポイントの SSID が含まれます。


                                        (注)  


                                        すでにリレー エージェント オプションが含まれている DHCP パケットは、コントローラでドロップされます。


                                        注意事項および制約事項

                                        • DHCP オプション 82 は、自動アンカー モビリティと共に使用することはできません。

                                        DHCP オプション 82 の設定(GUI)


                                          ステップ 1   [Controller] > [Advanced] > [DHCP] を選択して、[DHCP Parameters] ページを開きます。
                                          ステップ 2   [Enable DHCP Proxy] チェックボックスをオンにして、DHCP プロキシを有効にします。
                                          ステップ 3   ドロップダウン リストから [DHCP Option 82 Remote ID field format] を選択して、DHCP オプション 82 ペイロードの形式を指定します。

                                          使用可能なオプションの詳細については、コントローラのオンライン ヘルプを参照してください。

                                          ステップ 4   DHCP タイムアウト時間を入力します。 タイムアウト値はグローバルに適用できます。
                                          ステップ 5   [Apply] をクリックします。
                                          ステップ 6   [Save Configuration] をクリックします。

                                          次の作業

                                          コントローラの CLI で、次のコマンドを入力して、WLAN が関連付けられている動的インターフェイスに対して DHCP オプション 82 を有効にします。

                                          config interface dhcp dynamic-interface interface-name option-82 enable

                                          DHCP オプション 82 の設定(CLI)

                                          • 次のコマンドのいずれかを入力して、DHCP オプション 82 ペイロードの形式を設定します。

                                            • config dhcp opt-82 remote-id ap_mac:DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスを追加します。
                                            • config dhcp opt-82 remote-id ap_mac:ssid:DHCP オプション 82 ペイロードにアクセス ポイントの MAC アドレスと SSID を追加します。
                                            • config dhcp opt-82 remote-id ap-ethmac:DHCP オプション 82 ペイロードにアクセス ポイントのイーサネット MAC アドレスを追加します。

                                          • 次のコマンドを入力して、WLAN が関連付けられている動的インターフェイスに対して DHCP オプション 82 を有効にします。

                                            config interface dhcp dynamic-interface interface-name option-82 enable

                                          • show interface detailed dynamic-interface-nameコマンドを入力して、動的インターフェイスの DHCP オプション 82 のステータスを確認してください。

                                            
                                            Interface Name................................... dynamic
                                            MAC Address...................................... e0:5f:b9:46:9f:af
                                            IP Address....................................... 9.4.46.13
                                            IP Netmask....................................... 255.255.255.0
                                            IP Gateway....................................... 9.4.46.1
                                            External NAT IP State............................ Disabled
                                            External NAT IP Address.......................... 0.0.0.0
                                            VLAN............................................. 46
                                            Quarantine-vlan.................................. 0
                                            NAS-Identifier................................... test
                                            Active Physical Port............................. LAG (13)
                                            Primary Physical Port............................ LAG (13)
                                            Backup Physical Port............................. Unconfigured
                                            DHCP Proxy Mode.................................. Global
                                            Primary DHCP Server.............................. 9.1.0.100
                                            Secondary DHCP Server............................ Unconfigured
                                            DHCP Option 82................................... Disabled
                                            ACL.............................................. Unconfigured
                                            mDNS Profile Name................................ Unconfigured
                                            AP Manager....................................... No
                                            Guest Interface.................................. No
                                            L2 Multicast..................................... Enabled
                                            
                                            

                                          その他の関連資料

                                          DHCP オプション 82 が正しく動作するには、DHCP プロキシが有効でなければなりません。

                                          アクセス コントロール リストの設定と適用

                                          アクセス コントロール リストについて

                                          アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは Central Processing Unit(CPU; 中央処理装置)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。

                                          または、Web 認証用に事前認証 ACL を作成することもできます。 事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。

                                          IPv4 ACL および IPv6 ACL のどちらもサポートされています。 IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。


                                          (注)  


                                          ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。


                                          注意事項および制約事項

                                          • IPv4 および IPv6 の両方に最大 64 の ACL を定義し、各 ACL に最大 64 のルール(またはフィルタ)を適用できます。 各ルールには、ルールの処理に影響を与えるパラメータがあります。 パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。
                                          • Cisco 5500 シリーズ コントローラまたは Cisco WiSM2 で CPU ACL を適用する場合、Web 認証のために仮想インターフェイス IP アドレスに送信されるトラフィックを許可する必要があります。
                                          • すべての ACL で、最後のルールとして暗黙の「deny all」ルールが適用されます。 パケットがどのルールとも一致しない場合、コントローラによってドロップされます。
                                          • Cisco 5500 シリーズ コントローラまたはコントローラ ネットワーク モジュールと共に外部の Web サーバを使用している場合は、WLAN 上で外部 Web サーバに対する事前認証 ACL を設定する必要があります。
                                          • インターフェイスまたは WLAN に ACL を適用すると、1 Gbps ファイル サーバからのダウンロードの際にワイヤレス スループットが低下します。 スループットを改善するには、インターフェイスまたは WLAN から ACL を削除するか、ポリシー レート制限制約機能を持つ隣接有線デバイスに ACL を移動するか、1 Gbps ではなく 100 Mbps を使用してファイル サーバを接続します。
                                          • ACL はコントローラ上で直接設定されるか、 のテンプレートを使用して設定されます。 ACL 名は固有の名前でなければなりません。

                                          アクセス コントロール リストの設定と適用(GUI)

                                          アクセス コントロール リストの設定


                                            ステップ 1   [Security] > [Access Control Lists] > [Access Control Lists] を選択して、[Access Control Lists] ページを開きます。
                                            ステップ 2   パケットがコントローラに設定された ACL のいずれかに一致するかどうかを確認する場合は、[Enable Counters] チェックボックスをオンにして [Apply] をクリックします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 この機能は、システムのトラブルシューティングを実行する際に役立ちます。
                                            (注)     

                                            ACL のカウンタをクリアするには、その ACL の青いドロップダウンの矢印の上にカーソルを置いて、[Clear Counters] を選択します。

                                            ステップ 3   [New] をクリックして、新しい ACL を追加します。 [Access Control Lists > New] ページが表示されます。
                                            ステップ 4   [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。
                                            ステップ 5   ACL タイプを選択します。 IPv4 と IPv6 の 2 つの ACL のタイプがサポートされています。
                                            ステップ 6   [Apply] をクリックします。 [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。
                                            ステップ 7   [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。 [Access Control Lists > Rules > New] ページが表示されます。
                                            ステップ 8   この ACL のルールを次のように設定します。
                                            1. コントローラは各 ACL について最大 64 のルールをサポートします。 これらのルールは、1 から 64 の順にリストアップされます。 [Sequence] テキスト ボックスで、値(1 ~ 64)を入力し、この ACL に定義されている他のルールに対するこのルールの順番を決定します。
                                              (注)     

                                              ルール 1 ~ 4 がすでに定義されている場合にルール 29 を追加すると、これはルール 5 として追加されます。 ルールのシーケンス番号を追加または変更した場合は、順序を維持するために他のルールのシーケンス番号が調整されます。 たとえば、ルールのシーケンス番号を 7 から 5 に変更した場合、シーケンス番号 5 および 6 のルールはそれぞれ 6 および 7 へと自動的に番号が変更されます。

                                            2. [Source] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの送信元を指定します。
                                              • [Any]:任意の送信元(これはデフォルト値です)。
                                              • [IP Address]:特定の送信元。 このオプションを選択する場合は、テキスト ボックスに送信元の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。
                                            3. [Destination] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するパケットの宛先を指定します。
                                              • [Any]:任意の宛先(これはデフォルト値です)。
                                              • [IP Address]:特定の宛先。 このオプションを選択する場合は、テキスト ボックスに宛先の IP アドレスとネットマスクを入力します。 IPv6 ACL を設定している場合は、テキスト ボックスに宛先の IPv6 アドレスとプレフィックスの長さを入力します。
                                            4. [Protocol] ドロップダウン リストから、この ACL に使用する IP パケットのプロトコル ID を選択します。 プロトコル オプションは次のとおりです。
                                              • [Any]:任意のプロトコル(これはデフォルト値です)
                                              • [TCP]:トランスミッション コントロール プロトコル
                                              • [UDP]:ユーザ データグラム プロトコル
                                              • [ICMP/ICMPv6]:インターネット制御メッセージ プロトコル
                                                (注)      ICMPv6 は IPv6 ACL でのみ使用可能です。
                                              • [ESP]:IP カプセル化セキュリティ ペイロード
                                              • [AH]:認証ヘッダー
                                              • [GRE]:Generic Routing Encapsulation
                                              • [IP in IP]:Internet Protocol(IP)in IP(IP-in-IP パケットのみを許可または拒否)
                                              • [Eth Over IP]:Ethernet-over-Internet プロトコル
                                              • [OSPF]:Open Shortest Path First
                                              • [Other]:その他の Internet Assigned Numbers Authority(IANA)プロトコル
                                                (注)     

                                                [Other] を選択する場合は、[Protocol] テキスト ボックスに目的のプロトコルの番号を入力します。 使用可能なプロトコルのリストは IANA Web サイトで確認できます。

                                              コントローラは ACL の IP パケットのみを許可または拒否できます。 他のタイプのパケット(ARP パケットなど)は指定できません。
                                            5. 前の手順で [TCP] または [UDP] を選択すると、[Source Port] および [Destination Port] の 2 つのパラメータも追加で表示されます。 これらのパラメータを使用すれば、特定の送信元ポートと宛先ポート、またはポート範囲を選択することができます。 ポート オプションは、ネットワーキング スタックとのデータ送受信をするアプリケーションによって使用されます。 一部のポートは、Telnet、SSH、HTTP など特定のアプリケーション用に指定されています。
                                              (注)     

                                              ACL タイプに基づく送信元および宛先ポート。

                                            6. [DSCP] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL の Differentiated Service Code Point(DSCP)値を指定します。 [DSCP] は、インターネット上の QoS を定義するために使用できる IP ヘッダー テキスト ボックスです。
                                              • [Any]:任意の DSCP(これはデフォルト値です)
                                              • [Specific]:DSCP 編集ボックスに入力する、0 ~ 63 の特定の DSCP
                                            7. [Direction] ドロップダウン リストから次のオプションのいずれかを選択して、この ACL を適用するトラフィックの方向を指定します。
                                              • [Any]:任意の方向(これはデフォルト値です)
                                              • [Inbound]:クライアントから
                                              • [Outbound]:クライアントへ
                                              (注)     

                                              この ACL をコントローラ CPU に適用する予定の場合、パケットの方向は重要ではないので常に「Any」です。

                                            8. [Action] ドロップダウン リストから、[Deny] を選択してこの ACL でパケットがブロックされるようにするか、[Permit] を選択してこの ACL でパケットが許可されるようにします。 デフォルト値は [Deny] です。
                                            9. [Apply] をクリックして、変更を確定します。 [Access Control Lists > Edit] ページが再表示され、この ACL のルールが示されます。 [Deny Counters] フィールドには、パケットが明示的拒否 ACL ルールに一致した回数が表示されます。 [Number of Hits] フィールドには、パケットが ACL ルールに一致した回数が表示されます。 これらのフィールドを有効にするには、[Access Control Lists] ページ上で ACL カウンタを有効にする必要があります。
                                              (注)     

                                              ルールを編集する場合は、希望のルールのシーケンス番号をクリックし、[Access Control Lists > Rules > Edit] ページを開きます。 ルールを削除するには、該当するルールの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択します。

                                            10. この ACL にさらにルールを追加するにはこの手順を繰り返します。
                                            ステップ 9   [Save Configuration] をクリックして、変更を保存します。
                                            ステップ 10   さらに ACL を追加するにはこの手順を繰り返します。

                                            インターフェイスへのアクセス コントロール リストの適用


                                              ステップ 1   [Controller] > [Interfaces] の順に選択します。
                                              ステップ 2   目的のインターフェイスの名前をクリックします。 そのインターフェイスの [Interfaces > Edit] ページが表示されます。
                                              ステップ 3   [ACL Name] ドロップダウン リストから必要な ACL を選択し、[Apply] をクリックします。 デフォルトは [None] です。
                                              (注)      インターフェイス ACL としてサポートされるのは IPv4 ACL だけです。
                                              ステップ 4   [Save Configuration] をクリックして、変更を保存します。

                                              コントローラ CPU へのアクセス コントロール リストの適用


                                                ステップ 1   [Security] > [Access Control Lists] > [CPU Access Control Lists] の順に選択して、[CPU Access Control Lists] ページを開きます。
                                                ステップ 2   [Enable CPU ACL] チェックボックスをオンにして、指定した ACL でコントローラの CPU へのトラフィックを制御できるようにするか、チェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用されている ACL をすべて削除します。 デフォルト値はオフです。
                                                ステップ 3   [ACL Name] ドロップダウン リストから、コントローラの CPU へのトラフィックを制御する ACL を選択します。 デフォルト値は [None] で、CPU ACL 機能は無効にされています。 [CPU ACL Enable] チェックボックスをオンにして [None] を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。
                                                (注)     

                                                このパラメータは、[CPU ACL Enable] チェックボックスをオンにした場合のみ使用できます。

                                                (注)     

                                                CPU ACL が有効な場合、その CPU ACL は無線トラフィックと有線トラフィックの両方に適用されます。 CPU ACL としてサポートされるのは IPv4 ACL だけです。

                                                ステップ 4   [Apply] をクリックして、変更を確定します。
                                                ステップ 5   [Save Configuration] をクリックして、変更を保存します。

                                                WLAN へのアクセス コントロール リストの適用


                                                  ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
                                                  ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
                                                  ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
                                                  ステップ 4   [Override Interface ACL] ドロップダウン リストから、この WLAN に適用する IPv4 または IPv6 ACL を選択します。 選択した ACL は、インターフェイスに設定されたすべての ACL を上書きします。 デフォルト値は [none] です。
                                                  (注)     

                                                  ISE や ACS などの AAA サーバを介した中央集中型のアクセス制御をサポートするには、コントローラに IPv6 ACL を設定し、WLAN で AAA Override 機能を有効にする必要があります。

                                                  ステップ 5   [Apply] をクリックします。
                                                  ステップ 6   [Save Configuration] をクリックします。

                                                  WLAN への事前認証アクセス コントロール リストの適用


                                                    ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
                                                    ステップ 2   必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。
                                                    ステップ 3   [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。
                                                    ステップ 4   [Web Policy] チェックボックスをオンにします。
                                                    ステップ 5   [Preauthentication ACL] ドロップダウン リストから目的の ACL を選択し、[Apply] をクリックします。 デフォルト値は [none] です。
                                                    ステップ 6   [Save Configuration] をクリックして、変更を保存します。

                                                    アクセス コントロール リストの設定と適用(CLI)

                                                    アクセス コントロール リストの設定


                                                      ステップ 1   次のコマンドを入力して、コントローラ上に設定されているすべての ACL を表示します。

                                                      show [ipv6] acl summary

                                                      以下に類似した情報が表示されます。

                                                      
                                                      ACL Counter Status						 	Enabled
                                                      -------------------------------------
                                                      ACL Name                   Applied
                                                      ------------------------- -----------
                                                      acl1                         Yes
                                                      acl2                         Yes
                                                      acl3							 Yes

                                                      
                                                      ステップ 2   次のコマンドを入力して、特定の ACL の詳細情報を表示します。 show [ipv6] acl detailed acl_name

                                                      以下に類似した情報が表示されます。

                                                      
                                                      	 	 	 Source 	 	 	 	 Destination 	 	 	 	 	 Source Port Dest Port
                                                      I Dir 	IP Address/Netmask IP Address/Netmask Prot    Range 	Range 	 	 	DSCP 	Action Counter
                                                      - --- ------------------ ------------------ ---- ----------- -------- ----- ------ -------
                                                      1 Any 	0.0.0.0/0.0.0.0 	 	 0.0.0.0/0.0.0.0 	 	 Any 	 	 	 0-65535 		 0-65535 	 0   	 Deny 	 	 	 0
                                                      2 In 	 0.0.0.0/0.0.0.0 	 	 200.200.200.0/	 	 	 	 	 6 	 	 	 	 80-80 	 	 	 0-65535  Any 	 Permit 	 0
						 255.255.255.0
                                                      
                                                      DenyCounter :     0
                                                      

                                                      
パケットが ACL ルールと一致するたびに、[Counter] テキスト ボックスの値が増加します。[DenyCounter] テキスト ボックスの値は、パケットがいずれのルールとも一致しない場合に増加します。

                                                      (注)     

                                                      許可ルールによってトラフィック/要求がコントローラから許可されると、反対方向でもトラフィック/要求への応答が許可され、ACL の拒否ルールではブロックできなくなります。

                                                      ステップ 3   次のコマンドを入力して、コントローラの ACL カウンタを有効または無効にします。

                                                      config acl counter {start | stop}

                                                      (注)     

                                                      ACL の現在のカウンタをクリアする場合は、clear acl counters acl_name コマンドを入力します。

                                                      ステップ 4   次のコマンドを入力して、新しい ACL を追加します。 config [ipv6] acl create acl_name

                                                      acl_name パラメータには、最大 32 文字の英数字を入力できます。

                                                      (注)     

                                                      スペースが含まれたインターフェイス名を作成しようとすると、コントローラ CLI でインターフェイスは作成されません。 たとえば、int 3 というインターフェイス名を作成しようとすると、int と 3 の間にスペースがあるため CLI でこのインターフェイス名は作成されません。 int 3 をインターフェイス名として使用するには、'int 3' のように単一引用符で囲む必要があります。

                                                      ステップ 5   次のコマンドを入力して、ACL のルールを追加します。 config [ipv6] acl rule add acl_name rule_index
                                                      ステップ 6   config [ipv6] acl rule コマンドを入力して、ACL のルールを設定します。
                                                      ステップ 7   次のコマンドを入力して、設定を保存します。

                                                      save config

                                                      (注)     

                                                      ACL を削除するには、config [ipv6] acl delete acl_name コマンドを入力します。 ACL ルールを削除するには、config [ipv6] acl rule delete acl_name rule_index コマンドを入力します。


                                                      アクセス コントロール リストの適用


                                                        ステップ 1   次のいずれかの操作を行います。
                                                        • ACL をデータ パスに適用するには、次のコマンドを入力します。

                                                          config acl apply acl_name

                                                        • ACL をコントローラの CPU に適用して、CPU に転送されるトラフィックのタイプ(有線、無線、または両方)を制限するには、次のコマンドを入力します。

                                                          config acl cpu acl_name {wired | wireless | both}

                                                          (注)     

                                                          コントローラ CPU に適用されている ACL を表示するには、show acl cpu コマンドを入力します。 コントローラ CPU に適用されている ACL を削除するには、config acl cpu none コマンドを入力します。

                                                        • ACL を WLAN に適用するには、次のコマンドを入力します。

                                                          config wlan acl wlan_id acl_name

                                                          (注)     

                                                          WLAN に適用されている ACL を表示するには、show wlan wlan_id コマンドを入力します。 WLAN に適用されている ACL を削除するには、config wlan acl wlan_id none コマンドを入力します。

                                                        • 事前認証 ACL を WLAN に適用するには、次のコマンドを入力します。

                                                          config wlan security web-auth acl wlan_id acl_name

                                                        ステップ 2   次のコマンドを入力して、変更を保存します。 save config

                                                        管理フレーム保護の設定

                                                        管理フレーム保護について

                                                        Management Frame Protection(MFP; 管理フレーム保護)では、アクセス ポイントとクライアント間で送受信される 802.11 管理メッセージを保護および暗号化することにより、セキュリティが確保されます。 MFP は、インフラストラクチャとクライアント サポートの両方を実現します。

                                                        • インフラストラクチャ MFP:DoS 攻撃を引き起こしたり、ネットワーク上で過剰なアソシエーションやプローブを生じさせたり、不正なアクセス ポイントとして介入したり、QoS と無線測定フレームへの攻撃によりネットワーク パフォーマンスを低下させたりする敵対者を検出することにより、管理フレームを保護します。 インフラストラクチャ MFP はまた、フィッシング インシデントの効果的かつ迅速な検出/報告手段を提供します。 インフラストラクチャ MFP は特に、アクセス ポイントによって送信され(クライアントによって送信されたのではなく)、次にネットワーク内の他のアクセス ポイントによって検証される管理フレームに、Message Integrity Check Information Element(MIC IE; メッセージ整合性情報要素)を追加することによって、802.11 セッション管理機能を保護します。 インフラストラクチャ MFP はパッシブです。 侵入を検知し報告しますが、それを止めることはできません。
                                                        • クライアント MFP:認証されたクライアントをスプーフィング フレームから保護し、無線 LAN に対する多くの一般化した攻撃が効力を発揮することのないようにします。 認証解除攻撃などのほとんどの攻撃では、有効なクライアントとの競合により簡単にパフォーマンスを悪化させます。 具体的には、クライアント MFP は、アクセス ポイントと CCXv5 クライアント間で送受信される管理フレームを暗号化します。その結果、スプーフィングされたクラス 3 管理フレーム(つまり、アクセス ポイントと、認証およびアソシエートされたクライアントとの間でやり取りされる管理フレーム)をドロップすることにより、アクセス ポイントとクライアントの両方で予防措置をとることができます。 クライアント MFP は、IEEE 802.11i によって定義されたセキュリティ メカニズムを利用し、アソシエーション解除、認証解除、および QoS(WMM)アクションといったタイプのクラス 3 ユニキャスト管理フレームを保護します。 クライアント MFP は、最も一般的な種類のサービス拒否攻撃から、クライアントとアクセス ポイント間のセッションを保護します。 また、セッションのデータ フレームに使用されているのと同じ暗号化方式を使用することにより、クラス 3 管理フレームを保護します。 アクセス ポイントまたはクライアントにより受信されたフレームの暗号化解除に失敗すると、そのフレームはドロップされ、イベントがコントローラに報告されます。 クライアント MFP を使用するには、クライアントは CCXv5 MFP をサポートしており、TKIP または AES-CCMP のいずれかを使用して WPA2 をネゴシエートする必要があります。 EAP または PSK は、PMK を取得するために使用されます。 CCKM およびコントローラのモビリティ管理は、レイヤ 2 およびレイヤ 3 の高速ローミングのために、アクセス ポイント間でセッション キーを配布するのに使用されます。

                                                          (注)  


                                                          ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントでは、ブロードキャスト クラス 3 管理フレーム(アソシエーション解除、認証解除、またはアクションなど)を送信しません。 CCXv5 クライアントおよびアクセス ポイントは、ブロードキャスト クラス 3 管理フレームを破棄する必要があります。

                                                          インフラストラクチャ MFP は、クライアント MFP 対応でないクライアントに送信された無効なユニキャスト フレームと、無効なクラス 1 およびクラス 2 管理フレームを引き続き検出および報告するため、クライアント MFP は、インフラストラクチャ MFP を置き換えるのではなく、補足するものであると言えます。 インフラストラクチャ MFP は、クライアント MFP によって保護されていない管理フレームにのみ適用されます。

                                                          インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。


                                                        • 管理フレーム保護:アクセス ポイントは、送信される各管理フレームに MIC IE を追加することによってフレームを保護します。 フレームのコピー、変更、再送が試みられた場合、MIC は無効となり、MFP フレームを検出するよう設定された受信アクセス ポイントは不具合を報告します。
                                                        • 管理フレーム検証:インフラストラクチャ MFP では、アクセス ポイントによって、ネットワーク内の他のアクセス ポイントから受信する各管理フレームが検証されます。 MIC IE が存在しており(送信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身に一致していることを確認します。 MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID からの正当な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。 タイムスタンプが適切に機能するように、すべてのコントローラはネットワーク タイム プロトコル(NTP)で同期化されている必要があります。
                                                        • イベント報告:アクセス ポイントで異常が検出されるとコントローラに通知されます。コントローラでは、受信した異常イベントが集計され、その結果が SNMP トラップを使用してネットワーク管理システムに報告されます。

                                                          (注)  


                                                          クライアント MFP は、インフラストラクチャ MFP と同じイベント報告メカニズムを使用します。


                                                        インフラストラクチャ MFP は、デフォルトで有効化されており、システム全体で無効化できます。 以前のソフトウェア リリースからアップグレードする場合、アクセス ポイント認可が有効になっているときは、これら 2 つの機能は相互に排他的であるため、インフラストラクチャ MFP はシステム全体で無効になります。 インフラストラクチャ MFP がグローバルに有効化されると、選択した WLAN に対してシグニチャの生成(MIC を送信フレームに追加する)を無効にでき、選択したアクセス ポイントに対して検証を無効にできます。

                                                        クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトで有効にされています。 選択した WLAN 上で無効にすることも、必須にする(その場合、MFP をネゴシエートするクライアントのみがアソシエーションを許可されます)こともできます。

                                                        注意事項および制約事項

                                                        • インフラストラクチャ MFP はグローバル設定です。 旧リリースには、WLAN 向けの MFP インフラストラクチャ保護、および AP 向けの MFP インフラストラクチャ検証を有効または無効にするオプションがありました。 今後、これらのオプションを GUI または CLI で使用することはできません。
                                                        • インフラストラクチャ MFP とクライアント MFP の両方がサポートされています。
                                                        • MFP は、Cisco Aironet Lightweight アクセス ポイントでの使用がサポートされています。
                                                        • Lightweight アクセス ポイントでは、インフラストラクチャ MFP はローカル モードおよび監視モードでサポートされます。アクセス ポイントがコントローラに接続しているときは、FlexConnect モードでサポートされます。 クライアント MFP は、ローカル モード、FlexConnect モード、およびブリッジ モードでサポートされます。
                                                        • OEAP 600 シリーズのアクセス ポイントでは、MFP はサポートされません。
                                                        • クライアント MFP は、TKIP または AES-CCMP で WPA2 を使用する CCXv5 クライアントでの使用のみがサポートされています。
                                                        • クライアント MFP が無効にされているか、オプションである場合は、非 CCXv5 クライアントは WLAN にアソシエートできます。
                                                        • スタンドアロン モードの FlexConnect アクセス ポイントで生成されるエラー レポートは、コントローラに転送することはできず、ドロップされます。

                                                        管理フレーム保護の設定(GUI)


                                                          ステップ 1   [Security] > [Wireless Protection Policies] > [AP Authentication/MFP] の順に選択して、[AP Authentication Policy] ページを開きます。
                                                          ステップ 2   [Protection Type] ドロップダウン リストから [Management Frame Protection] を選択して、コントローラに対してインフラストラクチャ MFP をグローバルに有効にします。
                                                          ステップ 3   [Apply] をクリックして、変更を確定します。
                                                          (注)     

                                                          複数のコントローラがモビリティ グループに含まれている場合は、インフラストラクチャ MFP に対して設定されているモビリティ グループ内のすべてのコントローラ上で、ネットワーク タイム プロトコル(NTP)サーバを設定する必要があります。

                                                          ステップ 4   コントローラに対してインフラストラクチャ MFP をグローバルに有効にしたあと、次の手順を実行して、特定の WLAN にクライアント MFP を設定します。
                                                          1. [WLANs] を選択します。
                                                          2. 目的の WLAN のプロファイル名をクリックします。 [WLANs > Edit] ページが表示されます。
                                                          3. [Advanced] を選択します。 [WLANs > Edit]([Advanced])ページが表示されます。
                                                          4. [MFP Client Protection] ドロップダウン リストから、[Disabled]、[Optional]、または [Required] を選択します。 デフォルト値は [Optional] です。 [Required] を選択した場合、MFP がネゴシエートされている場合(つまり、WPA2 がコントローラ上で設定されており、クライアントが CCXv5 MFP をサポートしていて WPA2 に対して設定されている場合)のみ、クライアントはアソシエーションを許可されます。
                                                            (注)     

                                                            Cisco OEAP 600 では MFP はサポートされません。 [Disabled] または [Optional] を選択してください。

                                                          5. [Apply] をクリックして、変更を確定します。
                                                          ステップ 5   [Save Configuration] をクリックして設定を保存します。

                                                          管理フレーム保護の設定の表示(GUI)

                                                          コントローラの現在のグローバル MFP の設定を表示するには、[Security] > [Wireless Protection Policies] > [Management Frame Protection] の順に選択します。 [Management Frame Protection Settings] ページが表示されます。

                                                          このページでは、次の MFP 設定が表示されます。

                                                          • [Management Frame Protection] フィールドは、インフラストラクチャ MFP がコントローラでグローバルに有効化されているかどうかを示します。
                                                          • [Controller Time Source Valid] フィールドは、コントローラの時刻が(時刻を手動で入力することにより)ローカルで設定されているか、外部ソース(NTP サーバなど)を通じて設定されているかを示します。 時刻が外部ソースにより設定されている場合、このフィールドの値は「True」です。時刻がローカルで設定されている場合、このフィールドの値は「False」です。時刻ソースは、モビリティ グループ内の複数のコントローラのアクセス ポイント間の管理フレーム上のタイムスタンプの検証に使用されます。
                                                          • [Infrastructure Protection] フィールドは、インフラストラクチャ MFP が個別の WLAN に対して有効化されているかどうかを示します。
                                                          • [Client Protection] フィールドは、クライアント MFP が個別の WLAN に対して有効化されているかどうかと、オプションまたは必須のいずれであるかを示します。

                                                          管理フレーム保護の設定(CLI)

                                                          • 次のコマンドを入力して、コントローラに対してインフラストラクチャ MFP をグローバルに有効または無効にします。 config wps mfp infrastructure {enable | disable}

                                                          • 次のコマンドを入力して、特定の WLAN でクライアント MFP シグニチャを有効または無効にします。

                                                            config wlan mfp client {enable | disable} wlan_id [required ]

                                                            クライアント MFP を有効にしてオプションの required パラメータを使用すると、MFP がネゴシエートされている場合のみ、クライアントはアソシエーションを許可されます。

                                                          管理フレーム保護の設定の表示(CLI)

                                                          • 次のコマンドを入力して、コントローラの現在の MFP の設定を表示します。

                                                            show wps mfp summary

                                                          • 次のコマンドを入力して、特定の WLAN の現在の MFP の設定を表示します。

                                                            show wlan wlan_id

                                                          • 次のコマンドを入力して、特定のクライアントに対してクライアント MFP が有効になっているかどうかを表示します。

                                                            show client detail client_mac

                                                          • 次のコマンドを入力して、コントローラの MFP 統計情報を表示します。 show wps mfp statistics


                                                            (注)  


                                                            実際に攻撃が進行中でない限り、このレポートにデータは含まれません。 ここに示すさまざまなエラーの種類の例は、図示のみを目的としています。 この表は 5 分ごとにクリアされ、データはネットワーク管理ステーションに転送されます。


                                                          管理フレーム保護の問題のデバッグ(CLI)

                                                          • MFP に関する問題が発生した場合は、次のコマンドを使用します。

                                                            debug wps mfp ? {enable | disable}

                                                            ここで、? は、次のいずれかを示します。

                                                            client:クライアント MFP メッセージのデバッグについて設定します。

                                                            capwap:コントローラとアクセス ポイント間の MFP メッセージのデバッグについて設定します。

                                                            detail:MFP メッセージの詳細なデバッグについて設定します。

                                                            report:MFP レポートのデバッグについて設定します。

                                                            mm:MFP モビリティ(コントローラ間)メッセージのデバッグについて設定します。

                                                          クライアント除外ポリシーの設定

                                                          クライアント除外ポリシーの設定(GUI)


                                                            ステップ 1   [Security] > [Wireless Protection Policies] > [Client Exclusion Policies] の順に選択して、[Client Exclusion Policies] ページを開きます。
                                                            ステップ 2   指定された条件について、コントローラがクライアントを除外するように設定するには、次のチェックボックスのいずれかをオンにします。 各除外ポリシーのデフォルトは有効です。
                                                            • [Excessive 802.11 Association Failures]:クライアントは、802.11 アソシエーションの試行に 5 回連続して失敗すると、6 回目の試行で除外されます。
                                                            • [Excessive 802.11 Authentication Failures]:クライアントは、802.11 認証の試行に 5 回連続して失敗すると、6 回目の試行で除外されます。
                                                            • [Excessive 802.1X Authentication Failures]:クライアントは、802.1X 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。

                                                            • [IP Theft or IP Reuse]:IP アドレスが他のデバイスにすでに割り当てられている場合、クライアントは除外されます。
                                                            • [Excessive Web Authentication Failures]:クライアントは、Web 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。
                                                            ステップ 3   [Apply] をクリックして、変更を確定します。
                                                            ステップ 4   [Save Configuration] をクリックして、変更を保存します。

                                                            クライアント除外ポリシーの設定(CLI)


                                                              ステップ 1   次のコマンドを入力して、802.11 アソシエーションを 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion 802.11-assoc {enable | disable}
                                                              ステップ 2   次のコマンドを入力して、802.11 認証を 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

                                                              config wps client-exclusion 802.11-auth {enable | disable}

                                                              ステップ 3   次のコマンドを入力して、802.1X 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion 802.1x-auth {enable | disable}
                                                              ステップ 4   次のコマンドを入力して、IP アドレスが別のデバイスにすでに割り当てられている場合に、コントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion ip-theft {enable | disable}
                                                              ステップ 5   次のコマンドを入力して、Web 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

                                                              config wps client-exclusion web-auth {enable | disable}

                                                              ステップ 6   次のコマンドを入力して、上記のすべての理由でコントローラがクライアントを除外する設定を有効または無効にします。

                                                              config wps client-exclusion all {enable | disable}

                                                              ステップ 7   次のコマンドを使用して、クライアント除外エントリを追加または削除します。

                                                              config exclusionlist {add MAC [description] | delete MAC | description MAC [description]}

                                                              ステップ 8   次のコマンドを入力して、変更を保存します。 save config
                                                              ステップ 9   次のコマンドを入力して、動的に除外されたクライアントのリストを表示します。

                                                              show exclusionlist

                                                              以下に類似した情報が表示されます。

                                                              
                                                              Dynamically Disabled Clients
                                                              ----------------------------
                                                                MAC Address             Exclusion Reason        Time Remaining (in secs)
                                                                -----------             ----------------        ------------------------
                                                              
                                                              00:40:96:b4:82:55         802.1X Failure          	51
                                                              
                                                              ステップ 10   次のコマンドを入力して、クライアント除外ポリシー構成の設定を表示します。

                                                              show wps summary

                                                              以下に類似した情報が表示されます。

                                                              
                                                              Auto-Immune
                                                                Auto-Immune.................................... Disabled
                                                              
                                                              Client Exclusion Policy
                                                                Excessive 802.11-association failures.......... Enabled
                                                                Excessive 802.11-authentication failures....... Enabled
                                                                Excessive 802.1x-authentication................ Enabled
                                                                IP-theft....................................... Enabled
                                                                Excessive Web authentication failure........... Enabled
                                                              
                                                              Signature Policy
                                                                Signature Processing........................ Enabled

                                                              

                                                              Identity ネットワーキングの設定

                                                              Identity ネットワーキングについて

                                                              ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。 これは強力な方式ですが、クライアントに複数の Quality of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。

                                                              これに対し、Cisco Wireless LAN ソリューションは Identity ネットワーキングをサポートしており、ネットワークが 1 つの SSID をアドバタイズできると同時に、ユーザ プロファイルに基づいて、個々のユーザに異なる QoS またはセキュリティ ポリシーを適用することができます。 Identity ネットワーキングを使用して制御できるポリシーは次のとおりです。

                                                              • ACL:ACL 属性が RADIUS Access Accept で指定されている場合、システムは認証後に ACL 名をクライアント ステーションに適用します。これにより、インターフェイスに当てられているすべての ACL は上書きされます。
                                                              • VLAN:VLAN Interface-Name または VLAN-Tag が RADIUS Access Accept で指定されている場合、システムはクライアントを特定のインターフェイスに割り当てます。

                                                                (注)  


                                                                VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。 VLAN 機能では Web 認証または IPSec はサポートされません。


                                                              • トンネル属性。

                                                                (注)  


                                                                この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


                                                              オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張されました。これにより、クライアントを割り当てるインターフェイスをローカル MAC フィルタで指定できるようになりました。 別の RADIUS サーバも使用できますが、その RADIUS サーバは [Security] メニューを使用して定義する必要があります。

                                                              Identity ネットワーキングで使用される RADIUS 属性

                                                              QoS-Level

                                                              この項では、Identity ネットワーキングで使用される RADIUS 属性について説明します。

                                                              この属性は、スイッチング ファブリック内、および無線経由のモバイル クライアントのトラフィックに適用される QoS レベルを示しています。 この例は、QoS-Level 属性フォーマットの要約を示しています。 テキスト ボックスは左から右に伝送されます。

                                                              
                                                               0                   1                   2                   3
                                                               0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |     Type      |  Length       |            Vendor-Id
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                                   Vendor-Id (cont.)          | Vendor type   | Vendor length |
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |                           QoS Level                           |
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              
                                                              • Type – 26(ベンダー固有)
                                                              • Length – 10
                                                              • Vendor-Id – 14179
                                                              • Vendor type – 2
                                                              • Vendor length – 4
                                                              • Value – 3 オクテット:
                                                                • 0 – Bronze(バックグラウンド)
                                                                • 1 - Silver(ベストエフォート)
                                                                • 2 – Gold(ビデオ)
                                                                • 3 – Platinum(音声)

                                                              ACL-Name

                                                              この属性は、クライアントに適用される ACL 名を示します。 ACL-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。

                                                              
                                                               0                   1                   2                   3
                                                               0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |     Type      |  Length       |            Vendor-Id
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                                   Vendor-Id (cont.)          | Vendor type   | Vendor length |
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |        ACL Name...
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
                                                              
                                                              • Type – 26(ベンダー固有)
                                                              • Length – >7
                                                              • Vendor-Id – 14179
                                                              • Vendor type – 6
                                                              • Vendor length – >0
                                                              • Value – クライアントに対して使用する ACL の名前を含む文字列

                                                              Interface Name

                                                              この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。 Interface-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。

                                                              
                                                               0                   1                   2                   3
                                                               0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |     Type      |  Length       |            Vendor-Id
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                                   Vendor-Id (cont.)          |  Vendor type  | Vendor length |
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |    Interface Name...
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
                                                              
                                                              • Type – 26(ベンダー固有)
                                                              • Length – >7
                                                              • Vendor-Id – 14179
                                                              • Vendor type – 5
                                                              • Vendor length – >0
                                                              • Value – クライアントが割り当てられるインターフェイスの名前を含む文字列

                                                                (注)  


                                                                この属性は、MAC フィルタリングが有効になっている場合、またはセキュリティ ポリシーとして 802.1X または WPA が使用されている場合にのみ機能します。


                                                              VLAN タグ

                                                              この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。

                                                              この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。 プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。 たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。 Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。

                                                              Tunnel-Private-Group-ID 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。

                                                              
                                                               0                   1                   2                   3
                                                               0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              |      Type     |    Length     |     Tag       |   String...
                                                              +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                                                              
                                                              • Type – 81(Tunnel-Private-Group-ID 用)
                                                              • Length – >= 3
                                                              • Tag:Tag テキスト ボックスは、長さが 1 オクテットで、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 Tag テキスト ボックスの値が 0x00 より大きく、0x1F 以下である場合、その値は(いくつかの選択肢のうち)この属性が関連しているトンネルを示すと解釈されます。 Tag テキスト ボックスが 0x1F より大きい場合、その値は後続の String テキスト ボックスの最初のバイトであると解釈されます。
                                                              • String:これは必須のテキスト ボックスです。 グループはこの String テキスト ボックスによって表されます。 グループ ID の形式に制約はありません。

                                                                (注)  


                                                                この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。


                                                              トンネル属性

                                                              RFC 2868 では、認証と許可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。 IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルを設定できます。

                                                              これは特に、認証の結果に基づいて IEEE8021Q で定義されている特定の VLAN にポートを配置できるようにする場合に適しています。 たとえば、この設定を使用すると、ワイヤレス ホストがキャンパス ネットワーク内を移動するときに同じ VLAN 上にとどまれるようになります。

                                                              RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。 ただし IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによって、サプリカントに割り当てる VLAN に関するヒントを示すことができます。

                                                              VLAN 割り当てのために、次のトンネル属性が使用されます。

                                                              • Tunnel-Type=VLAN(13)
                                                              • Tunnel-Medium-Type=802
                                                              • Tunnel-Private-Group-ID=VLANID

                                                              VLAN ID は、1 ~ 4094(両端の値を含む)の 12 ビットの値です。 RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。

                                                              トンネル属性が送信されるときは、Tag テキスト ボックスに値が含まれている必要があります。 RFC 2868 の第 3.1 項には次のように明記されています。

                                                              • Tag テキスト ボックスは長さが 1 オクテットであり、同じパケット内で同じトンネルを示す属性をグループ化するために使用されます。 このテキスト ボックスの有効な値は、0x01 ~ 0x1F(両端の値を含む)です。 Tag テキスト ボックスが使用されない場合、値はゼロ(0x00)でなければなりません。
                                                              • Tunnel-Client-Endpoint、Tunnel-Server-Endpoint、Tunnel-Private-Group-ID、Tunnel-Assignment-ID、Tunnel-Client-Auth-ID、または Tunnel-Server-Auth-ID 属性(ただし Tunnel-Type、Tunnel-Medium-Type、Tunnel-Password、Tunnel-Preference は含まない)で使用する場合、0x1F より大きい Tag テキスト ボックスは、次のテキスト ボックスの最初のオクテットであると解釈されます。
                                                              • 代替トンネル タイプが指定されていない場合(たとえば、トンネリングはサポートしているが VLAN はサポートしていない IEEE 802.1X Authenticator の場合)、トンネル属性は 1 つのトンネルのみを指定する必要があります。 したがって、VLANID を指定することだけが目的の場合、すべてのトンネル属性の Tag テキスト ボックスをゼロ(0x00)に設定する必要があります。 代替トンネル タイプが提供される場合は、0x01 ~ 0x1F のタグ値を選択する必要があります。

                                                              AAA Override の設定

                                                              AAA Override について

                                                              WLAN の Allow AAA Override オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。

                                                              注意事項および制約事項

                                                              • AAA Override のためにクライアントが新しいインターフェイスに移動したあと、そのインターフェイスに ACL を適用しても、クライアントが再認証されるまで ACL は有効になりません。 この問題を回避するには、インターフェイス上ですでに設定済みの ACL にすべてのクライアントが接続するように、ACL を適用してから WLAN を有効にします。あるいは、クライアントが再認証されるように、インターフェイスを適用したあとで WLAN を一旦無効にし、再び有効にします。
                                                              • インターフェイス グループが WLAN にマッピングされ、クライアントがその WLAN に接続した場合、クライアントはラウンド ロビン方式で IP アドレスを取得しません。 インターフェイス グループによる AAA Override はサポートされています。
                                                              • AAA Override を許可する設定の多くは、RADIUS サーバで実行されます。RADIUS サーバでは、コントローラに返すようにする上書きプロパティで、Access Control Server(ACS)を設定する必要があります。
                                                              • コントローラでは、GUI または CLI を使用して、Allow AAA Override 設定パラメータを有効にします。 このパラメータを有効にすることにより、コントローラで RADIUS サーバから返される属性を受け入れるようになります。 次にコントローラはそれらの属性をクライアントに適用します。

                                                              正しい QoS 値を取得するための RADIUS サーバ ディクショナリ ファイルの更新

                                                              Steel-Belted RADIUS(SBR)、FreeRadius、または同等の RADIUS サーバを使用している場合、AAA Override 機能を有効化した後、クライアントが正しい QoS 値を取得できないことがあります。 ディクショナリ ファイルの編集を可能にするこれらのサーバについて、正しい QoS 値(Silver = 0、Gold = 1、Platinum = 2、Bronze = 3)を反映させてファイルを更新する必要があります。 RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。


                                                              (注)  


                                                              この問題は、Cisco Secure Access Control Server(ACS)には適用されません。


                                                              RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。

                                                              1. SBR サービス(または他の RADIUS サービス)を停止します。
                                                              2. 次のテキストを、ciscowlan.dct として Radius_Install_Directory\Service フォルダに保存します。
                                                                
                                                                ################################################################################
                                                                # CiscoWLAN.dct- Cisco Wireless Lan Controllers
                                                                #
                                                                # (See README.DCT for more details on the format of this file)
                                                                ################################################################################
                                                                
                                                                # Dictionary - Cisco WLAN Controllers
                                                                #
                                                                # Start with the standard Radius specification attributes
                                                                #
                                                                @radius.dct
                                                                #
                                                                # Standard attributes supported by Airespace
                                                                #
                                                                # Define additional vendor specific attributes (VSAs)
                                                                #
                                                                
                                                                MACRO Airespace-VSA(t,s) 26 [vid=14179 type1=%t% len1=+2 data=%s%]
                                                                
                                                                ATTRIBUTE   WLAN-Id                 Airespace-VSA(1, integer)     cr
                                                                ATTRIBUTE   Aire-QoS-Level 	 	 	 	 	Airespace-VSA(2, integer)     r
                                                                VALUE Aire-QoS-Level Bronze 	 		3
                                                                VALUE Aire-QoS-Level Silver     0
                                                                VALUE Aire-QoS-Level Gold       1
                                                                VALUE Aire-QoS-Level Platinum   2
                                                                
                                                                ATTRIBUTE   DSCP                    Airespace-VSA(3, integer)     r
                                                                ATTRIBUTE   802.1P-Tag              Airespace-VSA(4, integer)     r
                                                                ATTRIBUTE   Interface-Name          Airespace-VSA(5, string)      r
                                                                ATTRIBUTE   ACL-Name                Airespace-VSA(6, string)      r
                                                                
                                                                # This should be last.
                                                                
                                                                ################################################################################
                                                                # CiscoWLAN.dct - Cisco WLC dictionary
                                                                ##############################################################################

                                                                
                                                              3. (同じディレクトリにある)dictiona.dcm ファイルを開いて、「@ciscowlan.dct.」行を追加します。
                                                              4. dictiona.dcm ファイルを保存して閉じます。
                                                              5. (同じディレクトリにある)vendor.ini ファイルを開いて、次のテキストを追加します。
                                                                
                                                                vendor-product       = Cisco WLAN Controller
                                                                dictionary           = ciscowlan
                                                                ignore-ports         = no
                                                                port-number-usage    = per-port-type
                                                                help-id 		 	 	 	     = 

                                                                
                                                              6. vendor.ini ファイルを保存して閉じます。
                                                              7. SBR サービス(または他の RADIUS サービス)を起動します。
                                                              8. SBR アドミニストレータ(または他の RADIUS アドミニストレータ)を起動します。
                                                              9. RADIUS クライアントを追加します(まだ追加されていない場合)。 [Make/Model] ドロップダウン リストから [Cisco WLAN Controller] を選択します。

                                                              AAA Override の設定(GUI)


                                                                ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
                                                                ステップ 2   設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。
                                                                ステップ 3   [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。
                                                                ステップ 4   [Allow AAA Override] チェックボックスをオンにして AAA Override を有効にするか、オフにしてこの機能を無効にします。 デフォルト値は [disabled] です。
                                                                ステップ 5   [Apply] をクリックして、変更を確定します。
                                                                ステップ 6   [Save Configuration] をクリックして、変更を保存します。

                                                                AAA Override の設定(CLI)

                                                                config wlan aaa-override {enable | disable} wlan_id

                                                                wlan_id には、1 ~ 16 の ID を入力します。

                                                                不正なデバイスの管理

                                                                不正なデバイスについて

                                                                不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連の Clear To Send(CTS; クリア ツー センド)フレームを送信できるようになります。 アクセス ポイントになりすましてこの CTS フレームが送信され、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。

                                                                不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。

                                                                不正なデバイスの検出

                                                                コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。 コントローラで不正なアクセス ポイントが検出されると、Rogue Location Discovery Protocol(RLDP; 不正ロケーション検出プロトコル)を使用して、不正なアクセス ポイントがネットワークに接続されているかどうかが判定されます。

                                                                コントローラは、すべてのアクセス ポイント上で、または monitor(リッスン専用)モードに設定されたアクセス ポイント上のみ、のいずれかで RLDP を使用できるように設定できます。 この後者のオプションでは、輻輳している RF 空間での不正なアクセス ポイントを簡単に自動検出できるようになります。そして、不要な干渉を生じさせたり、通常のデータ アクセス ポイント機能に影響を与えたりすることなく、モニタリングを行えるようになります。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラでは常に RLDP 動作に対してモニタ アクセス ポイントが選択されます。 ネットワーク上に不正があると RLDP で判断された場合は、検出された不正を手動で封じ込め処理を行うことも、自動的に封じ込め処理を行うこともできます。

                                                                不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。 コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。 アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。 自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。

                                                                不正阻止の操作は、次の 2 通りの方法で実行されます。

                                                                • コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。 不正なアクセス ポイントを阻止するために、このフレームは不正なクライアントがアソシエートされている場合のみ送信されます。
                                                                • 阻止された不正アクティビティが検出されると、阻止フレームが送信されます。

                                                                個々の不正阻止フレームには、一連のユニキャスト アソシエーション解除および認証解除フレームの送信が含まれます。

                                                                注意事項および制約事項

                                                                • 許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。 強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。
                                                                • 最も多くの不正アクセス ポイント数が疑われる高密度な RF 環境では、ローカルおよび FlexConnect モードのアクセス ポイントによってチャネル 157 または 161 で不正なアクセス ポイントが検出される可能性は、他のチャネルの場合に比べて低くなります。 この問題を緩和するために、専用の監視モードのアクセス ポイントを使用することをお勧めします。
                                                                • ローカルおよび FlexConnect モードのアクセスポイントは、アソシエートされたクライアントに対して機能するように設計されており、オフチャネルのスキャンに費やす時間は比較的短くなります。 アクセス ポイントが各チャネル上で費やす時間は約 50 ミリ秒です。 高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。 あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。 ただしこの場合も、アクセス ポイントが各チャネル上で費やす時間は約 50 ミリ秒です。
                                                                • 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。
                                                                • クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
                                                                • 不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。
                                                                • 各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(モニタ モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。
                                                                • RLDP は、オープン認証用に設定されている不正なアクセス ポイントを検出します。
                                                                • RLDP は、ブロードキャスト BSSID を使用する不正アクセス ポイント(ビーコンで SSID をブロードキャストするアクセス ポイント)を検出します。
                                                                • RLDP は、同じネットワークにある不正なアクセス ポイントだけを検出します。 ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
                                                                • RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルのモニタ モードであるときには機能します。
                                                                • メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、コントローラからそのメッシュ AP のアソシエーションは解除されます。 回避策は、メッシュ AP で RLDP を無効にすることです。

                                                                WCS の相互作用と不正の検出

                                                                WCS ソフトウェア リリース 5.0 以降でも、ルール ベースの分類がサポートされています。 WCS では、コントローラ上で設定された分類ルールが使用されます。 次のイベント後に、コントローラから WCS にトラップが送信されます。

                                                                • 最初に不明なアクセス ポイントが Friendly に移動した場合に、不正の状態が Alert であると、コントローラから WCS にトラップが送信されます。 不正の状態が Internal または External であると、トラップは送信されません。
                                                                • タイムアウトの経過後に不正なエントリが移動した場合、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから WCS にトラップが送信されます。 コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。

                                                                不正検出の設定(GUI)


                                                                  ステップ 1   必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただしコントローラ ソフトウェア リリース 6.0 以降では、[All APs > Details for]([Advanced])ページで [Rogue Detection] チェックボックスを選択または選択解除すると、個々のアクセス ポイントに対して不正検出を有効または無効にできます。
                                                                  ステップ 2   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] を選択して、[Rogue Policies] ページを開きます。
                                                                  ステップ 3   [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。
                                                                  • [Disable]:すべてのアクセス ポイント上で RLDP を無効にします。 768 ビットは、デフォルト値です。
                                                                  • [All APs]:すべてのアクセス ポイント上で RLDP を有効にします。
                                                                  • [Monitor Mode APs]:モニタ モードのアクセス ポイント上でのみ RLDP を有効にします。
                                                                  ステップ 4   [Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。
                                                                  (注)     

                                                                  不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

                                                                  ステップ 5   必要に応じて、[Validate Rogue Clients Against AAA] チェックボックスをオンにし、AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントかどうかを検証します。 デフォルト値はオフです。
                                                                  ステップ 6   必要に応じて、[Detect and Report Ad-Hoc Networks] チェックボックスをオンにして、アドホック不正の検出および報告を有効にします。 デフォルト値はオンです。
                                                                  ステップ 7   [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。
                                                                  ステップ 8   [Rogue Detection Minimum RSSI] テキスト ボックスに、不正に必要な最小 RSSI 値を入力します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。 有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。
                                                                  (注)     

                                                                  この機能は、すべての AP モードに適用できます。 RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

                                                                  ステップ 9   [Rogue Detection Transient Interval] テキスト ボックスに、不正が AP により最初にスキャンされた後、スキャンされる時間間隔を入力します。 連続的に不正がスキャンされた後、更新情報が定期的にコントローラへ送信されます。 これによって、非常に短い時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタリングされます。 有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。

                                                                  この機能は、モニタ モードの AP のみに適用されます。

                                                                  この機能には次の利点があります。

                                                                  • AP からコントローラへの不正レポートが短くなる
                                                                  • 一時的な不正エントリをコントローラで回避できる
                                                                  • 一時的な不正への不要なメモリ割り当てを回避できる
                                                                  ステップ 10   特定の不正なデバイスをコントローラで自動的に阻止するには、次のチェックボックスをオンにします。 それ以外の場合は、これらのチェックボックスをオフ(デフォルト値)のままにしておきます。
                                                                  注意       

                                                                  次のパラメータのいずれかを有効にすると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

                                                                  • [Auto Containment Level]:ドロップダウン リストから値を選択して、自動阻止レベルを設定します。 デフォルトは 1 です。

                                                                  • [Auto Containment only for monitor mode APs]:監視モードのアクセス ポイントだけを自動阻止に使用したい場合、このチェックボックスをオンにします。

                                                                  • [Rogue on Wire]:有線ネットワークで検出された不正を自動的に阻止します。
                                                                  • [Using Our SSID]:ネットワークの SSID をアドバタイズする不正を自動的に阻止します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
                                                                  • [Valid Client on Rogue AP]:信頼できるクライアントのアソシエート先の不正なアクセス ポイントを自動的に阻止します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
                                                                  • [AdHoc Rogue AP]:コントローラによって検出されたアドホック ネットワークを自動的に阻止します。 このパラメータをオフにしておくと、該当するネットワークが検出されても警告が生成されるだけです。
                                                                  ステップ 11   [Apply] をクリックして、変更を確定します。
                                                                  ステップ 12   [Save Configuration] をクリックして、変更を保存します。

                                                                  不正検出の設定(CLI)


                                                                    ステップ 1   必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただしコントローラ ソフトウェア リリース 6.0 以降では、次のコマンドを入力すると、個々のアクセス ポイントに対して不正の検出を有効または無効にできます。

                                                                    config rogue detection {enable | disable} Cisco_AP command.

                                                                    (注)     

                                                                    特定のアクセス ポイントについて、不正の検出の現在の設定状態を確認するには、show ap config general Cisco_AP コマンドを入力します。

                                                                    (注)     

                                                                    家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

                                                                    ステップ 2   次のコマンドを入力して、RLDP を有効化、無効化、または開始します。
                                                                    • config rogue ap rldp enable alarm-only:すべてのアクセス ポイントに対して RLDP を有効にします。

                                                                    • config rogue ap rldp enable alarm-only monitor_ap_only:監視モードのアクセス ポイントに対してのみ RLDP を有効にします。

                                                                    • config rogue ap rldp initiate rogue_mac_address:特定の不正なアクセス ポイントに対して RLDP を開始します。

                                                                    • config rogue ap rldp disableすべてのアクセス ポイントに対して RLDP を無効にします。

                                                                    ステップ 3   次のコマンドを入力して、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を指定します。 config rogue ap timeout seconds

                                                                    seconds の有効な値の範囲は 240 ~ 3600 秒(両端の値を含む)で、デフォルト値は 1200 秒です。

                                                                    (注)     

                                                                    不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

                                                                    ステップ 4   次のコマンドを入力して、アドホック不正の検出および報告を有効または無効にします。

                                                                    config rogue adhoc {enable | disable}

                                                                    ステップ 5   次のコマンドを入力して AAA サーバまたはローカル データベースを有効または無効にし、不正なクライアントが有効なクライアントかどうかを検証します。

                                                                    config rogue client aaa {enable | disable}

                                                                    ステップ 6   次のコマンドを入力して、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。

                                                                    config rogue detection monitor-ap report-interval time in sec

                                                                    time in sec パラメータの有効範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。

                                                                    (注)     

                                                                    この機能は、モニタ モードの AP のみに適用されます。

                                                                    ステップ 7   次のコマンドを入力して、不正に必要な最小 RSSI 値を指定します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。

                                                                    config rogue detection min-rssi rssi in dBm

                                                                    rssi in dBm パラメータの有効範囲は –128 ~ 0 dBm で、デフォルト値は 0 dBm です。

                                                                    (注)     

                                                                    この機能は、すべての AP モードに適用できます。 RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

                                                                    ステップ 8   次のコマンドを入力して、不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。

                                                                    config rogue detection monitor-ap transient-rogue-interval time in sec

                                                                    time in sec パラメータの有効範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。

                                                                    (注)     

                                                                    この機能は、監視モードの AP のみに適用されます。

                                                                    一時的な間隔値を使用して、AP が不正をスキャンする間隔を制御できます。 AP では、それぞれの一時的間隔値に基づいて、不正のフィルタリングも実行できます。

                                                                    この機能には次の利点があります。
                                                                    • AP からコントローラへの不正レポートが短くなる
                                                                    • 一時的な不正エントリをコントローラで回避できる
                                                                    • 一時的な不正への不要なメモリ割り当てを回避できる
                                                                    ステップ 9   特定の不正なデバイスをコントローラで自動的に阻止するには、次のコマンドを入力します。
                                                                    注意       

                                                                    次のコマンドのいずれかを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

                                                                    • config rogue ap rldp enable auto-contain:有線ネットワークで検出された不正を自動的に阻止します。

                                                                    • config rogue ap ssid auto-contain:ネットワークの SSID をアドバタイズする不正を自動的に阻止します。

                                                                      (注)     

                                                                      該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap ssid alarm コマンドを入力します。

                                                                    • config rogue ap valid-client auto-contain:信頼できるクライアントのアソシエート先の不正なアクセス ポイントを自動的に阻止します。

                                                                      (注)     

                                                                      該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap valid-client alarm コマンドを入力します。

                                                                    • config rogue adhoc auto-contain:コントローラによって検出されたアドホック ネットワークを自動的に阻止します。

                                                                      (注)     

                                                                      該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue adhoc alart コマンドを入力します。

                                                                    • configure rogue auto-containment level {1 - 4}:1 ~ 4 の値を入力して、自動阻止レベルを設定します。 デフォルトは 1 です。

                                                                    • config rogue auto-contain level 1 monitor_mode_ap_only:監視モードのアクセス ポイントだけを自動的に阻止します。

                                                                    ステップ 10   次のコマンドを入力して、RLDP のスケジュールを設定します。
                                                                    • config rogue ap rldp schedule add:特定の曜日に RLDP をスケジュールします。 RLDP をスケジュールする曜日(montuewed など)を入力し、開始時刻と終了時刻を HH:MM:SS 形式で指定する必要があります。 例: config rogue ap rldp schedule add mon 22:00:00 23:00:00
                                                                      (注)     

                                                                      RLDP スケジュールを設定すると、それ以降、つまり設定が保存されたあとにそのスケジュールが実行されるとみなされます。

                                                                    ステップ 11   次のコマンドを入力して、変更を保存します。

                                                                    save config


                                                                    不正なアクセス ポイントの分類

                                                                    不正なアクセス ポイントの分類について

                                                                    コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。

                                                                    デフォルトでは、いずれの分類ルールも有効になっていません。 したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。 ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。 ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。


                                                                    (注)  


                                                                    ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。



                                                                    (注)  


                                                                    1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。


                                                                    コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。

                                                                    1. コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。 そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。
                                                                    2. 未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。
                                                                    3. 不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。 不正なアクセス ポイントがそれ以外に分類されており、Alert 状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。
                                                                    4. コントローラは、優先度の一番高いルールを適用します。 不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。
                                                                    5. 不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。
                                                                    6. コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。
                                                                    7. 不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。 その後、不正なアクセス ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。 不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。
                                                                    8. 必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。
                                                                    表 9 分類マッピング

                                                                    ルール ベースの分類タイプ

                                                                    不正の状態

                                                                    Friendly
                                                                    • Internal:未知(管理対象外)のアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。 たとえば、ラボ ネットワーク内のアクセス ポイントなどです。
                                                                    • External:未知(管理対象外)のアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。 たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。
                                                                    • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
                                                                    Malicious
                                                                    • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
                                                                    • Threat:未知(管理対象外)のアクセス ポイントがネットワーク上に発見され、WLAN のセキュリティに脅威を与えています。
                                                                    • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。
                                                                    • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。
                                                                    Unclassified
                                                                    • Pending:最初の検出で、未知(管理対象外)のアクセス ポイントは 3 分間 Pending 状態に置かれます。 この間に、管理対象のアクセス ポイントでは、未知(管理対象外)のアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。
                                                                    • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
                                                                    • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。
                                                                    • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

                                                                    コントローラ ソフトウェア リリース 5.0 以降にアップグレードした場合、不正なアクセス ポイントの分類と状態は次のように再設定されます。

                                                                    • Known から Friendly、Internal
                                                                    • Acknowledged から Friendly、External
                                                                    • Contained から Malicious、Contained

                                                                    前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。

                                                                    表 10 設定可能な分類タイプ/不正の状態の推移

                                                                    From

                                                                    To

                                                                    Friendly(Internal、External、Alert) Malicious(Alert)
                                                                    Friendly(Internal、External、Alert) Unclassified(Alert)
                                                                    Friendly(Alert) Friendly(Internal、External)
                                                                    Malicious(Alert、Threat) Friendly(Internal、External)
                                                                    Malicious(Contained、Contained Pending) Malicious(Alert)
                                                                    Unclassified(Alert、Threat) Friendly(Internal、External)
                                                                    Unclassified(Contained、Contained Pending) Unclassified(Alert)
                                                                    Unclassified(Alert) Malicious(Alert)

                                                                    不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。 不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

                                                                    不正分類ルールの設定(GUI)


                                                                      ステップ 1   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Rogue Rules] を選択して、[Rogue Rules] ページを開きます。

                                                                      すでに作成されているすべてのルールが優先順位に従って一覧表示されます。 各ルールの名前、タイプ、およびステータスが表示されます。

                                                                      (注)     

                                                                      ルールを削除するには、そのルールの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。

                                                                      ステップ 2   次の手順を実行して、新しいルールを作成します。
                                                                      1. [Add Rule] をクリックします。 [Add Rule] セクションがページ上部に表示されます。
                                                                      2. [Rule Name] テキスト ボックスに、新しいルールの名前を入力します。 名前にはスペースを含めないでください。
                                                                      3. [Rule Type] ドロップダウン リストから [Friendly] または [Malicious] を選択して、このルールと一致する不正なアクセス ポイントを Friendly または Malicious に分類します。
                                                                      4. [Add] をクリックして既存のルール リストにこのルールを追加するか、[Cancel] をクリックしてこの新しいルールを破棄します。
                                                                      ステップ 3   次の手順を実行して、ルールを編集します。
                                                                      1. 編集するルールの名前をクリックします。 [Rogue Rule > Edit] ページが表示されます。

                                                                      2. [Type] ドロップダウン リストから [Friendly] または [Malicious] を選択して、このルールと一致する不正なアクセス ポイントを Friendly または Malicious に分類します。
                                                                      3. [Match Operation] テキスト ボックスから、次のいずれかを選択します。

                                                                        [Match All]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定されたすべての条件を満たしている場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。

                                                                        [Match Any]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定された条件のいずれかを満たす場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。 768 ビットは、デフォルト値です。

                                                                      4. このルールを有効にするには、[Enable Rule] チェックボックスをオンにします。 デフォルト値はオフです。
                                                                      5. [Add Condition] ドロップダウン リストで、不正なアクセス ポイントが満たす必要がある次の条件から 1 つまたは複数を選択し、[Add Condition] をクリックします。
                                                                        • [SSID]不正なアクセス ポイントには、特定のユーザ設定 SSID が必要です。 このオプションを選択する場合は、[User Configured SSID] テキスト ボックスに SSID を入力し、[Add SSID] をクリックします。
                                                                          (注)     

                                                                          SSID を削除するには、SSID を強調表示して [Remove] をクリックします。

                                                                        • [RSSI]:不正なアクセス ポイントには、最小の受信信号強度インジケータ(RSSI)値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum RSSI] テキスト ボックスに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。
                                                                        • [Duration]:不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、[Time Duration] テキスト ボックスに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。
                                                                        • [Client Count]:不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum Number of Rogue Clients] テキスト ボックスに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。
                                                                        • [No Encryption]:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。 不正なアクセス ポイントの暗号化が無効になっている場合、より多くのクライアントがそのアクセス ポイントに対してアソシエートを試行します。 このオプションに関して、これ以外の設定を行う必要はありません。
                                                                          (注)     

                                                                          WCS では、このオプションを「オープン認証」と呼びます。

                                                                        • [Managed SSID]:不正なアクセス ポイントの管理対象 SSID(WLAN に設定された SSID)がコントローラで認識される必要があります。 このオプションに関して、これ以外の設定を行う必要はありません。
                                                                          (注)     

                                                                          SSID および管理対象 SSID の 2 つのリストは相互に排他的であるため、[SSID] および [Managed SSID] の条件を [Match All] 操作で使用することはできません。 [Match All] を使用してルールを定義し、これら 2 つの条件を設定した場合は、いずれかの条件が満たされないので、不正なアクセス ポイントが Friendly または Malicious に分類されることはありません。

                                                                          1 つのルールにつき最大 6 つの条件を追加できます。 条件を追加すると、[Conditions] セクションにその条件が表示されます。

                                                                          (注)     

                                                                          条件を削除するには、その条件の青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。

                                                                      6. [Apply] をクリックして、変更を確定します。
                                                                      ステップ 4   [Save Configuration] をクリックして、変更を保存します。
                                                                      ステップ 5   不正分類ルールを適用する順序を変更する場合の手順は、次のとおりです。
                                                                      1. [Back] をクリックして、[Rogue Rules] ページに戻ります。
                                                                      2. [Change Priority] をクリックして、[Rogue Rules > Priority] ページにアクセスします。 不正ルールが優先順位に従って [Change Rules Priority] テキスト ボックスに表示されます。
                                                                      3. 優先順位を変更するルールを強調表示し、[Up] をクリックしてリスト内の順位を上げるか、[Down] をクリックしてリスト内の順位を下げます。
                                                                      4. 目的の順位になるまで、ルールを上または下に移動します。
                                                                      5. [Apply] をクリックして、変更を確定します。
                                                                      ステップ 6   次の手順を実行して、任意の不正なアクセス ポイントを Friendly に分類し、危険性のない MAC アドレス リストに追加します。
                                                                      • [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Friendly Rogue] の順に選択して、[Friendly Rogue > Create] ページにアクセスします。
                                                                      • [MAC Address] テキスト ボックスに、危険性のない不正なアクセス ポイントの MAC アドレスを入力します。
                                                                      • [Apply] をクリックして、変更を確定します。
                                                                      • [Save Configuration] をクリックして、変更を保存します。 このアクセス ポイントは、コントローラの、危険性のないアクセス ポイントのリストに追加され、[Friendly Rogue APs] ページに表示されます。

                                                                      不正なデバイスの表示および分類(GUI)

                                                                      はじめる前に

                                                                      注意    


                                                                      不正なデバイスを封じ込めることを選択すると、「There may be legal issues following this containment. Are you sure you want to continue?」という警告メッセージが表示されます。工業、科学、医療用(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に解放されているので、ライセンスなしで使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。



                                                                        ステップ 1   [Monitor] > [Rogues] の順に選択します。
                                                                        ステップ 2   次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。
                                                                        • Friendly APs
                                                                        • Malicious APs
                                                                        • Unclassified APs

                                                                        [Friendly Rogue APs] ページ、[Malicious Rogue APs] ページ、および [Unclassified Rogue APs] ページには、不正なアクセス ポイントの MAC アドレスと SSID、チャネル番号、不正なアクセス ポイントに接続されたクライアントの数、不正なアクセス ポイントが検出された無線の数、および不正なアクセス ポイントの現在のステータスなどの情報が表示されます。

                                                                        (注)     

                                                                        データベースから既知の不正を削除するには、WLC UI へ移動して不正の状態を [Alert Unknown] に変更し、[Save Configuration] をクリックします。 その不正が存在しなくなると、20 分後にデータベースから消去されます。

                                                                        (注)     

                                                                        これらのいずれかのページから不正なアクセス ポイントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。 複数の不正なアクセス ポイントを削除するには、削除対象に該当するチェックボックスをオンにし、[Remove Selected] をクリックします。

                                                                        ステップ 3   不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。 [Rogue AP Detail] ページが表示されます。

                                                                        このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。

                                                                        [Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。

                                                                        • [Friendly]:ユーザ定義の Friendly ルールと一致した不明なアクセス ポイント、または既知の不正なアクセス ポイント。 危険性のないアクセス ポイントは阻止することができません。
                                                                        • [Malicious]:ユーザ定義の Malicious ルールと一致した不明なアクセス ポイント、またはユーザが Friendly または Unclassified 分類タイプから手動で移動した不明なアクセス ポイント。
                                                                          (注)     

                                                                          アクセス ポイントが Malicious に分類されると、その後でそのアクセス ポイントにルールを適用することはできなくなります。また、別の分類タイプに移動することもできません。 危険性のあるアクセス ポイントを Unclassified 分類タイプに移動する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

                                                                        • [Unclassified]:ユーザ定義の Friendly または Malicious ルールと一致しない不明なアクセス ポイント。 未分類のアクセス ポイントは阻止することができます。 また、このアクセス ポイントは、ユーザ定義のルールに従って自動的に、またはユーザが手動で、Friendly または Malicious 分類タイプに移動できます。
                                                                        ステップ 4   このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。
                                                                        (注)     

                                                                        不正なアクセス ポイントの現在の状態が [Contain] である場合、そのアクセス ポイントは移動できません。

                                                                        ステップ 5   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。
                                                                        • [Internal]:コントローラはこの不正なアクセス ポイントを信頼します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。
                                                                        • [External]:コントローラはこの不正なアクセス ポイントの存在を認識します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。
                                                                        • [Contain]:コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。
                                                                        • [Alert]:コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

                                                                        ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。 クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。

                                                                        ステップ 6   [Apply] をクリックして、変更を確定します。
                                                                        ステップ 7   [Save Configuration] をクリックして、変更を保存します。
                                                                        ステップ 8   コントローラに接続された不正なクライアントを表示するには、[Rogue Clients] を選択します。 [Rogue Clients] ページが表示されます。 このページには、不正なクライアントの MAC アドレス、不正なクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID、不正なクライアントが検出された無線の数、不正なクライアントが最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。
                                                                        ステップ 9   不正なクライアントの詳細情報を取得するには、そのクライアントの MAC アドレスをクリックします。 [Rogue Client Detail] ページが表示されます。 このページには、不正なクライアントの MAC アドレス、このクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID および IP アドレス、不正なクライアントが最初および最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。
                                                                        ステップ 10   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なクライアントに対するコントローラの応答方法を指定します。
                                                                        • [Contain]:コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。
                                                                        • [Alert]:コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

                                                                        ページの下部には、この不正なクライアントが検出されたアクセス ポイントに関する情報が提供されます。

                                                                        ステップ 11   [Apply] をクリックして、変更を確定します。
                                                                        ステップ 12   必要に応じて [Ping] をクリックすると、このクライアントへのコントローラの接続をテストできます。
                                                                        ステップ 13   [Save Configuration] をクリックして、変更を保存します。
                                                                        ステップ 14   コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues] を選択します。 [Adhoc Rogues] ページが表示されます。

                                                                        このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。

                                                                        ステップ 15   アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。 [Adhoc Rogue Detail] ページが表示されます。

                                                                        このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。

                                                                        ステップ 16   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。
                                                                        • [Contain]:コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。
                                                                        • [Alert]:コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。
                                                                        • [Internal]:コントローラはこの不正なアクセス ポイントを信頼します。
                                                                        • [External]:コントローラはこの不正なアクセス ポイントの存在を認識します。
                                                                        ステップ 17   [Maximum Number of APs to Contain the Rogue] ドロップダウン リストから、[1]、[2]、[3]、[4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。 ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。
                                                                        ステップ 18   [Apply] をクリックして、変更を確定します。
                                                                        ステップ 19   [Save Configuration] をクリックして、変更を保存します。
                                                                        ステップ 20   無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List] を選択します。 [Rogue AP Ignore-List] ページが表示されます。

                                                                        このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。 不正無視リストには、WCS ユーザが WCS マップに手動で追加した任意の自律アクセス ポイントのリストが含まれています。 コントローラでは、これらの自律アクセス ポイントが、WCS によって管理されていても不正と見なされます。 不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。 このリストは次のように更新されます。

                                                                        • コントローラは、不正レポートを受信すると、不明なアクセス ポイントが不正無視アクセス ポイント リストに存在するかどうかを確認します。
                                                                        • 不明なアクセス ポイントが不正無視リストに存在する場合、コントローラはこのアクセス ポイントを無視して他の不正なアクセス ポイントの処理を続けます。
                                                                        • 不明なアクセス ポイントが不正無視リストにない場合、コントローラは WCS にトラップを送信します。 WCS は、Autonomous アクセス ポイント リストでこのアクセス ポイントを発見すると、このアクセス ポイントを不正無視リストに追加するようコントローラにコマンドを送信します。 このアクセス ポイントは、今後の不正レポートで無視されるようになります。
                                                                        • ユーザが WCS から Autonomous アクセス ポイントを削除すると、WCS はこのアクセス ポイントを不正無視リストから削除するようにコントローラにコマンドを送信します。

                                                                        不正分類ルールの設定(CLI)


                                                                          ステップ 1   次のコマンドを入力して、ルールを作成します。 config rogue rule add ap priority priority classify {friendly | malicious} rule_name

                                                                          後からこのルールの優先順位を変更し、それに伴ってリスト内の他のルールの順番を変更する場合は、config rogue rule priority priority rule_name コマンドを入力します。 後からこのルールの分類を変更する場合は、config rogue rule classify {friendly | malicious} rule_name コマンドを入力します。

                                                                          すべての不正分類ルール、または特定のルールを削除するには、{config rogue rule delete all | rule_name} コマンドを入力します。

                                                                          ステップ 2   次のコマンドを入力して、すべてのルールまたは特定のルールを無効にします。

                                                                          config rogue rule disable {all | rule_name}

                                                                          (注)     

                                                                          ルールの属性を変更する前にルールを無効にする必要があります。

                                                                          ステップ 3   次のコマンドを入力して、不正なアクセス ポイントが満たす必要があるルールに条件を追加します。

                                                                          config rogue rule condition ap set condition_type condition_value rule_name

                                                                          ステップ 4   検出された不正なアクセス ポイントがルールに一致しているとみなされ、そのルールの分類タイプが適用されるためには、ルールで指定されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

                                                                          config rogue rule match {all | any} rule_name

                                                                          • ssid:不正なアクセス ポイントには、特定の SSID が必要です。 コントローラによって管理されない SSID を追加する必要があります。 このオプションを選択する場合は、condition_value パラメータに SSID を入力します。 SSID はユーザ設定の SSID リストに追加されます。
                                                                            (注)     

                                                                            ユーザ設定の SSID リストからすべての SSID または特定の SSID を削除するには、config rogue rule condition ap delete ssid {all | ssid} rule_name コマンドを入力します。

                                                                          • ssid:不正なアクセス ポイントには、特定の SSID が必要です。 コントローラによって管理されない SSID を追加する必要があります。 このオプションを選択する場合は、condition_value パラメータに SSID を入力します。 SSID はユーザ設定の SSID リストに追加されます。

                                                                            (注)     

                                                                            ユーザ設定の SSID リストからすべての SSID または特定の SSID を削除するには、config rogue rule condition ap delete ssid {all | ssid} rule_name コマンドを入力します。

                                                                          • rssi:不正なアクセス ポイントには、最小の RSSI 値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、condition_value パラメータに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

                                                                          • duration:不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、condition_value パラメータに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

                                                                          • client-count:不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、condition_value パラメータに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

                                                                          • managed-ssid:不正なアクセス ポイントの SSID がコントローラで認識される必要があります。 このオプションには condition_value パラメータは必要ありません。

                                                                            (注)     

                                                                            1 つのルールにつき最大 6 つの条件を追加できます。 ルールからすべての条件または特定の条件を削除するには、{all | condition_type} condition_value rule_name コマンドを入力します。

                                                                          ステップ 5   次のコマンドを入力して、すべてのルールまたは特定のルールを有効にします。 config rogue rule enable {all | rule_name}
                                                                          (注)     

                                                                          変更を有効にするには、ルールを有効にする必要があります。

                                                                          ステップ 6   次のコマンドを入力して、新しい危険性のないアクセス ポイント エントリを危険性のない MAC アドレスのリストに追加したり、リストから既存の危険性のないアクセス ポイント エントリを削除したりします。

                                                                          config rogue ap friendly {add | delete} ap_mac_address

                                                                          ステップ 7   次のコマンドを入力して、変更を保存します。

                                                                          save config

                                                                          ステップ 8   次のコマンドを入力して、コントローラ上に設定されている不正分類ルールを表示します。 show rogue rule summary

                                                                          以下に類似した情報が表示されます。

                                                                          
                                                                          Priority Rule Name 	 State    		 	 Type 	 	 	 	 	 	 Match 	 Hit Count
                                                                          -------- ----------- -------- 	------------ ------ ---------
                                                                          1        Rule1 	 	 	 	 	 Disabled 	 	 Friendly      Any   0
                                                                          2        Rule2 	 	 	 	 	 Enabled 	 	 	Malicious     Any 	 339
                                                                          3 	 	    Rule3 	 	 	     Disabled 	 	 Friendly 		 	 Any   0

                                                                          
                                                                          ステップ 9   次のコマンドを入力して、特定の不正分類ルールの詳細情報を表示します。

                                                                          show rogue rule detailed rule_name

                                                                          以下に類似した情報が表示されます。

                                                                          
                                                                          Priority......................................... 2
                                                                          Rule Name........................................ Rule2
                                                                          State............................................ Enabled
                                                                          Type............................................. Malicious
                                                                          Match Operation.................................. Any
                                                                          Hit Count........................................ 352
                                                                          Total Conditions................................. 6
                                                                          Condition 1
                                                                              type......................................... Client-count
                                                                              value........................................ 10
                                                                          Condition 2
                                                                              type......................................... Duration
                                                                              value (seconds).............................. 2000
                                                                          Condition 3
                                                                              type......................................... Managed-ssid
                                                                              value........................................ Enabled
                                                                          Condition 4
                                                                              type......................................... No-encryption
                                                                              value........................................ Enabled
                                                                          Condition 5
                                                                              type......................................... Rssi
                                                                              value (dBm).................................. -50
                                                                          Condition 6
                                                                              type......................................... Ssid
                                                                              SSID Count................................... 1
                                                                              SSID 1.................................... test

                                                                          

                                                                          不正なデバイスの表示および分類(CLI)

                                                                          • 次のコマンドを入力して、コントローラによって検出されたすべての不正なアクセス ポイントのリストを表示します。 show rogue ap summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Rogue Location Discovery Protocol................ Enabled
                                                                            Rogue AP timeout................................. 1200
                                                                            
                                                                            MAC Address        Classification     # APs 	# Clients 	Last Heard
                                                                            -----------------  ------------------ ----- 	--------- 	-----------------------
                                                                            00:0a:b8:7f:08:c0  Friendly           0     	0         	Not Heard
                                                                            00:0b:85:01:30:3f  Malicious          1     	0         	Fri Nov 30 11:30:59 2007
                                                                            00:0b:85:63:70:6f  Malicious          1     	0         	Fri Nov 30 11:20:14 2007
                                                                            00:0b:85:63:cd:bf 	Malicious 	 	 	 	 	 	 	 	 1 	 	 	0 	 	 Fri Nov 30 11:23:12 2007
...

                                                                            

                                                                          • 次のコマンドを入力して、コントローラによって検出された危険性のない不正なアクセス ポイントのリストを表示します。

                                                                            show rogue ap friendly summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Number of APs.................................... 1
                                                                            
                                                                            MAC Address        State              # APs # Clients Last Heard
                                                                            -----------------  ------------------ ----- --------- ---------------------------
                                                                            00:0a:b8:7f:08:c0  Internal           1	 	 	 0 	 	 	 	 	 	 	 Tue Nov 27 13:52:04 2007

                                                                            

                                                                          • 次のコマンドを入力して、コントローラによって検出された危険性のある不正なアクセス ポイントのリストを表示します。

                                                                            show rogue ap malicious summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Number of APs.................................... 264
                                                                            
                                                                            MAC Address        State              # APs # Clients Last Heard
                                                                            -----------------  ------------------ ----- --------- -----------------------
                                                                            00:0b:85:01:30:3f  Alert              1     0         Fri Nov 30 11:20:01 2007
                                                                            00:0b:85:63:70:6f  Alert              1     0         Fri Nov 30 11:20:14 2007
                                                                            00:0b:85:63:cd:bf  Alert              1     0         Fri Nov 30 11:23:12 2007
                                                                            00:0b:85:63:cd:dd  Alert              1     0         Fri Nov 30 11:27:03 2007
                                                                            00:0b:85:63:cd:de  Alert              1     0         Fri Nov 30 11:26:23 2007
                                                                            00:0b:85:63:cd:df 	Alert 	 	 	 	 	 	 	 	 1 		0 	 	 Fri Nov 30 11:26:50 2007
...

                                                                            

                                                                          • 次のコマンドを入力して、コントローラによって検出された未分類の不正なアクセス ポイントのリストを表示します。

                                                                            show rogue ap unclassified summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Number of APs.................................... 164
                                                                            
                                                                            MAC Address        State              # APs # Clients Last Heard
                                                                            -----------------  ------------------ ----- --------- -----------------------
                                                                            00:0b:85:63:cd:bd  Alert              1 	 0         Fri Nov 30 11:12:52 2007
                                                                            00:0b:85:63:cd:e7  Alert              1 	 0         Fri Nov 30 11:29:01 2007
                                                                            00:0b:85:63:ce:05  Alert              1 	 0         Fri Nov 30 11:26:23 2007
                                                                            00:0b:85:63:ce:07	Alert 	 	 	 	 	 	 	 	 1 	 	0 		 Fri Nov 30 11:26:23 2007
...

                                                                            

                                                                          • 次のコマンドを入力して、特定の不正なアクセス ポイントに関する詳細情報を表示します。

                                                                            show rogue ap detailed ap_mac_address

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Rogue BSSID...................................... 00:1d:70:59:95:9d
                                                                            Rogue Radio Type................................. 802.11a
                                                                            State............................................ Alert
                                                                            First Time Rogue was Reported.................... Tue Sep 21 09:57:08 2010
                                                                            Last Time Rogue was Reported..................... Tue Sep 21 10:00:56 2010
                                                                            Rogue Client IP address.......................... Not known
                                                                            Reported By
                                                                                AP 1
                                                                                    MAC Address.............................. 68:ef:bd:e1:fd:30
                                                                                    Name..................................... AP5475.d074.48e4
                                                                                    RSSI..................................... -80 dBm
                                                                                    SNR...................................... 18 dB
                                                                                    Channel.................................. 40
                                                                                    Last reported by this AP................. Tue Sep 21 10:00:56 2010
                                                                            

                                                                          • 次のコマンドを入力して、特定の 802.11a/n 無線に関する不正レポート(各種チャネル幅で検出された不正なデバイスの数を示す)を表示します。

                                                                            show ap auto-rf 802.11a Cisco_AP

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Number Of Slots.................................. 2
                                                                            AP Name.......................................... AP2
                                                                            MAC Address...................................... 00:1b:d5:13:39:74
                                                                              Radio Type..................................... RADIO_TYPE_80211a
                                                                              Noise Information
                                                                                Noise Profile................................ PASSED
                                                                                Channel 36...................................  -80 dBm
                                                                                Channel 40...................................  -78 dBm
                                                                                ...
                                                                              Interference Information
                                                                                Interference Profile......................... PASSED
                                                                                Channel 36...................................  -81 dBm @  8 % busy
                                                                                Channel 40...................................  -66 dBm @  4 % busy
                                                                               ...
                                                                            Rogue Histogram (20/40_ABOVE/40_BELOW)
                                                                            	Channel 36................................... 21/ 1/ 0
                                                                                Channel 40...................................  7/ 0/ 0
                                                                                ...

                                                                            

                                                                          • 次のコマンドを入力して、不正なアクセス ポイントにアソシエートされているすべての不正なクライアントのリストを表示します。

                                                                            show rogue ap clients ap_mac_address

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            MAC Address       	 State              	# APs 				 Last Heard
                                                                            -----------------  ------------------ ----- -------------------------
00:bb:cd:12:ab:ff					Alert					 1		Fri Nov 30 11:26:23 2007

                                                                            

                                                                          • 次のコマンドを入力して、コントローラによって検出されたすべての不正なクライアントのリストを表示します。

                                                                            show rogue client summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Validate rogue clients against AAA............... Disabled
                                                                            
                                                                            MAC Address        State              # APs Last Heard
                                                                            -----------------  ------------------ ----- -----------------------
                                                                            00:0a:8a:7d:f5:f5  Alert              1     Mon Dec  3 21:56:36 2007
                                                                            00:18:ba:78:c4:44  Alert              1     Mon Dec  3 21:59:36 2007
                                                                            00:18:ba:78:c4:d1  Alert              1     Mon Dec  3 21:47:36 2007
                                                                            00:18:ba:78:ca:f8 	Alert 	 	 	 	 	 	 	 	 1 	 	Mon Dec  3 22:02:36 2007
...

                                                                            

                                                                          • 次のコマンドを入力して、特定の不正なクライアントに関する詳細情報を表示します。

                                                                            show rogue client detailed client_mac_address

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Rogue BSSID...................................... 00:0b:85:23:ea:d1
                                                                            State............................................ Alert
                                                                            First Time Rogue was Reported.................... Mon Dec  3 21:50:36 2007
                                                                            Last Time Rogue was Reported..................... Mon Dec  3 21:50:36 2007
                                                                            Rogue Client IP address.......................... Not known
                                                                            Reported By
                                                                                AP 1
                                                                                    MAC Address.............................. 00:15:c7:82:b6:b0
                                                                                    Name..................................... AP0016.47b2.31ea
                                                                                    Radio Type............................... 802.11a
                                                                                    RSSI..................................... -71 dBm
                                                                                    SNR...................................... 23 dB
                                                                                    Channel.................................. 149
                                                                                    Last reported by this AP.............. Mon Dec  3 21:50:36 2007

                                                                            

                                                                          • 次のコマンドを入力して、コントローラによって検出されたすべてのアドホック不正のリストを表示します。

                                                                            show rogue adhoc summary

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Detect and report Ad-Hoc Networks................ Enabled
                                                                            
                                                                            Client MAC Address  Adhoc BSSID         State 			 	 	 	# APs   	Last Heard
                                                                            ------------------  ------------------  ----------- -------  ------------------------
                                                                            00:bb:cd:12:ab:ff					super					Alert			 1		 Fri Nov 30 11:26:23 2007
                                                                            

                                                                          • 次のコマンドを入力して、特定のアドホック不正に関する詳細情報を表示します。

                                                                            show rogue adhoc detailed rogue_mac_address

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            Adhoc Rogue MAC address.......................... 02:61:ce:8e:a8:8c
                                                                            Adhoc Rogue BSSID................................ 02:61:ce:8e:a8:8c
                                                                            State............................................ Alert
                                                                            First Time Adhoc Rogue was Reported.............. Tue Dec 11 20:45:45 2007
                                                                            Last Time Adhoc Rogue was Reported............... Tue Dec 11 20:45:45 2007
                                                                            Reported By
                                                                                AP 1
                                                                                    MAC Address.............................. 00:14:1b:58:4a:e0
                                                                                    Name..................................... AP0014.1ced.2a60
                                                                                    Radio Type............................... 802.11b
                                                                                    SSID..................................... rf4k3ap
                                                                                    Channel.................................. 3
                                                                                    RSSI..................................... -56 dBm
                                                                                    SNR...................................... 15 dB
                                                                                    Encryption............................... Disabled
                                                                                    ShortPreamble............................ Disabled
                                                                                    WPA Support.............................. Disabled
                                                                            		Last reported by this AP............... Tue Dec 11 20:45:45 2007

                                                                            

                                                                          • 次のコマンドを入力して、無視するように設定されている不正なアクセス ポイントのリストを表示します。

                                                                            show rogue ignore-list

                                                                            以下に類似した情報が表示されます。

                                                                            
                                                                            MAC Address
                                                                            ------------------
                                                                            10:bb:17:cc:01:ef
                                                                            

                                                                            (注)  


                                                                            不正無視アクセス ポイント リストの詳細については、「不正なデバイスの表示および分類(GUI)」のステップ 20 を参照してください。


                                                                          • 次のコマンドを入力して、不正なアクセス ポイントを Friendly に分類します。

                                                                            config rogue ap classify friendly state {internal | external} ap_mac_address

                                                                            値は次のとおりです。

                                                                            internal は、コントローラがこの不正なアクセス ポイントを信頼することを表しています。

                                                                            external は、コントローラがこの不正なアクセス ポイントの存在を認識することを表しています。


                                                                            (注)  


                                                                            不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Friendly クラスに移動することはできません。


                                                                          • 次のコマンドを入力して、不正なアクセス ポイントに Malicious のマークを付けます。

                                                                            config rogue ap classify malicious state {alert | contain} ap_mac_address

                                                                            値は次のとおりです。

                                                                            alert は、コントローラからシステム管理者に、更なる処理を行うよう即時に警告が転送されることを表しています。

                                                                            contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを表しています。


                                                                            (注)  


                                                                            不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Malicious クラスに移動することはできません。


                                                                          • 次のコマンドを入力して、不正なアクセス ポイントに Unclassified のマークを付けます。

                                                                            config rogue ap classify unclassified state {alert | contain} ap_mac_address


                                                                            (注)  


                                                                            現在の状態が Contain の場合、不正なアクセス ポイントは Unclassified クラスに移動できません。

                                                                            alert は、コントローラからシステム管理者に、更なる処理を行うよう即時に警告が転送されることを表しています。

                                                                            contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを表しています。


                                                                          • 次のコマンドのいずれかを入力して、不正なクライアントに対するコントローラの応答方法を指定します。

                                                                            config rogue client alert client_mac_address:コントローラからシステム管理者に対し、さらなる処理を行うよう即時に警告が転送されます。

                                                                            config rogue client contain client_mac_address:コントローラによって危険性のあるデバイスが阻止されます。これにより、そのデバイスの信号は、認証されたクライアントに干渉しなくなります。

                                                                          • 次のコマンドのいずれかを入力して、アドホック不正に対するコントローラの応答方法を指定ます。

                                                                            config rogue adhoc alert rogue_mac_address::コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

                                                                            config rogue adhoc contain rogue_mac_address:コントローラによって危険性のあるデバイスが阻止されます。これにより、そのデバイスの信号は、認証されたクライアントに干渉しなくなります。

                                                                            config rogue adhoc external rogue_mac_address:コントローラによって、このアドホック不正の存在が認識されます。

                                                                          • 次のコマンドを入力して、変更を保存します。 save config

                                                                          Cisco TrustSec SXP の設定

                                                                          Cisco TrustSec SXP について

                                                                          Cisco TrustSec を使用すると、組織はアイデンティティベースのアクセス コントロールを通じて、人、場所、時を問わずネットワークとサービスをセキュリティで保護できます。 このソリューションでは、データの整合性および機密保持サービス、ポリシーベースの管理、中央集中型のモニタリング、トラブルシューティング、およびレポーティング サービスも提供されます。 TrustSec をカスタマイズされたプロフェッショナル サービスと組み合わせると、ソリューションの導入と管理を簡素化できます。CTS は、Cisco ボーダレス ネットワークの基盤となるセキュリティ コンポーネントです。

                                                                          Cisco TrustSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。 ドメイン内の各デバイスは、そのピアによって認証されます。 ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。 Cisco TrustSec は、ネットワークに入るようにセキュリティ グループ(SG)がパケットを分類するために認証中に取得したデバイスおよびユーザ クレデンシャルを使用します。 このパケット分類は、Cisco TrustSec ネットワークへの進入時にパケットにタグを付けることで維持されます。これにより、パケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグはセキュリティ グループ タグ(SGT)と呼ばれ、エンドポイント デバイスはこの SGT に基づいてトラフィックをフィルタリングできるので、ネットワークへのアクセス コントロール ポリシーの適用が可能になります。

                                                                          Cisco TrustSec アーキテクチャのコンポーネントの 1 つが、セキュリティ グループベースのアクセス コントロールです。 セキュリティ グループ ベースのアクセス コントロール コンポーネントで、Cisco TrustSec ドメインのアクセス ポリシーは、トポロジとは無関係で、ネットワーク アドレスではなく送信元デバイスおよび宛先デバイスのロール(セキュリティ グループ番号で指定)に基づいています。 個々のパケットには、送信元のセキュリティ グループ番号のタグが付けられます。

                                                                          シスコ デバイスは SGT 交換プロトコル(SXP)を使用して、Cisco TrustSec 向けのハードウェア サポートがないネットワーク デバイスに SGT を伝播します。 SXP は、すべてのスイッチで CTS ハードウェアがアップグレードされるのを防ぐためのソフトウェア ソリューションです。 WLC では、TrustSec アーキテクチャの一部として SXP がサポートされます。 SXP は、CTS 対応のスイッチに SGT 情報を送信します。SGT で示されたロール情報に従って、適切なロールベース アクセス コントロール リスト(RBACL)をアクティブにすることができます。 デフォルトでは、コントローラは常にスピーカー モードで動作します。 ネットワーク上で SXP を実装するには、出口のディストリビューション スイッチのみを CTS 対応にすればよく、他のすべてのスイッチは CTS 非対応でかまいません。

                                                                          SXP は、任意のアクセス レイヤとディストリビューション スイッチ間、または 2 つのディストリビューション スイッチ間で動作します。 SXP は TCP をトランスポート層として使用します。 アクセス レイヤ スイッチ上でネットワークに join している任意のホスト(クライアント)に対する CTS-enabled 認証は、CTS 対応ハードウェアを備えたアクセス スイッチの場合と同様に実行されます。 アクセス レイヤ スイッチは CTS 対応ハードウェアではありません。 したがって、データ トラフィックがアクセス レイヤ スイッチを通過するとき、そのトラフィックの暗号化または暗号による認証は行われません。 SXP は、認証されたデバイス(つまりワイヤレス クライアント)の IP アドレスと、対応する SGT をディストリビューション スイッチに渡すために使用されます。 ディストリビューション スイッチが CTS 対応ハードウェアの場合は、そのディストリビューション スイッチがアクセス レイヤ スイッチに代わってパケットに SGT を挿入します。 ディストリビューション スイッチが CTS 対応ハードウェアでない場合は、ディストリビューション スイッチの SXP が、CTS ハードウェアを備えたすべてのディストリビューション スイッチに IP-SGT マッピングを渡します。 出口側では、ディストリビューション スイッチの出力 L3 インターフェイスで RBACL が適用されます。

                                                                          Cisco TrustSec の詳細については、http:/​/​www.cisco.com/​en/​US/​netsol/​ns1051/​index.html を参照してください。

                                                                          注意事項および制約事項

                                                                          • SXP は FlexConnect アクセス ポイントではサポートされません。
                                                                          • SXP がサポートされるのは、中央認証を使用し、中央でスイッチされるネットワークだけです。
                                                                          • デフォルトでは、SXP はローカル モードのみで動作する AP 向けにサポートされています。
                                                                          • コントローラは常にスピーカー モードで動作します。
                                                                          • デフォルト パスワードの設定は、コントローラとスイッチの両方で一致している必要があります。
                                                                          • 耐障害性は AP でのローカル スイッチングが必要になるため、この機能はサポートされません。
                                                                          • SXP は IPv4 クライアントと IPv6 クライアントの両方でサポートされます。
                                                                          • ユーザをローカル認証するための静的 IP-SGT マッピングはサポートされません。
                                                                          • IP-SGT マッピングでは、外部 ACS サーバを使用した認証が必要です。
                                                                          • SXP は次のセキュリティ ポリシーでのみサポートされます。
                                                                            • WPA2-dot1x
                                                                            • WPA-dot1x
                                                                            • 802.1x(Dynamic WEP)
                                                                            • RADIUS サーバを使用した MAC フィルタリング
                                                                            • RADIUS サーバを使用した Web 認証によるユーザ認証

                                                                          Cisco TrustSec SXP の設定(GUI)


                                                                            ステップ 1   [SECURITY] > [TrustSec SXP] の順に選択して、[SXP Configuration] ページを開きます。 このページでは、次の SXP 設定の詳細が表示されます。
                                                                            • [Total SXP Connections]:設定されている SXP 接続の数。
                                                                            • [SXP State]:SXP 接続のステータス(有効または無効)。
                                                                            • [SXP Mode]:コントローラの SXP モード。 SXP 接続では、コントローラは常にスピーカー モードに設定されています。
                                                                            • [Default Password]:SXP メッセージの MD5 認証用パスワード。 パスワードには 6 文字以上を含めることをお勧めします。
                                                                            • [Default Source IP]:管理インターフェイスの IP アドレス。 SXP は、すべての新規 TCP 接続に対してデフォルトの送信元 IP アドレスを使用します。
                                                                            • [Retry Period]:SXP 再試行タイマー。 デフォルト値は 120 秒(2 分)です。 有効な範囲は 0 ~ 64000 秒です。 SXP 再試行期間によって、コントローラが SXP 接続を再試行する間隔が決まります。 SXP 接続が正常に確立されなかった場合、コントローラは SXP 再試行期間タイマーの終了後に、新しい接続の確立を試行します。 SXP 再試行期間を 0 秒に設定するとタイマーは無効になり、接続は再試行されません。

                                                                            このページでは、SXP 接続について次の情報も表示されます。

                                                                            • [Peer IP Address]:ピアの IP アドレス、つまりコントローラが接続するネクスト ホップ スイッチの IP アドレス。 新しいピア接続を設定しても、既存の TCP 接続に影響はありません。
                                                                            • [Source IP Address]:送信元の IP アドレス、つまりコントローラの管理 IP アドレス。
                                                                            • [Connection Status]:SXP 接続のステータス。
                                                                            ステップ 2   Cisco TrustSec SXP を有効にするには、[SXP State] ドロップダウン リストから [Enabled] を選択します。
                                                                            ステップ 3   SXP 接続に使用するデフォルト パスワードを入力します。 パスワードには 6 文字以上を含めることをお勧めします。
                                                                            ステップ 4   [Retry Period] ボックスに、Cisco TrustSec ソフトウェアが SXP 接続を再試行する間隔を秒単位で入力します。
                                                                            ステップ 5   [Apply] をクリックして、変更を確定します。

                                                                            新規 SXP 接続の作成(GUI)


                                                                              ステップ 1   [SECURITY] > [TrustSec SXP] の順に選択し、[New] をクリックして [SXP Connection > New] ページを開きます。
                                                                              ステップ 2   [Peer IP Address] テキスト ボックスに、コントローラが接続するネクスト ホップ スイッチの IP アドレスを入力します。
                                                                              ステップ 3   [Apply] をクリックします。

                                                                              Cisco TrustSec SXP の設定(CLI)

                                                                              • 次のコマンドを入力して、コントローラ上で SXP を有効または無効にします。

                                                                                config cts sxp {enable | disable}

                                                                              • 次のコマンドを入力して、SXP メッセージの MD5 認証のデフォルト パスワードを設定します。

                                                                                config cts sxp default password password

                                                                              • 次のコマンドを入力して、コントローラが接続するネクスト ホップ スイッチの IP アドレスを設定します。

                                                                                config cts sxp connection peer ip-address

                                                                              • 次のコマンドを入力して、接続を試みる間隔を設定します。

                                                                                config cts sxp retry period time-in-seconds

                                                                              • 次のコマンドを入力して、SXP 接続を削除します。

                                                                                config cts sxp connection delete ip-address

                                                                              • 次のコマンドを入力して、SXP の設定の概要を確認します。

                                                                                show cts sxp summary

                                                                                以下に類似した情報が表示されます。

                                                                                
                                                                                SXP State........................................ Enable
                                                                                SXP Mode......................................... Speaker
                                                                                Default Password................................. ****
                                                                                Default Source IP................................ 209.165.200.224
                                                                                Connection retry open period .................... 120
                                                                                

                                                                              • 次のコマンドを入力して、設定された SXP 接続のリストを参照します。

                                                                                show cts sxp connections

                                                                                以下に類似した情報が表示されます。

                                                                                
                                                                                Total num of SXP Connections..................... 1
                                                                                SXP State........................................ Enable
                                                                                Peer IP            Source IP           Connection Status
                                                                                ---------------    ---------------     -----------------
                                                                                209.165.200.229   209.165.200.224              On
                                                                                

                                                                              Cisco Intrusion Detection System の設定

                                                                              Cisco Intrusion Detection System について

                                                                              Cisco Intrusion Detection System/Intrusion Prevention System(CIDS/IPS)は、特定のクライアントに関わる攻撃がレイヤ 3 ~ レイヤ 7 で検出されたとき、これらのクライアントによるワイヤレス ネットワークへのアクセスをブロックするよう、コントローラに指示します。 このシステムは、ワーム、スパイウェア/アドウェア、ネットワーク ウイルス、およびアプリケーションの不正使用などの脅威の検出、分類、阻止を支援することにより、強力なネットワーク保護を提供します。 潜在的な攻撃を検出するには 2 つの方法があります。

                                                                              • IDS センサー
                                                                              • IDS シグニチャ

                                                                              ネットワークのさまざまなタイプの IP レベル攻撃を検出するように、IDS センサーを設定することができます。 センサーで攻撃が特定されたら、違反クライアントを回避(shun)するよう、コントローラに警告することができます。 新しく IDS センサーを追加したときは、コントローラをその IDS センサーに登録し、回避クライアントのリストをセンサーから取得できるようにします。

                                                                              回避クライアント

                                                                              IDS センサーは、疑わしいクライアントを検出すると、コントローラにこのクライアントを回避するよう警告します。 回避エントリは、同じモビリティ グループ内のすべてのコントローラに配信されます。 回避すべきクライアントが現在、このモビリティ グループ内のコントローラに join している場合、アンカー コントローラはこのクライアントを動的除外リストに追加し、外部コントローラはクライアントを切り離します。 次回、このクライアントがコントローラに接続を試みた場合、アンカー コントローラはハンドオフを拒否し、外部コントローラにクライアントを除外することを通知します。

                                                                              その他の情報

                                                                              コントローラでは Cisco Prime Infrastructure を介して Cisco Wireless Intrusion Prevention System(wIPS)もサポートされています。 詳細については、「wIPS の設定」の項を参照してください。

                                                                              IDS センサーの設定(GUI)


                                                                                ステップ 1   [Security] > [Advanced] > [CIDs] > [Sensors] の順に選択して、[CIDS Sensors List] ページを開きます。
                                                                                (注)     

                                                                                既存のセンサーを削除するには、そのセンサーの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

                                                                                ステップ 2   IDS センサーをリストに追加するには、[New] をクリックします。 [CIDS Sensor Add] ページか表示されます。
                                                                                ステップ 3   コントローラでは最大 5 つの IDS センサーをサポートします。 [Index] ドロップダウン リストから数字(1 ~ 5)を選択し、コントローラで IDS センサーが検索される順序を決定します。 たとえば、1 を選択した場合には、コントローラは最初にこの IDS センサーを検索します。
                                                                                ステップ 4   [Server Address] テキスト ボックスに、IDS サーバの IP アドレスを入力します。
                                                                                ステップ 5   [Port] テキスト ボックスに、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号を設定します。 センサーはデフォルトで 443 を使用して通信するので、このパラメータを 443 に設定することをお勧めします。

                                                                                デフォルト値は 443 で、範囲は 1 ~ 65535 です。

                                                                                ステップ 6   [Username] テキスト ボックスに、コントローラが IDS センサーの認証に使用するユーザ名を入力します。

                                                                                例:
                                                                                (注)      このユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。
                                                                                ステップ 7   [Password] テキスト ボックスと [Confirm Password] テキスト ボックスに、コントローラが IDS センサーの認証に使用するパスワードを入力します。
                                                                                ステップ 8   [Query Interval] テキスト ボックスに、コントローラが IDS サーバで IDS イベントをクエリーする間隔(秒単位)を入力します。

                                                                                デフォルトは 60 秒で、範囲は 10 ~ 3600 秒です。

                                                                                ステップ 9   [State] チェックボックスをオンにしてコントローラをこの IDS センサーに登録するか、このチェックボックスをオフにして登録を解除します。 デフォルト値は [disabled] です。
                                                                                ステップ 10   [Fingerprint] テキスト ボックスに、40 桁の 16 進数文字のセキュリティ キーを入力します。 このキーは、センサーの有効性の確認、およびセキュリティ攻撃の防止に使用されます。
                                                                                (注)     

                                                                                キー内にコロンが 2 バイト間隔で表記されるようにしてください。 たとえば AA:BB:CC:DD のように入力します。

                                                                                ステップ 11   [Apply] をクリックします。 [CIDS Sensors List] ページのセンサーのリストに新しい IDS センサーが表示されます。
                                                                                ステップ 12   [Save Configuration] をクリックして、変更を保存します。

                                                                                回避クライアントの表示(GUI)


                                                                                  ステップ 1   [Security] > [Advanced] > [CIDS] > [Shunned Clients] の順に選択して、[CIDS Shun List] ページを開きます。

                                                                                  このページには、各回避クライアントの IP アドレスと MAC アドレス、IDS センサーの要求に応じてコントローラがクライアントのデータ パケットをブロックする期間、およびクライアントを検出した IDS センサーの IP アドレスが表示されます。

                                                                                  ステップ 2   必要に応じて [Re-sync] をクリックし、リストを削除およびリセットします。

                                                                                  IDS センサーの設定(CLI)


                                                                                    ステップ 1   次のコマンドを入力して、IDS センサーを追加します。 config wps cids-sensor add index ids_ip_address username password。 index パラメータは、コントローラで IDS センサーが検索される順序を決定します。 コントローラでは最大 5 つの IDS センサーをサポートします。 数字(1 ~ 5)を入力してこのセンサーの優先順位を決定します。 たとえば、1 を入力した場合には、コントローラは最初にこの IDS センサーを検索します。
                                                                                    (注)      ユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。
                                                                                    ステップ 2   (オプション)次のコマンドを入力して、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号を指定します。

                                                                                    config wps cids-sensor port index port

                                                                                    port-number パラメータには、1 ~ 65535 の値を入力することができます。 デフォルト値は 443 です。 この手順は任意であり、デフォルト値の 443 を使用することをお勧めします。 デフォルトでは、センサーはこの値を使用して通信します。

                                                                                    ステップ 3   次のコマンドを入力して、コントローラが IDS センサーで IDS イベントをクエリーする間隔を指定します。

                                                                                    config wps cids-sensor interval index interval

                                                                                    interval パラメータには、10 ~ 3600 秒の値を入力することができます。 デフォルト値は 60 秒です。
                                                                                    ステップ 4   次のコマンドを入力して、センサーの有効性の確認に使用する 40 桁の 16 進数文字から成るセキュリティ キーを入力します。

                                                                                    config wps cids-sensor fingerprint index sha1 fingerprint

                                                                                    センサーのコンソール上で show tls fingerprint と入力すると、フィンガープリントの値を取得できます。
                                                                                    (注)      キー内にコロン(:)が 2 バイト間隔で表記されるようにしてください(たとえば、AA:BB:CC:DD)。
                                                                                    ステップ 5   次のコマンドを入力して、IDS センサーへのこのコントローラの登録を有効または無効にします。 config wps cids-sensor {enable | disable} index
                                                                                    ステップ 6   次のコマンドを入力して、DoS 攻撃からの保護を有効または無効にします。

                                                                                    デフォルト値は [disabled] です。

                                                                                    (注)      潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように IDS を誘導する場合があります。 それによって、コントローラはこの正規のクライアントの接続を誤って解除し、DoS 攻撃が開始されます。 自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。 ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。 792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。
                                                                                    ステップ 7   次のコマンドを入力して、設定を保存します。 save config
                                                                                    ステップ 8   次のコマンドのいずれかを入力して、IDS センサーの設定を表示します。
                                                                                    • show wps cids-sensor summary
                                                                                    • show wps cids-sensor detail index

                                                                                    ステップ 9   2 つ目のコマンドは、1 つ目のコマンドよりも詳細な情報を提供します。
                                                                                    ステップ 10   次のコマンドを入力して、自動免疫設定の情報を表示します。

                                                                                    show wps summary

                                                                                    以下に類似した情報が表示されます。

                                                                                    
                                                                                    Auto-Immune
                                                                                      Auto-Immune.................................... Disabled
                                                                                    
                                                                                    Client Exclusion Policy
                                                                                      Excessive 802.11-association failures.......... Enabled
                                                                                      Excessive 802.11-authentication failures....... Enabled
                                                                                      Excessive 802.1x-authentication................ Enabled
                                                                                      IP-theft....................................... Enabled
                                                                                      Excessive Web authentication failure........... Enabled
                                                                                    Signature Policy
                                                                                      Signature Processing........................... Enabled

                                                                                    
                                                                                    ステップ 11   次のコマンドを入力して、IDS センサー設定に関連するデバッグ情報を取得します。 debug wps cids enable
                                                                                    (注)     

                                                                                    センサーの設定を削除または変更するには、まず config wps cids-sensor disable index コマンドを入力して設定を無効にする必要があります。 そのあと、センサーを削除するには、config wps cids-sensor delete index コマンドを入力します。


                                                                                    回避クライアントの表示(CLI)


                                                                                      ステップ 1   次のコマンドを入力して、回避すべきクライアントのリストを表示します。 show wps shun-list
                                                                                      ステップ 2   次のコマンドを入力して、コントローラを、この回避リストに対応するモビリティ グループ内の他のコントローラに同期させます。 config wps shun-list re-sync

                                                                                      IDS シグニチャの設定

                                                                                      IDS シグニチャについて

                                                                                      コントローラ上で、IDS シグニチャ、または受信する 802.11 パケットにおけるさまざまなタイプの攻撃を識別するのに使用されるビット パターンのマッチング ルールを設定することができます。 シグニチャが有効化されると、コントローラに join されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。 攻撃が検出されると、適切な緩和措置が開始されます。

                                                                                      [Standard Signatures] ページに示すように、シスコではコントローラ上で 17 の標準シグニチャをサポートしています。

                                                                                      図 8. [Standard Signatures] ページ

                                                                                      これらのシグニチャは 6 つの主要なグループに分かれます。 初めの 4 つのグループには管理シグニチャが含まれており、後の 2 つのグループにはデータ シグニチャが含まれます。

                                                                                      • ブロードキャスト認証解除フレーム シグニチャ:ブロードキャスト認証解除フレーム攻撃において、ハッカーは別のクライアントのブロードキャスト MAC 宛先アドレスに対して 802.11 認証解除フレームを送信します。 この攻撃により、宛先クライアントは接続アクセス ポイントから強制的にアソシエーション解除させられ、ネットワークの接続断が発生します。 この処理が繰り返されると、クライアントでサービス利用ができない状態が発生します。 ブロードキャスト認証解除フレーム シグニチャ(優先順位 1)を使用してそのような攻撃を検出する場合、アクセス ポイントでは、シグニチャの特性と一致するクライアント送信ブロードキャスト認証解除フレームがリッスンされます。 アクセス ポイントは、そのような攻撃を検出すると、コントローラに警告を送ります。 システムの設定に応じて、危険性のあるデバイスが封じ込められて、そのデバイスの信号が認可されたクライアントに干渉しないようにされるか、コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されるか、または、その両方が実行されます。
                                                                                      • NULL プローブ応答シグニチャ:NULL プローブ応答攻撃において、ハッカーは無線クライアント アダプタに NULL プローブ応答を送信します。 結果として、クライアント アダプタがロックされます。 NULL プローブ応答シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントはワイヤレス クライアントを特定し、コントローラに警告を送ります。 NULL プローブ応答シグニチャを次に示します。
                                                                                        • NULL probe resp 1(優先順位 2)
                                                                                        • NULL probe resp 2(優先順位 3)
                                                                                      • 管理フレーム フラッドシグニチャ:管理フレーム フラッド攻撃において、ハッカーはアクセス ポイントに大量の 802.11 管理フレームを送り付けます。 その結果、アクセス ポイントにアソシエートしている、もしくはアソシエートを試みているすべての端末に対して、サービス利用ができない状態が発生します。 この攻撃は、アソシエーション要求、認証要求、再アソシエーション要求、プローブ要求、アソシエーション解除要求、認証解除要求、予約管理サブタイプなど、さまざまなタイプの管理フレームを使用して実行されます。 管理フレーム フラッド シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントによって、シグニチャのすべての特性と一致する管理フレームが特定されます。 これらのフレームの検出頻度が、シグニチャで設定された閾値より大きくなると、これらのフレームを受信するアクセス ポイントによって警告が送信されます。 コントローラではトラップが生成され、WCS に転送されます。 管理フレーム フラッド シグニチャを次に示します。
                                                                                        • Assoc flood(優先順位 4)
                                                                                        • Auth flood(優先順位 5)
                                                                                        • Reassoc flood(優先順位 6)
                                                                                        • Broadcast probe flood(優先順位 7)
                                                                                        • Disassoc flood(優先順位 8)
                                                                                        • Deauth flood(優先順位 9)
                                                                                        • Reserved mgmt 7(優先順位 10)
                                                                                        • Reserved mgmt F(優先順位 11) 予約管理フレーム シグニチャ(Reserved mgmt)7 および F は、将来使用するために予約されています。
                                                                                      • Wellenreiter シグニチャ:Wellenreiter は、無線 LAN スキャンおよびディスカバリ ユーティリティです。これを使用すると、アクセス ポイントおよびクライアントに関する情報が漏洩してしまう可能性があります。 Wellenreiter シグニチャ(優先順位 17)を使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定し、コントローラに警告を送ります。
                                                                                      • EAPOL フラッド シグニチャ:EAPOL フラッド攻撃において、ハッカーは 802.1X 認証要求を含む EAPOL フレームを大量に発生させます。 結果として、802.1X 認証サーバはすべての要求に応答できなくなり、有効なクライアントに正常な認証応答を送信できなくなります。 そして、その影響を受けるすべてのクライアントにおいてサービス利用ができない状況が発生します。 EAPOL フラッド シグニチャ(優先順位 12)を使用してそのような攻撃が検出されると、アクセス ポイントは EAPOL パケットの最大許容数を超えるまで待機します。 次に、コントローラに警告を送り、適切な緩和措置を実行します。
                                                                                      • NetStumbler シグニチャ:NetStumbler は、無線 LAN スキャン ユーティリティです。これによって、アクセス ポイントのブロードキャスト関連情報(動作チャネル、RSSI 情報、アダプタ製造業者名、SSID、WEP ステータス、GPS が接続された NetStumbler を実行するデバイスの経度と緯度など)が報告されます。 NetStumbler は、アクセス ポイントに対する認証とアソシエーションを正常に完了すると、次の文字列のデータ フレーム(NetStumbler のバージョンによって異なる)を送信します。

                                                                                      バージョン

                                                                                      文字列

                                                                                      3.2.0

                                                                                      「Flurble gronk bloopit、bnip Frundletrune」

                                                                                      3.2.3

                                                                                      「All your 802.11b are belong to us」

                                                                                      3.3.0

                                                                                      ホワイト スペースを送信

                                                                                      NetStumbler シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定してコントローラに警告を送ります。 NetStumbler シグニチャは次のとおりです。

                                                                                      • NetStumbler 3.2.0(優先順位 13)
                                                                                      • NetStumbler 3.2.3(優先順位 14)
                                                                                      • NetStumbler 3.3.0(優先順位 15)
                                                                                      • NetStumbler generic(優先順位 16)

                                                                                      コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。 このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。

                                                                                      IDS シグニチャの設定(GUI)

                                                                                      IDS シグニチャのアップロードまたはダウンロード


                                                                                        ステップ 1   必要に応じて、独自のカスタム シグニチャ ファイルを作成します。
                                                                                        ステップ 2   Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。 TFTP サーバをセットアップするときには、次のガイドラインに従ってください。
                                                                                        • サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。そうでない場合は、コントローラ上に静的ルートを作成する必要があります。
                                                                                        • ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。
                                                                                        • サードパーティの TFTP サーバと WCS 内蔵 TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバは Cisco WCS と同じコンピュータ上で実行できません。
                                                                                        ステップ 3   カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。
                                                                                        ステップ 4   [Commands] を選択して、[Download File to Controller] ページを開きます。
                                                                                        ステップ 5   次のいずれかの操作を行います。
                                                                                        • カスタム シグニチャ ファイルをコントローラにダウンロードする場合は、[Download File to Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。
                                                                                        • 標準シグニチャ ファイルをコントローラからアップロードする場合は、[Upload File] を選択してから、[Upload File from Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。
                                                                                        ステップ 6   [Transfer Mode] ドロップダウン リストから、[TFTP] または [FTP] を選択します。
                                                                                        ステップ 7   [IP Address] テキスト ボックスに、TFTP または FTP サーバの IP アドレスを入力します。
                                                                                        ステップ 8   TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、[Maximum Retries] テキスト ボックスに、コントローラがシグニチャ ファイルのダウンロードを試行する最大回数を入力します。

                                                                                        指定できる範囲は 1 ~ 254 で、デフォルトは 10 です。

                                                                                        ステップ 9   TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、シグニチャ ファイルのダウンロードの試行時にコントローラがタイムアウトするまでの時間(秒単位)を [Timeout] テキスト ボックスに入力します。

                                                                                        範囲は 1 ~ 254 秒で、デフォルトは 6 秒です。

                                                                                        ステップ 10   [File Path] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。 デフォルト値は「/」です。
                                                                                        ステップ 11   [File Name] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。
                                                                                        (注)     

                                                                                        シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。 たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。 その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

                                                                                        ステップ 12   FTP サーバを使用している場合は、次の手順に従います。
                                                                                        1. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。
                                                                                        2. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。
                                                                                        3. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP サーバのポート番号を入力します。 デフォルト値は 21 です。
                                                                                        ステップ 13   [Download] を選択してシグニチャ ファイルをコントローラにダウンロードするか、[Upload] を選択してコントローラからシグニチャ ファイルをアップロードします。

                                                                                        IDS シグニチャの有効化または無効化


                                                                                          ステップ 1   [Security] > [Wireless Protection Policies] > [Standard Signatures] または [Custom Signatures] の順に選択して、[Standard Signatures] ページまたは [Custom Signatures] ページを開きます。

                                                                                          [Standard Signatures] ページには、現在コントローラ上に存在するシスコ提供のシグニチャのリストが表示されます。 [Custom Signatures] ページには、現在コントローラ上に存在する、カスタマー提供のシグニチャのリストが表示されます。 このページには、各シグニチャについて次の情報が表示されます。

                                                                                          • コントローラがシグニチャ チェックを行う順序、または優先順位。
                                                                                          • シグニチャ名。シグニチャが検出しようとする攻撃タイプを明示するもの。
                                                                                          • シグニチャがセキュリティ攻撃を検出するフレーム タイプ。 フレーム タイプとしては、データおよび管理があります。
                                                                                          • シグニチャが攻撃を検出したとき、コントローラが行うべき処理。 実行可能な処理は、None と Report です。
                                                                                          • シグニチャの状態。セキュリティ攻撃を検出するために、シグニチャが有効化されているかどうかを示すもの。
                                                                                          • シグニチャが検出しようとする攻撃のタイプの説明。
                                                                                          ステップ 2   次のいずれかの操作を行います。
                                                                                          • 個々の状態が [Enabled] に設定されたすべてのシグニチャ(標準およびカスタムの両方)を有効なままにしておくには、[Standard Signatures] ページまたは [Custom Signatures] ページの上部の [Enable Check for All Standard and Custom Signatures] チェックボックスをオンにします。 デフォルト値が有効(オン)になっています。 シグニチャが有効化されると、コントローラに join したアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。
                                                                                          • コントローラ上のすべてのシグニチャ(標準およびカスタムの両方)を無効にしておく場合には、[Enable Check for All Standard and Custom Signatures] チェックボックスをオフにします。 このチェックボックスをオフにすると、たとえシグニチャの個々の状態が [Enabled] に設定されている場合でも、すべてのシグニチャが無効になります。
                                                                                          ステップ 3   [Apply] をクリックして、変更を確定します。
                                                                                          ステップ 4   目的とするシグニチャの優先順位番号をクリックして、個々のシグニチャを有効または無効にします。 [Standard Signature(または Custom Signature)> Detail] ページが表示されます。

                                                                                          このページには、[Standard Signatures] ページおよび [Custom Signatures] ページとほぼ同じ情報が表示されますが、次のような詳細も表示されます。

                                                                                          • アクセス ポイントによるシグニチャ分析およびコントローラへの結果報告に使用される追跡方法。 表示される値は次のとおりです。
                                                                                            • [Per Signature]:シグニチャ分析とパターン マッチングにおける追跡および報告は、シグニチャ別およびチャネル別に実行されます。
                                                                                            • [Per MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、チャネルごとに個々のクライアント MAC アドレス別に実行されます。
                                                                                            • [Per Signature and MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、シグニチャ別/チャネル別、および MAC アドレス別/チャネル別の両方で実行されます。
                                                                                          • セキュリティ攻撃の検出に使用されるパターン。
                                                                                          ステップ 5   [Measurement Interval] テキスト ボックスに、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を入力します。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。
                                                                                          ステップ 6   [Signature Frequency] テキスト ボックスに、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
                                                                                          ステップ 7   [Signature MAC Frequency] テキスト ボックスに、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
                                                                                          ステップ 8   [Quiet Time] テキスト ボックスに、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を入力します。 有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。
                                                                                          ステップ 9   [State] チェックボックスをオンにしてこのシグニチャを有効にし、セキュリティ攻撃を検出するか、オフにしてこのシグニチャを無効にします。 デフォルト値が有効(オン)になっています。
                                                                                          ステップ 10   [Apply] をクリックして、変更を確定します。 [Standard Signatures] ページまたは [Custom Signatures] ページに、シグニチャの更新された状態が反映されます。
                                                                                          ステップ 11   [Save Configuration] をクリックして、変更を保存します。

                                                                                          IDS シグニチャ イベントの表示(GUI)


                                                                                            ステップ 1   [Security] > [Wireless Protection Policies] > [Signature Events Summary] の順に選択して、[Signature Events Summary] ページを開きます。
                                                                                            ステップ 2   特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャのシグニチャ タイプをクリックしします。 [Signature Events Detail] ページが表示されます。

                                                                                            このページには、次の情報が表示されます。

                                                                                            • 攻撃者として特定されたクライアントの MAC アドレス

                                                                                            • アクセス ポイントが攻撃の追跡に使用する方法

                                                                                            • 攻撃が検出されるまでに特定された 1 秒当たりの一致パケットの数

                                                                                            • 攻撃が検出されたチャネル上のアクセス ポイント数

                                                                                            • アクセス ポイントが攻撃を検出した日時

                                                                                            ステップ 3   特定の攻撃に関する詳細を表示するには、その攻撃の [Detail link] をクリックします。 [Signature Events Track Detail] ページが表示されます。
                                                                                            • 攻撃を検出したアクセス ポイントの MAC アドレス

                                                                                            • 攻撃を検出したアクセス ポイントの名前

                                                                                            • アクセス ポイントが攻撃の検出に使用した無線のタイプ(802.11a または 802.11b/g)

                                                                                            • 攻撃が検出された無線チャネル

                                                                                            • アクセス ポイントから攻撃が報告された日時


                                                                                            IDS シグニチャの設定(CLI)


                                                                                              ステップ 1   必要に応じて、独自のカスタム シグニチャ ファイルを作成します。
                                                                                              ステップ 2   TFTP サーバが使用可能であることを確認します。
                                                                                              ステップ 3   カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。
                                                                                              ステップ 4   transfer {download | upload} mode tftp コマンドを入力して、ダウンロード モードまたはアップロード モードを指定します。
                                                                                              ステップ 5   transfer {download | upload} datatype signature コマンドを入力して、ダウンロードまたはアップロードするファイルのタイプを指定します。
                                                                                              ステップ 6   transfer {download | upload} serverip tftp-server-ip-address コマンドを入力して、TFTP サーバの IP アドレスを指定します。
                                                                                              (注)     

                                                                                              TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。

                                                                                              ステップ 7   transfer {download | upload} path absolute-tftp-server-path-to-file コマンドを入力して、ダウンロードまたはアップロードのパスを指定します。
                                                                                              ステップ 8   transfer {download | upload} filename filename.sig コマンドを入力して、ダウンロードまたはアップロードするファイルを指定します。
                                                                                              (注)     

                                                                                              シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。 たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。 その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

                                                                                              ステップ 9   transfer {download | upload} start コマンドを入力し、プロンプトに y と応答して現在の設定を確認し、ダウンロードまたはアップロードを開始します。
                                                                                              ステップ 10   次のコマンドを入力して、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を指定します。

                                                                                              config wps signature interval signature_id interval

                                                                                              ここで、signature_id は、シグニチャを一意に識別するために使用する数字です。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。

                                                                                              ステップ 11   次のコマンドを入力して、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

                                                                                              config wps signature frequencysignature_id frequency

                                                                                              有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。

                                                                                              ステップ 12   次のコマンドを入力して、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

                                                                                              config wps signature mac-frequency signature_id mac_frequency

                                                                                              有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
                                                                                              ステップ 13   次のコマンドを入力して、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を指定します。

                                                                                              config wps signature quiet-time signature_id quiet_time

                                                                                              有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。

                                                                                              ステップ 14   次のいずれかの操作を行います。
                                                                                              • 個々の IDS シグニチャを有効または無効にするには、次のコマンドを入力します。

                                                                                                config wps signature {standard| custom} state signature_id {enable | disable}

                                                                                              • IDS シグニチャ処理を有効または無効(すべての IDS シグニチャの処理を有効または無効)にするには、次のコマンドを入力します。

                                                                                                config wps signature {enable | disable}

                                                                                                (注)     

                                                                                                IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

                                                                                              ステップ 15   次のコマンドを入力して、変更を保存します。 save config
                                                                                              ステップ 16   必要に応じて、特定のシグニチャまたはすべてのシグニチャをデフォルト値にリセットできます。 そのためには、次のコマンドを入力します。 config wps signature reset {signature_id | all}
                                                                                              (注)     

                                                                                              シグニチャをデフォルト値にリセットするには、コントローラの CLI しか使用できません。


                                                                                              IDS シグニチャ イベントの表示(CLI)

                                                                                              • 次のコマンドを入力して、コントローラで IDS シグニチャ処理が有効か無効かを確認します。

                                                                                                show wps summary

                                                                                                以下に類似した情報が表示されます。

                                                                                                
                                                                                                Auto-Immune
                                                                                                  Auto-Immune.................................... Disabled
                                                                                                
                                                                                                Client Exclusion Policy
                                                                                                  Excessive 802.11-association failures.......... Enabled
                                                                                                  Excessive 802.11-authentication failures....... Enabled
                                                                                                  Excessive 802.1x-authentication................ Enabled
                                                                                                  IP-theft....................................... Enabled
                                                                                                  Excessive Web authentication failure........... Enabled
                                                                                                
                                                                                                Signature Policy
                                                                                                  Signature Processing........................... Enabled

                                                                                                

                                                                                                (注)  


                                                                                                IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。


                                                                                              • 次のコマンドを入力して、コントローラにインストールされているすべての標準シグニチャとカスタム シグニチャの個々の要約を表示します。

                                                                                                show wps signature summary

                                                                                                以下に類似した情報が表示されます。

                                                                                                
                                                                                                Signature-ID..................................... 1
                                                                                                Precedence....................................... 1
                                                                                                Signature Name................................... Bcast deauth
                                                                                                Type............................................. standard
                                                                                                FrameType........................................ management
                                                                                                State............................................ enabled
                                                                                                Action........................................... report
                                                                                                Tracking......................................... per Signature and Mac
                                                                                                Signature Frequency.............................. 50 pkts/interval
                                                                                                Signature Mac Frequency.......................... 30 pkts/interval
                                                                                                Interval......................................... 1 sec
                                                                                                Quiet Time....................................... 300 sec
                                                                                                Description...................................... Broadcast Deauthentication Frame
                                                                                                Patterns:
                                                                                                                0(Header):0x00c0:0x00ff
                                                                                                	 	 	 	4(Header):0x01:0x01

                                                                                                

                                                                                              • 次のコマンドを入力して、有効なシグニチャによって検出された攻撃の数を表示します。

                                                                                                show wps signature events summary

                                                                                                以下に類似した情報が表示されます。

                                                                                                
                                                                                                Precedence Signature Name 		 		 		 	 Type 		 	 # Events
                                                                                                ---------- ------------------		 	----- 	 	 	-----------
                                                                                                1 			Bcast deauth 		 	 	 	Standard 			 2
                                                                                                2 			NULL probe resp 1 	 Standard 	 		 	 1
                                                                                                

                                                                                              • 次のコマンドを入力して、特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示します。

                                                                                                show wps signature events {standard | custom} precedence# summary

                                                                                                以下に類似した情報が表示されます。

                                                                                                
                                                                                                Precedence....................................... 1
                                                                                                Signature Name................................... Bcast deauth
                                                                                                Type............................................. Standard
                                                                                                Number of active events....................... 2

                                                                                                Source MAC Addr 		 	 Track Method 			 Frequency 		No. APs	 Last Heard
                                                                                                ----------------- 	------------ 		 --------- -------- ------------------------
                                                                                                00:01:02:03:04:01 	Per Signature 		 	 4 	 	 	 	 	 	 	 	3 	 Tue Dec 6 00:17:44 2005
                                                                                                00:01:02:03:04:01 	Per Mac 	 	 	 	 	 	 	 	6	 	 	2 	 Tue Dec 6 00:30:04 2005
                                                                                                

                                                                                              • 次のコマンドを入力して、アクセス ポイントによってシグニチャ別/チャネル別に追跡される攻撃の詳細を表示します。

                                                                                                show wps signature events {standard | custom} precedence# detailed per-signature source_mac

                                                                                              • 次のコマンドを入力して、アクセス ポイントによって個別クライアント ベース(MAC アドレス別)で追跡される攻撃の詳細を表示します。

                                                                                                show wps signature events {standard | custom} precedence# detailed per-mac source_mac

                                                                                                以下に類似した情報が表示されます。

                                                                                                
                                                                                                Source MAC....................................... 00:01:02:03:04:01
                                                                                                Precedence....................................... 1
                                                                                                Signature Name................................... Bcast deauth
                                                                                                Type............................................. Standard
                                                                                                Track............................................ Per Mac
                                                                                                Frequency........................................ 6
                                                                                                Reported By
                                                                                                	AP 1
                                                                                                		MAC Address.............................. 00:0b:85:01:4d:80
                                                                                                		Name..................................... Test_AP_1
                                                                                                		Radio Type............................... 802.11bg
                                                                                                		Channel.................................. 4
                                                                                                		Last reported by this AP................. Tue Dec 6 00:17:49 2005
                                                                                                	AP 2
                                                                                                		MAC Address.............................. 00:0b:85:26:91:52
                                                                                                		Name..................................... Test_AP_2
                                                                                                		Radio Type............................... 802.11bg
                                                                                                		Channel.................................. 6
                                                                                                	 Last reported by this AP................. Tue Dec 6 00:30:04 2005
                                                                                                

                                                                                              wIPS の設定

                                                                                              wIPS について

                                                                                              シスコの適応型 Wireless Intrusion Prevention System(wIPS)は、無線の脅威の検出およびパフォーマンスの管理のための高度な手法です。 この手法では、ネットワーク トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。 インフラストラクチャに完全に統合されたソリューションを採用すると、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワークインテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃をより正確に特定し事前に防止することができます。

                                                                                              シスコの適合型 wIPS には、Cisco 3300 シリーズ Mobility Services Engine(MSE)が必要です。MSE は、Cisco Aironet アクセス ポイントの継続的な監視によって収集された情報の処理を一元化します。 シスコの適応型 wIPS の機能と、MSE への Cisco Prime Infrastructure の統合により、wIPS サービスで wIPS ポリシーとアラームの設定、監視、およびレポートを行うことができます。


                                                                                              (注)  


                                                                                              お使いの wIPS がコントローラ、アクセス ポイント、および MSE で構成されている場合、これら 3 つのエンティティをすべて UTC タイム ゾーンに設定する必要があります。


                                                                                              シスコの適応型 wIPS はコントローラに設定されていません。 代わりに、プロファイル設定が Cisco Prime Infrastructure から wIPS サービスに転送され、wIPS サービスによってそのプロファイルがコントローラに転送されます。 プロファイルはコントローラのフラッシュメモリに格納され、アクセス ポイントがコントローラに join するとアクセス ポイントへ送信されます。 アクセス ポイントのアソシエートが解除され、別のコントローラへ join すると、アクセス ポイントは新しいコントローラから wIPS プロファイルを受信します。

                                                                                              wIPS 機能のサブセットを備えたローカル モードまたは FlexConnect モードのアクセス ポイントは、拡張ローカル モード(Enhanced Local Mode)アクセス ポイント、または単に ELM AP と呼ばれます。 アクセス ポイントが次のいずれかのモードであれば、そのアクセス ポイントを wIPS モードで動作するように設定できます。

                                                                                              • Monitor
                                                                                              • Local
                                                                                              • FlexConnect

                                                                                              wIPS ELM では、オフチャネルのアラームを検出する機能が制限されます。 アクセス ポイントは定期的にオフチャネルになり、短い期間内に動作していないチャネルを監視し、そのチャネルで攻撃を検出した場合はアラームをトリガーします。 ただし、オフチャネルのアラーム検出はベスト エフォートであり、攻撃を検出してアラームをトリガーするには時間がかかることがあります。これが原因となって ELM AP が断続的にアラームを検出し、確認できないためそれをクリアする場合があります。 上記のいずれかのモードのアクセス ポイントは、ポリシー プロファイルに基づくアラームをコントローラ経由で定期的に wIPS サービスに送信できます。 wIPS サービスはアラームを格納および処理して、SNMP トラップを生成します。 Cisco Prime Infrastructure は自身の IP アドレスをトラップの宛先として設定し、SNMP トラップを MSE から受信します。

                                                                                              次の表に SNMP トラップ制御とそれに対応するトラップを示します。 トラップ制御が有効な場合、そのトラップ制御のトラップもすべて有効です。

                                                                                              表 11 SNMP トラップ制御と対応トラップ

                                                                                              タブ名

                                                                                              トラップ コントロール

                                                                                              トラップ

                                                                                              General

                                                                                              Link (Port) Up/Down

                                                                                              linkUp、linkDown

                                                                                              Spanning Tree

                                                                                              newRoot、topologyChange、stpInstanceNewRootTrap、stpInstanceTopologyChangeTrap

                                                                                              Config Save

                                                                                              bsnDot11EssCreated、bsnDot11EssDeleted、bsnConfigSaved、ciscoLwappScheduledResetNotif、ciscoLwappClearResetNotif、ciscoLwappResetFailedNotif、ciscoLwappSysInvalidXmlConfig

                                                                                              AP

                                                                                              AP Register

                                                                                              bsnAPDisassociated、bsnAPAssociated

                                                                                              Ap Interface Up/Down

                                                                                              bsnAPIfUp、bsnAPIfDown

                                                                                              Client Traps

                                                                                              802.11 アソシエーション

                                                                                              bsnDot11StationAssociate

                                                                                              802.11 ディスアソシエーション

                                                                                              bsnDot11StationDisassociate

                                                                                              802.11 認証解除

                                                                                              bsnDot11StationDeauthenticate

                                                                                              802.11 認証失敗

                                                                                              bsnDot11StationAuthenticateFail

                                                                                              802.11 アソシエーション失敗

                                                                                              bsnDot11StationAssociateFail

                                                                                              Exclusion

                                                                                              bsnDot11StationBlacklisted

                                                                                              Security Traps

                                                                                              User Authentication

                                                                                              bsnTooManyUnsuccessLoginAttempts、cLWAGuestUserLoggedIn、cLWAGuestUserLoggedOut

                                                                                              RADIUS Servers Not Responding

                                                                                              bsnRADIUSServerNotResponding、ciscoLwappAAARadiusReqTimedOut

                                                                                              WEP Decrypt Error

                                                                                              bsnWepKeyDecryptError

                                                                                              Rogue AP

                                                                                              bsnAdhocRogueAutoContained、bsnRogueApAutoContained、bsnTrustedApHasInvalidEncryption、bsnMaxRogueCountExceeded、bsnMaxRogueCountClear、bsnApMaxRogueCountExceeded、bsnApMaxRogueCountClear、bsnTrustedApHasInvalidRadioPolicy、bsnTrustedApHasInvalidSsid、bsnTrustedApIsMissing

                                                                                              SNMP Authentication

                                                                                              agentSnmpAuthenticationTrapFlag

                                                                                              Multiple Users

                                                                                              multipleUsersTrap

                                                                                              自動 RF プロファイル トラップ

                                                                                              Load Profile

                                                                                              bsnAPLoadProfileFailed

                                                                                              Noise Profile

                                                                                              bsnAPNoiseProfileFailed

                                                                                              Interference Profile

                                                                                              bsnAPInterferenceProfileFailed

                                                                                              Coverage Profile

                                                                                              bsnAPCoverageProfileFailed

                                                                                              自動 RF 更新トラップ

                                                                                              channel update

                                                                                              bsnAPCurrentChannelChanged

                                                                                              Tx Power Update

                                                                                              bsnAPCurrentTxPowerChanged

                                                                                              Mesh Traps

                                                                                              Child Excluded Parent

                                                                                              ciscoLwappMeshChildExcludedParent

                                                                                              Parent Change

                                                                                              ciscoLwappMeshParentChange

                                                                                              Authfailure Mesh

                                                                                              ciscoLwappMeshAuthorizationFailure

                                                                                              Child Moved

                                                                                              ciscoLwappMeshChildMoved

                                                                                              Excessive Parent Change

                                                                                              ciscoLwappMeshExcessiveParentChange

                                                                                              Excessive Children

                                                                                              ciscoLwappMeshExcessiveChildren

                                                                                              Poor SNR

                                                                                              ciscoLwappMeshAbateSNR、ciscoLwappMeshOnsetSNR

                                                                                              Console Login

                                                                                              ciscoLwappMeshConsoleLogin

                                                                                              Excessive Association

                                                                                              ciscoLwappMeshExcessiveAssociation

                                                                                              Default Bridge Group Name

                                                                                              ciscoLwappMeshDefaultBridgeGroupName


                                                                                              (注)  


                                                                                              上記以外のトラップにトラップ制御機能はありません。 それらのトラップはそれほど頻繁に生成されないため、トラップ制御は必要ありません。 したがって、コントローラで生成される上記以外のトラップをオフにすることはできません。



                                                                                              (注)  


                                                                                              上記のすべてのケースで、コントローラは単なる転送デバイスとして機能します。


                                                                                              注意事項および制約事項

                                                                                              • リリース 7.0.116.0 以降では、標準のローカル モードまたは FlexConnect モードのアクセス ポイントが拡張され、Wireless Intrusion Prevention System(wIPS)機能のサブセットが装備されています。 この機能を使用すると、分離されたオーバーレイ ネットワークがなくても、アクセス ポイントを展開して保護機能を提供できます。
                                                                                              • wIPS ELM は 1130 および 1240 アクセス ポイントではサポートされません。

                                                                                              アクセス ポイントでの wIPS の設定(GUI)


                                                                                                ステップ 1   [Wireless] > [Access Points] > [All APs] > アクセス ポイント名の順に選択します。
                                                                                                ステップ 2   [AP Mode] パラメータを設定します。 wIPS 用のアクセス ポイントを設定するには、[AP Mode] ドロップダウン リストから次のモードのいずれかを選択します。
                                                                                                • Local
                                                                                                • FlexConnect
                                                                                                • Monitor
                                                                                                ステップ 3   [AP Sub Mode] ドロップダウン リストから [wIPS] を選択して、[AP Sub Mode] を wIPS に設定します。
                                                                                                ステップ 4   [Apply] をクリックします。

                                                                                                アクセス ポイントでの wIPS の設定(CLI)


                                                                                                  ステップ 1   次のコマンドを入力して、監視モード用のアクセス ポイントを設定します。 config ap mode {monitor | local | flexconnect} Cisco_AP
                                                                                                  (注)     

                                                                                                  wIPS 用のアクセス ポイントを設定するには、そのアクセス ポイントがmonitorlocal、または Flexconnect モードでなければなりません。

                                                                                                  ステップ 2   アクセス ポイントがリブートされることを知らせるメッセージが表示された場合、処理を続行するには Y と入力します。
                                                                                                  ステップ 3   次のコマンドを入力して、変更を保存します。

                                                                                                  save config

                                                                                                  ステップ 4   次のコマンドを入力して、アクセス ポイント無線を無効にします。 config {802.11a | 802.11b} disable Cisco_AP
                                                                                                  ステップ 5   次のコマンドを入力して、アクセス ポイントで wIPS サブモードを設定します。 config ap mode ap_mode submode wips Cisco_AP
                                                                                                  (注)     

                                                                                                  アクセス ポイントで wIPS を無効にするには、config ap mode ap_mode submode none Cisco_AP コマンドを入力します。

                                                                                                  ステップ 6   次のコマンドを入力して、wIPS に最適化されたチャネル スキャンをアクセス ポイントで有効にします。

                                                                                                  config ap monitor-mode wips-optimized Cisco_AP

                                                                                                  アクセス ポイントは、250 ミリ秒の間、各チャネルをスキャンします。 監視設定に基づいてスキャンされるチャネルの一覧が取得されます。 次のオプションのいずれかを選択できます。

                                                                                                  • All:アクセス ポイントの無線でサポートされているすべてのチャネル
                                                                                                  • Country:アクセス ポイントの使用国でサポートされているチャネルのみ
                                                                                                  • DCA:動的チャネル割り当て(DCA)アルゴリズムによって使用されるチャネル セットのみ(デフォルトでは、アクセス ポイントの使用国で許可された、オーバーラップしないすべてのチャネルを含む)

                                                                                                  show advanced {802.11a | 802.11b} monitor コマンドの出力の 802.11a または 802.11b Monitor Channels テキスト ボックスに、監視設定チャネル セットが表示されます。

                                                                                                  
                                                                                                  Default 802.11b AP monitoring
                                                                                                    802.11b Monitor Mode........................... enable
                                                                                                    802.11b Monitor Channels....................... Country channels
                                                                                                    802.11b AP Coverage Interval................... 180 seconds
                                                                                                    802.11b AP Load Interval....................... 60 seconds
                                                                                                    802.11b AP Noise Interval...................... 180 seconds
                                                                                                    802.11b AP Signal Strength Interval............ 60 seconds

                                                                                                  
                                                                                                  ステップ 7   次のコマンドを入力して、アクセス ポイント無線を再度有効にします。 config { 802.11a | 802.11b} enable Cisco_AP
                                                                                                  ステップ 8   次のコマンドを入力して、変更を保存します。 save config

                                                                                                  wIPS 情報の表示(CLI)


                                                                                                  (注)  


                                                                                                  コントローラ GUI からアクセス ポイント サブモードを表示することもできます。 そのためには、[Wireless] > [Access Points] > [All APs] > アクセスポイント名 > [Advanced] タブを選択します。 アクセス ポイントが監視モードで、そのアクセス ポイントに wIPS サブモードが設定されている場合、[AP Sub Mode] テキスト ボックスに [wIPS] と表示されます。アクセス ポイントが監視モードではない場合、または、アクセス ポイントは監視モードであるが wIPS サブモードが設定されていない場合、[AP Sub Mode] テキスト ボックスには [None] と表示されます。


                                                                                                  • 次のコマンドを入力して、アクセス ポイントの wIPS サブモードを表示します。 show ap config general Cisco_AP

                                                                                                    以下に類似した情報が表示されます。

                                                                                                    
                                                                                                    Cisco AP Identifier.............................. 3
                                                                                                    Cisco AP Name.................................... AP1131:46f2.98ac
                                                                                                    ...
                                                                                                    AP Mode ......................................... Monitor
                                                                                                    Public Safety ................................... Disabled  Disabled
                                                                                                    AP SubMode ...................................... WIPS
                                                                                                    ...

                                                                                                    

                                                                                                  • 次のコマンドを入力して、アクセス ポイントに設定された、wIPS に最適化されたチャネル スキャンを表示します。

                                                                                                    show ap monitor-mode summary

                                                                                                    以下に類似した情報が表示されます。

                                                                                                    
                                                                                                    AP Name 	 	 	 	 	 Ethernet MAC       	 	 Status 	 	 	 	 	 Scanning Channel List
                                                                                                    ------------------ 	-------------------- ----------  ------------------------
                                                                                                    AP1131:46f2.98ac 	 	 	 00:16:46:f2:98:ac 	 	 	 	 	wIPS 	 	 	 	 	 	 	1, 6, NA, NA
                                                                                                    

                                                                                                  • 次のコマンドを入力して、WCS からコントローラに転送される wIPS 設定を表示します。 show wps wips summary

                                                                                                    以下に類似した情報が表示されます。

                                                                                                    
                                                                                                    Policy Name.............. Default
                                                                                                    Policy Version.......... 3 

                                                                                                    

                                                                                                  • 次のコマンドを入力して、コントローラで現在動作している wIPS の状態を表示します。 show wps wips statistics

                                                                                                    以下に類似した情報が表示されます。

                                                                                                    
                                                                                                    Policy Assignment Requests............ 1
                                                                                                    Policy Assignment Responses........... 1
                                                                                                    Policy Update Requests................ 0
                                                                                                    Policy Update Responses............... 0
                                                                                                    Policy Delete Requests................ 0
                                                                                                    Policy Delete Responses............... 0
                                                                                                    Alarm Updates......................... 13572
                                                                                                    Device Updates........................ 8376
                                                                                                    Device Update Requests................ 0
                                                                                                    Device Update Responses............... 0
                                                                                                    Forensic Updates...................... 1001
                                                                                                    Invalid WIPS Payloads................. 0
                                                                                                    Invalid Messages Received............. 0
                                                                                                    NMSP Transmitted Packets.............. 22950
                                                                                                    NMSP Transmit Packets Dropped......... 0
                                                                                                    NMSP Largest Packet................... 1377

                                                                                                    

                                                                                                  • 次のコマンドを入力して、コントローラ上の wIPS 統計情報をクリアします。 clear stats wps wips

                                                                                                  Wi-Fi Direct クライアント ポリシーの設定

                                                                                                  Wi-Fi Direct クライアント ポリシーについて

                                                                                                  Wi-Fi Direct 対応のデバイスは迅速な相互接続が可能で、印刷、同期、データ共有などのタスクを効率的に実行できます Wi-Fi Direct デバイスは、複数のピアツーピア(P2P)デバイスおよびインフラストラクチャ無線 LAN(WLAN)に同時にアソシエートしている場合があります。 コントローラを使用して、Wi-Fi Direct クライアント ポリシーを WLAN 単位で設定できます。その際、Wi-Fi デバイスとインフラストラクチャ WLAN のアソシエーションを許可または禁止するか、WLAN に対して Wi-Fi Direct クライアント ポリシーをすべて無効にすることができます。

                                                                                                  注意事項および制約事項

                                                                                                  Wi-Fi Direct クライアント ポリシーは、ローカル モードの AP が含まれる WLAN のみに適用できます。

                                                                                                  Wi-Fi Direct クライアント ポリシーの設定(GUI)


                                                                                                    ステップ 1   [WLANs] を選択して、[WLANs] ページを開きます。
                                                                                                    ステップ 2   Wi-Fi Direct クライアント ポリシーを設定する WLAN の WLAN ID をクリックします。 [WLANs > Edit] ページが表示されます。
                                                                                                    ステップ 3   [Advanced] タブをクリックします。
                                                                                                    ステップ 4   [Wi-Fi Direct Clients Policy] ドロップダウン リストから、次のいずれかのオプションを選択します。
                                                                                                    • [Disabled]:クライアントの Wi-Fi Direct ステータスを無視し、それによって Wi-Fi Direct クライアントのアソシエーションを許可します
                                                                                                    • [Allow]:Wi-Fi Direct クライアントと WLAN のアソシエーションを許可します
                                                                                                    • [Not-Allow]:Wi-Fi Direct クライアントと WLAN のアソシエーションを禁止します
                                                                                                    ステップ 5   [Apply] をクリックします。

                                                                                                    Wi-Fi Direct クライアント ポリシーの設定(CLI)


                                                                                                      ステップ 1   次のコマンドを入力して、WLAN に Wi-Fi Direct クライアント ポリシーを設定します。

                                                                                                      config wlan wifidirect {allow | disable | not-allow} wlan-id

                                                                                                      このコマンドの構文は次のとおりです。

                                                                                                      • allow:Wi-Fi Direct クライアントと WLAN のアソシエーションを許可します

                                                                                                      • disable:WLAN の Wi-Fi Direct クライアント ポリシーを無効にし、すべての Wi-Fi Direct クライアントの認証を解除します

                                                                                                      • not-allow:Wi-Fi Direct クライアントと WLAN のアソシエーションを禁止します

                                                                                                      • wlan-id:WLAN ID

                                                                                                      ステップ 2   次のコマンドを入力して、設定を保存します。

                                                                                                      save config


                                                                                                      Wi-Fi Direct クライアント ポリシーの監視とトラブルシューティング(CLI)

                                                                                                      • Wi-Fi Direct クライアント ポリシーの監視およびトラブルシューティングを行うには、次のコマンドを使用します。

                                                                                                        • show wlan wifidirect wlan-id:WLAN の Wi-Fi Direct クライアント ポリシーのステータスを表示します

                                                                                                        • show client wifiDirect-stats:アソシエートされているクライアントの合計数と、Wi-Fi Direct クライアント ポリシーが有効な場合に拒否されるクライアントの数が表示されます

                                                                                                      Web 認証プロキシの設定

                                                                                                      Web 認証プロキシについて

                                                                                                      この機能を使用すると、ブラウザで手動 Web プロキシが有効になっているクライアントに対し、コントローラによる認証を強化することができます。 ユーザのブラウザで、ポート番号 8080 または 3128 を使用して手動プロキシが設定されている場合、クライアントが URL を要求すると、コントローラは応答の Web ページで、プロキシ設定が自動的に検出されるようにインターネットのプロキシ設定を変更するようユーザに要求します。これにより、ブラウザの手動プロキシ設定情報が失われることはなくなります。 ユーザはこの設定を有効にしたあと、Web 認証ポリシーを通じてネットワークにアクセスできます。 この機能がポート 8080 および 3128 に提供されるのは、それらのポートが Web プロキシ サーバで最も一般的に使用されているからです。


                                                                                                      (注)  


                                                                                                      Web 認証プロキシ リダイレクト ポートは、CPU ACL ではブロックされません。 Web 認証プロキシ設定の中で、ポート 8080、3128、および 1 つのランダムなポートをブロックするように CPU ACL が設定されていても、これらのポートはブロックされません。なぜなら、クライアントが webauth_req 状態でない限り、Web 認証ルールは CPU ACL ルールよりも優先されるからです。


                                                                                                      Web ブラウザには、次の 3 種類のインターネット設定をユーザが指定できます。

                                                                                                      • 自動検出
                                                                                                      • システム プロキシ
                                                                                                      • 手動

                                                                                                      手動プロキシ サーバ設定では、ブラウザはプロキシ サーバの IP アドレスとポートを使用します。 ブラウザでこの設定が有効になると、ワイヤレス クライアントは設定されたポートで宛先プロキシ サーバの IP と通信します。 Web 認証シナリオでは、コントローラはこのようなプロキシ ポートをリッスンしないので、クライアントはコントローラとの TCP 接続を確立できません。 ユーザは事実上、認証用のログイン ページを表示できず、ネットワークにアクセスすることはできません。

                                                                                                      ワイヤレス クライアントが Web 認証された WLAN ネットワークに入った場合、そのクライアントは URL にアクセスしようとします。 クライアントのブラウザに手動プロキシが設定されていると、クライアントから発信されるすべての Web トラフィックは、ブラウザに設定されたプロキシ IP およびポートに送信されます。

                                                                                                      • TCP 接続は、クライアントと、コントローラがプロキシとして動作しているプロキシ サーバの IP アドレスの間で確立されます。
                                                                                                      • クライアントは DHCP 応答を処理し、コントローラから JavaScript ファイルを取得します。 このスクリプトによって、そのセッションに関するクライアントのプロキシ設定はすべて無効になります。

                                                                                                        (注)  


                                                                                                        外部クライアントに対しては、コントローラはログイン ページを現状のまま(JavaScipt なしで)送信します。


                                                                                                      • プロキシ設定をバイパスする要求。 そのあと、コントローラは Web リダイレクション、ログイン、認証を実行できます。
                                                                                                      • クライアントがネットワークから出て独自のネットワークに戻った場合は、DHCP が更新され、クライアントはブラウザに設定された以前のプロキシ設定を引き続き使用します。
                                                                                                      • 外部 DHCP サーバで Web 認証プロキシを使用する場合、該当するスコープの DHCP サーバで DHCP オプション 252 を設定する必要があります。 オプション 252 の値の形式は http://<virtual ip>/proxy.js です。 内部の DHCP サーバでは、追加設定は必要ありません。

                                                                                                        (注)  


                                                                                                        FIPS モードでセキュアな Web 認証を設定する場合は、ブラウザに Mozilla Firefox を使用することをお勧めします。


                                                                                                      Web 認証プロキシの設定(GUI)


                                                                                                        ステップ 1   [Controller] > [General] の順に選択します。
                                                                                                        ステップ 2   [WebAuth Proxy Redirection Mode] メニューから [Enabled] を選択して、Web 認証プロキシを有効にします。
                                                                                                        ステップ 3   [WebAuth Proxy Redirection Port] テキスト ボックスに、Web 認証プロキシのポート番号を入力します。

                                                                                                        このテキスト ボックスでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

                                                                                                        ステップ 4   [Apply] をクリックします。

                                                                                                        Web 認証プロキシの設定(CLI)

                                                                                                        • 次のコマンドを入力して、Web 認証プロキシ リダイレクションを有効にします。 config network web-auth proxy-redirect {enable | disable}

                                                                                                        • 次のコマンドを入力して、Web 認証ポート番号を設定します。 config network web-auth port <port-number>

                                                                                                          このパラメータでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。

                                                                                                        • Web 認証プロキシ設定の現在のステータスを表示するには、次のいずれかのコマンドを入力します。

                                                                                                          • show network summary
                                                                                                          • show running-config

                                                                                                        意図的な悪用の検出

                                                                                                        コントローラでは、潜在的な脅威を知らせる役割を果たす 3 つの意図的な悪用に関するアラームをサポートしています。 これらはデフォルトで有効になっているため、コントローラ上での設定は不要です。

                                                                                                        • ASLEAP 検出:コントローラは、攻撃者が LEAP クラック ツールを起動した場合にトラップを生成します。 トラップ メッセージは、コントローラのトラップ ログで確認できます。
                                                                                                        • 疑似アクセス ポイント検出:高密度アクセス ポイント環境でのアクセス ポイント アラームの誤作動を回避するために、コントローラは疑似アクセス ポイント検出ロジックを調整します。
                                                                                                        • ハニーポット アクセス ポイント検出:コントローラは、不正なアクセス ポイントが管理対象 SSID を使用している場合にトラップ イベントを生成します(コントローラで設定された WLAN)。 トラップ メッセージは、コントローラのトラップ ログで確認できます。