Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
不正なデバイスの管理
不正なデバイスの管理
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

不正なデバイスの管理

不正なデバイスについて

不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連の Clear To Send(CTS; クリア ツー センド)フレームを送信できるようになります。 アクセス ポイントになりすましてこの CTS フレームが送信され、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。

不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、許可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。

不正なデバイスの検出

コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。 コントローラで不正なアクセス ポイントが検出されると、Rogue Location Discovery Protocol(RLDP; 不正ロケーション検出プロトコル)を使用して、不正なアクセス ポイントがネットワークに接続されているかどうかが判定されます。

コントローラは、すべてのアクセス ポイント上で、または monitor(リッスン専用)モードに設定されたアクセス ポイント上のみ、のいずれかで RLDP を使用できるように設定できます。 この後者のオプションでは、輻輳している RF 空間での不正なアクセス ポイントを簡単に自動検出できるようになります。そして、不要な干渉を生じさせたり、通常のデータ アクセス ポイント機能に影響を与えたりすることなく、モニタリングを行えるようになります。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラでは常に RLDP 動作に対してモニタ アクセス ポイントが選択されます。 ネットワーク上に不正があると RLDP で判断された場合は、検出された不正を手動で封じ込め処理を行うことも、自動的に封じ込め処理を行うこともできます。

不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。 コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。 アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。 自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。

不正阻止の操作は、次の 2 通りの方法で実行されます。

  • コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。 不正なアクセス ポイントを阻止するために、このフレームは不正なクライアントがアソシエートされている場合のみ送信されます。
  • 阻止された不正アクティビティが検出されると、阻止フレームが送信されます。

個々の不正阻止フレームには、一連のユニキャスト アソシエーション解除および認証解除フレームの送信が含まれます。

注意事項および制約事項

  • 許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。 強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。
  • 最も多くの不正アクセス ポイント数が疑われる高密度な RF 環境では、ローカルおよび FlexConnect モードのアクセス ポイントによってチャネル 157 または 161 で不正なアクセス ポイントが検出される可能性は、他のチャネルの場合に比べて低くなります。 この問題を緩和するために、専用の監視モードのアクセス ポイントを使用することをお勧めします。
  • ローカルおよび FlexConnect モードのアクセスポイントは、アソシエートされたクライアントに対して機能するように設計されており、オフチャネルのスキャンに費やす時間は比較的短くなります。 アクセス ポイントが各チャネル上で費やす時間は約 50 ミリ秒です。 高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。 あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。 ただしこの場合も、アクセス ポイントが各チャネル上で費やす時間は約 50 ミリ秒です。
  • 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。
  • クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
  • 不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。
  • 各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(モニタ モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。
  • RLDP は、オープン認証用に設定されている不正なアクセス ポイントを検出します。
  • RLDP は、ブロードキャスト BSSID を使用する不正アクセス ポイント(ビーコンで SSID をブロードキャストするアクセス ポイント)を検出します。
  • RLDP は、同じネットワークにある不正なアクセス ポイントだけを検出します。 ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
  • RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルのモニタ モードであるときには機能します。
  • メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、コントローラからそのメッシュ AP のアソシエーションは解除されます。 回避策は、メッシュ AP で RLDP を無効にすることです。

Cisco Prime Infrastructure のインタラクションと不正の検出

Cisco Prime Infrastructure では、ルール ベースの分類がサポートされています。 Cisco Prime Infrastructure は、コントローラに設定された分類ルールを使用します。 コントローラは、次のイベントの後に、トラップを Cisco Prime Infrastructure に送信します。

  • 最初に不明なアクセス ポイントが Friendly に移動した場合に、不正の状態が Alert のときは、コントローラから Cisco Prime Infrastructure にトラップが送信されます。 不正の状態が Internal または External であると、トラップは送信されません。
  • タイムアウトの経過後に不正なエントリが移動した場合、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。 コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。

不正検出の設定(GUI)


    ステップ 1   必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただしコントローラ ソフトウェア リリース 6.0 以降では、[All APs > Details for]([Advanced])ページで [Rogue Detection] チェックボックスを選択または選択解除すると、個々のアクセス ポイントに対して不正検出を有効または無効にできます。
    ステップ 2   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] を選択して、[Rogue Policies] ページを開きます。
    ステップ 3   [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。
    • [Disable]:すべてのアクセス ポイント上で RLDP を無効にします。 768 ビットは、デフォルト値です。
    • [All APs]:すべてのアクセス ポイント上で RLDP を有効にします。
    • [Monitor Mode APs]:モニタ モードのアクセス ポイント上でのみ RLDP を有効にします。
    ステップ 4   [Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。
    (注)     

    不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

    ステップ 5   AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証するには、[Validate Rogue Clients Against AAA] チェックボックスをオンにします。 デフォルト値はオフです。
    ステップ 6   必要に応じて、[Detect and Report Ad-Hoc Networks] チェックボックスをオンにして、アドホック不正の検出および報告を有効にします。 デフォルト値はオンです。
    ステップ 7   [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。
    ステップ 8   [Rogue Detection Minimum RSSI] テキスト ボックスに、不正に必要な最小 RSSI 値を入力します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。 有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。
    (注)     

    この機能は、すべての AP モードに適用できます。 RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

    ステップ 9   [Rogue Detection Transient Interval] テキスト ボックスに、不正が最初にスキャンされた後、AP によって不正がスキャンされる時間間隔を入力します。 連続的に不正がスキャンされた後、更新情報が定期的にコントローラへ送信されます。 これによって、非常に短い時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタリングされます。 有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。

    この機能は、モニタ モードの AP のみに適用されます。

    この機能には次の利点があります。

    • AP からコントローラへの不正レポートが短くなる
    • 一時的な不正エントリをコントローラで回避できる
    • 一時的な不正への不要なメモリ割り当てを回避できる
    ステップ 10   特定の不正なデバイスをコントローラで自動的に阻止するには、次のチェックボックスをオンにします。 それ以外の場合は、これらのチェックボックスをオフ(デフォルト値)のままにしておきます。
    注意       

    次のパラメータのいずれかを有効にすると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

    • [Auto Containment Level]:ドロップダウン リストから値を選択して、自動阻止レベルを設定します。 デフォルトは 1 です。

    • [Auto Containment only for monitor mode APs]:監視モードのアクセス ポイントを auto-containment に使用する場合、このチェックボックスをオンにします。
    • [Rogue on Wire]:有線ネットワークで検出された不正を自動的に阻止します。
    • [Using Our SSID]:ネットワークの SSID をアドバタイズする不正を自動的に阻止します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
    • [Valid Client on Rogue AP]:信頼できるクライアントのアソシエート先の不正なアクセス ポイントを自動的に阻止します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
    • [AdHoc Rogue AP]:コントローラによって検出されたアドホック ネットワークを自動的に阻止します。 このパラメータをオフにしておくと、該当するネットワークが検出されても警告が生成されるだけです。
    ステップ 11   [Apply] をクリックします。
    ステップ 12   [Save Configuration] をクリックします。

    不正検出の設定(CLI)


      ステップ 1   必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 次のコマンドを入力して、個々のアクセス ポイントに対して設定を有効または無効にできます。

      config rogue detection {enable | disable} Cisco_AP command.

      (注)     

      特定のアクセス ポイントについて、不正の検出の現在の設定状態を確認するには、show ap config general Cisco_AP コマンドを入力します。

      (注)     

      家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

      ステップ 2   次のコマンドを入力して、RLDP を有効化、無効化、または開始します。
      • config rogue ap rldp enable alarm-only:すべてのアクセス ポイントに対して RLDP を有効にします。

      • config rogue ap rldp enable alarm-only monitor_ap_only:監視モードのアクセス ポイントに対してのみ RLDP を有効にします。

      • config rogue ap rldp initiate rogue_mac_address:特定の不正なアクセス ポイントに対して RLDP を開始します。

      • config rogue ap rldp disableすべてのアクセス ポイントに対して RLDP を無効にします。

      ステップ 3   次のコマンドを入力して、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を指定します。 config rogue ap timeout seconds

      seconds の有効な値の範囲は 240 ~ 3600 秒(両端の値を含む)で、デフォルト値は 1200 秒です。

      (注)     

      不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

      ステップ 4   次のコマンドを入力して、アドホック不正の検出および報告を有効または無効にします。

      config rogue adhoc {enable | disable}

      ステップ 5   次のコマンドを入力して AAA サーバまたはローカル データベースを有効または無効にし、不正なクライアントが有効なクライアントかどうかを検証します。

      config rogue client aaa {enable | disable}

      ステップ 6   次のコマンドを入力して、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。

      config rogue detection monitor-ap report-interval time in sec

      time in sec パラメータの有効範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。

      (注)     

      この機能は、モニタ モードの AP のみに適用されます。

      ステップ 7   次のコマンドを入力して、不正に必要な最小 RSSI 値を指定します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。

      config rogue detection min-rssi rssi in dBm

      rssi in dBm パラメータの有効範囲は –128 ~ 0 dBm で、デフォルト値は 0 dBm です。

      (注)     

      この機能は、すべての AP モードに適用できます。 RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

      ステップ 8   次のコマンドを入力して、不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。

      config rogue detection monitor-ap transient-rogue-interval time in sec

      time in sec パラメータの有効範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。

      (注)     

      この機能は、監視モードの AP のみに適用されます。

      一時的な間隔値を使用して、AP が不正をスキャンする間隔を制御できます。 AP では、それぞれの一時的間隔値に基づいて、不正のフィルタリングも実行できます。

      この機能には次の利点があります。
      • AP からコントローラへの不正レポートが短くなる
      • 一時的な不正エントリをコントローラで回避できる
      • 一時的な不正への不要なメモリ割り当てを回避できる
      ステップ 9   特定の不正なデバイスをコントローラで自動的に阻止するには、次のコマンドを入力します。
      注意       

      次のコマンドのいずれかを入力すると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

      • config rogue ap rldp enable auto-contain:有線ネットワークで検出された不正を自動的に阻止します。

      • config rogue ap ssid auto-contain:ネットワークの SSID をアドバタイズする不正を自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap ssid alarm コマンドを入力します。

      • config rogue ap valid-client auto-contain:信頼できるクライアントのアソシエート先の不正なアクセス ポイントを自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap valid-client alarm コマンドを入力します。

      • config rogue adhoc auto-contain:コントローラによって検出されたアドホック ネットワークを自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue adhoc alart コマンドを入力します。

      • config rogue auto-contain level level monitor_mode_ap_only:モニタ モードのアクセス ポイントに auto-containment レベルを設定します。 デフォルト値は、1 です

      ステップ 10   次のコマンドを入力して、アドホック不正分類を設定します。
      • config rogue adhoc classify friendly state {internal | external} mac-addr
      • config rogue adhoc classify malicious state {alert | contain} mac-addr
      • config rogue adhoc classify unclassified state {alert | contain} mac-addr
      次に、パラメータを簡単に説明します。
      • internal:外部アドホック不正を信頼します。
      • external:アドホック不正の存在を認識します。
      • alert:アドホック不正が検出されると、トラップを生成します。
      • contain:不正アドホックの組み込みを開始します。
      ステップ 11   次のコマンドを入力して、RLDP のスケジュールを設定します。
      • config rogue ap rldp schedule add:特定の曜日に RLDP をスケジュールします。 RLDP をスケジュールする曜日(montuewed など)を入力し、開始時刻と終了時刻を HH:MM:SS 形式で指定する必要があります。 例: config rogue ap rldp schedule add mon 22:00:00 23:00:00
        (注)     

        RLDP スケジュールを設定すると、それ以降、つまり設定が保存されたあとにそのスケジュールが実行されるとみなされます。

      ステップ 12   次のコマンドを入力して、変更を保存します。

      save config