Cisco ワイヤレス LAN コントローラ構成ガイド リリース 8.1
不正なデバイスの管理
不正なデバイスの管理

不正なデバイスの管理

不正なデバイスについて

不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。 アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。

不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。

次に、不正なデバイスの管理に関する注意事項を示します。
  • 許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。 強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。

  • 最も多くの不正アクセス ポイント数が疑われる高密度な RF 環境では、ローカルおよび FlexConnect モードのアクセス ポイントによってチャネル 157 またはチャネル 161 で不正なアクセス ポイントが検出される可能性は、他のチャネルの場合に比べて低くなります。 この問題を緩和するために、専用の監視モードのアクセス ポイントを使用することをお勧めします。

  • ローカルおよび FlexConnect モード アクセス ポイントは、関連付けられたクライアントに対応するように設計されています。 これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。 高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。 あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。 ただしこの場合も、アクセス ポイントが各チャネルに費やす時間は約 50 ミリ秒です。

  • 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

  • クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。

  • 不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。

  • 各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(監視モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。

  • Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。

  • RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。

  • RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。 ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。

  • RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルの監視モードである場合には機能します。

  • メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラから解除されます。 回避策は、メッシュ AP で RLDP を無効にすることです。

  • RLDP が監視モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。

  • 不正を手動で阻止すると、不正なエントリは期限切れになった後でも保持されます。

  • 不正を自動、ルール、AwIPS などの他の防御方法で阻止すると、不正なエントリは期限切れになると削除されます。

  • コントローラは、不正なクライアントの検証を AAA サーバに一度だけ要求します。 その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。 これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。

  • すべての有効なクライアント MAC の詳細が、コントローラの RADIUS 構成で設定されたものと同じ MAC デリミタ オプションを持つ AAA 認証サーバに登録される必要があります。 MAC デリミタ オプションの設定の詳細については、「RADIUS(GUI)の設定」の項を参照してください。

  • 7.4 以前のリリースでは、ルールによってすでに分類された不正は再分類されませんでした。 7.5 リリースでは、不正ルールの優先順位に基づいて不正を再分類できるようにこの動作が強化されました。 優先順位は、コントローラが受信する不正レポートを使用して決定されます。

  • (自動またはルールまたは手動により)Friendly または Contained 状態としてマークされるすべての不正は、コントローラのフラッシュ メモリに格納されます。 リリース 7.4 を搭載したコントローラをリブートすると、これらの不正は手動で変更されたものとして表示されます。 コントローラをリブートするときは、すべての不正な AP と不正アドホックをコントローラから取り除き、設定を保存してからコントローラをリブートする必要があります。

  • (手動のみにより)Friendly または Contained 状態としてマークされるすべての不正は、コントローラのフラッシュ メモリに格納されます。 リリース 7.4 から 7.6 以降のバージョンにコントローラをアップグレードする場合は、リリース 7.4 に格納されているすべての不正は手動で分類されたか(Friendly 分類された場合)、または手動で阻止されたものとして表示されます。 そのため、リリース 7.4 から 7.6 以降のバージョンにコントローラをアップグレードした後は、すべての不正な AP と不正アドホックをコントローラから削除し、不正検出の設定を開始する必要があります。

  • 接続モードの FlexConnect AP(不正検出が有効になっている)は、コントローラから不正阻止のリストを取得します。 自動阻止 SSID および自動阻止アドホックがコントローラに設定されている場合、これらの設定は、接続モードのすべての FlexConnect AP に設定され、AP はこれをメモリに保存します。

    FlexConnect AP がスタンドアロン モードに移行すると、次の処理が実行されます。
    • コントローラによる阻止設定が継続されます。
    • FlexConnect AP が、インフラ SSID と同じ SSID(FlexConnect AP が接続されているコントローラに設定された SSID)を持つ不正な AP を検出すると、スタンドアロン モードに移行する前に自動阻止 SSID がコントローラから有効にされていれば、阻止が開始されます。
    • FlexConnect AP がアドホック不正を検出すると、接続モード時に自動阻止アドホックがコントローラから有効にされていれば、阻止が開始されます。
    スタンドアロンの FlexConnect AP を接続モードに戻すと、次の処理が実行されます。
    • すべての阻止はクリアされます。
    • コントローラから開始された阻止が引き継ぎます。
  • WLAN、LAN、11a 無線および 11bg 無線の不正な AP の MAC アドレスは、不正 BSSID の +/- 1 の差異で設定されているので、不正検出 AP は、5Mhz チャネルの不正な有線 AP の関連付けおよび阻止に失敗します。 8.0 リリースでは、MAC アドレスの範囲を広げることによって、この動作が強化されました。不正検出 AP は有線 ARP MAC と不正 BSSID を +/- 3 の差異で関連付けます。
  • オープン認証を使用する不正アクセス ポイントはネットワーク上で検出できます。 NAT 有線または不正有線検出は、WLC(RLDP と不正検出 AP の両方)ではサポートされません。 非隣接 MAC アドレスは、RLDP ではなく AP の不正検出モードでサポートされます。


(注)  


不正 AP、不正クライアント、または一時的な封じ込めの設定は、リロード時に破棄されます。 リロード後にすべての不正を再設定する必要があります。


Rogue Location Discovery Protocol

Rogue Location Discovery Protocol(RLDP)は、不正 AP で認証が設定されていない(オープン認証)場合に使用される積極的なアプローチです。 このモードは、デフォルトで無効になっており、不正チャネルに移動して、クライアントとして不正に接続するようにアクティブ AP に指示します。 この間に、アクティブ AP は、接続されたすべてのクライアントに認証解除メッセージを送信してから、無線インターフェイスをシャットダウンします。 次に、クライアントとして不正 AP にアソシエートします。 その後で、AP は、不正 AP から IP アドレスの取得を試み、ローカル AP と不正接続情報を含む User Datagram Protocol(UDP)パケット(ポート 6352)を不正 AP を介してコントローラに転送します。 コントローラがこのパケットを受信すると、不正 AP が RLDP 機能を使用して有線ネットワークで検出されたことをネットワーク管理者に通知するためのアラームが設定されます。

RLDP の不正 AP の検出精度は 100% です。 オープン AP と NAT AP を検出します。


(注)  


Lightweight AP が不正 AP とアソシエートして DHCP アドレスを受信するかどうかを確認するには、debug dot11 rldp enable コマンドを使用します。 このコマンドは、Lightweight AP からコントローラに送信された UDP パケットも表示します。


ここで、Lightweight AP から送信される UDP (宛先ポート 6352)パケットのサンプルを示します。0020 0a 01 01 0d 0a 01 .......(.*...... 0030 01 1e 00 07 85 92 78 01 00 00 00 00 00 00 00 00 ......x......... 0040 00 00 00 00 00 00 00 00 00 00

最初の 5 バイトのデータには、不正 AP によってローカル モード AP に割り当てられた DHCP アドレスが含まれています。 次の 5 バイトはコントローラの IP アドレスで、その後に不正 AP MAC アドレスを表す 6 バイトが続きます。 その後に、18 バイトの 0 が続きます。

ここで、RLDP の動作手順を示します。
  1. 信号強度値を使用して不正に最も近い統合 AP を特定します。

  2. その後で、この AP が WLAN クライアントとして不正に接続します。3 回のアソシエーションを試みて、成功しない場合はタイムアウトします。

  3. アソシエーションが成功すると、AP が DHCP を使用して IP アドレスを取得します。

  4. IP アドレスが取得されたら、AP(WLAN クライアントとして機能している)は、コントローラの IP アドレスのそれぞれに UDP パケットを送信します。

  5. コントローラがクライアントから RLDP パケットの 1 つでも受信すると、その不正が重大度が critical の on-wire としてマークされます。


(注)  


コントローラのネットワークと不正デバイスが設置されたネットワークの間にフィルタリング ルールが設定されている場合は、RLDP パケットがコントローラに到達できません。


RLDP の注意事項:
  • RLDP は、認証と暗号化が無効になっている SSID をブロードキャストするオープン不正 AP でのみ動作します。

  • RLDP では、クライアントとして機能しているマネージド AP が不正ネットワーク上で DHCP を介して IP アドレスを取得できる必要があります。

  • 手動 RLDP を使用して、不正上で RLDP トレースを複数回試すことができます。

  • RLDP プロセス中は、AP がクライアントにサービスを提供できません。 これがローカル モード AP のパフォーマンスと接続に悪影響を及ぼします。 この問題を回避するために、RLDP はモニタ モード AP に対してのみ選択的に有効にできます。

  • RLDP は、5GHz DFS チャネルで動作する不正 AP への接続は試行しません。


(注)  


RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。 これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。 また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。 自動 RLDP 試行で不正(ノイズの多い RF 環境などが原因)が検出されなかった場合は、コントローラが再試行しません。 ただし、不正デバイス上で RLDP を手動で開始できます。


不正なデバイスの検出

コントローラは、近くにあるすべてのアクセス ポイントを継続的に監視し、不正なアクセス ポイントとクライアントに関する情報を自動的に検出および収集します。 コントローラは不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正がネットワークに接続されているかどうかを特定します。

コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。 RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。 RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。 不正なアクセス ポイントが検出された時点で(自動設定)、RLDP のプロセスが開始されます。

すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。 後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。 ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。

RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。

3 種類の方法でコントローラから RLDP を開始またはトリガーできます。
  1. コントローラの CLI から RLDP 開始コマンドを手動で入力します。 RLDP を開始するための同等の GUI オプションはサポートされていません。

    config rogue ap rldp initiatemac-address

  2. コントローラの CLI から RLDP をスケジュールします。 RLDP をスケジュールするための同等の GUI オプションはサポートされていません。

    config rogue ap rldp schedule

  3. 自動 RLDP。 コントローラの CLI または GUI から自動 RLDP を設定できますが、次の注意事項を考慮してください。
    • 不正検出のセキュリティ レベルが custom に設定されている場合にのみ、自動 RLDP オプションを設定できます。
    • 自動 RLDP および RLDP のスケジュールを同時に有効にすることはできません。
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。 コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。 アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。 自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。 阻止動作は次の 2 つの方法で開始されます。
  • コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。 不正なアクセス ポイントの阻止の場合、フレームは不正なクライアントがアソシエートされている場合にのみ送信されます。

  • 阻止された不正アクティビティが検出されると、阻止フレームが送信されます。

個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。

Cisco Prime Infrastructure のインタラクションと不正検出

Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。 コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。

  • 不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。 不正の状態が Internal または External であると、トラップは送信されません。

  • タイムアウトの経過後に不正なエントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。 コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。

不正検出の設定(GUI)


    ステップ 1   該当するアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただし、[All APs > Details for](Advanced)ページで [Rogue Detection] チェックボックスをオンまたはオフにして、個々のアクセス ポイントの不正検出を有効または無効にできます。
    ステップ 2   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] を選択します。

    [Rogue Policies] ページが表示されます。

    ステップ 3   [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。
    • [Disable]すべてのアクセス ポイントで RLDP を無効にします。 これはデフォルト値です。
    • [All APs]すべてのアクセス ポイントで RLDP を有効にします。
    • [Monitor Mode APs]監視モードのアクセス ポイントでのみ RLDP を有効にします。
    ステップ 4   [Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。
    (注)     

    不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

    ステップ 5   AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証するには、[Validate Rogue Clients Against AAA] チェックボックスをオンにします。 デフォルトでは、このチェックボックスはオフになっています。
    ステップ 6   必要に応じて、[Detect and Report Ad-Hoc Networks] チェックボックスをオンにして、アドホック不正検出および報告を有効にします。 デフォルトでは、このチェックボックスはオンになっています。
    ステップ 7   [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。
    ステップ 8   [Rogue Detection Minimum RSSI] テキスト ボックスに、AP が不正を検出し、不正エントリがコントローラで作成されるために必要な受信信号強度表示(RSSI)の最小値を入力します。 有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。
    (注)     

    この機能は、すべての AP モードに適用できます。

RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

    ステップ 9   [Rogue Detection Transient Interval] テキスト ボックスに、不正が AP により最初にスキャンされた後、スキャンされる時間間隔を入力します。 連続的に不正がスキャンされると、更新情報が定期的にコントローラへ送信されます。 したがって、非常に短い時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタリングされます。 有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。

    不正検出の一時的間隔は、監視モードの AP にのみ適用されます。

    この機能には次の利点があります。

    • AP からコントローラへの不正レポートが短くなる。

    • 一時的不正エントリをコントローラで回避できる。

    • 一時的不正への不要なメモリ割り当てを回避できる。

    ステップ 10   コントローラに自動的に特定の不正デバイスを阻止させる場合は、次のパラメータを有効にします。 デフォルトでは、これらのパラメータは無効の状態です。
    注意       

    Auto Contain パラメータのいずれかを選択して [Apply] をクリックすると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。 産業科学医療(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

    • [Auto Containment Level]自動阻止レベルを設定します。 デフォルトで、自動阻止レベルは 1 に設定されています。

    • [Auto Containment only for Monitor mode APs]自動阻止用のモニタ モード アクセス ポイントを設定します。
    • [Rogue on Wire]:有線ネットワークで検出される不正の自動阻止を設定します。
    • [Using Our SSID]:ネットワークの SSID をアドバタイズする不正の自動阻止を設定します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
    • [Valid Client on Rogue AP]:信頼できるクライアントが関連付けられている不正なアクセス ポイントの自動阻止を設定します。 このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
    • [AdHoc Rogue AP]:コントローラによって検出されたアドホック ネットワークの自動阻止を設定します。 このパラメータをオフにしておくと、該当するネットワークが検出されても警告が生成されるだけです。
    ステップ 11   [Apply] をクリックします。
    ステップ 12   [Save Configuration] をクリックします。

    不正検出の設定(CLI)


      ステップ 1   必要なアクセス ポイントで不正検出が有効になっていることを確認します。 不正検出は、コントローラに関連付けられているすべてのアクセス ポイントに対してデフォルトで有効になっています。 次のコマンドを入力して、個々のアクセス ポイントの不正検出を有効または無効にできます。

      config rogue detection {enable | disable} cisco-ap コマンド。

      (注)     

      特定のアクセス ポイントについて、不正検出の現在の設定状態を確認するには、show ap config generalCisco_AP コマンドを入力します。

      (注)     

      家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

      ステップ 2   次のコマンドを入力して、RLDP を有効化、無効化、または開始します。
      • config rogue ap rldpenable alarm-only:すべてのアクセス ポイント上で RLDP を有効にします。

      • config rogue ap rldpenable alarm-onlymonitor_ap_only:監視モードのアクセス ポイント上でのみ RLDP を有効にします。

      • config rogue ap rldpinitiaterogue_mac_address:特定の不正なアクセス ポイントに対して RLDP を開始します。

      • config rogue ap rldpdisable:すべてのアクセス ポイント上で RLDP を無効にします。

      • config rogue ap rldpretries:不正なアクセス ポイントごとに試行される RLDP の回数を指定します。 指定できる範囲は 1 ~ 5 で、デフォルトは 1 です。

      ステップ 3   次のコマンドを入力して、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を指定します。 config rogue ap timeoutseconds

      seconds パラメータの有効な範囲は 240 ~ 3600 秒(両端の値を含む)です。 デフォルト値は 1200 秒です。

      (注)     

      不正なアクセス ポイントまたはクライアント エントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

      ステップ 4   次のコマンドを入力して、アドホック不正検出および報告を有効または無効にします。

      config rogue adhoc {enable | disable}

      ステップ 5   次のコマンドを入力して AAA サーバまたはローカル データベースを有効または無効にし、不正なクライアントが有効なクライアントかどうかを検証します。

      config rogue client aaa {enable | disable}

      ステップ 6   次のコマンドを入力して、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。

      config rogue detection monitor-ap report-intervaltime in sec

      time in sec パラメータの有効な範囲は 10 秒~ 300 秒です。 デフォルト値は 10 秒です。

      (注)     

      この機能は、監視モード AP にのみ適用されます。

      ステップ 7   次のコマンドを入力して、AP が不正を検出し、不正エントリがコントローラで作成されるために必要な最小 RSSI 値を入力します。

      config rogue detection min-rssirssi in dBm

      rssi in dBm パラメータに有効な範囲は –128 dBm ~ 0 dBm です。 デフォルト値は 0 dBm です。

      (注)     

      この機能は、すべての AP モードに適用できます。

RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。 したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

      ステップ 8   次のコマンドを入力して、不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。

      config rogue detection monitor-ap transient-rogue-intervaltime in sec

      time in sec パラメータの有効な範囲は 120 秒~ 1800 秒です。 デフォルト値は 0 です

      (注)     

      この機能は、監視モード AP にのみ適用されます。

      一時的な間隔値を使用して、AP が不正をスキャンする間隔を制御できます。 AP では、それぞれの一時的間隔値に基づいて、不正のフィルタリングも実行できます。

      この機能には次の利点があります。
      • AP からコントローラへの不正レポートが短くなる。

      • 一時的不正エントリをコントローラで回避できる。

      • 一時的不正への不要なメモリ割り当てを回避できる。

      ステップ 9   特定の不正なデバイスをコントローラで自動的に阻止するには、次のコマンドを入力します。
      注意       

      これらのコマンドのいずれかを入力すると、次のメッセージが表示されます。Using this feature may have legal consequences. Do you want to continue? 産業科学医療(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に公開されており、ライセンスを受けずに使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

      • config rogue ap rldp enable auto-contain:有線ネットワークで検出された不正を自動的に阻止します。

      • config rogue ap ssid auto-contain:ネットワークの SSID をアドバタイズする不正を自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap ssid alarm コマンドを入力します。

      • config rogue ap valid-client auto-contain:信頼できるクライアントのアソシエート先の不正なアクセス ポイントを自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue ap valid-client alarm コマンドを入力します。

      • config rogue adhoc auto-contain:コントローラによって検出されたアドホック ネットワークを自動的に阻止します。

        (注)     

        該当する不正が検出されたときにコントローラで警告だけが生成されるようにするには、config rogue adhoc alert コマンドを入力します。

      • config rogue auto-contain levellevelmonitor_mode_ap_only:監視モード アクセス ポイントに対して自動阻止レベルを設定します。 デフォルト値は 1 です。

      ステップ 10   次のコマンドを入力して、アドホックの不正分類を設定します。
      • config rogue adhoc classify friendly state {internal | external} mac-addr
      • config rogue adhoc classify malicious state {alert | contain} mac-addr
      • config rogue adhoc classify unclassified state {alert | contain} mac-addr
      次に、パラメータを簡単に説明します。
      • internal:外部アドホック不正を信頼します。

      • external:アドホック不正の存在を承認します。

      • alert:アドホック不正が検出された場合に、トラップを生成します。

      • contain:不正アドホックの阻止を開始します。

      ステップ 11   次のコマンドを入力して、RLDP のスケジュールを設定します。
      config rogue ap rldp schedule{add|delete|disable|enable}
      • add:指定した曜日に RLDP をスケジュールできるようにします。 RLDP をスケジュールする曜日(montuewed など)を入力し、開始時刻と終了時刻を HH:MM:SS 形式で指定する必要があります。 例:config rogue ap rldp schedule add mon 22:00:00 23:00:00
      • delete:RLDP のスケジュールを削除できるようにします。 日数を入力する必要があります。
      • disable:RLDP のスケジューリングを無効にするように設定します。
      • enable:RLDP のスケジューリングを有効にするように設定します。
      (注)     

      RLDP スケジュールを設定すると、それ以降、つまり設定の保存後にそのスケジュールが実行されるとみなされます。

      ステップ 12   次のコマンドを入力して、変更を保存します。

      save config