WLAN コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)
802.11w の設定
802.11w の設定

802.11w の設定

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

802.11w の前提条件

  • オプションおよび必須の 802.11w 機能を設定するには、WPA および AKM を設定する必要があります。

    (注)  


    Robust Secure Network(RNS)IE は AES 暗号化とともにイネーブルにする必要があります。
  • 必須として 802.11w を設定するには、WPA AKM に加えて PMF AKM を有効にします。

関連コンセプト

802.11w の制約事項

  • 802.11w はオープン WLAN、 WEP 暗号化 WLAN、または TKIP 暗号化 WLAN に適用されていません。

  • 802.11w が設定された WLAN では、WPA2-PSK または WPA2-802.1x セキュリティを設定する必要があります。

関連コンセプト

802.11w に関する情報

Wi-Fi は、正規のデバイスまたは不法なデバイスのいずれであっても、あらゆるデバイスで傍受または参加が可能なブロードキャスト メディアです。 認証/認証解除、アソシエーション/ディスアソシエーション、ビーコンおよびプローブなどの制御/管理フレームは、無線クライアントによって、AP を選択し、ネットワーク サービスのセッションを開始するために使用されます。

機密保持レベルを提供する暗号化可能なデータ トラフィックとは異なり、これらのフレームは、すべてのクライアントによって解釈されることが必要であり、したがってオープンまたは非暗号化形式で送信されます。 これらのフレームは暗号化できませんが、攻撃から無線メディアを保護するために偽造を防止することが必要になります。 たとえば、攻撃者はクライアントと AP の間のセッションを切断するために、AP から管理フレームをスプーフィングする可能性があります。

802.11w プロトコルは、管理フレーム保護(PMF)サービスによって保護された一連の強力な管理フレームにのみ適用されます。 これらには、ディスアソシエーション、認証解除、ロバスト アクション フレームが含まれます。

したがって、ロバスト アクションであり、保護されているものと見なされる管理フレームは次のとおりです。
  • スペクトラム管理

  • QoS

  • ブロック ACK

  • SA クエリー

  • ベンダー固有保護

802.11w が無線メディアで実行されると、次のことが行われます。
  • ディスアソシエーション フレームと認証解除フレームに対して、(MIC 情報要素を含めることにより)AP の暗号保護によるクライアント保護が追加されます。これによって、DoS 攻撃でのスプーフが防止されます。

  • アソシエーションの復帰期間と SA クエリーの手順から構成されるセキュリティ アソシエーション(SA)ティア ダウン保護メカニズムを追加することによって、インフラストラクチャの保護が追加され、スプーフィングされた要求によるすでに接続済みのクライアントの切断が防止されます。

802.11w の設定方法

802.11w の設定(CLI)

はじめる前に

WPA および AKM を設定する必要があります。

手順の概要

    1.    configure terminal

    2.    wlan profile-name

    3.    shutdown

    4.    security pmf {association-check association-comeback-time-in-seconds | mandatory | optional | saquery saquery-time-in-milliseconds}

    5.    no shutdown

    6.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    Controller# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2wlan profile-name


    例:
    Controller# wlan test4
     

    WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。

     
    ステップ 3shutdown


    例:
    Controller shutdown
     
    PMF を設定する前に WLAN をシャットダウンします。 
    ステップ 4security pmf {association-check association-comeback-time-in-seconds | mandatory | optional | saquery saquery-time-in-milliseconds}


    例:
    Controller(config-wlan)# security pmf saquery-retry-time 200
     

    次のオプションにより PMF パラメータを設定します。

    • association-comeback:802.11w のアソシエーションの復帰期間を設定します。

      範囲は、1 ~ 20 秒です。

    • mandatory:クライアントが WLAN の 802.11w PMF 保護をネゴシエートすることを要求します。

    • optional:WLAN の 802.11w PMF 保護を有効にします。

    • saquery:SA のクエリー応答で想定される時間間隔(ミリ秒単位)です。 コントローラが応答を受け取らなかった場合、別の SQ クエリーが試行されます。

      範囲は 100 ~ 500 ミリ秒です。 値には 100 ミリ秒の倍数を指定する必要があります。

     
    ステップ 5no shutdown


    例:
    Controller no shutdown
     
    変更内容を反映するために、WLAN サーバを再起動します。 
    ステップ 6end


    例:
    Controller(config-wlan)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     
    関連コンセプト

    802.11w のディセーブル(CLI)

    手順の概要

      1.    configure terminal

      2.    wlan profile-name

      3.    shutdown

      4.    no security pmf [association-comeback association-check-comback-interval-seconds | mandatory | optional | saquery saquery-time-interval-milliseconds]

      5.    no shutdown

      6.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      Controller# configure terminal
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2wlan profile-name


      例:
      Controller# wlan test4
       

      WLAN コンフィギュレーション サブモードを開始します。 profile-name は設定されている WLAN のプロファイル名です。

       
      ステップ 3shutdown


      例:
      Controller shutdown
       
      PMF を設定する前に WLAN をシャットダウンします。 
      ステップ 4no security pmf [association-comeback association-check-comback-interval-seconds | mandatory | optional | saquery saquery-time-interval-milliseconds]


      例:
      Controller(config-wlan)# no security pmf
       

      WLAN の PMF をディセーブルにします。 次の属性を使用できます。

      • association-comeback:802.11w のアソシエーションの復帰期間をディセーブルにします。

      • mandatory:クライアントが WLAN の 802.11w PMF 保護をネゴシエートすることをディセーブルにします。

      • optional:WLAN の 802.11w PMF 保護をディセーブルにします。

      • saquery:アソシエーションを再試行する前に、すでにアソシエートされているクライアントへのアソシエーション応答で特定される時間間隔。 アソシエーションの復帰期間中、この時間間隔により、クライアントが実際のクライアントであり、不正なクライアントではないかどうかが確認されます。 クライアントがこの時間内に応答しない場合は、クライアント アソシエーションがコントローラから削除されます。

        範囲は 100 ~ 500 ミリ秒です。 値には 100 ミリ秒の倍数を指定する必要があります。

       
      ステップ 5no shutdown


      例:
      Controller no shutdown
       
      変更内容を反映するために、WLAN サーバを再起動します。 
      ステップ 6end


      例:
      Controller(config-wlan)# end
       

      特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

       
      関連コンセプト

      802.11w の監視(CLI)

      802.11w の監視に使用できるコマンドは次のとおりです。

      コマンド 説明
      show wlan name wlan-profile-name WLAN の WLAN パラメータを表示します。 PMF パラメータが表示されます。 次に例を示します。
      . . . . 
      . . . .        
      Auth Key Management
        802.1x                                  : Disabled
        PSK                                     : Enabled
        CCKM                                    : Disabled
        FT dot1x                                : Disabled
        FT PSK                                  : Disabled
        PMF dot1x                               : Disabled
        PMF PSK                                 : Enabled
          FT Support                            : Disabled
              FT Reassociation Timeout          : 20
              FT Over-The-DS mode               : Disabled
          PMF Support                           : Required
              PMF Association Comeback Timeout  : 9
              PMF SA Query Time                 : 200
      . . . . 
      . . . . 
      
      関連コンセプト

      802.11w に関する追加情報

      関連資料

      関連項目 マニュアル タイトル

      WLAN コマンド リファレンス

      WLAN コマンド リファレンス、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)

      WLAN セキュリティ

      このマニュアルの WLAN セキュリティの設定の章

      エラー メッセージ デコーダ

      説明 リンク

      このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。

      https:/​/​www.cisco.com/​cgi-bin/​Support/​Errordecoder/​index.cgi

      標準および RFC

      標準/RFC タイトル

      802.11W

      IEEE 802.11w 保護管理フレーム

      MIB

      MIB MIB のリンク

      本リリースでサポートするすべての MIB

      選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

      http:/​/​www.cisco.com/​go/​mibs

      テクニカル サポート

      説明 リンク

      シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

      お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

      シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

      http:/​/​www.cisco.com/​support

      802.11w の機能に関する情報

      次の表に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

      機能名 リリース 機能情報
      802.11w Cisco IOS XE 3.3SE この機能が導入されました。