Cisco Wireless LAN Controller コンフィギュレーション ガイド リリース 8.0
IDS シグニチャの設定
IDS シグニチャの設定

IDS シグニチャの設定

IDS シグニチャについて

コントローラ上で、IDS シグニチャ、または受信する 802.11 パケットにおけるさまざまなタイプの攻撃を識別するのに使用されるビット パターンのマッチング ルールを設定することができます。 シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。 攻撃が検出されると、適切な緩和措置が開始されます。

シスコでは 17 の標準シグニチャをサポートしています。 これらのシグニチャは 6 つの主要なグループに分かれます。 初めの 4 つのグループには管理シグニチャが含まれており、後の 2 つのグループにはデータ シグニチャが含まれます。

  • ブロードキャスト認証解除フレーム シグニチャ:ブロードキャスト認証解除フレーム攻撃において、ハッカーは別のクライアントのブロードキャスト MAC 宛先アドレスに対して 802.11 認証解除フレームを送信します。 この攻撃により、宛先クライアントは接続アクセス ポイントから強制的にアソシエーション解除させられ、ネットワークの接続断が発生します。 この処理が繰り返されると、クライアントでサービス利用ができない状態が発生します。 ブロードキャスト認証解除フレーム シグニチャ(優先順位 1)を使用してそのような攻撃を検出する場合、アクセス ポイントでは、シグニチャの特性と一致するクライアント送信ブロードキャスト認証解除フレームがリッスンされます。 アクセス ポイントは、そのような攻撃を検出すると、コントローラに警告を送ります。 システムの設定に応じて、危険性のあるデバイスが封じ込められて、そのデバイスの信号が認可されたクライアントに干渉しないようにされるか、コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されるか、または、その両方が実行されます。

  • NULL プローブ応答シグニチャ:NULL プローブ応答攻撃において、ハッカーは無線クライアント アダプタに NULL プローブ応答を送信します。 結果として、クライアント アダプタがロックされます。 NULL プローブ応答シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントはワイヤレス クライアントを特定し、コントローラに警告を送ります。 NULL プローブ応答シグニチャを次に示します。

    • NULL probe resp 1(優先順位 2)

    • NULL probe resp 2(優先順位 3)


    (注)  


    コントローラは、Signature Events Summary 出力内に履歴 NULL プローブ IDS イベントを記録しません。


  • 管理フレーム フラッドシグニチャ:管理フレーム フラッド攻撃において、ハッカーはアクセス ポイントに大量の 802.11 管理フレームを送り付けます。 その結果、アクセス ポイントにアソシエートしている、もしくはアソシエートを試みているすべての端末に対して、サービス利用ができない状態が発生します。 この攻撃は、アソシエーション要求、認証要求、再アソシエーション要求、プローブ要求、アソシエーション解除要求、認証解除要求、予約管理サブタイプなど、さまざまなタイプの管理フレームを使用して実行されます。

    管理フレーム フラッド シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントによって、シグニチャのすべての特性と一致する管理フレームが特定されます。 これらのフレームの検出頻度が、シグニチャで設定された閾値より大きくなると、これらのフレームを受信するアクセス ポイントによって警告が送信されます。 コントローラはトラップを生成し、それを Cisco Prime Infrastructure に転送します。

    管理フレーム フラッド シグニチャを次に示します。

    • Assoc flood(優先順位 4)

    • Auth flood(優先順位 5)

    • Reassoc flood(優先順位 6)

    • Broadcast probe flood(優先順位 7)

    • Disassoc flood(優先順位 8)

    • Deauth flood(優先順位 9)

    • Reserved mgmt 7(優先順位 10)

    • Reserved mgmt F(優先順位 11)

      予約管理フレーム シグニチャ(Reserved mgmt )7 および F は、将来使用するために予約されています。

  • Wellenreiter シグニチャ:Wellenreiter は、無線 LAN スキャンおよびディスカバリ ユーティリティです。これを使用すると、アクセス ポイントおよびクライアントに関する情報が漏洩してしまう可能性があります。 Wellenreiter シグニチャ(優先順位 17)を使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定し、コントローラに警告を送ります。

  • EAPOL フラッド シグニチャ:EAPOL フラッド攻撃において、ハッカーは 802.1X 認証要求を含む EAPOL フレームを大量に発生させます。 結果として、802.1X 認証サーバはすべての要求に応答できなくなり、有効なクライアントに正常な認証応答を送信できなくなります。 そして、その影響を受けるすべてのクライアントにおいてサービス利用ができない状況が発生します。 EAPOL フラッド シグニチャ(優先順位 12)を使用してそのような攻撃が検出されると、アクセス ポイントは EAPOL パケットの最大許容数を超えるまで待機します。 次に、コントローラに警告を送り、適切な緩和措置を実行します。

  • NetStumbler シグニチャ:NetStumbler は、無線 LAN スキャン ユーティリティです。これによって、アクセス ポイントのブロードキャスト関連情報(動作チャネル、RSSI 情報、アダプタ製造業者名、SSID、WEP ステータス、GPS が接続された NetStumbler を実行するデバイスの経度と緯度など)が報告されます。 NetStumbler は、アクセス ポイントに対する認証とアソシエーションを正常に完了すると、次の文字列のデータ フレーム(NetStumbler のバージョンによって異なる)を送信します。

Version

文字列

3.2.0

「Flurble gronk bloopit、bnip Frundletrune」

3.2.3

「All your 802.11b are belong to us」

3.3.0

ホワイト スペースを送信

NetStumbler シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定してコントローラに警告を送ります。 NetStumbler シグニチャは次のとおりです。

  • NetStumbler 3.2.0(優先順位 13)

  • NetStumbler 3.2.3(優先順位 14)

  • NetStumbler 3.3.0(優先順位 15)

  • NetStumbler generic(優先順位 16)

コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。 このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。

IDS シグニチャの設定(GUI)

IDS シグニチャのアップロードまたはダウンロード


    ステップ 1   必要に応じて、独自のカスタム シグニチャ ファイルを作成します。
    ステップ 2   Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。 TFTP サーバをセットアップするときには、次のガイドラインに従ってください。
    • サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。そうでない場合は、コントローラ上に静的ルートを作成する必要があります。

    • ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

    • サードパーティの TFTP サーバを Cisco Prime Infrastructure と同じ PC 上で実行することはできません。Prime Infrastructure 内蔵 TFTP サーバとサードパーティの TFTP サーバのどちらも、同じ通信ポートを使用するからです。

    ステップ 3   カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。
    ステップ 4   [Commands] を選択して、[Download File to Controller] ページを開きます。
    ステップ 5   次のいずれかの操作を行います。
    • カスタム シグニチャ ファイルをコントローラにダウンロードする場合は、[Download File to Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。

    • 標準シグニチャ ファイルをコントローラからアップロードする場合は、[Upload File] を選択してから、[Upload File from Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。

    ステップ 6   [Transfer Mode] ドロップダウン リストから、[TFTP] または [FTP] を選択します。
    ステップ 7   [IP Address] テキスト ボックスに、TFTP または FTP サーバの IP アドレスを入力します。
    ステップ 8   TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、[Maximum Retries] テキスト ボックスに、コントローラがシグニチャ ファイルのダウンロードを試行する最大回数を入力します。

    指定できる範囲は 1 ~ 254 で、デフォルトは 10 です。

    ステップ 9   TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、シグニチャ ファイルのダウンロードの試行時にコントローラがタイムアウトするまでの時間(秒単位)を [Timeout] テキスト ボックスに入力します。

    範囲は 1 ~ 254 秒で、デフォルトは 6 秒です。

    ステップ 10   [File Path] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。 デフォルト値は「/」です。
    ステップ 11   [File Name] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。
    (注)     

    シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。 たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。 その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

    ステップ 12   FTP サーバを使用している場合は、次の手順に従います。
    1. [Server Login Username] テキスト ボックスに、FTP サーバにログインするためのユーザ名を入力します。

    2. [Server Login Password] テキスト ボックスに、FTP サーバにログインするためのパスワードを入力します。

    3. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP サーバのポート番号を入力します。 デフォルト値は 21 です。

    ステップ 13   [Download] を選択してシグニチャ ファイルをコントローラにダウンロードするか、[Upload] を選択してコントローラからシグニチャ ファイルをアップロードします。

    IDS シグニチャの有効化または無効化


      ステップ 1   [Security] > [Wireless Protection Policies] > [Standard Signatures] または [Custom Signatures] を選択して、[Standard Signatures] ページまたは [Custom Signatures] ページを開きます。

      [Standard Signatures] ページには、現在コントローラ上に存在するシスコ提供のシグニチャのリストが表示されます。 [Custom Signatures] ページには、現在コントローラ上に存在する、カスタマー提供のシグニチャのリストが表示されます。 このページには、各シグニチャについて次の情報が表示されます。

      • コントローラがシグニチャ チェックを行う順序、または優先順位。

      • シグニチャ名。シグニチャが検出しようとする攻撃タイプを明示するもの。

      • シグニチャがセキュリティ攻撃を検出するフレーム タイプ。 フレーム タイプとしては、データおよび管理があります。

      • シグニチャが攻撃を検出したとき、コントローラが行うべき処理。 実行可能な処理は、None と Report です。

      • シグニチャの状態。セキュリティ攻撃を検出するために、シグニチャが有効化されているかどうかを示すもの。

      • シグニチャが検出しようとする攻撃のタイプの説明。

      ステップ 2   次のいずれかの操作を行います。
      • 個々の状態が [Enabled] に設定されたすべてのシグニチャ(標準およびカスタムの両方)を有効なままにしておくには、[Standard Signatures] ページまたは [Custom Signatures] ページの上部の [Enable Check for All Standard and Custom Signatures] チェックボックスをオンにします。 デフォルト値が有効(オン)になっています。 シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

      • コントローラ上のすべてのシグニチャ(標準およびカスタムの両方)を無効にしておく場合には、[Enable Check for All Standard and Custom Signatures] チェックボックスをオフにします。 このチェックボックスをオフにすると、たとえシグニチャの個々の状態が [Enabled] に設定されている場合でも、すべてのシグニチャが無効になります。

      ステップ 3   [Apply] をクリックして、変更を確定します。
      ステップ 4   目的とするシグニチャの優先順位番号をクリックして、個々のシグニチャを有効または無効にします。 [Standard Signature(または Custom Signature)> Detail] ページが表示されます。

      このページには、[Standard Signatures] ページおよび [Custom Signatures] ページとほぼ同じ情報が表示されますが、次のような詳細も表示されます。

      • アクセス ポイントによるシグニチャ分析およびコントローラへの結果報告に使用される追跡方法。 表示される値は次のとおりです。

        • [Per Signature]:シグニチャ分析とパターン マッチングにおける追跡および報告は、シグニチャ別およびチャネル別に実行されます。

        • [Per MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、チャネルごとに個々のクライアント MAC アドレス別に実行されます。

        • [Per Signature and MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、シグニチャ別/チャネル別、および MAC アドレス別/チャネル別の両方で実行されます。

      • セキュリティ攻撃の検出に使用されるパターン。

      ステップ 5   [Measurement Interval] テキスト ボックスに、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を入力します。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。
      ステップ 6   [Signature Frequency] テキスト ボックスに、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
      ステップ 7   [Signature MAC Frequency] テキスト ボックスに、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
      ステップ 8   [Quiet Time] テキスト ボックスに、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を入力します。 有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。
      ステップ 9   [State] チェックボックスをオンにしてこのシグニチャを有効にし、セキュリティ攻撃を検出するか、オフにしてこのシグニチャを無効にします。 デフォルト値が有効(オン)になっています。
      ステップ 10   [Apply] をクリックして、変更を確定します。 [Standard Signatures] ページまたは [Custom Signatures] ページに、シグニチャの更新された状態が反映されます。
      ステップ 11   [Save Configuration] をクリックして、変更を保存します。

      IDS シグニチャ イベントの表示(GUI)


        ステップ 1   [Security] > [Wireless Protection Policies] > [Signature Events Summary] の順に選択して、[Signature Events Summary] ページを開きます。
        ステップ 2   特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャのシグニチャ タイプをクリックします。 [Signature Events Detail] ページが表示されます。

        このページには、次の情報が表示されます。

        • 攻撃者として特定されたクライアントの MAC アドレス

        • アクセス ポイントが攻撃の追跡に使用する方法

        • 攻撃が検出されるまでに特定された 1 秒当たりの一致パケットの数

        • 攻撃が検出されたチャネル上のアクセス ポイント数

        • アクセス ポイントが攻撃を検出した日時

        ステップ 3   特定の攻撃に関する詳細を表示するには、その攻撃の [Detail] リンクをクリックします。 [Signature Events Track Detail] ページが表示されます。
        • 攻撃を検出したアクセス ポイントの MAC アドレス

        • 攻撃を検出したアクセス ポイントの名前

        • アクセス ポイントが攻撃の検出に使用した無線のタイプ(802.11a または 802.11b/g)

        • 攻撃が検出された無線チャネル

        • アクセス ポイントから攻撃が報告された日時


        IDS シグニチャの設定(CLI)


          ステップ 1   必要に応じて、独自のカスタム シグニチャ ファイルを作成します。
          ステップ 2   TFTP サーバが使用可能であることを確認します。
          ステップ 3   カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。
          ステップ 4   transfer {download | upload} mode tftp コマンドを入力して、ダウンロード モードまたはアップロード モードを指定します。
          ステップ 5   transfer {download | upload} datatype signature コマンドを入力して、ダウンロードまたはアップロードするファイルのタイプを指定します。
          ステップ 6   transfer {download | upload} serverip tftp-server-ip-address コマンドを入力して、TFTP サーバの IP アドレスを指定します。
          (注)     

          TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。

          ステップ 7   transfer {download | upload} path absolute-tftp-server-path-to-file コマンドを入力して、ダウンロードまたはアップロードのパスを指定します。
          ステップ 8   transfer {download | upload} filename filename.sig コマンドを入力して、ダウンロードまたはアップロードするファイルを指定します。
          (注)     

          シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。 たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。 その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

          ステップ 9   transfer {download | upload} start コマンドを入力し、プロンプトに y と応答して現在の設定を確認し、ダウンロードまたはアップロードを開始します。
          ステップ 10   次のコマンドを入力して、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を指定します。

          config wps signature interval signature_id interval

          ここで、signature_id は、シグニチャを一意に識別するために使用する数字です。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。

          ステップ 11   次のコマンドを入力して、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

          config wps signature frequencysignature_id frequency

          有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。

          ステップ 12   次のコマンドを入力して、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

          config wps signature mac-frequency signature_id mac_frequency

          有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
          ステップ 13   次のコマンドを入力して、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を指定します。

          config wps signature quiet-time signature_id quiet_time

          有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。

          ステップ 14   次のいずれかの操作を行います。
          • 個々の IDS シグニチャを有効または無効にするには、次のコマンドを入力します。

            config wps signature {standard| custom} state signature_id {enable | disable}

          • IDS シグニチャ処理を有効または無効(すべての IDS シグニチャの処理を有効または無効)にするには、次のコマンドを入力します。

            config wps signature {enable | disable}

            (注)     

            IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

          ステップ 15   次のコマンドを入力して、変更を保存します。 save config
          ステップ 16   必要に応じて、特定のシグニチャまたはすべてのシグニチャをデフォルト値にリセットできます。 そのためには、次のコマンドを入力します。 config wps signature reset {signature_id | all}
          (注)     

          シグニチャをデフォルト値にリセットするには、コントローラの CLI しか使用できません。


          IDS シグニチャ イベントの表示(CLI)

          • 次のコマンドを入力して、コントローラで IDS シグニチャ処理が有効か無効かを確認します。

            show wps summary


            (注)  


            IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。


          • 次のコマンドを入力して、コントローラにインストールされているすべての標準シグニチャとカスタム シグニチャの個々の要約を表示します。

            show wps signature summary

          • 次のコマンドを入力して、有効なシグニチャによって検出された攻撃の数を表示します。

            show wps signature events summary

          • 次のコマンドを入力して、特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示します。

            show wps signature events {standard | custom} precedence# summary

          • 次のコマンドを入力して、アクセス ポイントによってシグニチャ別/チャネル別に追跡される攻撃の詳細を表示します。

            show wps signature events {standard | custom} precedence# detailed per-signature source_mac

          • 次のコマンドを入力して、アクセス ポイントによって個別クライアント ベース(MAC アドレス別)で追跡される攻撃の詳細を表示します。

            show wps signature events {standard | custom} precedence# detailed per-mac source_mac