Cisco Wireless Control System コンフィギュレーション ガイド Software Release 4.0
セキュリティ ソリューションの設定
セキュリティ ソリューションの設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

セキュリティ ソリューションの設定

Cisco Unified Wireless Network Solution セキュリティ

レイヤ 1 ソリューション

レイヤ 2 ソリューション

レイヤ 3 ソリューション

シングル ポイントでの設定ポリシー マネージャのソリューション

不正アクセス ポイントのソリューション

不正アクセス ポイントの問題

不正アクセス ポイントのタギングと阻止

統合されたセキュリティ ソリューション

WCS を使用した Cisco Unified Wireless Network Solution のレイヤ 3 モードからレイヤ 2 モードへの変換

WCS に対するファイアウォールの設定

アクセス ポイント認証

Management Frame Protection (MFP; 管理フレーム保護)

Intrusion Detection System(IDS; 侵入検知システム)の設定

IDS センサーの表示

回避したクライアントの表示

IDS シグニチャの設定

IDS シグニチャのアップロード

IDS シグニチャのダウンロード

IDS シグニチャの有効化または無効化

IDS シグニチャのイベントの表示

Web ログインの有効化

カスタマイズされた Web 認証のダウンロード

ゲスト WLAN への接続

ゲスト ユーザの削除

802.1x 認証を使用した条件付き Web リダイレクト

Cisco Unified Wireless Network Solution セキュリティ

Cisco Unified Wireless Network Solution セキュリティ ソリューションは、802.11 アクセス ポイントのセキュリティを構成する潜在的に複雑なレイヤ 1、レイヤ 2、およびレイヤ 3 を 1 つの単純なポリシー マネージャにまとめたもので、システム全体のセキュリティ ポリシーを無線 LAN 単位でカスタマイズできます。これは、単純で、統一された、体系的なセキュリティ管理ツールを提供します。

企業での無線 LAN 展開の最も大きな課題の 1 つが、脆弱な独立型の暗号化方式である Wired Equivalent Privacy(WEP)です。低価格なアクセス ポイントの登場も新たな問題で、企業ネットワークに接続して man-in-the-middle アタックおよび DoS 攻撃(サービス拒絶攻撃)に利用される可能性があります。また、次々に追加されるセキュリティ ソリューションの複雑さから、多くの IT マネージャが無線 LAN セキュリティの最新技術を採用することをためらっています。

レイヤ 1 ソリューション

Cisco Unified Wireless Network Solution オペレーティング システムのセキュリティ ソリューションによって、すべてのクライアントはアクセスの試行回数を、オペレータが設定した回数までに制限されます。クライアントがその制限回数内にアクセスできなかった場合、そのクライアントは、オペレータが設定したタイマーが切れるまで自動的に除外(アクセスをブロック)されます。そのオペレーティング システムは、無線 LAN ごとに SSID ブロードキャストを無効にすることもできます。

レイヤ 2 ソリューション

上位レベルのセキュリティと暗号化が必要な場合、ネットワーク管理者は、Extensible Authentication Protocol(EAP;拡張認証プロトコル)を使用する 802.1X 動的キーや Wi-Fi Protected Access(WPA)動的キーなど業界標準のセキュリティ ソリューションも実装できます。Cisco Unified Wireless Network Solution の WPA 実装には、Advanced Encryption Standard(AES)動的キー、Temporal Key Integrity Protocol + Message Integrity Code Checksum(TKIP + Michael)動的キー、または WEP 静的キーが含まれます。無効化も使用され、オペレータが設定した回数だけ認証の試行に失敗すると、自動的にレイヤ 2 アクセスがブロックされます。

どの無線セキュリティ ソリューションを採用した場合も、コントローラとアクセス ポイントとの間のすべてのレイヤ 2 有線通信は、Lightweight Access Point Protocol(LWAPP; Lightweight アクセス ポイント プロトコル)トンネルを使用してデータを渡すことにより保護されます。

レイヤ 3 ソリューション

WEP の問題の解決をさらに進めるには、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)などの業界標準のレイヤ 3 セキュリティ ソリューションを使用します。

Cisco Unified Wireless Network Solution では、ローカルおよび RADIUS Media Access Control(RADIUS MAC; RADIUS メディア アクセス制御)フィルタリングがサポートされています。このフィルタリングは、802.11 アクセス カード MAC アドレスの既知のリストがある小規模のクライアント グループに適しています。Cisco Unified Wireless Network Solution は、ローカルおよび RADIUS ユーザ/パスワード認証もサポートします。この認証は、小規模から中規模のクライアント グループに適しています。

シングル ポイントでの設定ポリシー マネージャのソリューション

Cisco Unified Wireless Network Solution に WCS を装備した場合、システム全体のセキュリティ ポリシーを無線 LAN ごとに設定できます。スモール オフィス、ホームオフィス(SOHO)のアクセス ポイントでは、アクセス ポイントごとにセキュリティ ポリシーを個別に設定する必要があります。また、複数のアクセス ポイントにわたってセキュリティ ポリシーを設定するには、サードパーティのアプライアンスを使用する必要があります。Cisco Unified Wireless Network Solution セキュリティ ポリシーは WCS からシステム全体に適用できるため、エラーを除去することができ、全体的な作業量が大幅に減少します。

不正アクセス ポイントのソリューション

この項では、不正アクセス ポイントに対するセキュリティ ソリューションについて説明します。

不正アクセス ポイントの問題

不正アクセス ポイントは、正規のクライアントをハイジャックし、プレーン テキストまたは他の DoS 攻撃や man-in-the-middle アタックを使用することによって、無線 LAN の運用を妨害します。つまり、ハッカーは不正アクセス ポイントを使用して、パスワードやユーザ名などの機密情報を取得できるのです。すると、ハッカーは一連の Clear To Send(CTS;クリア ツー センド)フレームを送信できるようになります。このフレームはアクセス ポイントを模倣し、特定の無線 LAN クライアント アダプタに伝送して、他のすべてのアダプタには待機するように指示します。その結果、正規のクライアントは、無線 LAN リソースに接続できなくなります。したがって、無線 LAN サービス プロバイダーは、空間からの不正アクセス ポイントの締め出しに強い関心を持っています。

オペレーティング システムのセキュリティ ソリューションでは、「不正アクセス ポイントのタギングと阻止」の説明にあるように、Radio Resource Management(RRM)機能を使用して、すべての近隣アクセス ポイントを継続的に監視し、不正アクセス ポイントを自動的に検出し、それらを特定します。

不正アクセス ポイントのタギングと阻止

WCSを使用して Cisco Unified Wireless Network Solution を監視している場合、不正アクセス ポイントが検出されるとフラグが生成され、既知の不正アクセス ポイントが MAC アドレスで表示されます。オペレータは、それぞれの不正アクセス ポイントに最も近いアクセス ポイントの場所を示すマップを表示できます。その後、それらを Known または Acknowledged 不正アクセス ポイントとしてマークする(追加の処置はなし)、それらを Alert 不正アクセス ポイントとしてマークする(監視し、アクティブになったときに通知)、それらを Contained 不正アクセス ポイントとしてマークする(1 つから 4 つのアクセス ポイントに対して、不正アクセス ポイントのクライアントが不正アクセス ポイントとアソシエートするたびにそれらのクライアントに認証解除とアソシエート解除のメッセージを送信することによって阻止する)のいずれかを実行します。

統合されたセキュリティ ソリューション

Cisco Unified Wireless Network Solution では、次の統合されたセキュリティ ソリューションも用意されています。

Cisco Unified Wireless Network Solution オペレーティング システムのセキュリティは、堅牢な 802.1X AAA(認証、認可、アカウンティング)エンジンを中心に構築されており、オペレータは、Cisco Unified Wireless Network Solution 全体にわたってさまざまなセキュリティ ポリシーを迅速に設定および適用できます。

コントローラおよびアクセス ポイントには、システム全体の認証および認可プロトコルがすべてのポートおよびインターフェイスに装備され、最大限のシステム セキュリティが実現されています。

オペレーティング システムのセキュリティ ポリシーは個別の無線 LAN に割り当てられ、アクセス ポイントは設定されたすべての無線 LAN(最大 16)に同時にブロードキャストします。このポリシーにより、干渉を増加し、システム スループットを低下するアクセス ポイントの追加が不要になる場合があります。

オペレーティング システムのセキュリティは、RRM 機能を使用して、干渉およびセキュリティ侵犯がないか継続的に空間を監視し、それらを検出したときはオペレータに通知します。

オペレーティング システムのセキュリティは、業界標準の AAA サーバで動作し、システム統合が単純で簡単です。

Cisco Intrusion Detection System(CIDS)/Intrusion Protection System(IPS)は、特定のクライアントに影響を及ぼす攻撃を検出すると、コントローラにそれらのクライアントの無線ネットワークへのアクセスをブロックするように指示します。

オペレーティング システムのセキュリティ ソリューションは、通常、高い処理能力を必要とする、包括的なレイヤ 2 およびレイヤ 3 の暗号化アルゴリズムを実現します。コントローラに VPN/拡張セキュリティ モジュールを装備することで、高度なセキュリティ設定に必要なハードウェアとしての機能も実現でき、暗号化を別のサーバで行う必要はありません。


 

WCS を使用した Cisco Unified Wireless Network Solution のレイヤ 3 モードからレイヤ 2 モードへの変換

WCS ユーザ インターフェイスを使用して Cisco Unified Wireless Network Solution をレイヤ 3 モードからレイヤ 2 LWAPP 転送モードに変換する手順は、次のとおりです。


) IOS ベースの Lightweight アクセス ポイントでは、レイヤ 2 LWAPP モードはサポートされません。このようなアクセス ポイントは、レイヤ 3 でしか実行できません。



) この手順を実行すると、コントローラが再度ブートしてアクセス ポイントがコントローラと再アソシエートするまで、アクセス ポイントはオフラインになります。



ステップ 1 コントローラとアクセス ポイントはすべて同じサブネット上に配置するようにします。


) 変換を実行する前に、コントローラおよびアソシエートしているアクセス ポイントをレイヤ 2 モードで動作するように設定する必要があります。


ステップ 2 WCS ユーザ インターフェイスにログインします。LWAPP 転送モードをレイヤ 3 からレイヤ 2 に変換する手順は、次のとおりです。

a. Configure > Controllers の順にクリックし、All Controllers ページに移動します。

b. 目的のコントローラの IP アドレスをクリックして、IP Address > Controller Properties ページを表示します。

c. サイドバーで、 System > General の順にクリックして、IP Address > General ページを表示します。

d. LWAPP 転送モードを Layer2 に変更し、 Save をクリックします。

e. WCS で次のメッセージが表示された場合、OK をクリックします。

Please reboot the system for the LWAPP Mode change to take effect.

ステップ 3 Cisco Unified Wireless Network Solution を再起動する手順は、次のとおりです。

a. IP Address > Controller Properties ページに戻ります。

b. System > Commands の順にクリックして、IP Address > Controller Commands ページを表示します。

c. Administrative Commands の下で、 Save Config To Flash を選択し GO をクリックして、変更した設定をコントローラに保存します。

d. OK をクリックして、次に進みます。

e. Administrative Commands の下で、 Reboot を選択し GO をクリックして、コントローラをリブートします。

f. OK をクリックし、保存して再度ブートすることを確認します。

ステップ 4 コントローラが再度ブートした後で LWAPP 転送モードがレイヤ 2 になっていることを確認する手順は、次のとおりです。

a. Monitor > Devices > Controllers の順にクリックし、Controllers > Search Results ページに移動します。

b. 目的のコントローラの IP アドレスをクリックして、Controllers > IP Address > Summary ページを表示します。

c. General の下で、現在の LWAPP 転送モードが Layer2 になっていることを確認します。

これで、レイヤ 3 からレイヤ 2 への LWAPP 転送モードの変換が完了しました。オペレーティング システムのソフトウェアによって、同じサブネット上のコントローラとアクセス ポイントとの間におけるすべての通信が制御されます。


 

WCS に対するファイアウォールの設定

WCS サーバと WCS ユーザ インターフェイスがファイアウォールの同じ側にない場合、ファイアウォール上の次のポートが双方向のトラフィックに対してオープンになっていない限り、これらは通信できません。

80(初期 HTTP 用)

ポート 69(TFTP)

ポート 162(トラップ)

ポート 443(HTTPS)

これらのポートをオープンにして、WCS サーバと WCS ユーザ インターフェイスとの間の通信を許可するようにファイアウォールを設定します。

アクセス ポイント認証

アクセス ポイントが認証に使用する証明書の種類に応じて、認可済みアクセス ポイントの一覧を表示できます。


ステップ 1 Configure > Controllers の順に選択します。

ステップ 2 IP Address 列で URL の 1 つをクリックします。

ステップ 3 左側のサイドバーのメニューから Security > AP Authorization の順に選択します。

ステップ 4 ウィンドウの AP Policies 部分に、アクセス ポイントの認証が有効かどうかが示されます。また、自己署名証明書(SSC AP)の承認が有効かどうかも示されます。通常は、アクセス ポイントは AAA または証明書によって認証されます。(SSC は 4400、2100 および 2100 シリーズ コントローラのみに使用)。

これらの値を変更するには、Select a Command ドロップダウン メニューから Edit AP Policies を選択し、GO をクリックします。

ステップ 5 AP Authorization List 部分にアクセス ポイントの無線 MAC アドレス、証明書の種類、およびキー ハッシュが表示されます。別の認証エントリを追加するには、Select a Command ドロップダウン メニューから Add AP Auth Entry を選択し、GO をクリックします。

ステップ 6 ドロップダウン メニューからこのコントローラに適用するテンプレートを選択して Apply をクリックします。アクセス ポイント認証の新しいテンプレートを作成するには、click here をクリックしてテンプレート作成ページにリダイレクトされるようにします。新しいテンプレートの作成手順については、「アクセス ポイント認証テンプレートの設定」を参照してください。


 

Management Frame Protection (MFP; 管理フレーム保護)

Management Frame Protection(MFP)では、802.11 管理フレームの認証を提供します。DoS 攻撃を引き起こし、プローブでネットワークを氾濫させ、不正アクセス ポイントをさしはさみ、QoS および無線測定フレームの攻撃によりネットワーク パフォーマンスに影響を与える敵対者を発見するため、管理フレームを保護できます。

コントローラの 1 つ以上の WLAN で MFP を有効にする場合は、コントローラはそれぞれの登録アクセス ポイントに、そのアクセス ポイントがそれらの WLAN に使用する各無線通信機の一意キーを送信します。MFP が有効になっている WLAN 上のアクセス ポイントによって送信された管理フレームは、フレーム保護の Information Element(IE; 情報要素)を示すラベルが付けられます。フレームの変更を試みると、メッセージが無効となり、MFP フレームを検出するように設定された受信アクセス ポイントはその矛盾を WLAN コントローラへ報告します。

WLAN テンプレートで MFP を設定します。「WLAN テンプレートの設定」を参照してください。

Intrusion Detection System(IDS; 侵入検知システム)の設定

Cisco Intrusion Detection System(CIDS; シスコ侵入検知システム)/Intrusion Protection System(IPS; 侵入防御システム)は、特定のクライアントに影響を及ぼす攻撃を検出すると、コントローラにそれらのクライアントの無線ネットワークへのアクセスをブロックするように指示します。このシステムにより、ワーム、スパイウェア/アドウェア、ネットワーク ウィルス、およびアプリケーションの不正使用などの脅威を検出し、分類し、阻止するための重要なネットワーク保護を実現できます。IDS で攻撃の検出に使用できる方法は 2 つあります。

IDS センサー(レイヤ 3 用)

IDS シグニチャ(レイヤ 2 用)

IDS センサーの表示

センサーが攻撃を識別した場合は、攻撃しているクライアントを回避するようにコントローラに警告します。新しい IDS センサーを追加した場合は、回避したクライアントのレポートをセンサーがコントローラに送信できるように、コントローラをその IDS センサーに登録します。また、コントローラは定期的にセンサーをポーリングします。

IDS センサーを表示する手順は、次のとおりです。


ステップ 1 Configure > Controllers の順に選択します。

ステップ 2 IP アドレスをクリックしてコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから Security > IDS Sensor Lists の順に選択します。IDS Sensor ウィンドウが表示されます。このページには、このコントローラに設定されているすべての IDS センサーが一覧表示されます。


 

回避したクライアントの表示

IDS センサーが不審なクライアントを検出した場合は、このクライアントを回避するようにコントローラに警告します。回避するクライアントが現在モビリティ グループのアクセス ポイントおよびコントローラに関連付けられている場合は、回避エントリは同じモビリティ グループ内のすべてのコントローラに配信され、アンカー コントローラはこのクライアントを動的な除外リストに追加し、外部コントローラはクライアントを削除します。次回そのクライアントがコントローラに接続しようとしたときは、アンカー コントローラはハンドオフを拒否し、クライアントを除外している外部コントローラに知らせます。

IDS センサーに回避対象として識別されたクライアントの一覧を表示する手順は、次のとおりです。


ステップ 1 左側のサイドバーのメニューから Monitor > Security を選択します。

ステップ 2 Shunned Clients をクリックします。Shunned Client ウィンドウが表示されます。このページには、回避した各クライアントの IP アドレス、MAC アドレス、およびその不審クライアントを検出した IDS センサーの IP アドレスを表示します。


 

IDS シグニチャの設定

コントローラにおいて、IDS シグニチャ、または受信する 802.11 パケットのさまざまな種類の攻撃の識別に使用する、ビットパターンのマッチング ルールを設定できます。シグニチャが有効になっている場合は、コントローラに接続されたアクセス ポイントは受信した 802.11 データまたは管理フレームにおいてシグニチャ分析を実行し、矛盾をコントローラへ報告します。

シグニチャの設定方法は、次のとおりです。

「IDS シグニチャのアップロード」

「IDS シグニチャのダウンロード」

「IDS シグニチャの有効化または無効化」

「IDS シグニチャのイベントの表示」

IDS シグニチャのアップロード

コントローラから IDS シグニチャをアップロードする手順は、次のとおりです。


ステップ 1 シスコからシグニチャ ファイルを入手します(以降、標準シグニチャ ファイル)。「IDS シグニチャのダウンロード」に従い独自のシグニチャ ファイル(以降、カスタム シグニチャ ファイル)を作成することもできます。

ステップ 2 シグニチャのダウンロードに Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバを使用できることを確認します。TFTP サーバをセットアップするときのガイドラインは、次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。

ディストリビューション システム ネットワーク ポート経由でダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバはディストリビューション システム ネットワーク ポートと同じサブネットでも異なるサブネットでもかまいません。

Cisco WCS の組み込み TFTP サーバとサードパーティの TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバを WCS と同じコンピュータ上で実行することはできません。

ステップ 3 Configure > Controllers の順に選択します。

ステップ 4 IP アドレスをクリックしてコントローラを選択します。

ステップ 5 左側のサイドバーのメニューから Security を選択し、Standard Signatures または Custom Signatures を選択します。

ステップ 6 Select a Command ドロップダウン メニューから、Upload Signature Files from Controller を選択します。図3-1は表示されるウィンドウを示しています。

図3-1 シグニチャ ファイルのアップロード

 

ステップ 7 転送に使用している TFTP サーバ名を指定します。

ステップ 8 TFTP が新しい場合は、Server IP Address パラメータで TFTP IP アドレスを入力します。

ステップ 9 File Type ドロップダウン メニューから Signature Files を選択します。

ステップ 10 このシグニチャ ファイルは、TFTP サーバによる使用に対して設定されたルート ディレクトリにアップロードされます。Upload to File パラメータで別のディレクトリに変更できます(このパラメータは、Server Name がデフォルト サーバの場合のみ表示)。コントローラはベース ネームとしてこのローカル ファイル名を使用し、標準シグニチャ ファイルの拡張子として _std.sig を、カスタム シグニチャ ファイルの拡張子として _custom.sig を追加します。

ステップ 11 OK をクリックします。


 

IDS シグニチャのダウンロード

標準のシグニチャ ファイルが既にコントローラ上にあり、それにカスタマイズされたシグニチャをダウンロードする場合は、次の手順を実行します。


ステップ 1 Configure > Controllers の順に選択します。

ステップ 2 IP アドレスをクリックしてコントローラを選択します。

ステップ 3 System > Commands の順に選択します。

ステップ 4 Upload/Download Commands ドロップダウン メニューから、Download Signature Files を選択し、 GO をクリックします。

ステップ 5 シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリにコピーします。

ステップ 6 File is Located On パラメータから local machine を選択します。ファイル名および、サーバのルート ディレクトリに対して相対的なパスが分かる場合は、TFTP サーバを選択することもできます。

ステップ 7 Maximum Retries パラメータに、シグニチャ ファイルのダウンロードを試みる最大時間を入力します。

ステップ 8 Timeout パラメータに、シグニチャ ファイルをダウンロードする際、コントローラがタイムアウトするまでの最大時間を秒単位で入力します。

ステップ 9 シグニチャ ファイルは c:\tftp ディレクトリにアップロードされます。そのディレクトリでのローカル ファイル名を指定し、Browse ボタンを使用してそのファイル名に移動します。シグニチャ ファイルの「revision」行で、ファイルがシスコ提供の標準のシグニチャ ファイルか、またはサイトに合わせたカスタム シグニチャ ファイルかを指定します(カスタム シグニチャ ファイルには revision=custom が必須)。

ステップ 10 何らかの理由で転送がタイムアウトした場合には、File Is Located On パラメータの TFTP サーバ オプションを選択すると、Server File Name が読み込まれ、再試行されます。ローカル マシン オプションでは 2 段階の動作が起動されます。まず、ローカル ファイルは管理者のワークステーションから WCS 自体の組み込み TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の動作のため、ファイルはすでに WCS サーバの TFTP ディレクトリに配置され、ここでダウンロード Web ページが自動的にファイル名を読み込みます。

ステップ 11 OK をクリックします。


 

IDS シグニチャの有効化または無効化

IDS シグニチャを有効化または無効化する手順は、次のとおりです。


ステップ 1 Configure > Controllers の順に選択します。

ステップ 2 IP アドレスをクリックしてコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから Security を選択し、Standard Signatures または Custom Signatures を選択します。図3-2 は表示される画面のサンプルを示しています。

図3-2 標準シグニチャの確認

 

Standard Signature Parameters ウィンドウには、現在コントローラ上にあるシスコ提供のシグニチャの一覧が表示されます。Custom Signatures ウィンドウには、現在コントローラ上にあるユーザ指定のシグニチャの一覧が表示されます。シグニチャ ウィンドウまたは詳細シグニチャ ウィンドウに次の情報が表示されます。

Precedence:コントローラがシグニチャ チェックを実行する順序または優先順位

Name:シグニチャによって検出を試みる攻撃の種類

Description:シグニチャによって検出を試みる攻撃の種類についての詳細説明

Frame Type:シグニチャによってセキュリティ攻撃を探す管理フレームまたはデータ フレームの種類

Action:シグニチャによって攻撃が検出されたときに実行する、コントローラへの指示。なにも処置をとらない場合は None、検出を報告する場合は Report となります。

Frequency:シグニチャの周波数、または攻撃の検出前にアクセス ポイント レベルの検出において識別する必要のある、秒ごとの一致パケット数

Quiet Time:攻撃が検出されなくなってからアラームを停止するまでの時間の長さ(秒)。この時間は MAC 情報がすべてまたは両方ある場合のみ表示されます。

MAC Information:アクセス ポイント レベルの検出においてシグニチャをネットワークごとまたは MAC アドレスごと、または両方で追跡するどうか。

MAC Frequency:シグニチャの MAC の周波数、または攻撃の検出前にコントローラ レベルで識別する必要のある、秒ごとの一致パケット数

State:シグニチャの状態。個々のクライアントに対するアクセス ポイント レベルの検出において、セキュリティ攻撃の検出が有効かどうかを示します。この状態は、MAC 情報が個々または両方に設定されている場合のみ表示されます。

Signature Patterns:セキュリティ攻撃の検出に使用するパターン

ステップ 4 個々のシグニチャを有効または無効にするには、有効または無効にしたい攻撃の種類の Name 列をクリックします。図3-3 は詳細シグニチャ画面のサンプルを示しています。

図3-3 標準シグニチャ

 

ステップ 5 Enable ドロップダウン メニューで、yes を選択します。カスタマイズされたシグニチャをダウンロードしているため、_custom.sgi という名前のファイルを有効にし、同じ名前で異なる拡張子を持つ標準シグニチャを無効にする必要があります。(たとえば、ブロードキャスト プローブの大量送信をカスタマイズしている場合に、ブロードキャスト プローブの大量送信を標準シグニチャでは無効にしたいがカスタム シグニチャでは有効にしたい場合がある)

ステップ 6 コントローラの現在の標準シグニチャとカスタム シグニチャをすべて有効にするは、Select
a Command ドロップダウン リストから Edit Signature Parameters を選択し、GO をクリックします。Global Settings for Standard and Custom Signature ウィンドウが表示されます(図3-4参照)。

図3-4 標準シグニチャとカスタム シグニチャのグローバル設定

 

ステップ 7 .Enable Check for All Standard and Custom Signatures チェックボックスをオンにします。これにより、ステップ 5 で有効にしたように、個々に選択したシグニチャすべてを有効にします。このチェックボックスをオフのままにすると、前にステップ 5で有効にしていても、すべてのファイルは無効になります。シグニチャが有効になっている場合は、コントローラに接続されたアクセス ポイントは受信した 802.11 データまたは管理フレームにおいてシグニチャ分析を実行し、矛盾をコントローラへ報告します。

ステップ 8 Save をクリックします。


 

IDS シグニチャのイベントの表示

有効なシグニチャに検出された攻撃の数を確認する手順は、次のとおりです。


ステップ 1 Monitor > Events または Monitor > Alarms の順に選択します。

ステップ 2 左側のサイドバーの Event Category ドロップダウン メニューから、Security を選択します。


 

Web ログインの有効化

Web 認証により、ゲストはブラウザを起動すると自動的に Web 認証ページにリダイレクトされます。ゲストは、この Web ポータルから WLAN にアクセスできます。この認証メカニズムを使用している無線 LAN 管理者は、暗号化されていないゲスト アクセスまたは暗号化されたゲスト アクセスを提供するオプションを用意する必要があります。ゲスト ユーザは、SSL で暗号化される有効なユーザ名とパスワードを使用して無線ネットワークにログインできます。Web 認証アカウントはローカルに作成するか、RADIUS サーバで管理できます。Cisco Wireless LAN Controller は Web 認証クライアントをサポートするように設定できます。コントローラで提供される Web 認証ページを置き換えるテンプレートを作成するには、「Web 認証テンプレートの設定」 を参照してください。


ステップ 1 Configure > Controller の順に選択します。

ステップ 2 IP Address 列で IP アドレス URL をクリックして、Web 認証を有効にするコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから Security > Web Auth Configuration の順に選択します。

ステップ 4 ドロップダウン メニューから適切な Web 認証の種類を選択します。選択肢は、デフォルトの内部、カスタマイズ Web 認証、または外部です。

デフォルトの内部を選択する場合でも、ページ タイトル、メッセージ、およびリダイレクト URLを変更することや、ロゴを表示するかどうかを選択できます。手順 5 に進みます。

カスタマイズされた Web 認証を選択する場合は、「カスタマイズされた Web 認証のダウンロード」に進んでください。

外部を選択する場合は、認証に成功した後でリダイレクトする URL を入力する必要があります。たとえば、このフィールドに入力した値が http://www.company.com の場合、ユーザはこの会社のホーム ページに接続されます。

ステップ 5 会社のロゴを表示する場合は、Logo Display チェックボックスをクリックします。

ステップ 6 Web 認証ページに表示するタイトルを入力します。

ステップ 7 Web 認証ページに表示するメッセージを入力します。

ステップ 8 認証に成功した後でユーザがリダイレクトされる URL を指定します。たとえば、このフィールドに入力した値が http://www.company.com の場合、ユーザはこの会社のホーム ページに接続されます。

ステップ 9 Save をクリックします。


 

カスタマイズされた Web 認証のダウンロード

前の項の手順 4 において、カスタマイズされた Web 認証オプションを選択した場合は、次の手順に従います。カスタマイズされた Web 認証ページをコントローラにダウンロードできます。カスタマイズ Web ページは、ユーザ Web アクセス用のユーザ名とパスワードを設定するために作成されます。

カスタマイズされた Web 認証をダウンロードする際、次の厳格なガイドラインに従う必要があります。

ユーザ名を指定する。

パスワードを指定する。

リダイレクト URL は、元の URL から引用した後、非表示の入力項目として保持する。

操作 URL は、元の URL から引用および設定する。

戻りステータス コードをデコードするスクリプトを含める。

メイン ページで使用されるすべてのパスは相対パスとする。

ダウンロードの前に、次の手順を実行する必要があります。


ステップ 1 プレビュー画像の上でクリックして、サーバからサンプルの login.html バンドルをダウンロードします。login.html ファイルの例については、図3-5を参照してください。ダウンロードしたバンドルは .TAR ファイルとなります。

図3-5 Login.html

 

ステップ 2 Login.html を開いて編集し、これを .tar または .zip ファイルとして保存します。


) 「承諾条件を読んで送信」するよう、任意のテキストまたは HTML エディタで Submit ボタンのテキストを編集できます。


ステップ 3 ダウンロードに Trivial File Transfer Protocol(TFTP)サーバを使用できることを確認します。TFTP サーバをセットアップするときのガイドラインは、次のとおりです。

サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。

ディストリビューション システム ネットワーク ポート経由でダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバはディストリビューション システム ネットワーク ポートと同じサブネットでも異なるサブネットでもかまいません。

Cisco WCS の組み込み TFTP サーバとサードパーティの TFTP サーバは同じ通信ポートを使用するため、サードパーティの TFTP サーバを WCS と同じコンピュータ上で実行することはできません。

ステップ 4 リンク「After editing the HTML you may click here to redirect to the Download Web Auth Page」の here をクリックして、.tar ファイルまたは .zip ファイルをコントローラにダウンロードします。Download Customized Web Auth Bundle to Controller ウィンドウが表示されます(図3-6参照)。

図3-6 カスタマイズされた Web 認証バンドルのコントローラへのダウンロード

 


) バンドルを受信するコントローラの IP アドレスとその現在のステータスが表示されます。


ステップ 5 File is Located On パラメータから local machine を選択します。ファイル名および、サーバのルート ディレクトリに対して相対的なパスが分かる場合は、TFTP サーバを選択することもできます。


) ローカル マシンのダウンロードには、.zip または .tar のファイル オプションがありますが、WCS では自動的に .zip を .tar に変換します。TFTP サーバのダウンロードを選択した場合は、.tar ファイルのみを指定します。


ステップ 6 Timeout パラメータに、ファイルをダウンロードする際、コントローラがタイムアウトするまでの最大時間を秒単位で入力します。

ステップ 7 WCS Server Files In パラメータには WCS サーバ ファイルを配置する場所を指定します。そのディレクトリでのローカル ファイル名を指定し、Browse ボタンを使用してそのファイル名に移動します。シグニチャ ファイルの「revision」行で、ファイルがシスコ提供の標準のシグニチャ ファイルか、またはサイトに合わせたカスタム シグニチャ ファイルかを指定します(カスタム シグニチャ ファイルには revision=custom が必須)。

ステップ 8 何らかの理由で転送がタイムアウトした場合には、File Is Located On パラメータの TFTP サーバ オプションを選択すると、Server File Name が読み込まれ、再試行されます。ローカル マシン オプションでは 2 段階の動作が起動されます。まず、ローカル ファイルは管理者のワークステーションから WCS 自体の組み込み TFTP サーバにコピーされます。次にコントローラがそのファイルを取得します。後の動作のため、ファイルはすでに WCS サーバの TFTP ディレクトリに配置され、ここでダウンロード Web ページが自動的にファイル名を読み込みます。

ステップ 9 OK をクリックします。

何らかの理由で転送がタイムアウトした場合には、File Is Located On パラメータの TFTP サーバ オプションを選択すると、Server File Name が読み込まれ、再試行されます。

ステップ 10 ダウンロードが完了すると、新しいページに接続され、認証できます。


 

ゲスト WLAN への接続

ゲスト中央 WLAN に接続してWeb 認証プロセスを実行する手順は、次のとおりです。ゲスト ユーザ アカウントの詳細については、「ゲスト ユーザ アカウントの作成」を参照してください。


ステップ 1 オープン認証の設定で接続されている場合は、仮想インターフェイスの IP アドレスを参照します(/1.1.1.1/login.html など)。

ステップ 2 WCS ユーザ インターフェイスに Login ウィンドウが表示されたら、ユーザ名とパスワードを入力します。


) 入力する文字はすべて、大文字と小文字が区別されます。


Lobby 管理者は、ゲスト ユーザを追加する場合以外は、テンプレートにアクセスできません。

ステップ 3 Submit をクリックして、WCS にログインします。WCS ユーザ インターフェイスは、これでアクティブになり、使用可能になります。Guest Users Templates ページが表示されます。このページには作成したすべてのゲスト ユーザ テンプレートの概要が示されます。


) WCS ユーザ インターフェイスを終了するには、ブラウザ ウィンドウを閉じるか、ページの右上の Logout をクリックします。WCS ユーザ インターフェイス セッションを終了しても、サーバ上では WCS は終了しません。



) WCS セッション中にシステム管理者が WCS を停止すると、セッションが終了し、Web ブラウザに次のメッセージが表示されます。「The page cannot be displayed.」サーバが再起動される際に、セッションは WCS に再アソシエートされません。WCS セッションを再開する必要があります。



 

ゲスト ユーザの削除

ゲスト WLAN とそのアカウントのユーザ名を使用してログインされるクライアント ステーションをすべて削除する手順は、次のとおりです。


ステップ 1 Configure > Controller Templates の順に選択します。

ステップ 2 Template Name 列からテンプレートを選択します。

ステップ 3 左側のサイドバーのメニューから Security > Guest Users の順に選択します。

ステップ 4 削除するユーザ名の前のチェックボックスをクリックします。WCS によって削除前に警告メッセージが表示されます。

ステップ 5 Select a command ドロップダウン メニューから、Delete Templates を選択します。削除が完了すると、ウィンドウに削除結果が表示されます。


) トラップを呼び出して、ゲスト アカウントの有効期限が切れた場合にコントローラによって通知を送信することもできます。WCS はこのトラップを処理し、コントローラの設定からそのゲスト ユーザ アカウントを削除します。



 

802.1x 認証を使用した条件付き Web リダイレクト

WCS ソフトウェア リリース 4.0.96.0 の新機能を使用すると、802.1x 認証が正常に完了した後、ユーザを特定の Web ページに一定の条件の下でリダイレクトすることができます。このような条件には、ユーザのパスワードの有効期限が近づいている場合、または使用を継続するためにユーザが料金を支払う必要がある場合などがあります。RADIUS サーバー上で、リダイレクト先のページとリダイレクトが発生する条件を指定できます。

条件付き Web リダイレクト機能は、802.1x または WPA1+WPA2 レイヤ 2 セキュリティ用に設定された WLAN でのみ使用できます。この機能を設定する手順は、次のとおりです。


ステップ 1 Configure > Controllers の順に選択します。

ステップ 2 IP アドレス URL をクリックして、All Controllers リストからコントローラを選択します。

ステップ 3 左側のサイドバーのメニューから、WLANs > WLANs の順に選択します。

ステップ 4 リストから目的の WLAN ID を選択します。

ステップ 5 Security タブをクリックします。

ステップ 6 Layer 3 タブをクリックします。

ステップ 7 クリックして、Web Policy チェック ボックスを有効にします。

ステップ 8 ユーザをコントローラの外部のサイトにリダイレクトする場合は、Preauthentication ACL ドロップダウン リストから RADIUS サーバで設定された ACL を選択します。

ステップ 9 Save をクリックします。