Enterprise Mobility 4.1 デザイン ガイド Cisco Validated Design I
Cisco Unified Wireless Network アーキテクチャ - 基本的なセキュリ ティ機能
Cisco Unified Wireless Network アーキテクチャ - 基本的なセキュリティ機能
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Unified Wireless Network

802.11 の基本的なセキュリティ機能

WLAN のセキュリティの実装基準

用語

802.1X

Extensible Authentication Protocol

認証

サプリカント

オーセンティケータ

認証サーバ

暗号化

WEP

TKIP 暗号

AES 暗号

4 ウェイ ハンドシェイク

Cisco Compatible Extensions

Proactive Key Caching および CCKM

Cisco Unified Wireless Network アーキテクチャ

LWAPP の機能

Cisco Unified Wireless のセキュリティ機能

機能強化された WLAN セキュリティ オプション

ローカル EAP 認証

ACL 機能とファイアウォール機能

DHCP および ARP の保護

ピアツーピア ブロッキング

無線 IDS

クライアントの除外

不正 AP

電波/RF 検出

位置特定

有線検出

不正 AP の阻止

管理フレーム保護

クライアントの管理フレーム保護

WCS のセキュリティ機能

設定検証

アラームとレポート

アーキテクチャ統合

Cisco Integrated Security Features

攻撃の種類

MAC フラッディング攻撃

DHCP 不正サーバ攻撃

DHCP 消耗攻撃

ARP スプーフィングベースの Man-In-the-Middle 攻撃

IP スプーフィング攻撃

無線展開シナリオの CISF

CISF の無線機能

MAC フラッディング攻撃を緩和するためのポート セキュリティの使用

DHCP 消耗攻撃を緩和するためのポート セキュリティの使用

不正 DHCP サーバ攻撃を緩和するための DHCP スプーフィングの使用

Man-In-the-Middle 攻撃を緩和するための Dynamic ARP Inspection(DAI)の使用

IP および MAC スプーフィングを緩和するための IP Source Guard の使用

結果の要約

参照資料

Cisco Unified Wireless Network
アーキテクチャ - 基本的なセキュリティ機能

Cisco Unified Wireless Network ソリューションは 802.11 のセキュリティ機能を基に設計されており、RF、802.11、およびネットワークベースのセキュリティ機能を強化することで全体的なセキュリティ強化を図っています。802.11 規格には無線媒体のセキュリティが盛り込まれていますが、さらに、Cisco Unified Wireless Network ソリューションではシステム全体のエンドツーエンド セキュリティを実現するため、アーキテクチャと製品のセキュリティ機能を利用し、WLAN エンドポイント、WLAN インフラストラクチャ、クライアント通信、基幹有線ネットワークを保護します。

802.11 の基本的なセキュリティ機能

ここでは、802.11 無線ネットワークで現在使用できる企業向けセキュリティ機能について説明します。

当初の 802.11 プロトコルは脆弱なセキュリティが問題視されていました。データ漏洩に関するこうした問題を解消するため、その後新しく登場したのが 802.11i 規格です。この規格では、強力な認証方式と暗号化方式を採用することで無線通信の機密性要件を実現しています。

このガイドの後半では、WLAN のその他のセキュリティ問題を取り上げます。 現在、各標準化機関がこれらの問題の改善に努めています。また、Cisco Unified Wireless Network ソリューションにも対応策が取り入れられています。

WLAN のセキュリティの実装基準

WLAN ネットワークでは、認証と暗号化の両方がセキュリティの基準となります。WLAN ネットワークの一般的なセキュリティ メカニズムは次のとおりです。

オープン認証、暗号化なし

Wired Equivalent Privacy(WEP)

Cisco WEP Extensions(Cisco Key Integrity Protocol + Cisco Message Integrity Check)

Wi-Fi Protected Access(WPA)

Wi-Fi Protected Access 2(WPA 2)

WPA と WPA 2 は、「Wi-F」ブランドを考案した国際的な Wi-Fi 団体である Wi-Fi Alliance によって定義されています。Wi-Fi Alliance は、IEEE 802.11 製品の相互運用性を認定し、これらが無線 LAN の国際的な標準規格となるようあらゆる市場を通じて普及活動を行っています。Wi-Fi Alliance では、他の Wi-Fi 認定製品との相互運用性を認定するための、メンバ製品のテスト方法を定義するテスト スイートを用意しています。

802.11 セキュリティ メカニズムとして最初に定義された WEP は、静的な暗号化方式を使用して無線ネットワークを保護していました。WEP は、ある程度のセキュリティ レベルには適合しますが、企業の通信を保護するには不十分と考えられています。簡単に説明すると、802.11 の WEP 規格は、暗号キーの管理方法の問題に対応していませんでした。暗号化メカニズム自体に、クライアント トラフィックを監視するだけで WEP キーを解読できてしまうという欠点が確認されたのです。Cisco WLAN 製品は、802.1x 認証と動的キー生成を採用し、WEP 暗号化をさらに強化した Cisco Key Integrity Protocol(CKIP)と Cisco Message Integrity Check(CMIC)を導入することで、これらの問題に対応しています。802.11i は、従来の 802.11 規格に存在するセキュリティの脆弱性に対処すべく、IEEE によって導入された規格です。最初の 802.11 規格以降 802.11i が承認されるまでの期間は、いくつかの暫定的なソリューションが採用されてきました。

WPA は、Wi-Fi Alliance が発表した 802.11i ベースのセキュリティ ソリューションで、WEP の脆弱性に対応しています。WPA は、Temporal Key Integrity Protocol(TKIP)を使用して、事前共有キーまたは RADIUS/802.1x ベースの認証を用いた暗号化および動的暗号キーの生成を行います。WPA に採用されたメカニズムは、ハードウェアをアップグレードしなくても WEP ソリューションの欠点に対処できるように設計されています。WPA2 は、次世代の Wi-Fi セキュリティであり、802.11i 規格をベースとしています。WPA2 は、Wi-Fi Alliance が認定する、承認済み IEEE 802.11i 規格の相互運用可能な実装方式です。WPA 2 には、「エンタープライズ」と「パーソナル」の 2 種類の認定があります。エンタープライズ モードでは、RADIUS/802.1x ベースの認証と事前共有キーのサポートが条件となります。パーソナル モードで必要となるのは、クライアントと AP が共有する共通キーだけです。WPA2 には AES という新しい暗号化メカニズムが導入されているので、通常は WLAN クライアントと AP を最新バージョンのハードウェアへアップグレードする必要がありますが、Cisco LWAPP AP はいずれも WPA2 に対応しています。

表4-1 は、各種の仕様の概要です。

 

表4-1 WLAN のセキュリティ機能

機能
静的 WEP
802.1x WEP
WPA
WPA2(エンタープライズ)

識別

ユーザ、マシン、または WLAN カード

ユーザまたはマシン

ユーザまたはマシン

ユーザまたはマシン

認証

共有キー

EAP

EAP または事前共有キー

EAP または事前共有キー

整合性

32 ビット Integrity Check Value(ICV)

32 ビット ICV

64 ビットMessage Integrity Code(MIC)

CRT/CBC-MAC(Counter mode Cipher Block Chaining Auth Code; CCM)AES の一部

暗号化

静的キー

セッション キー

TKIP を使用した Per Packet Key ローテーション

CCMP(AES)

キーの配布

1 回限り、手動

Pair-wise Master Key(PMK)のセグメント

PMK から導出

PMK から導出

初期ベクトル(IV)

プレーン テキスト、24 ビット

プレーン テキスト、24 ビット

拡張初期化ベクトル(IV)- 65 ビット(抽出/シーケンス)

48 ビットのパケット番号(PN)

アルゴリズム

RC4

RC4

RC4

AES

キーの長さ

64/128 ビット

64/128 ビット

128 ビット

128 ビット

サポートしているインフラストラクチャ

なし

RADIUS

RADIUS

RADIUS

Cisco Wireless Security Suite は、必須の、または既存の認証、プライバシーおよびクライアント インフラストラクチャに基づいて、さまざまなセキュリティ手段を提供するオプションを備えています。Cisco Wireless Security Suite は、WPA および WPA2 をサポートし、次の機能を提供します。

次の EAP 方式を使用する 802.1x ベースの認証:

Cisco LEAP、EAP-Flexible Authentication via Secure Tunneling(EAP-FAST)

PEAP-Generic Token Card(PEAP-GTC)

PEAP-Microsoft Challenge Authentication Protocol Version 2(PEAP-MSCHAPv2)

EAP-Transport Layer Security(EAP-TLS)

EAP-Subscriber Identity Module(EAP-SIM)

暗号化:

AES-CCMP 暗号化(WPA2)

TKIP 暗号化拡張機能:WPA TKIP Cisco Key Integrity Protocol(CKIP)および Cisco Message Integrity Check(CMIC)を使用した、キー ハッシュ(パケット単位での暗号キーの生成)、Message Integrity Check(MIC; メッセージ整合性チェック)、およびブロードキャスト キー ローテーション

40ビット、104ビット、および 128 ビットの静的および動的 IEEE 802.11 WEP キーのサポート


) 128 ビットの WEP をサポートしている AP およびクライアントはありません(128 ビット WEP キーに IV が追加されるので、合計キー サイズは 152 ビットになります)。サポートされていたとしても、WEP キーが長くなることによって WEP 特有のセキュリティ問題は解消されません。


用語

このガイドで使用されている一般的な用語を図4-1 に示します。

図4-1 安全な無線トポロジ

 

このソリューションの基本的な物理構成要素は次のとおりです。

WLAN クライアント

アクセス ポイント(AP)

Wireless LAN Controller(WLC)

AAA サーバ

さらに図4-1 は、802.1X 認証プロセスで使用する基本的な役割とそれらの関係を示しています。

802.1X サプリカント(無線ソフトウェア)は WLAN クライアント上に配置されます。

AP と WLC(LWAPP スプリット MAC アーキテクチャを使用)は 802.1X オーセンティケータとして動作します。

AAA サーバは認証サーバです。

図4-1 は、クライアントと認証サーバ間で EAP パケットを伝送する際の 802.1X および RADIUS プロトコルの役割も示しています。802.1X と EAP については、この章の後半で詳しく説明します。

802.1X

802.1X はポート単位でアクセスを制御するための IEEE 規格です。認証されたユーザにのみ WLAN ネットワークへのアクセスを許可する手段として、802.11i セキュリティ ワークグループによって採用されました。

802.11 アソシエーション プロセスでは、各 WLAN クライアントの「仮想」ポートが AP に作成されます。

AP は、802.1X ベース トラフィック以外のすべてのデータ フレームをブロックします。

802.1X フレームは EAP 認証パケットを伝送します。この認証パケットは、AP によって AAA サーバへ渡されます。

EAP 認証に成功すると、AAA サーバは EAP 成功メッセージを AP へ送信します。このメッセージを受け取った AP は、該当する WLAN クライアントから仮想ポートへのデータ トラフィックを許可します。

仮想ポートを開く前に、認証された WLAN クライアントと AP 間のデータ リンクが暗号化されます。これは、特定のクライアントのために開いたポートへ他の WLAN クライアントがアクセスできないようにするためです。

Extensible Authentication Protocol

Extensible Authentication Protocol(EAP)は、認証プロトコルとそれを伝送するトランスポート プロトコルとの分離を定めている IETF RFC です。これらを分離することにより、EAP プロトコル自体を変更しなくても、802.1X、UDP、RADIUS などのトランスポート プロトコルを使用してこの認証プロトコルを伝送できます。

基本的な EAP プロトコルは比較的シンプルであり、次の 4 種類のパケットで構成されます。

EAP 要求:要求パケットはオーセンティケータからサプリカントへ送信されます。要求パケットにはそれぞれ、要求内容(サプリカントの ID や使用する EAP タイプなど)を示すタイプ フィールドがあります。さらに、シーケンス番号を付けることで、オーセンティケータとピアは、各 EAP 要求に対応する EAP 応答を判別できます。

EAP 応答:応答パケットはサプリカントからオーセンティケータへ送信されます。その際、どの EAP 要求に対する応答であるかを示すシーケンス番号が付与されます。否定応答(NAK)でない限り、通常、EAP 応答は EAP 要求に対応しています。

EAP 成功:認証に成功すると、オーセンティケータからサプリカントへ成功パケットが送信されます。

EAP 失敗:認証に成功しなかったときは、オーセンティケータからサプリカントへ失敗パケットが送信されます。

802.11i 準拠のシステムで EAP を使用すると、AP は EAP パススルー モードで動作します。つまり、コード フィールド、ID フィールド、長さフィールドをチェックした上で、クライアント サプリカントから受け取った EAP パケットを AAA へ転送します。同様に、オーセンティケータ(AP)は、AAA サーバから受け取った EAP パケットをサプリカントへ転送します。

図4-2 は、EAP プロトコル フロー例を示しています。

図4-2 EAP プロトコル フロー

 

認証

それぞれの要求に応じて、PEAP、EAP-TLS、EAP-FAST などさまざまな認証プロトコルを使用して安全な無線環境を構築できます。どの認証プロトコルも、現在、基盤のトランスポートとして 802.1X、EAP、および RADIUS を使用しています。これらのプロトコルでは、認証に成功した WLAN クライアントだけがネットワークにアクセスできます。また、WLAN ネットワークをユーザが認証することも可能です。

このソリューションでは、RADIUS プロトコルで伝達されるポリシーに従ってアクセス権を付与したり、RADIUS アカウンティング処理を行うこともできます。

認証を実行するために使用する EAP タイプについては、この後で詳しく説明します。EAP プロトコルの選択に影響を与える主要因は、現在使用している認証システム(AAA)です。理想的なのは、新しい認証システムを導入するのではなく、既存の認証システムを利用して安全な WLAN 環境を構築することです。

サプリカント

802.1X では、WLAN 認証で使用するクライアント ソフトウェアを「サプリカント」と呼んでいます。Cisco Secure Services Client(CSSC)4.1 は有線ネットワークと無線ネットワークを両方ともサポートしており、一般的なすべての EAP に対応しているサプリカントです。WLAN NIC メーカーがサプリカントを提供する場合や、オペレーティング システムにサプリカントが組み込まれている場合もあります。たとえば、Windows XP は PEAP MSCHAPv2 と EAP-TLS をサポートしています。

CSSC の詳細は、 http://www.cisco.com/en/US/products/ps7034/index.html を参照してください。

図4-3 は、認証アーキテクチャ全体におけるサプリカントの位置付けを示しています。サプリカントの役割は、アップストリームのオーセンティケータ(この場合は WLC)に対して、EAP および 802.1X を使用したエンドユーザ認証を中継することです。サプリカントから EAP メッセージを受け取ったオーセンティケータは、RADIUS を使用して、それらのメッセージを AAA サーバへ転送します。

図4-3 WLAN クライアント サプリカント

 

現在、各種の認証ソリューションや顧客の要望を反映したさまざまな EAP サプリカントが市販されています。

表4-2 は、一般的な EAP サプリカントの機能をまとめたものです。

PEAP MSCHAPv2:Protected EAP MSCHAPv2。Transport Layer Security(TLS)トンネル(SSL の IETF 標準)を使用して、WLAN クライアントと認証サーバ間のカプセル化 MSCHAPv2 交換を保護します。

PEAP GTC:Protected EAP Generic Token Card(GTC)。TLS トンネルを使用して、汎用トークン カード交換(ワンタイム パスワードや LDAP 認証など)を保護します。

EAP-FAST:EAP-Flexible Authentication via Secured Tunnel。PEAP の場合と同様のトンネルを使用します。ただし、PKI(Public Key Infrastructure; 公開鍵インフラストラクチャ)は必要ありません。

EAP-TLS:EAP Transport Layer Security。PKI を使用して、WLAN ネットワークと WLAN クライアントの両方を認証します。クライアント証明書と認証サーバ証明書が必要です。

 

表4-2 一般的な各種サプリカントの比較

Cisco EAP-FAST
PEAP MS-CHAPv2
PEAP EAP-GTC
EAP-TLS

シングル サインオン(MSFT AD のみ)

あり

あり

あり 1

あり

ログイン スクリプト(MSFT AD のみ)

あり

あり

一部

あり 2

パスワード変更(MSFT AD)

あり

あり

あり

N/A

Microsoft AD データベースのサポート

あり

あり

あり

あり

ACS ローカル データベースのサポート

あり

あり

あり

あり

LDAP データベースのサポート

あり 3

なし

あり

あり

OTP 認証のサポート

あり 4

なし

あり

なし

RADIUS サーバ証明書の必要性

なし

あり

あり

あり

クライアント証明書の必要性

なし

なし

なし

あり

匿名性

あり

あり 5

あり 6

なし

1. サプリカントによって異なります。

2. このスクリプトをサポートするには、マシン アカウントとマシン認証が必要です。

3. LDAP データベースを使用する場合は自動プロビジョニングがサポートされません。

4. サプリカントによって異なります。

5. サプリカントによって異なります。

6. サプリカントによって異なります。

オーセンティケータ

Cisco Secure Wireless Solution の場合、オーセンティケータは Wireless LAN Controller(WLC)です。この WLC は、802.1X ベース サプリカントと RADIUS 認証サーバ間でやり取りされる EAP メッセージのリレーとして動作します。

認証に成功すると、WLC は次の情報を受け取ります。

EAP 成功メッセージが含まれている RADIUS パケット

EAP 認証時に認証サーバによって生成された暗号キー

通信ポリシーに関する RADIUS VSA(vendor-specific attribute; ベンダー固有属性)

図4-4 は、認証アーキテクチャ全体における「オーセンティケータ」の論理的位置付けを示しています。オーセンティケータは 802.1X プロトコルを使用してネットワーク アクセスを制御し、サプリカントと認証サーバ間で EAP メッセージを中継します。

図4-4 オーセンティケータの位置付け

 

表4-3 に、PEAP 認証のデコード例を示します。左側の 4 列は無線 802.1X デコードです。右側の 3 列は、同じ PEAP 認証の RADIUS トランザクションを表しています。

EAP 交換シーケンスは次のとおりです。

AP がクライアントに対して、クライアント ID を要求するパケット #1 を送信します。これによって EAP 交換が開始されます。

パケット #2 はクライアント ID です。このパケットは RADIUS サーバへ転送されます。この ID に基づいて、RADIUS サーバは EAP 認証を続行するかどうかを判断します。

パケット #3 を送信し、 RADIUS サーバは、認証の EAP 方式として PEAP を使用することを要求します。実際の要求は、RADIUS サーバで設定されている EAP の種類によって異なります。クライアントが PEAP 要求を拒否した場合、RADIUS サーバは他の種類の EAP を提案します。

パケット #4 ~ 8 は PEAP の TLS トンネル セットアップです。

パケット #9 ~ 16 は PEAP 内での認証交換です。

パケット #17 は、認証に成功したことを知らせる EAP メッセージです。

認証が成功したことをサプリカントとオーセンティケータに通知する以外に、パケット #17 は、RADIUS VSA の形式で指定された認証情報と暗号キーもオーセンティケータに伝送します。

 

表4-3 EAP トランザクション

#
送信元
送信先
プロトコル
情報
送信元
送信先
RADIUS 情報

1

AP

クライアント

EAP

要求、ID

2

クライアント

AP

EAP

応答、ID

WLC

AAA

Access-Rq 1、id=114

3

AP

クライアント

EAP

要求、PEAP

AAA

WLC

Access-Ch 11、id=115

4

クライアント

AP

TLS 7

Client Hello

WLC

AAA

Access-Rq 1、id=116

5

AP

クライアント

TLS

Server Hello、証明書

AAA

WLC

Access-Ch 11、id=116

6

クライアント

AP

TLS

Client Key Exchange、Change Cipher Spec、暗号化されたハンドシェイク メッセージ

WLC

AAA

Access-Rq 1、id=117

7

AP

クライアント

TLS

Change Cipher Spec、暗号化されたハンドシェイク メッセージ

AAA

WLC

Access-Ch 11、id=117

8

クライアント

AP

EAP

応答

WLC

AAA

Access-Rq 1、id=118

9

AP

クライアント

TLS

アプリケーション データ

AAA

WLC

Access-Ch 11、id=118

10

クライアント

AP

TLS

アプリケーション データ

WLC

AAA

Access-Rq 1、id=119

11

AP

クライアント

TLS

アプリケーション データ

AAA

WLC

Access-Ch 11、id=119

12

クライアント

AP

TLS

アプリケーション データ

WLC

AAA

Access-Rq 1、id=120

13

AP

クライアント

TLS

アプリケーション データ

AAA

WLC

Access-Ch 11、id=120

14

クライアント

AP

TLS

アプリケーション データ

WLC

AAA

Access-Rq 1、id=121

15

AP

クライアント

TLS

アプリケーション データ

AAA

WLC

Access-Ch 11、id=121

16

クライアント

AP

TLS

アプリケーション データ

WLC

AAA

Access-Rq 1、id=122

17

AP

クライアント

EAP

成功

AAA

WLC

Access-Accept 2、id=122

7. TLS トランザクションは EAP パケットとして伝送されます。

認証サーバ

Cisco Secure Unified Wireless ソリューションで使用する認証サーバは Cisco Access Control Server(ACS)です。Cisco ACS は、Windows 2000 サーバまたは Windows 2003 サーバにソフトウェアとしてインストールされている場合と、アプライアンスとして提供される場合があります。また、特定の WLAN インフラストラクチャ デバイスに認証サーバ ロールを実装することもできます。たとえば、IOS AP にローカル認証サービスを追加する、WLC でローカル EAP 認証をサポートする、Cisco WLSExpress に AAA サービスを統合する、AAA サーバで必要なタイプの EAP をサポートするなどの方法があります。

図4-5 は、無線認証アーキテクチャ全体における認証サーバの論理的位置付けを示しています。この場合、認証サーバは、RADIUS トンネル経由で EAP 認証を実行します。

図4-5 認証サーバの位置付け

 

EAP 認証に成功すると、認証サーバは EAP 成功メッセージをオーセンティケータへ送信します。このメッセージは EAP 認証プロセスが成功したことをオーセンティケータに通知し、同時に Pair-wise Master Key(PMK)をオーセンティケータに渡します。WLAN クライアントと AP 間のその後の通信では、この PMK を基にして暗号化ストリームが作成されます。次に、RADIUS での EAP 成功メッセージのデコード例を示します。

Radius Protocol
Code: Access-Accept (2)
Packet identifier: 0x7a (122)
Length: 196
Authenticator: 1AAAD5ECBC487012B753B2C1627E493A
Attribute Value Pairs
AVP: l=6 t=Framed-IP-Address(8): Negotiated
AVP: l=6 t=EAP-Message(79) Last Segment[1]
EAP fragment
Extensible Authentication Protocol
Code: Success (3)
Id: 12
Length: 4
AVP: l=58 t=Vendor-Specific(26) v=Microsoft(311)
AVP: l=58 t=Vendor-Specific(26) v=Microsoft(311)
AVP: l=6 t=User-Name(1): xxxxxxx
AVP: l=24 t=Class(25): 434143533A302F313938662F63306138336330322F31
AVP: l=18 t=Message-Authenticator(80): 7C34BA45A95F3E55425FDAC301DA1AD7
 

暗号化

暗号化は WLAN セキュリティの必須要素であり、ローカル RF ブロードキャスト ネットワーク上で機密性を確保するには不可欠な機能です。802.11 規格が最初に採用されたときは、Wired Equivalent Privacy(WEP)が標準的な暗号化技術でした。その後、WEP にはさまざまな面で不備があることがわかり、この暗号化技術では WLAN の安全性を十分に確保できないと考えられています。WEP についてはこのガイドでも説明しています。既存のクライアント環境をサポートするため、現在、ほとんどの WLAN 製品が WEP をサポートしています。新しく導入する場合は、TKIP(WPA)または AES(WPA2)暗号を使用する必要があります。

暗号化キーは PMK を基にして生成されます。ダイナミック WEP 環境の場合、WEP 鍵は PMK の一部です。一方、WPA および WPA2 では、この後説明する 4 ウェイ ハンドシェイクの実行時に暗号化キーが生成されます。

WEP

図4-6 に WEP 暗号化プロセスを示します。まず、WEP キーと初期化ベクトル(IV)が連結され、この結合キーをシードとして RC4 キーストリームが生成されます。次に、生成したキーストリームと WLAN データの XOR 演算が実行されます。フレームごとに異なる IV ストリームが使用されます。つまり、フレームごとに異なる結合キーを使用して新しい RC4 キーストリームが生成されます。ただし、IV の再利用率が高いこと、ストリーム暗号(RC4)を基にしてブロック暗号を生成することから、その脆弱性が指摘されています。事実、現在市販されている一般的なツールで解読することができます。前述したように、WEP はできる限り使用しないでください。

図4-6 WEP のカプセル化プロセス

 

LWAPP WLAN ソリューションは 3 つの WEP キー長をサポートしています。標準の 40 ビット キーと 104 ビット キー、そして 128 ビット キーです。128 ビット キーの使用は推奨されていません。このキー長をサポートしている WLAN クライアントがあまりないためです。また、128 ビット キーを使用したとしても、WEP 暗号自体の脆弱性は解決されません。

TKIP 暗号

802.11i では企業レベルの 2 つの暗号メカニズム Temporal Key Integrity Protocol(TKIP)と Advanced Encryption Standard(AES)が規定されており、これらは Wi-Fi Alliance によって WPA および WPA2 として認定されています。

TKIP は、WPA として認定されている暗号方式です。これまで指摘されていた 802.11 WEP 暗号方式の脆弱性が改善されており、従来と同じ RC4 コア暗号化アルゴリズムを採用しているので、既存の WLAN 装置にも対応しています。WEP の既知の弱点をすべて克服しており、さらに WLAN クライアント デバイスを新しくする必要がないことから、今後しばらくは TKIP(WPA)が主流となることでしょう。ただし、WPA2 の AES 暗号の方が、IT 業界の規格や基準により柔軟に対応できます。

図4-7 は TKIP の基本フロー図です。

図4-7 WPA TKIP

 

TKIP には 2 つの大きな役割があります。1 つは、MAC Service Data Unit(MSDU; MAC サービス データ ユニット)の RC4 暗号を使用してパケットごとにキーを生成すること。もう 1 つは、暗号化されたパケットの Message Integrity Check(MIC; メッセージ完全性チェック)を実行することです。 パケットごとのキーは、送信アドレス、初期化ベクトル(IV)、および暗号キーのハッシュです。フレーム送信のたびに IV が変わるので、RC4 暗号で使用されるキーはフレームごとに異なります。Michael アルゴリムを使用して MIC キーとユーザ データが結合され、MIC が生成されます。Michael は、演算オーバーヘッドが小さく、高いパフォーマンスを得られるアルゴリズムですが、攻撃を受けやすいという欠点もあります。そのため WPA では、WLAN クライアントを一時的に切断し、60 秒間は新しいキー ネゴシエーションを行えなくする予防措置がとられています。ただし、この動作自体が一種の DoS 攻撃となる可能性があります。多くの WLAN 実装は、必要に応じて、この対抗機能を無効できるようになっています。

AES 暗号

図4-8 は、基本的な AES counter mode/CBC MAC Protocol(CCMP)のフロー図です。CCMP は AES 暗号モードの 1 つであり、カウンタ モードは機密性を実現し、CBC MAC はメッセージの完全性を維持します。

図4-8 WPA2 AES CCMP

 

CCMP 手順では、追加の認証データ(AAD)が MAC ヘッダーから取得され、CCM 暗号化プロセスに組み込まれます。これによってフレームが保護され、フレーム内の非暗号化部分の改ざんを防ぎます。

リプレイ アタックを防ぐため、連続したパケット番号(PN)が CCMP ヘッダーに追加されます。この PN と MAC ヘッダーの各部を使用してナンスが生成され、さらにこのナンスが CCM 暗号化プロセスで使用されます。

4 ウェイ ハンドシェイク

4 ウェイ ハンドシェイクは、無線データ フレームの暗号化で必要となる暗号キーを生成するための方式です。図4-9 は、暗号キー生成時のフレーム交換を示しています。これらのキーを「一時キー」といいます。

図4-9 4 ウェイ ハンドシェイク

 

暗号化に必要なキーは、EAP 認証セクションで生成した PMK に基づいて作成されます。この PMK は EAP 成功メッセージとしてオーセンティケータに送信されますが、サプリカントには転送されません。サプリカントは PMK を独自に生成するためです。

1. オーセンティケータは、オーセンティケータ ナンス(ANonce)が含まれている EAPOL-Key フレームを送信します。これはオーセンティケータが生成した乱数です。

a. サプリカントは、ANonce とサプリカント ナンス(SNonce)を基にして PTK を生成します。これはクライアント/サプリカントによって生成される乱数です。

2. サプリカントは、SNonce、(再)アソシエーション要求フレームの RSN 情報エレメント、および MIC を含む EAPOL-Key フレームを送信します。

a. オーセンティケータは ANonce と SNonce を基にして PTK を生成し、EAPOL-Key フレームの MIC を検証します。

3. オーセンティケータは、ANonce(ビーコンまたはプローブ応答メッセージから取得した RSN 情報エレメント)、MIC(一時キーをインストールするかどうかを決定)、およびカプセル化されたグループ一時キー(GTK)(マルチキャスト暗号キー)を含む EAPOL-Key フレームを送信します。

4. サプリカントは EAPOL-Key フレームを送信して、一時キーがインストールされているかどうかを確認します。

Cisco Compatible Extensions

Cisco Compatible Extensions プログラムは、Cisco WLAN インフラストラクチャで利用できるクライアント デバイスの普及を促進し、シスコ独自の最新機能を活用して、セキュリティ、モビリティ、QoS(Quality of Service)、およびネットワーク管理を向上することを目的としています。

図4-10 に示すように、Cisco Compatible Extensions は 802.11 規格、IETF 規格、および Wi-Fi Alliance 認定に基づいており、WLAN 機能のスーパーセットを構成しています。Cisco Unified Wireless Network の導入を計画していない場合でも、Cisco Compatible Extensions WLAN アダプタを使用すれば、WLAN クライアント デバイスが対応している規格や認定を簡単に追跡できます。

図4-10 Cisco Compatible Extensions の構成

 

図4-11 は、Cisco Compatible Extensions のセキュリティ機能を認定レベルごとにまとめたものです。Cisco Compatible Extensions 認定は、該当する Wi-Fi 認定だけでなく、Cisco Compatible Extensions 認定の一環として既にテストされている EAP サプリカントも指定します。


) ラップトップに必要な機能であっても、主にデータ アプリケーションで使用する
Application-Specific Device(ASD; 特定用途向けデバイス)では必要ないものがあります。データ ASD には、データ収集デバイス、PDA、プリンタなどがあります。音声 ASD には、シングル モード、デュアル モード、スマートフォンがあります。


Cisco Compatible Extensions のバージョン一覧は、
http://www.cisco.com/web/partners/pr46/pr147/program_additional_information_new_release_features.html で参照できます。

図4-11 Cisco Compatible Extension のセキュリティ機能

 

Cisco Compatible Extensions バージョン 5 には、クライアント側での Management Frame Protection(MFP; 管理フレーム保護)など、新しいセキュリティ機能が追加されています。「管理フレーム保護」を参照してください。

Proactive Key Caching および CCKM

Proactive Key Caching(PKC)は 802.11i の拡張機能です。PKC を使用すると、AP でのクライアント 802 x/EAP 認証時に生成される PMK を事前に(クライアント ローミング イベントの前に)キャッシュできます(図4-12 を参照)。WLAN クライアントがローミングしようとしている AP に、そのクライアントの PMK がすでにキャッシュされている場合、完全な 802.1x/EAP 認証が不要となります。代わりに、WLAN クライアントは WPA の 4 方向のハンドシェイク プロセスを使用して、その AP との通信に使用する新しいセッション暗号キーを安全に導出します。

キャッシュされた PMK の AP への配布は、Unified Wireless 環境では大幅に簡略化されます。PMK がコントローラにキャッシュされ、そのコントローラに接続するすべての AP が PMK を利用できるようになります。さらに、アンカー コントローラが属しているモビリティ グループの他のすべてのコントローラも、この PMK を共有します。

図4-12 Proactive Key Caching アーキテクチャ

 

Cisco Centralized Key Management(CCKM)は、Fast Secure Roaming(FSR; 高速セキュア ローミング)を実現するために Cisco Compatible Extensions クライアントがサポートしているシスコの標準規格です。ローミング プロセスを促進するための主要メカニズムは PKC と同じであり、キャッシュされた PMK を使用します。ただし、CCKM での実装は多少異なります。この場合、これら 2 つのメカニズムは互いに互換性がありません。FSR および CCKM の詳細は、
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00801c5223.html を参照してください。

各 WLAN クライアントのキー キャッシュの状態を確認するには、 show pmk-cache all コマンドを使用します。このコマンドを実行すると、キーをキャッシュしているクライアント、およびそのクライアントが使用しているキー キャッシュ機能を確認できます。

802.11r ワークグループは、802.11 の FSR メカニズムの標準化を進めています。WLC コントローラは、次の例に示すように、同じ WLAN(802.1x + CCKM)上で CCKM と PKC の両方をサポートします。

WLAN Identifier.................................. 1
Network Name (SSID).............................. wpa2
...
Security
802.11 Authentication:........................ Open System
Static WEP Keys............................... Disabled
802.1X........................................ Disabled
Wi-Fi Protected Access (WPA/WPA2)............. Enabled
WPA (SSN IE)............................... Disabled
WPA2 (RSN IE).............................. Enabled
TKIP Cipher............................. Disabled
Auth Key Management
802.1x.................................. Enabled
PSK..................................... Disabled
CCKM.................................... Enabled
...
(Cisco Controller) >show pmk-cache all
PMK-CCKM Cache
Entry
Type Station Lifetime VLAN Override IP Override
------ -------------- -------- ------------------ ---------------
CCKM 00:12:f0:7c:a3:47 43150 0.0.0.0
RSN 00:13:ce:89:da:8f 42000 0.0.0.0

Cisco Unified Wireless Network アーキテクチャ

図4-13 は Cisco Unified Wireless Network アーキテクチャ構成の概略図です。このアーキテクチャは、Lightweight Access Point Protocol(LWAPP; Lightweight アクセス ポイント プロトコル)アクセス ポイント、メッシュ LWAPP AP(MAP)、Wireless Control System(WCS)、およびWireless LAN Controller(WLC; 無線 LAN コントローラ)で構成されています。Wireless LAN Controller Module(WLCM)と Wireless Services Module(WiSM)で WLC プラットフォームを構成することもできます。さらに、Cisco Access Control Server(ACS)とその Authentication/Authorization/Accounting(AAA; 認証、認可、アカウンティング)機能によって、無線ユーザの認証と認可を行う RADIUS サービスを提供します。

図4-13 Cisco Unified Wireless Network アーキテクチャ

 

図4-14 はこのアーキテクチャの主要機能です。LAP が LWAPP プロトコルを使用して WLC と通信し、トラフィックをトンネル処理する仕組みを示しています。

図4-14 LAP と WLC の接続

 

LWAPP には 3 つの主要機能があります。

LAP を制御および管理する

WLAN クライアント トラフィックを WLC へトンネリングする

Cisco Unified Wireless System の管理に必要な 802.11 データを収集する

LWAPP の機能

システムの展開と管理が簡単であるほど、そのシステムのセキュリティ管理も容易になります。スタンドアロン型の「重い」AP を使用していた初期の WLAN システムの場合、AP の導入と設定は、何百ものファイアウォールをそれぞれ個別に設置し、管理することを意味していました。最新のファームウェアがインストールされているか、設定は適切か、セキュリティ対策に問題はないかを常に気にしていなければならなかったのです。さらに、AP は物理的に安全でない領域に設置されることが多く、AP が盗まれ、その情報が漏れると、また別の不正行為に発展する可能性があります。

LWAPP は、展開、設定、および物理的セキュリティの問題に次のように対処します。

AP の操作と管理はユーザが直接行いません。LWAPP 接続を介して WLC が AP を管理します。これにより、設定機能とファームウェア機能が WLC に移行し、WCS による集中管理が可能になります。

AP は自身の設定を WLC からダウンロードします。また、WLC で設定が変更されたときは、AP が自動的に更新されます。

AP のファームウェアを WLC と同期させ、常に適切なバージョンのファームウェアが実行されるようにします。

重要な設定データを WLC に保存し、AP には IP アドレス情報のみを保存します。AP に物理的問題が発生した場合でも、NVRAM には設定情報が保存されていないので、悪用される心配がありません。

LAP と WLC は互いに認証し、AES によって LWAPP 制御チャネルを暗号化します。

上記のようなセキュリティ上の利点に加え、WLAN トラフィックをトンネリングする LWAPP ベース アーキテクチャを利用すれば、ソリューション全体のセキュリティを損なうことなく、簡単に導入できます。アクセス スイッチで dot1q トランキングを設定したり、クライアント サブネットを追加したりしなくても、複数の WLAN VLAN をサポートする LAP をアクセス レイヤ スイッチに配備できます。すべての WLAN クライアント トラフィックはトンネル経由で(WLC が配置されている)中央サイトへ送信されるので、WLAN のアクセスとセキュリティに関するポリシーを企業レベルで容易に導入できます。

Cisco Unified Wireless のセキュリティ機能

802.11 のセキュリティ機能に物理的なセキュリティを追加し、展開の容易な LWAPP アーキテクチャを採用すれば、WLAN 環境全体のセキュリティが向上します。上記で説明した LWAPP プロトコル自体のセキュリティ機能に加え、Cisco Unified Wireless ソリューションには次のセキュリティ機能が備わっています。

機能強化された WLAN セキュリティ オプション

ACL 機能とファイアウォール機能

Dynamic Host Configuration Protocol(DHCP)と Address Resolution Protocol(ARP; アドレス解決プロトコル)による保護

ピアツーピア ブロッキング

無線 Intrusion Detection System(IDS; 侵入検知システム)

クライアントの除外

不正 AP 検出

管理フレーム保護

動的な無線周波数管理

アーキテクチャ統合

IDS 統合

機能強化された WLAN セキュリティ オプション

Cisco Unified Wireless Network ソリューションはさまざまな WLAN セキュリティ オプションをサポートしています。たとえば、WLC で複数の WLAN を作成し、従来のプラットフォームではオープン ゲスト WLAN ネットワークや WEP ネットワークを使用して、それ以外では WPA と WPA2 セキュリティ設定を組み合わせるなど、それぞれ異なる WLAN セキュリティ設定を使用できます。

各 WLAN SSID は、WLC 上の同じ dot1q インターフェイスまたは異なる dot1q インターフェイスに割り当てることができます。また、モビリティ アンカー(自動アンカー モビリティ)を介して、別のコントローラへ Ethernet over IP(EoIP)トンネルで伝送できます。

802.1x に基づいて WLAN クライアントを認証する場合、認証成功時に WLC に渡される RADIUS 属性を使用して dot1q VLAN 割り当てを制御できます。

図4-15図4-16 は、Unified Wireless WLAN 設定画面の一部を示しています。このサンプル画面には、次の 3 つの設定項目が表示されています。

WLAN SSID

WLAN がマッピングされている WLC インターフェイス

セキュリティ方式(その他の WPA オプションと WPA2 オプションも選択できますが、この図には表示されていません)

図4-15 WLAN General タブ

 

図4-16 WLAN Layer 2 Security タブ

 

ローカル EAP 認証

WLC ソフトウェア リリース 4.1 にはローカル EAP 認証機能が備わっており、外部 RADIUS サーバが用意されていない場合や利用できなくなった場合に、この機能が役立ちます。図4-17 に示すように、ローカル認証に切り替えるまでの遅延時間を指定できます。RADIUS サーバの機能が回復すると、ローカル認証から RADIUS サーバ認証へ自動的に切り替わります。

図4-17 ローカル認証タイムアウト

 

WLC でローカルにサポートされている EAP の種類は、LEAP、EAP-FAST、および EAP-TLS です。ローカル EAP のプロファイル例を 図4-18 に示します。

図4-18 ローカル EAP のプロファイル

 

WLC は、自身のローカル データベースを使用してデータを認証できます。また、LDAP ディレクトリにアクセスして、EAP-FAST 認証または EAP-TLS認証に必要なデータを取得することもできます。図4-19 に示すように、優先的に使用するユーザ資格情報データベースを選択できます。

図4-19 ローカル EAP の優先順位

 

ACL 機能とファイアウォール機能

各 WLC で設定されているインターフェイスに対して、または WLC の CPU 自体に対して、Access Control List(ACL; アクセス コントロール リスト)を定義できます。これらの ACL を使用して特定の WLAN にポリシーを適用し、指定したアドレスやプロトコルへのアクセスを制限したり、WLC 自体の保護を強化したりできます。

インターフェイス ACL は、その ACL の適用対象となるインターフェイス経由でやり取りされる WLAN クライアント トラフィックを制御します。CPU ACL は、WLC 上のインターフェイスとは関係なく、WLC システムがやり取りするすべてのトラフィックに適用されます。

図4-20 は ACL 設定ページを示しています。ACL では、転送元と転送先のアドレス範囲、プロトコル、転送元と転送先のポート、Differentiated Services Code Point(DSCP)、および ACL の適用方向を指定できます。さまざまな規則に基づいて ACL を作成できます。

図4-20 ACL の設定ページ

 

DHCP および ARP の保護

WLC は、WLAN クライアント DHCP 要求のリレー エージェントとして機能します。その際、WLC は、DHCP インフラストラクチャを保護するためのいくつかのチェックを実行します。中でも重要なのは、DHCP 要求に含まれている MAC アドレスが、その要求の送信元 WLAN クライアントの MAC アドレスと一致するかどうかを検証することです。このように、それぞれのインターフェイスで、WLAN クライアントを 1 つの DHCP 要求(IP アドレス)に制限することによって、消耗攻撃を受けないようにします。WLC のデフォルト設定では、WLAN クライアントからのブロードキャスト メッセージを同じ WLAN に返送しないようになっています。これは、WLAN クライアントが DHCP サーバになりすまし、DHCP 情報を悪用するのを防ぐためです。

MAC アドレスと IP アドレスとの関連付けを管理する WLC は、WLAN クライアントの ARP プロキシとして機能しますしたがって WLC は、重複する IP アドレスや ARP スプーフィング攻撃を阻止できます。WLC は、WLAN クライアント間の直接的な ARP 通信を許可しません。これもまた、WLAN クライアント デバイスを狙った ARP スプーフィング攻撃の防止に役立ちます。

ピアツーピア ブロッキング

WLC は、同じ WLAN 上でのクライアント間通信をブロックするように設定できます。その場合、必ずルータ経由で通信が行われるので、同じサブネット上でのクライアント間攻撃を防止できます。図4-21 は、WLC でのピアツーピア ブロッキングの設定を示しています。これは WLC のグローバル設定なので、その WLC で構成されているすべての WLAN に適用されます。

図4-21 ピアツーピア ブロッキング

 

無線 IDS

WLC は、接続されているすべての LAP から取得した情報に基づいて WLAN IDS を解析します。さらに、WLC および WCS への攻撃が検出された場合はそれを報告します。無線 IDS 解析は、有線ネットワーク IDS システムで一般的に実行される解析を補うための機能です。WLC に備わっている無線 IDS 機能は、有線ネットワーク IDS システムの対象とならない 802.11 および WLC 関連の情報を解析します。

WLC ソフトウェア リリースには、WLC で使用する無線 IDS のシグニチャ ファイルが含まれていますが、これらのファイルは独自に更新することができます。カスタム シグニチャは Custom Signatures ウィンドウに表示されます。

図4-22 は、WLC の Standards Signatures ウィンドウを示しています。

図4-22 標準の WLAN IDS シグニチャ

 

クライアントの除外

WLC には、無線 IDS 以外にも、WLAN インフラストラクチャと WLAN クライアントを保護するための機能が備わっています。WLC には、動作が不審な WLAN クライアントを除外するポリシーを実装できます。図4-23 は Exclusion Policies ウィンドウを示しています。このウィンドウでは、現在サポートされている次のクライアント除外ポリシーを指定できます。

Excessive 802.11 Association Failures:不審なクライアントまたは DoS 攻撃

Excessive 802.11 Authentication Failures:不審なクライアントまたは DoS 攻撃

Excessive 802.1X Authentication Failures:不審なクライアントまたは DoS 攻撃

External Policy Server Failures:ネットワークベースの IPS サーバが除外するクライアントを特定

IP Theft or IP Reuse:不審なクライアントまたは DoS 攻撃

Excessive Web Authentication Failures:DoS 攻撃またはパスワードクラッキング攻撃

図4-23 クライアントの除外ポリシー

 

不正 AP

図4-24 に示すように、Cisco Unified Wireless Networking ソリューションには徹底した不正 AP 対策が設けられています。具体的な機能は次のとおりです。

無線検出:ビーコンおよび 802.11 プローブ応答を観測または傍受することによって、不正デバイスを検出します。

不正 AP の特定:検出された RF 特性および管理対象 RF ネットワークの既知のプロパティに基づいて、不正デバイスの所在を突き止めます。

有線検出:不正デバイスを追跡し、有線ネットワークとの関連性を特定します。

不正 AP の切り離し:不正 AP へのクライアント接続を阻止します。

図4-24 不正な無線 AP の検出

 

電波/RF 検出

AP RF 検出には、次の 2 つのモデルがあります。

標準の AP 配置

監視モード AP 配置

どちらの配置モデルも RF 検出をサポートしており、不正 AP だけでなく、アドホック クライアントと不正クライアント(不正 AP のユーザ)の検出に関する情報も収集できます。監視用として設定されている AP は RF チャネルのスキャンのみを行い、クライアント アソシエーションやデータ伝送はサポートしません。

不正 AP を探すため、LAP はチャネルを 50ms 間停止して不正クライアントの有無を調べ、ノイズとチャネル干渉を監視します。どのチャネルをスキャンするかは、802.11a および 802.11b/g のグローバル WLAN ネットワーク パラメータで設定します。不正なクライアントやアクセス ポイントが検出されると、その情報がコントローラに送信されます。コントローラが収集する情報は次のとおりです。

不正 AP の MAC アドレス

不正 AP の名前

不正接続しているクライアントの MAC アドレス

フレームが WPA または WEP で保護されているかどうか

プリアンブル

信号対雑音比(SNR)

受信信号強度表示(RSSI)

不正情報を受け取った WLC は、問題のクライアントまたは AP をすぐには不正と見なさず、他の AP からも同様の報告があるか、次の検出サイクルが完了するまで様子を見ます。同じ AP が再度同じチャネルに移動して、不正アクセス ポイント、不正クライアント、ノイズ、および干渉を監視します。同じクライアントまたはアクセス ポイントが検出された場合、WLC はそれらを不正と特定します。WLC は次に、その不正アクセス ポイントがローカル ネットワークに接続されているか、または単なる隣接 AP かを調べます。いずれの場合も、管理対象の Unified Wireless Network に属していない AP は不正と見なされます。

監視モードの AP はユーザ トラフィックを伝送せず、チャネル スキャン専用となります。ある特定の領域について WLAN サービスをサポートせず、不正 AP と不正クライアントの監視のみを行う場合は、通常、この配置モードを使用します。

位置特定

WCS の位置特定機能を使用すれば、不正 AP のおおよその位置を示すフロア図面を作成できます。この例を図4-25 に示します。このフロア図面には、正規 AP の位置がすべて示されています。また、不正 AP の位置がどくろアイコンで強調表示されています。

Cisco Unified Wireless Location 機能の詳細は、http://www.cisco.com/en/US/products/ps6386/index.html を参照してください。

図4-25 不正 AP マッピング

 

有線検出

AP が数台しかない支社のように、上記で説明した WCS 不正位置検出機能を利用できない場合もあれば、正確なフロア図面を入手できいない場合もあります。そのような場合に備え、Cisco Unified Wireless ソリューションには、「有線」ベースの検出オプションも 2 つ用意されています。

不正検出器 AP

Rogue Location Discovery Protocol(RLDP; 不正ロケーション検出プロトコル)

AP が不正検出器として構成されている場合は、無線機能がオフになり、有線ネットワーク上で、不正 AP にアソシエートされているクライアント(つまり不正クライアント)の MAC アドレスをリッスンするという役割が与えられます。不正検出器は、これらの不正クライアントの MAC アドレスが含まれている ARP パケットをリッスンします。いずれかの ARP を検出すると、それを WLC に報告し、不正 AP が Cisco Unified Wireless Network と同じネットワークに接続されているかどうかを検証します。ARP 情報をすみやかに収集するには、Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)ポートを使用して、不正 AP 検出器をすべてのブロードキャスト ドメインに接続しておく必要があります。複数の不正 AP 検出器を設置することで、一般的なネットワーク上に存在するさまざまなブロードキャスト ドメインに接続できます。

不正クライアントが無線ルータ(一般的な家庭用 WLAN デバイス)の背後に設置されている場合、有線ネットワークではそれらの ARP 要求を確認できません。したがって、不正検出器 AP に代わる方法が必要になります。さらに、(メイン キャンパス ネットワークのように)多数のブロードキャスト ドメインが存在する環境では、不正検出器 AP は実用的な対処方法とはいえません。

このようなときは RLDP オプションが役立ちます。この場合、不正 AP を検出するために、標準 LAP はクライアントとして不正 AP にアソシエートし、テスト パケットをコントローラに送信します。つまり、AP は標準 AP としての動作を停止し、一時的にクライアント モードに切り替わります。これによって、問題の不正 AP が実際にネットワーク上に配置されているかどうかを確認すると共に、ネットワーク上での不正 AP の論理的位置を示す IP アドレス情報を通知します。支社では位置情報を取得するのが難しいこと、また不正 AP が雑居ビルに設置されている可能性があることを考えると、不正 AP 検出器と RLDP は、ロケーションベースの不正 AP 検出を促進する有益な手段といえます。

不正 AP の阻止

不正 AP に接続しているクライアント、または不正なアドホック接続クライアントを阻止するには、近隣の LAP が 802.11 認証解除パケットを送信します。ただし、隣接 WLAN の正規 AP に認証解除パケットを送信するのは違法なので、その AP が本当に不正 AP であることを確認してからこの処理を行う必要があります。Cisco Unified Wireless Network ソリューションから不正 AP の自動阻止機能が削除されているのはそのためです。

不正 AP クライアントがその企業の WLAN クライアントがどうかを確認するには、問題のクライアントの MAC アドレスと、802.1X 認証時に AAA が収集した MAC アドレスとを比較します。これによって、攻撃を受けている可能性のある WLAN クライアント、またはセキュリティ ポリシーに従っていないユーザを特定できます。

管理フレーム保護

802.11 の問題点の 1 つは、暗号化しない状態で管理フレームが送信され、メッセージ完全性チェックも実施されないので、スプーフィング攻撃を受けやすいということです。WLAN 管理フレームのスプーフィングは、WLAN ネットワーク攻撃で利用される危険性があります。この問題に対処するため、シスコは、802.11 管理フレームに Message Integrity Check(MIC; メッセージ完全性チェック)を挿入するデジタル シグニチャ メカニズムを開発しました。これによって、WLAN 展開の正規メンバを識別すると同時に、不正インフラストラクチャ デバイスを探し、有効な MIC がないことからスプーフィングされたフレームを突き止めることができます。

管理フレーム保護(MFP)で使用される MIC は、メッセージの単純な CRC ハッシュではありません。この MIC にはデジタル シグニチャ コンポーネントも含まれています。MFP の MIC コンポーネントはフレームが改ざんされていないことを保証し、デジタル シグニチャ コンポーネントは、MIC が WLAN ドメインの有効なメンバによってのみ生成されることを保証します。MFP で使用されるデジタル シグニチャ キーは、モビリティ グループ内のすべてのコントローラで共有され、グループごとに固有のキーが割り当てられます。したがって、同じモビリティ グループ内の各 WLC で、すべての WLAN 管理フレームを検証することができます。(図4-26 を参照)。

図4-26 管理フレーム保護

 

現在、インフラストラクチャ側とクライアントの両方で MEP が可能ですが、クライアントがモビリティ グループ MFP キーを判別し、無効なフレームを検出して拒否できるようにするには、Cisco Compatible Extensions v5 WLAN クライアントが必要です。

MFP には次のような利点があります。

WLAN ネットワーク インフラストラクチャによって生成され た802.11 管理フレームを認証する

正規 AP の MAC または SSID をスプーフィングし、不正行為や Man-In-the-Middle 攻撃の発覚を免れようとする悪質な AP を検出できる

不正 AP および WLAN IDS シグニチャをより効率的に検出できる

Cisco Compatible Extensions v5 を使用しているクライアント デバイスを保護できる

バージョン 12.3(8)/v2.13 のスタンドアロン AP/WDS/WLSE でサポートされる

MFP を使用するには 2 つの手順が必要です。まず WLC 上で MFP を有効にし(図4-27 を参照)、次に、モビリティ グループ内の WLAN で MFP を有効にします(図4-28 を参照)。

図4-27 コントローラでの MFP の有効化

 

図4-28 WLAN ごとの MFP の有効化

 

クライアントの管理フレーム保護

Cisco Compatible Extensions v5 WLAN クライアントは MFP をサポートします。図4-28 に示すように、WLAN ごとに MFP を有効化できます。

WLAN クライアントに MFP を適用する方法は、基本的には AP の場合と同じです。つまり、管理フレームで MIC を使用します。これによって、信頼できる管理フレームをクライアントが識別できるようになります。WPA2 認証プロセスで、MIC 暗号キーがクライアントに渡されます。クライアント MFP は WPA2 でのみ使用できます。WPA クライアントと WPA2 クライアントが同じ WLAN を共有している場合は、クライアント MFP を Optional に設定する必要があります。

WCS のセキュリティ機能

不正 AP 検出のロケーション サポートとは別に、WCS にはさらに 2 つの Unified Wireless セキュリティ機能が備わっています。WLC 設定検証管理とアラーム報告インターフェイスです。

設定検証

WCS では、必要に応じて、または定期的に、設定監査レポートを生成できます。このレポートでは、現在の WLC 設定と、WCS データベースに保存されている既知の有効な設定の登録アクセス ポイントとを比較します。現在実行されている設定と、データベースに保存されている設定の間に相違が見つかった場合は、画面レポートとしてネットワーク管理者に通知されます(図4-29 を参照)。

図4-29 監査レポートの例

 

アラームとレポート

WLC で直接生成され、企業のネットワーク管理システム(NMS)に送信されるアラームとは別に、WCS もアラーム通知を送信することができます。コンポーネントによって送信されるアラームの種類が異なるのはもちろんですが、これらアラーム通知方式の違いはそれだけではありません。WLLC は、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)トラップを使用してアラーム(NMS システムのみが解釈可能)を送信します。一方 WCS は、Simple Mail Transfer Protocol(SMTP; 簡易メール転送プロトコル)E メールを使用して、アラーム メッセージを管理者に送信します。

WCS では、リアルタイム レポートと予約レポートの両方を生成できます。さらに、そのレポートをエクスポートしたり、E メールで送信することも可能です。レポート対象の項目は次のとおりです。

アクセス ポイント

監査

クライアント

インベントリ

メッシュ

パフォーマンス

セキュリティ

アーキテクチャ統合

Cisco IOS、シスコのサービス モジュール、およびネットワーク モジュールには、さまざまな種類のセキュリティ サービスが統合されています。また、スタンドアロン アプライアンスやソフトウェアとしてもセキュリティサービスを提供しています。

Cisco Unified Wireless Network アーキテクチャは、WLAN クライアントと上流有線ネットワーク間のレイヤ 2 接続をサポートしているので、これらのセキュリティ サービスをソリューションへ簡単に統合できます。つまり、クライアント トラフィックの途中に配置する必要があるアプライアンスやモジュールを、WLAN クライアントと有線ネットワークの間に簡単に挿入することができます。たとえば、WLSM ベースの従来の環境の場合、WLAN クライアント トラフィックを Cisco Firewall Service Module(FWSM)経由でやり取りできるようにするには、Cisco 6500 上に VRF-Lite を実装する必要があります。一方、Cisco Unified WLAN 環境では、WiSM によって、(WLAN)クライアント VLAN が FWSM へ直接マッピングされます。Cisco Unified Wireless 製品で、レイヤ 2 の物理的または論理的なインターフェイスに WLAN トラフィックを直接マッピングできない WLAN コントローラは、ISR ベースの WLC モジュールだけです。ISR WLAN モジュールは、ISR に備わっているすべての IOS 機能と IPS 機能にアクセスできるわけではありません。WLAN クライアントからの IP トラフィックは、ルータの IOS VRF 機能を使用して、特定の ISR サービス モジュールへ中継する必要があります。

図4-30 は、WiSM と FWSM モジュールのアーキテクチャ統合例を示しています。この例では、WLAN クライアントは、外部ファイアウォール インターフェイスと同じサブネットに配置されています。ルーティング ポリシーや VRF 設定を使用しなくても、WLAN クライアントの両方向のトラフィックをファイアウォール経由で送受信できます。

WLAN 環境に Cisco Network Admission Control(NAC; ネットワーク アドミッション制御)アプライアンス(以前の Cisco Clean Access)を取り入れれば、ネットワーク上のエンド デバイスが企業ポリシーに準拠しているかどうかを確認し、最新のセキュリティ ソフトウェア要件を満たしており、必要なシステム パッチを適用しているデバイスのみに接続を許可することができます。上記で説明した FWSM モジュールと同様、Cisco NAC アプライアンスも Cisco Unified Wireless Network アーキテクチャにレイヤ 2 で統合できます。したがって、NAC ポリシーの適用対象となる無線ユーザ VLAN を厳密に制御できます。

図4-30 ファイアウォール モジュール統合の例

 

ネットワーク レイヤでの統合が容易なことに加え、Cisco Unified Wireless Network ソリューションを Cisco IDS 環境に統合すれば、Cisco IDS でブロックされたクライアントを Cisco Unified Wireless Network から除外することができます。

これらのソリューションの設計と設定、および Cisco Security Agent(CSA)の WLAN 機能については、
http://www.cisco.com/application/pdf/en/us/guest/netsol/ns386/c649/ccmigration_09186a0080871da5.pdf の『Secure Wireless Design Guide 1.0』を参照してください。

Cisco Integrated Security Features

Cisco Catalyst スイッチに備わっている Cisco Integrated Security Features(CISF)は、ネットワークへ無線アクセスした不正ユーザからの攻撃を緩和します。ここでは、これらの攻撃、WLC がこれらの攻撃から保護する方法、CISF がアクセス スイッチで有効な場合にネットワークの保護にどのように役立つのかについて説明します。


) ここでは、アクセス スイッチ上で CISF が有効になっているときに阻止できる攻撃についてのみ説明します。無線ネットワーク上でのあらゆる攻撃を包括的に分析するものではありません。


攻撃の種類

攻撃は、有線ネットワークまたは無線ネットワークで発生します。ただし、無線ネットワーク接続の場合、ネットワークに物理的にアクセスしなくても攻撃が可能です。WLC および CISF には、攻撃を防ぐために特別に設計された機能が用意されています。

MAC フラッディング攻撃

DHCP 不正サーバ攻撃

DHCP 消耗攻撃

ARP スプーフィング攻撃

IP スプーフィング攻撃

MAC フラッディング攻撃

MAC フラッディング攻撃は、スイッチの Content-Addressable Memory(CAM; 連想メモリ)テーブルをいっぱいにして、スイッチの処理能力を超える LAN トラフィックを発生させようとする攻撃手法です。この種の攻撃では、macof(dsniff パッケージの一部)などのツールを使用して、送信元と宛先の MAC アドレスおよび IP アドレスがランダムに割り当てられた大量のフレームが生成されます。

イーサネット スイッチのレイヤ 2 の学習メカニズムは、パケットの送信元 MAC アドレスに基づいています。ポートが新しい送信元 MAC アドレスを受信するたびに、ポートが属している VLAN のポートの CAM テーブル エントリをスイッチが作成します。スイッチにこれらのエントリを格納するために使用できる有限のメモリで考えた場合、通常、macof ユーティリティは 10 秒未満で CAM テーブルをいっぱいにします。CAM テーブルのサイズは限られています。他のエントリの期限が切れる前に CAM テーブルに大量のエントリが入力されると、CAM テーブルはいっぱいになり、新規エントリを受け付けられなくなります。

スイッチの CAM テーブルがいっぱいになると、次にトラフィックを受け取ったとき、CAM テーブルの特定の MAC アドレスに対応するポート番号を見つけられません。スイッチは本質的に、パフォーマンスおよびセキュリティに有害なハブのような役割を果たします。オーバーフローによってローカル VLAN 内のトラフィックが氾濫するため、接続先の VLAN 内のトラフィックを侵入者に見られます。

レイヤ 3 では、macof のターゲットとなったランダムな IP 宛先は、マルチキャスト アドレス空間も使用します。したがって、マルチキャストが有効になっているディストリビューション レイヤのスイッチでは、Protocol Independent Multicast(PIM)プロセスが偽のルートを処理しようとするときに、CPU 使用率が非常に高くなります。

DHCP 不正サーバ攻撃

DHCP 不正サーバ イベントは、意図的な攻撃の結果として発生すると場合と、ユーザがネットワーク セグメント上に DHCP サーバを誤って設置し、IP アドレスを発行し始めた結果である場合が考えられます。侵入者が DHCP サーバを起動し、DNS サーバまたはデフォルト ゲートウェイを表す IP アドレスを発行してユーザをだまし、自分の制御下にあるコンピュータにユーザ トラフィックをリダイレクトする可能性があります。

DHCP 消耗攻撃

DHCP 消耗攻撃は、特定のセグメント上の DHCP スコープ内のアドレスすべてを使い果たすことを目的としています。その結果、正規ユーザの IP アドレス要求が DHCP で拒否され、ネットワークにアクセスできなくなります。Gobbler は、DHCP 消耗攻撃を自動的に実行するパブリック ドメイン ハッキング ツールです。DHCP の消耗攻撃は、単純な DoS メカニズムであることもあれば、トラフィックを傍受するための悪意のあるコンピュータにトラフィックをリダイレクトする、悪意のある不正なサーバ攻撃と組み合わせて使用されることがあります。

ARP スプーフィングベースの Man-In-the-Middle 攻撃

Man-In-the-Middle(MIM)攻撃は、悪意のあるユーザがネットワークで移動中のデータを傍受(また、場合によっては変更)する、ネットワーク セキュリティ侵害です。たとえば、ARP スプーフィングを利用した MIM 攻撃では、余計な Address Resolution Protocol(ARP; アドレス解決プロトコル)要求を発行して攻撃用コンピュータにトラフィックを誘導します。その後、そのコンピュータは、特定の LAN セグメント上で実行される IP セッションに割り込んで不正行為を働きます。ARP スプーフィングでは、ettercap、dsniff、arpspoof などのハッキング ツールが使用されます。特に、Ettercap は特定の LAN セグメントのすべてのステーションを表示する高度なユーザ インターフェイスを持ち、さまざまな種類の IP セッションのパスワードを盗聴する組み込みのインテリジェント パケット盗聴機能が含まれています。

IP スプーフィング攻撃

IP スプーフィング攻撃は、別のユーザの IP アドレスで偽装して DoS 攻撃を実行します。たとえば、攻撃者は攻撃の際に別のユーザの IP アドレスを送信元としてサードパーティ システムに ping を実行します。ping の応答はサードパーティ システムの別のユーザに送信されます。

無線展開シナリオの CISF

ここでは、さまざまな unifies wireless 展開シナリオについて説明します。次のセクションでは、WLC 機能および CISF 機能が無線攻撃を阻止する仕組みを説明します。

CISF は現在、Access Point(AP; アクセス ポイント)から直接利用することはできません。アクセス スイッチ上でだけ使用可能です。このため、これらの機能の利点は、トラフィックがスイッチ経由の無線攻撃者からである場合にだけ利用できます。

アクセス スイッチの定義は、次の 3 つの場所をアクセス スイッチと見なすことができるため、Unified Wireless ソリューションの定義とは若干異なります。

ネットワークでコントローラ インターフェイスが終端するポイント

ネットワーク上で標準 LAP が終端するポイント

Hybrid Remote Edge Access Point(H-REAP; ハイブリッド リモート エッジ アクセス ポイント)がネットワークで終端するポイント

これらの位置は図4-31 に示されています。

図4-31 アクセス スイッチ

 

CISF に関係する接続は、コントローラ スイッチと H-REAP スイッチです。AP スイッチについては、WLAN トラフィックがこのスイッチで終端しておらず、AP はスイッチ ポートに接続している単一のデバイスとして存在しているだけであるため、ここでは取り上げません。AP スイッチは、セキュリティの面で考えると、アクセス クライアントとして見なされます。


) LAP と標準クライアントの大きな違いは、LAP の Differentiated Services Code Point(DSCP)値を信頼できる点です。


以下のシナリオは、無線ユーザ間の攻撃にのみ適用されます。無線ユーザと有線ユーザはそれぞれ別のサブネットでサポートされることを前提としており(シスコのベスト プラクティスで推奨)、サブネット間の攻撃は、ここでの説明の対象外となります。

次の 3 つのシナリオについて考えます。

シナリオ 1:ターゲットがアソシエートされている AP が、攻撃者が接続されている AP と同じ場合

シナリオ 2:ターゲットが攻撃者のものとは異なる AP にアソシエートされている場合

シナリオ 3:ターゲットが攻撃者のものとは異なる AP にアソシエートされており、この AP が別のコントローラに接続されている場合

シナリオ 1 の場合、攻撃者とターゲットの両方が同じ AP にアソシエートされており、トラフィックは H-REAP または WLC にローカルです。したがって CISF は役に立ちませんが、Cisco Unified Wireless Networks のセキュリティ機能によってこれらの問題を解決できます。2 つ目および 3 つ目のシナリオは、CISF が有効なシナリオです。

複数レベルの認証が必要となる企業の WLAN 環境では、通常、1 つの SSID につき複数の VLAN を使用します。その場合、H-REAP AP または WLC のファスト イーサネット ポートと、アクセス スイッチ上の対応するポートとの間に、802.1q トランクを設定する必要があります。複数の VLAN を定義することで、データ トラフィックと、AP および WLC の管理トラフィックとを分離することができます。企業のセキュリティ ポリシーでユーザの種類ごとに異なる種類の認証および暗号化を使用する(ゲスト アクセスにはオープン認証を使用して暗号化は行わない、従業員には dot1x 認証と強力な暗号化を使用する、など)必要性も考えられます。これは、H-REAP AP または WLC 上で複数の SSID と VLAN を定義することで行えます。

上記のテスト構成では、WLC または H-REAP AP とアクセス スイッチの間でトランク接続を使用します。

CISF の無線機能

ここでは、無線攻撃の阻止を目的とする CISF の各機能について説明します。

MAC フラッディング攻撃を緩和するためのポート セキュリティの使用

ポート セキュリティは、ポートで許可される MAC アドレスの最大数を設定します。アドレスは、アドレス テーブルに手動で追加するか、動的に追加するか、または両方を組み合わせて追加することができます。アドレス テーブルの MAC アドレスの数が最大に達し、アドレス テーブルの MAC アドレスを持たないステーションがトラフィックを送信しようとすると、パケットがハードウェアにドロップされます。

スイッチのアクセス ポートでポート セキュリティを有効にすると、そのポートを通過できる MAC アドレスの数が制限されるため、MAC フラッディングの発生を防げます。違反への応答が shutdown に設定されている場合、ポートはエラーで無効な状態になります。応答が restrict に設定されている場合、不明な送信元 MAC アドレスを持つトラフィックはドロップされます。

無線ネットワークにおけるポート セキュリティ

一般に、H-REAP AP または WLC に接続されたスイッチ ポート上でポート セキュリティを有効にすることは、お勧めしません。ポート セキュリティを使用するということは、スイッチがポートから学習し、許可する MAC アドレスの実際の数を把握するということです。H-REAP AP または WLC の場合、スイッチが学習するさまざまな送信元 MAC アドレスは、通常、無線ユーザに対応しています。スイッチ ポート上のポート セキュリティを設定すると、有線ネットワーク上の特定の数のユーザだけが許可されます。

たとえば、特定の MAC だけにアクセス ポイント経由でのトラフィックの送信を許可するセキュリティ ポリシーを設定できます。この場合、H-REAP AP または WLC の MAC フィルタリングとスイッチのポート セキュリティを組み合わせると、選択されたユーザだけが有線ネットワークにアクセスできるようになります。ただし、通常は、企業は 従業員のモビリティを促進するために WLAN を実装します。つまり、H-REAP AP または WLC にアソシエートされるユーザの数は、どのような状況においても事前に決められていません。したがって、AP に接続するユーザの数を判断できない状況では、スイッチ ポートのポート セキュリティを有効にしてもメリットはありません。それどころか、「違反が見つかったときにポートをシャットダウンする」ようにポートのセキュリティ ポリシーを設定している場合は、不本意な DoS 攻撃が発生する可能性があります。そうなると、その AP に接続しているすべてのユーザがネットワーク接続を失います。図4-32 は、ポート セキュリティを使用して無線 MAC フラッディング攻撃を阻止する例を示しています。ここでは、ポートをロックして、SNMP トラップを送信しています。

図4-32 ポート セキュリティの使用

 

ポート セキュリティの効果

(上記で説明したように)この攻撃を阻止する手段としてポート セキュリティが有効でないとしても、無線ユーザによる MAC フラッディング攻撃は成功しません。その理由は 802.11 プロトコルそのものにあります。AP とのアソシエーションは MAC ベースです。つまり、AP は、既知のユーザ(既知の MAC)との間でのみトラフィックを送受信します(トランスレーショナル ブリッジ)。MAC フラッディング攻撃が無線ユーザから起動された場合、AP にアソシエートされていないランダムな送信元 MAC アドレスを持つ 802.11 フレームはすべてドロップされます。許可される唯一のフレームは、おそらくスイッチがすでに学習している、悪意のあるユーザの MAC を持つフレームです。したがって、アクセス ポイント自身の基本的な動作によって、スイッチが MAC フラッディング攻撃を受けるのを防ぎます。

DHCP 消耗攻撃を緩和するためのポート セキュリティの使用

有線アクセスに関しては、スイッチに接続している PC が Gobbler などのツールを利用して DHCP 消耗攻撃をしかけてきた場合、ポート セキュリティで事前に阻止できます。ただしこれは、ポート セキュリティによって攻撃が緩和されたというよりも、攻撃ツール自体の制約に大きく起因しています。こうした攻撃が失敗する唯一の理由として、Gobbler は、送信元 MAC アドレスを使用して DHCP 要求を生成することがあげられます。したがって、ポート保護による軽減が可能です。

しかし、攻撃者がイーサネット パケットで MAC アドレスを使用し、その MAC アドレスを DHCP ペイロード(chaddr フィールド)で変更した場合は、ポート セキュリティで攻撃を阻止できません。現在実行できるのは、スイッチ ポートの DHCP レート リミッタを使用して攻撃を遅らせることだけです。

無線 DHCP 消耗攻撃

Unified Wireless 展開では、DHCP 消耗攻撃に対する脆弱性は、ユーザ トラフィックを WLC と H-REAP のどちらが終端させるかによって異なります。

WLC は、クライアントの MAC アドレスが chaddr と一致することを確認するために DHCP 要求を検証するので、DHCP 消耗攻撃からネットワークを保護します。アドレスが一致しない場合は、DHCP 要求はドロップされます。

H-REAP の場合、ユーザ VLAN がローカルで終端すると、DHCP 要求がコントローラに送られず、chaddr を解析できません。このアクセス方法にも、有線アクセスと同様のセキュリティ考慮事項が適用されます。賢い(無線)攻撃者は、AP にアソシエートされている MAC アドレスを使用してランダムな DHCP 要求を生成し、DHCP パケット ペイロード内の要求 MAC アドレスだけを変更します。送信元 MAC と、AP へのアソシエート時に使用された MAC が同じなので、AP はこのパケットを有効と見なしてしまいます。

不正 DHCP サーバ攻撃を緩和するための DHCP スプーフィングの使用

DHCP スヌーピングは、DHCP スヌーピング バインディング テーブルを構築して管理し、信用できない DHCP メッセージをフィルタすることで、セキュリティを提供する、DHCP のセキュリティ機能です。これは、エンド ユーザに接続された信頼できないインターフェイスと、DHCP サーバまたは他のスイッチに接続された信頼できるインターフェイスとを区別することで行われます。エンドユーザのポートは、DHCP 要求だけの送信に制限され、その他の種類の DHCP トラフィックは送信できません。信頼できるポートでは、DHCP メッセージの転送はすべて許可されます。DHCP スヌーピング テーブルは VLAN ごとに作成され、クライアントの IP アドレス/MAC アドレスを信頼できないポートに結び付けます。DHCP スヌーピングを有効にすることで、ユーザが認証されていない DHCP サーバから信頼できない(ユーザ側の)ポートに接続して DHCP 要求への応答を開始するのを防ぎます。

無線アクセス用の DHCP スヌーピング

WLC はクライアントからのすべての DHCP 要求を管理し、DHCP リレー エージェントとして機能します。WLAN クライアントからの DHCP 要求は、同じ WLAN にブロードキャストされません。WLC から DHCP サーバへユニキャストされます。これにより、WLC に接続している他の WLAN クライアントを、不正な DHCP サーバ攻撃から保護できます。

H-REAP 802.1q トランク インターフェイス経由で VLAN に接続しているクライアントは、不正な DHCP サーバ攻撃から保護されません。

CISF 機能(この場合は DHCP スヌーピング)は、AP ではなくスイッチに実装されていることに注意してください。つまり、トラフィックがスイッチを経由する場合のみ、不正サーバからの悪質なメッセージがスイッチで捕捉されます。

図4-33 は、DHCP スヌーピングを使用して、不正な DHCP サーバ攻撃を緩和する例と、スイッチが DHCP 保護を提供する前に攻撃が発生する仕組みについて示しています。

図4-33 不正な DHCP サーバ攻撃に対して使用されるセキュリティ

 

DHCP スヌーピングの効果

DHCP スヌーピングは VLAN ごとに有効にできるので、トランク ポートで機能します。異なる VLAN のクライアントに対して、トランク ポートで受け取った DHCP 要求にそれぞれ異なる DHCP スヌーピング エントリが挿入されます。DHCP スヌーピングがトランク ポート上で機能するという事実は非常に重要です。これによって、H-REAP のローカル インターフェイス上で複数の SSID または VLAN が設定されている場合でも、WLAN 環境に CISF 機能を適用できます。攻撃者がターゲットと同じ WLAN/VLAN に接続している場合でも、H-REAP が異なれば、スイッチは DHCP スプーフィング攻撃を阻止できます。ただし、攻撃者とターゲットが同じ H-REAP にアソシエートされている場合、攻撃はスイッチを経由しないため検出されません。

DHCP スヌーピングは、DHCP サーバへの DHCP 要求をレート制限することで、DHCP サーバ攻撃から保護することもできます。

Man-In-the-Middle 攻撃を緩和するための Dynamic ARP Inspection(DAI)の使用

アクセス スイッチで、VLAN ごとに Dynamic ARP Inspection(DAI)を有効にします。DAI は、gratuitous ARP(GARP)を含めた ARP 要求/応答と、DHCP スヌーピングによって DHCP バインディング テーブルに挿入された MAC/IP エントリを比較します。スイッチが、DHCP バインディング テーブルのエントリと一致しない ARP メッセージを受け取ると、パケットは無効化され、ログ メッセージがコンソールに送信されます。DAI は ARP 汚染攻撃を防ぎます。この攻撃によってターゲットの ARP テーブルが改ざんされると、ettercap を利用した MIM 攻撃につながる可能性があります。ARP メッセージは、攻撃者が接続されているポートで直接フィルタされます。

無線アクセス用の DAI

WLC は、WLC 自体で DAI と似ている機能を実行することで、MIM 攻撃を防ぎます。WLC に直接接続している VLAN では、アクセス スイッチ上で DAI を有効にしないでください。WLC では GARP を使用して、レイヤ 3 クライアント ローミングをサポートします。

H-REAP とアクセス スイッチ間のトランク上で構成されている VLAN ごとに DAIを有効にできます。したがって、H-REAP に複数の SSID/VLAN が存在する無線環境では DAI が役立ちます。ただし、H-REAP 展開では、DAI 機能の有効性に影響を与える 2 つの状況が考えられます。次のシナリオは、攻撃者が H-REAP にアソシエートしており、攻撃相手にレイヤ 2 で隣接していることを前提としています。

シナリオ 1:一方のターゲットは無線で、攻撃者と同じ AP にアソシエートされており、もう一方のターゲットはデフォルト ゲートウェイ。最も一般的な攻撃方法です。

シナリオ 2:両方のターゲットが無線。

これらの 2 つのシナリオから、どのような場合にトラフィックがスイッチを経由して停止されるかがわかります。

シナリオ 1 の MIM 攻撃は、GARP を使用して、デフォルト ゲートウェイおよび無線ターゲット上の ARP テーブル エントリを変更し、トラフィックを攻撃者にリダイレクトしようといいうものです。DAI によってデフォルト ゲートウェイの GARP は阻止できますが、スプーフィングされた無線クライアントの GARP には何も作用しません。このように、MIM 攻撃の威力が多少は軽減されますが、完全に防ぐことはできません。

シナリオ 2 では、MIM 攻撃は GARP を無線クライアントに送信しますが、DAI を実装しているスイッチはこれらの GARP を認識しないため、攻撃をブロックできません。

図4-34 は、サブネット上の 2 つの IP 接続ノード間のトラフィックを転送するために、これらのノードに GARP が送信される攻撃メカニズムの例を示しています。

図4-34 Dynamic ARP Inspection

 

DAI の効果

図4-34 に示すように、攻撃が完全に成功するのは、トラフィックが終始 H-REAP で処理され、スイッチを経由しない場合だけです。通常、攻撃者が狙っているトラフィック(パスワードやアカウント情報など)は無線クライアントから有線ネットワーク(サーバまたはインターネット)へ伝送されるので、それほど危険ではありません。

デフォルト ゲートウェイと無線クライアントが攻撃ターゲットとなるこのシナリオは、「半二重の MIM 攻撃」といえます。Ettercap は、現在すべてのトラフィックを侵入者に送信している無線ユーザの ARP テーブルを変更できますが、デフォルト ゲートウェイに対する GARP は、次の例に示すように、スイッチによって傍受され、メッセージはログに記録されます。

4507-ESE#sh ip arp inspection log
Total Log Buffer Size : 32
Syslog rate : 5 entries per 1 seconds.
Interface Vlan Sender MAC Sender IP Num of Pkts Reason
---------- ---- -------------- --------------- ----------- ------
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Wed Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:48 PDT Tue Feb 3 2003) DHCP
Deny
Interface Vlan Sender MAC Sender IP Num of Pkts Reason
---------- ---- -------------- --------------- ----------- ------
Fa3/26 20 00d0.5937.7acc 10.20.1.100 1(11:07:49 PDT Tue Feb 3 2003) DHCP Deny
 

ログには MAC アドレスが記録されているため、管理者は攻撃者のアソシエーションを解除することで、攻撃を阻止する処置を取ることができます。

VLAN で DAI が設定されている場合は、特定のポートから送られる ARP 要求の氾濫を防ぐために、ARP レート リミッタがグローバルに設定されます。レート リミッタのデフォルト値は、15 パケット/秒(pps)です。この制限を超えると、スイッチは攻撃を防ぐためにポートを無効にします。この場合、MIM 攻撃を起動するには、攻撃者はまずレイヤ 2 で隣接しているユーザを探す必要があります。そのためには、ettercap が一連の GARP を生成し、サブネット上の各 IP アドレスに要求します。このようにして、アドレスの実際の所有者が応答すると、ettercap はテーブルを作成します。

実験を行ったところ、ettercap を実行するとすぐにこの制限に達し、ポートはシャットダウンされました。これは有線シナリオでは受け入れられますが、無線シナリオの場合は、AP に接続されているポートをシャットダウンすると、すべての無線ユーザが外部との接続を失い、潜在的な MIM 攻撃が DoS 攻撃へと変わります。

(DAI を有効にすると発生する)この潜在的な DoS を防ぐため、AP に接続しているスイッチのポートでは ARP レート リミッタを無効にすることをお勧めします。無効にするには、次のインターフェイス レベル コマンドを使用します。

ip arp inspection limit none
 

または、しきい値を 15pps よりも大きい値に変更するという方法もあります。ただし、これは、攻撃の起動に使用される特定のツールの実装によって異なるため、一般的な対処方法ではありません。

IP および MAC スプーフィングを緩和するための IP Source Guard の使用

アクセス スイッチのインターフェイス上で有効にした場合、IP Source Guard は DHCP スヌーピング バインディング テーブルの内容に基づいて、Per-port Access Control List(PACL)を動的に作成します。この PACL は、DHCP バインディング タイムで発行された IP アドレスからトラフィックが送信されるように強制し、他の偽装したアドレスでトラフィックが転送されないようにします。これは、手動でアドレスを変更したり、hping2 のようなアドレス スプーフィングを行うよう設計されたプログラムを実行して、攻撃者が有効なアドレスになりすますのも防ぎます。この機能には、着信アドレスをフィルタするオプション(ポート セキュリティ)があります。この場合も、DHCP スヌーピング バインディング テーブルの MAC アドレスを使用します。

攻撃者は通常、実際の自分の身元を隠すために偽のアドレスを使用して、ターゲットに対する DoS 攻撃などの攻撃を起動します。

無線アクセス用の IP Source Guard

無線アクセスの場合、アクセス スイッチを H-REAP に接続しているトランク ポート上で IP Source Guard を有効にします。これにより、DHCP バインディング テーブルのエントリと一致しない無線ユーザから送られたトラフィックをスイッチでフィルタできるようになります。

WLC の背後に配置されている VLAN では IP Source Guard を有効にする必要がありません。WLC にも同様の機能が備わっており、クライアントが使用している IP アドレスと、そのクライアントに割り当てられている IP アドレスが同じかどうかが確認されます。

(標準の LAP と異なり)H-REAP では WLAN クライアントの MAC-IP アドレス バインディング関係をチェックできないので、H-REAP 展開では IP Source Guard が役に立ちます。

テストでは、次の 2 つのシナリオについて考えました。

シナリオ 1:ターゲットは、同じ AP にアソシエートされている別の無線ユーザによって表されます。

シナリオ 2:ターゲットは、別の AP にアソシエートされている別の無線ユーザです。

図4-35 は IP Source Guard を使用して IP および MAC スプーフィング攻撃を緩和する例を示しています。

図4-35 IP Source Guard による MIM の阻止

 

IP Source Guard の効果

この機能の有効性は、攻撃者がどのような手段でアドレスをスプーフィングするか、およびどのような状況を想定するかによって異なります。

AP へのアソシエーションはクライアント MAC アドレスに基づいて行われるので、受信したフレームに不明な送信元アドレスが含まれている場合、AP はそのフレームを破棄します。IP スプーフィング攻撃を起動するとき、攻撃者は、自分の MAC アドレスを使用するか、または、同じ AP に接続された別のユーザの MAC アドレスを使用します。ランダムな MAC アドレスを使用したり、別の AP に接続されているユーザの MAC アドレスを使用するなど、その他すべての組み合わせの場合は、AP がフレームを破棄するため、攻撃は失敗に終わります。

MAC アドレスは攻撃者自身のものであり、IP アドレスのみが偽装された場合、スイッチ上で IP Source Guard を有効化することにより、2 番目のシナリオではすべての攻撃を阻止できます。しかし、トラフィックが常に AP を経由する最初のシナリオでは、CISF 機能が適用されないので、攻撃を阻止できません。その他のシナリオでは、CISF によって攻撃が阻止されます。これは、攻撃者が送信してきたパケットでは IP が偽装されており、DHCP スヌーピング テーブルに登録されていないためです。

ただし、攻撃者が、同じ AP に接続している正規無線ユーザの MAC アドレスと IP アドレスを両方とも偽装した場合、攻撃者はその正規ユーザと見なされるので、どちらのシナリオでも攻撃は成功します。

ホットスポット環境で暗号化を使用していない場合や、WEP の脆弱性が悪用された場合は、MAC アドレスと IP アドレスの両方を偽装される危険性があります。できる限り強力な暗号化を使用してください。

結果の要約

テストの結果は、 表4-4 に示すとおりです。

 

表4-4 テスト結果

ターゲットとされた
攻撃
適用可能性
考慮事項
ソリューション

MAC フラッディング

なし

Macof が送信元および宛先としてランダムな MAC アドレスを使用

AP はアソシエーション テーブルにない送信元 MAC からのフレームを破棄

DHCP 消耗

H-REAP では可

コントローラが不正な DHCP 要求を破棄

MAC の要求は DHCP ペイロードへ送られる

なし(レート制限)

不正な DHCP サーバ

H-REAP では可

コントローラが WLAN からの DHCP オファーをブロック

不正な DHCP サーバは無線であることが前提

なし

無線クライアント間の MIM

H-REAP では可

コントローラが GARP をブロック

この場合トラフィックはスイッチを経由しない

なし

別の AP 上の無線クライアント間の MIM

H-REAP では可

コントローラが GARP をブロック

ハッカーはケーブルに向けて送られるトラフィックだけ傍受可能

違反 DAI

無線クライアントと有線クライアント間の MIM

H-REAP では可

サポートされているコントローラ構成ではない

ハッカーはケーブルに向けて送られるトラフィックだけ傍受可能

違反 DAI

IP スプーフィング

H-REAP では可

コントローラが IP アドレスと MAC アドレス バインディングをチェック

ID スプーフィングを防ぐには、地上波の暗号化が必要

IP Source Guard

テストを行ったのは、有線アクセス上の CISF 機能によってターゲットとされた攻撃だけで、攻撃者が無線である可能性も常に考慮されています。ターゲットはシナリオによっては、有線の場合もあれば無線の場合もあります。最後に、 表4-4 に記載されているソリューションは、アクセス スイッチ上の CISF 機能で現在利用可能なものを示しています。これらの機能が役に立たない場合は、アクセス ポイントで直接利用できる機能を使用した別のソリューションをお勧めします。