ホワイト ペーパー統合型のワイヤレス IDS およびワイヤレス IPS を利用したワイヤレスの脅威への対処このホワイト ペーパーでは、不正なアクセス ポイントとその他のワイヤレスの脅威について説明し、それらをシスコ ユニファイド ワイヤレス ネットワークがどのように検知および防御するかについて解説します。 概要ワイヤレス LAN(WLAN)のセキュリティは、1997 年に IEEE 802.11 が導入されて以来、飛躍的に向上してきました。最新のセキュリティ規格 IEEE 802.11i の採用により、ワイヤレス ネットワークのセキュリティは、多くの有線ネットワーク実装と同様、またはそれ以上に強化されています。ただし、ワイヤレス LAN は企業の物理的な境界を越えるため、不正なインフラストラクチャやクライアントに起因するワイヤレスの脅威が存在します。IT 管理者にとっては幸いなことに、シスコ ユニファイド ワイヤレス ネットワークでは、ワイヤレス クライアントにサービスを提供するのと並行して、これらの脅威を検知および防御することができます。運用環境へのワイヤレス LAN システムの導入を現時点で行わない場合は、シスコ ユニファイド ワイヤレス ネットワークを監視専用モードで展開することで、ワイヤレスの脅威によって有線ネットワークの完全性が損なわれることを防止し、機密情報の消失、顧客信頼の失墜、規制違反の可能性を確実に排除できます。 課題802.11i を使用したワイヤレス LAN をセキュリティで保護するための技術については認識している IT 管理者でも、それだけで企業を完全に保護することはできないと知って驚く場合があります。企業で認証された正規の WLAN を使用しているか、Wi-Fi なしのポリシーを使用しているかどうかにかかわらず、有線の企業ネットワークがワイヤレスの脅威に対して持っている脆弱性について認識しておくことが重要です。最も一般的なのは不正なアクセス ポイントです。仕事熱心な従業員が、危険に気付かないまま、接続速度を向上させるために独自の(多くの場合は消費者グレードで低コストの)アクセス ポイントを部署内で設定していることがあります。こうした不正アクセス ポイントはファイアウォールの内側にあり、従来の有線ネットワークで使用される侵入検知システムや侵入防御システム(IDS/IPS)では検知されません。無線信号の範囲内にいるすべてのユーザが、企業ネットワークに接続してアクセスできます。 セキュリティ上の問題をさらに複雑にしているのが、屋内や屋外から企業ネットワークにアクセスする必要があるモバイル ワーカーの存在です。企業の従業員は、自宅、ホテル、空港など、さまざまな場所のワイヤレス ホットスポットを業務のために頻繁に使用しています。ノート PC はウイルス、スパイウェア、マルウェアに感染するリスクがあるため、このような管理されていないサイトが企業ネットワークに対する脅威の入り口になる可能性があります。ワイヤレス クライアントが、ユーザの知らないうちにワイヤレス アクセス ポイントや他のワイヤレス クライアントに接続して、問題を悪化させることもあります。 ソリューションシスコの自己防衛型ネットワーク戦略は、ワイヤレス テクノロジーが企業セキュリティにもたらす新たな脅威を防御します。シスコの統合セキュリティ ソリューションと組み合わせることで、シスコ ユニファイド ワイヤレス ネットワークは、有線ネットワークをワイヤレスの脅威から保護し、認証された正規の WLAN 上の安全なプライベート通信を可能にする包括的ソリューションを提供します。ネットワーク内のすべてのデバイス、つまりアクセス ポイントに接続するクライアントからワイヤレス コントローラおよび管理システムまでが、分散防御を通じてワイヤレス ネットワーク環境をセキュリティ保護するための役割を担います。このホワイト ペーパーでは、さまざまなカテゴリのワイヤレスの脅威について説明し、企業を保護するために、シスコ ユニファイド ワイヤレス ネットワークに自動ワイヤレス侵入検知および防御がどのように組み込まれているかについて解説します。ワイヤレス LAN をセキュリティ保護する上で重要な 5 つのステップの概要については、「ワイヤレス LAN のセキュリティ保護およびワイヤレスの脅威防御のための 5 ステップ」を参照してください。 脅威の正確な検出と防御の有効化ワイヤレスの脅威を正確に検出および防御する最初のステップは、正規のワイヤレス インフラストラクチャとユーザがネットワークに適切に識別されるようにすることです。このステップが抜けていると、管理者は false positive の解決に多くの時間を費やすことになるため、IDS や IPS の価値が大幅に損なわれます。IEEE 規格では、802.11i を利用して正規のクライアントとインフラストラクチャを正確に識別できます。 IEEE 802.11i セキュリティ規格では、IEEE 802.1X をネットワークとクライアント間の相互認証に使用します。つまり、ネットワーク リソースにアクセスを試みるクライアントは、ネットワークによって認証される必要があります。同様に、クライアントはデータ転送を開始する前に、接続先ネットワーク インフラストラクチャの信頼性を検証します。802.1X では、認証に使用されるクレデンシャル(ログイン パスワードなど)がワイヤレス媒体を経由して送信されるときは必ず暗号化されます。さらに、802.1X ではユーザ単位、セッション単位のダイナミックな暗号キーを提供することで、スタティックな暗号キーに伴う管理上の負荷とセキュリティの問題を排除しています。 802.1X 認証タイプはワイヤレス LAN に強力認証を提供しますが、強力暗号化も必要です。前身の 802.11 規格には WEP 暗号化が含まれていましたが、この暗号化はネットワーク攻撃に対して脆弱であるため、現在では使用を避けるべきです。802.11 および WEP の脆弱性と 802.11i セキュリティ規格の承認の遅れに対応するために、Wi-Fi Alliance によって Wi-Fi Protected Access(WPA)と呼ばれる業界標準規格が定義されました。WPA では、802.1X 認証と Temporary Key Integrity Protocol(TKIP)暗号化を使用します。 2004 年、IEEE は、802.1x 認証と Advanced Encryption Standard(AES)暗号化を含む 802.11i WLAN セキュリティ規格を承認しました。802.11i における Wi-Fi Alliance の相互運用可能な認証は、WPA2 と呼ばれます。WPA で使用される TKIP 暗号化アルゴリズムは強力ですが AES よりは弱いため、クライアントをアップグレードして WPA2 と AES の両方に対応できるようになるまでの暫定的なセキュリティ ポリシーとしてのみ使用します。可能であれば、WPA2 と AES を実装し、できるだけ強力なセキュリティ環境を構築することを強く推奨します。 一般的なワイヤレスの脅威の概要正規のユーザおよびインフラストラクチャが識別されると、シスコ ユニファイド ワイヤレス ネットワークで、一般的なワイヤレスの脅威から企業を保護できるようになります。シスコ ユニファイド ワイヤレス ネットワークの Lightweight アクセス ポイントは、ワイヤレス クライアント トラフィックの処理とエア スペースの監視を同時に提供することも、エア モニタ専用として使用することもできます。シスコ ユニファイド ワイヤレス ネットワークの高度なセキュリティ サービスの詳細については、一般的なワイヤレスの脅威に関する以下のセクションを参照してください。 不正なアクセス ポイントとクライアントワイヤレスにおける最も一般的な脅威は、不正なアクセス ポイントです。不正なアクセス ポイントは、自由なワイヤレス アクセスを望む従業員によって設定されるのが一般的です。このようなアクセス ポイントは、通常は低コストかつ個人ユーザ向けで、アクセス ポイントの存在を有線でブロードキャストせず、Over-the-Air でのみ検出できます。これらのアクセス ポイントは従業員がデフォルト モードでインストールするため、認証と暗号化が有効になっていません。ワイヤレス LAN の信号は建物の壁を通過できるため、企業ネットワークに接続されたオープンなアクセス ポイントが未検出のままになる危険性が十分に考えられます。不正なアクセス ポイントに接続するクライアントは、IT 部門が定める正規のセキュリティ プロシージャをバイパスします。したがって、このようなクライアントは不正なクライアントと見なす必要があります。 アドホック ネットワークアドホック ネットワークは、2 つのクライアント デバイス間に直接形成されるネットワークです。アドホック ネットワークでは、インフラストラクチャが課すセキュリティ チェックがバイパスされるため、企業は脅威にさらされます。たとえば、従業員がワイヤレス対応ノート PC を持ち込んで業務時に有線ポートに接続する際、ワイヤレス インターフェイスが有効になったままの場合があります。この場合、隣接エリアにいるハッカーはクライアントに直接接続できるため、セキュリティが脅威にさらされる危険性があります。その際、ハッカーは従業員のクライアント デバイスに関する情報を探し、ワイヤレス インターフェイスと有線インターフェイスの両方から企業ネットワークへのアクセスを取得する可能性があります。このような状況になると、企業は業界の規制ポリシーに違反する可能性があります。 クライアントの誤アソシエーション他のオープン ネットワークにすばやく簡単に接続できることは、ワイヤレス クライアントの利点の 1 つです。しかし、この利点は企業側にとっては潜在的な危険性でもあります。たとえば、Windows XP を実行するデバイスでは、次のような状況が頻繁に発生します。Windows XP を実行するデバイスでは、ワイヤレス設定ソフトウェアが、それまでに利用した Service Set Identifier(SSID)に自動的に接続します。したがって、ホットスポットや家のアクセス ポイントに接続していた従業員のノート PC で、企業内に同じ SSID が認識されると、本人も知らないうちにそのノート PC が未知のアクセス ポイントに自動的に接続される可能性があります。従業員が有線ポート経由でネットワークに接続しているときにこのような接続が発生すると、このワイヤレス インターフェイスを未知のユーザが企業の有線ネットワークへのブリッジとして使用する可能性があります。また、従業員が隣接のワイヤレス ネットワークを使用して、電子メール、インスタント メッセージング、またはインターネットの使用に関するポリシーの内部セキュリティ コントロールをバイパスしようと試みることもあります。いずれの状況であっても、企業は業界の規制ポリシーに違反する可能性があります。 Denial-Of-Service(DoS; サービス拒絶)攻撃およびペネトレーションDoS 攻撃は、企業に対する脅威の中でも特にタイプの異なるものです。不正なユーザに情報やネットワークが公開されるのではなく、ハッカーはサービスを中断させようと試みます。さらに大きな違いとして、不正なアクセス ポイント、クライアントの誤アソシエーション、およびアドホック ネットワークは、従業員が意図しないうちに引き起こされることがありますが、DoS 攻撃には特定の専門知識と計画が必要であるため、ほとんどの場合、悪意があります。DoS 攻撃では一般的に、攻撃者はクライアントが接続するアクセス ポイントから管理フレームをスプーフし、そのアクセス ポイントに接続する WLAN クライアントの認証やアソシエーションの解除を行います。イーサネットとは異なり、WLAN ではメディア アクセスとコリジョン回避のために管理フレームが必要であるため、このような攻撃が可能です。これらの管理フレームは、クライアント ステーションで認証が完了する前に使用される必要があるため、WPA、WPA2、または VPN を使用していても常に未認証で、暗号化もされていません。 現実には、DoS 攻撃は企業ネットワーク内ではほとんど確認されません。この攻撃は Over-the-Air で行われるため、ハッカーがその物理的な存在を気付かれないまま、企業全体のワイヤレス LAN ネットワークが使用できなくなることはほとんどありません。ただし、ワイヤレス LAN を介した音声などの重要なモバイル サービスが多く使用されるにつれ、DoS 攻撃を迅速に識別して正確に検出することの重要性が増してきます。 ペネトレーション試行には、man-in-the-middle 攻撃とオフライン辞書攻撃の 2 種類があります。man-in-the-middle 攻撃では、クライアントと有効なアクセス ポイントとのアソシエーションを解除し、正規のアクセス ポイントになりすました不正なアクセス ポイントにクライアントを再アソシエーションしようと試みます。次に、攻撃者はクライアントの認証情報をキャプチャし、ワイヤレス LAN 経由で企業ネットワークにアクセスしようとします。 オフライン辞書攻撃では、Over-the-Air ワイヤレス データをキャプチャして暗号キーのクラックを試みます。攻撃者は物理的に Over-the-Air データの近くにいるだけでデータを収集でき、後から別の場所で暗号キーをクラックします。クラックに成功した場合、攻撃者はその暗号キーを使用してネットワークへのアクセスを取得できます。ただし、WPA または WPA2 セキュリティを利用したワイヤレス LAN をこの方法で侵害することはできません。 偵察プローブ別の種類の脅威として、オープンな Wi-Fi 信号が探られる(「ウォー ドライビング」)こともあります。これには、NetStumbler という一般的なツールが使用されることがあります。このツールをはじめとする多くの類似ツールでは、ワイヤレス ネットワークが通常、自身のネットワーク名や SSID をブロードキャストすることを利用します。NetStumbler は、ワイヤレス クライアントを搭載したハンドヘルド デバイスで実行されるため、周囲に気付かれずにワイヤレス ネットワークを検出できます。通常は受動的なツールとして使用されますが、ブロードキャストすることもあるため、侵入検知システムで検知できます。 ネットワーク名を検出できるという事実は、一部のベンダーが専用のワイヤレス侵入検知システムの販売を促進するために、心配の種として広めています。しかし、これは正しくありません。セキュリティに 802.11i(WPA2)または WPA を利用するワイヤレス LAN は、ネットワーク名を検出しただけでは侵害されません。 受動的な攻撃と能動的な攻撃についてさまざまな種類の脅威について理解することに加えて、攻撃のタイプについて、つまり攻撃が受動的なものであるか能動的なものであるか、また能動的である場合はそれがインラインであるかオフラインであるかについて理解することも重要です。 受動的な攻撃では、悪意のあるユーザはネットワークを操作することはありませんが、データを観察し、キャプチャしたデータを解析するだけでネットワークへの侵入を試みます。偵察プローブやオフライン辞書攻撃などは受動的な攻撃の一例です。特にワイヤレス LAN ではデータが Over-the-Air で送信されるため、このタイプの攻撃を防御する手段はほとんどありません。このタイプの攻撃に対する最も有効な防御手段は、既知の最も強力なセキュリティを使用することです。したがって、WPA2 と AES を実装して、できるだけ強力なセキュリティ環境を構築することを推奨します。IT 管理者は、WPA2 と AES を利用した WLAN に対してオフライン辞書攻撃が成功していないことを確認する必要があります。 能動的な攻撃では、ハッカーはネットワークをリアルタイムで操作します。不正なアクセス ポイント、man-in-the-middle 攻撃、DoS 攻撃などは能動的な攻撃の一例です。能動的な攻撃は、さらにインラインとオフラインに分類できます。能動的なインライン攻撃は、WLAN がサービスを提供しているチャネルで実行される攻撃です。DoS 攻撃はその典型的な例で、クライアントと同じチャネルに存在しない限り、サービスを中断させることはできません。このケースでは、シスコ ユニファイド ワイヤレス ネットワークのワイヤレス IPS 機能が週 7 日 24 時間体制でインライン保護を提供しており、各パケットは Cisco ワイヤレス LAN コントローラによってリアルタイムで検査されます。 能動的なオフライン攻撃は、WLAN がサービスを提供しているチャネル以外のチャネルに仕掛けられる攻撃で、不正なアクセス ポイントなどです。シスコ ユニファイド ワイヤレス ネットワークの Lightweight アクセス ポイントは、すべてのワイヤレス チャネルをスキャンして脅威の有無を確認するように設定できます。各チャネルを巡回して検査し、疑わしいワイヤレス活動を調べることで、インライン攻撃とオフライン攻撃の両方を確実に検出します。 ワイヤレス LAN の到達範囲外のブランチ オフィスや他のサイトの保護多くの企業では、ブランチ オフィスやリモート オフィス、またはメイン エンタープライズ キャンパスの一部がワイヤレス LAN の到達範囲に含まれていません。このようなエリアでは従業員が独自のアクセス ポイントを利用してワイヤレス接続を行うことがあるため、いくつかの点で、ワイヤレスの脅威に対する脆弱性がさらに高まります。これらのエリアを保護するために、シスコ ユニファイド ワイヤレス ネットワーク Lightweight アクセス ポイントを専用エア モニタとして導入できます。エア モニタはクライアント トラフィックを提供するのではなく、エアウェーブの監視のみを行います。すべてのチャネルをスキャンし、必要に応じて侵入防御手段を講じて企業を保護します。 この状況に対してシスコ ユニファイド ワイヤレス ネットワークを導入した場合と、オーバーレイ ワイヤレス IDS システムを導入した場合を比較すると、前者には、対象エリアにワイヤレス LAN を導入する準備ができた時点で、エア モニタがワイヤレス クライアントを処理するように切り替えることができるという利点があります。また、ワイヤレスの脅威を検出する専用のセンサー ネットワークを維持する場合も、同じコントローラで追加のアクセス ポイントを管理できます。いずれのケースでも、1 つのシステムのみを導入し、習得し、継続的にメンテナンスするだけです。 シスコ ユニファイド ワイヤレス ネットワークによるワイヤレスの脅威の検出および防御以下では、シスコ ユニファイド ワイヤレス ネットワークでワイヤレスにおけるセキュリティの脅威を検出および防御するために使用できる各種の戦略について解説します。 Radio Resource Management(RRM)によるワイヤレスの脅威の検出シスコ ユニファイド ワイヤレス ネットワークには RRM が組み込まれており、周囲のエア スペースを継続的に監視できます。コントローラに埋め込まれた RRM ソフトウェアは、組み込みの RF エンジニアとして動作して、ワイヤレス ネットワークのリアルタイム RF 管理を継続的に提供します。RRM により、コントローラから、Lightweight アクセス ポイント 1 やその他のアクセス ポイントを継続的に監視してトラフィックの負荷や干渉をチェックできます。ネットワークに新しいコントローラと Lightweight アクセス ポイントが追加されると、RRM によって自動的に検出され、設定が行われます。 Lightweight アクセス ポイントは、すべての有効な 802.11a/b/g チャネルでワイヤレスの脅威を検出するように設定できます。これらのチャネルを監視する際、アクセス ポイントが 60 ms を超えて「オフチャネル」になることはありません。この間に収集されたパケットは解析され、不正なアクセス ポイント、不正なクライアント、アドホック クライアント、2.4 GHz および 5 GHz 周波数帯での他のすべての RF 干渉(Bluetooth 信号、電子レンジなど)が検出されます。シスコ ユニファイド ワイヤレス ネットワークでは、このように RRM により、周波数帯の一部で過剰な干渉が検出された場合はチャネルを変更することで、RF 妨害による DoS 攻撃の影響も緩和することができます。デフォルトでは、各アクセス ポイントはオフチャネル時間の 0.2 パーセントしか使用しません。このアクティビティはすべてのアクセス ポイントに分散され、隣接するアクセス ポイントを同時にスキャンすることは避けるため、ワイヤレス LAN のパフォーマンスが低下することがあります。このようにして管理者はすべてのアクセス ポイントの状況を把握し、その結果、ネットワークの可視性が向上します。 不正なアクセス ポイントとクライアントの検出と防御シスコ ユニファイド ワイヤレス ネットワーク Lightweight アクセス ポイントは、クライアントを処理しているかエア モニタとして設定されているかに関係なく、すべての Wi-Fi アクティビティをスキャンします。管理対象アクセス ポイントが Over-the-Air で別のアクセス ポイントを検出し、それがシスコ ユニファイド ワイヤレス ネットワーク コントローラの管理対象アクセス ポイントでない場合、そのアクセス ポイントは不正と見なされます。不正がある場所は、建物の見取り図に即座に表示されます(図 1)。調査の結果、それがホットスポットや隣接ビジネスなどの隣接するワイヤレス LAN であるとわかった場合、管理者はそれを「既知の外部不正」とマークすることができます。同様に、テスト環境などにある既知の内部アクセス ポイントは、「既知の内部不正」とマークすることができます。  図 1 検出された不正なアクセス ポイントを物理的に取り除くためにマップに表示 この時点で、管理者は侵入防御を開始できます。1 〜 4 台のシスコ Lightweight アクセス ポイントの中に不正なアクセス ポイントが含まれている場合、クライアントがそれらのアクセス ポイントとアソシエートすることを防止します。これにより、不正なアクセス ポイントを物理的に取り除くまでの間、不正なクライアントからのトラフィックが企業ネットワークに到達しないようにします。 ブランチ オフィスやリモート オフィスなど、ローカルの IT リソースがないサイトでは、不正なアクセス ポイントが企業ネットワークに接続されているかどうかを自動的に判断する方法がきわめて有効です。不正なアクセス ポイントが企業ネットワークに接続されているかどうかは 2 種類の方法で判断できます。1 つは Rogue Location Discovery Protocol(RLDP)、もう 1 つは Rogue Detectorです。RLDP では、コントローラは管理対象アクセス ポイントに対して、不正なアクセス ポイントにアソシエーションし、コントローラに特殊なパケットを送信するように指示します。コントローラがこのパケットを受信した場合、企業ネットワークには不正なアクセス ポイントが接続されています。この方法は、主に従業員がインストールする一般ユーザ向けアクセス ポイントなど、暗号化が有効になっていない不正なアクセス ポイントに対して使用できます。 暗号化を使用した不正なアクセス ポイントを問題視している企業に対しては、シスコ ユニファイド ワイヤレス ネットワークでは RLDP を補う方法を用意しています。管理対象アクセス ポイントは、暗号化を使用した不正なアクセス ポイントにはアソシエーションできないため、別の手法を使用する必要があります。この場合、シスコ ユニファイド ワイヤレス ネットワークは、クライアントが不正なアクセス ポイントにアソシエーションするときにネットワークに送信される Address Resolution Protocol(ARP; アドレス レゾリューション プロトコル)要求を監視します。この ARP 要求をキャプチャするには、ネットワーク上の個々の有線アクセス VLAN に Rogue Detector を展開します。Rogue Detector は無線を無効にした管理対象アクセス ポイントで、すべてのクライアントの ARP に関して MAC アドレスを検出して格納することが唯一の機能です。コントローラは、クライアントが接続された不正なアクセス ポイントの存在を確認すると、ネットワーク内の Rogue Detector に対して、不正なクライアントからの ARP がキャッシュされていないかどうかを問い合せます。アクセス ポイントを監視する RF で検出された不正なクライアントの送信元 MAC が、Rogue Detector アクセス ポイントで検出された不正なクライアントの送信元 MAC と一致する場合は、そのデバイスが企業ネットワークに接続されています。 いずれかの方法が使用されている場合、企業ネットワークに不正な接続があることが判明すると、不正アラームが監視状態から緊急状態に変更されるため、管理者はすぐに対策を講じて有害なアクティビティを防ぐことができます。 アドホック ネットワークの検出および防御アドホック ネットワークの検出は、Over-the-Air パケットを観察して解析し、接続がインフラストラクチャではなくアドホックであることを示す特定のフレームの存在を確認することで行われます。アドホック ネットワークが検出されると、シスコ ユニファイド ワイヤレス ネットワークは、クライアントにアソシエーション解除フレームを送信してネットワーク接続を停止することで、アドホック ネットワークを防御します。 クライアントの誤アソシエーションの検出および防御Cisco Security Agent ソフトウェアとシスコ ユニファイド ワイヤレス ネットワークを組み込んだユニファイド戦略を導入すると、クライアントの誤アソシエーションを検出するだけでなく、それを防止することもできます。シスコの Wireless Control System(WCS; ワイヤレス コントロール システム)は、クライアントが不正なアクセス ポイントに接続するとアラームを検出して生成するため、管理者は対策を講じることができます。ただし、この種の脅威は、Cisco Security Agent ソフトウェアまたはサードパーティのクライアント ファイアウォールを使用することで排除できます。有線インターフェイスとワイヤレス インターフェイスが同時に使用されないようにファイアウォールを設定すれば、企業の有線ネットワークに接続する従業員が誤ってワイヤレス エンタープライズへのブリッジを作成することがなくなります。ワイヤレス侵入検知システムのみを使用した場合と比較して、シスコのユニファイド有線およびワイヤレス セキュリティ戦略は、はるかに優れた保護を提供します。また、ユーザが(自宅やホテルの部屋などから)企業に在宅勤務者として接続すると、クライアントの誤アソシエーションが発生することがあるため、この戦略は企業ベースのワイヤレス IPS ソリューションのみを利用した場合よりもはるかに効果的です。 DoS 攻撃とペネトレーション試行の検出および防御DoS 攻撃と、man-in-the-middle 攻撃などのペネトレーション試行は、管理フレームをスプーフしてクライアントの認証やアソシエーションを解除します。シスコ ユニファイド ワイヤレス ネットワークの Advanced Security Service では Management Frame Protection(MFP; 管理フレーム保護)が実装されており、Day-Zero 攻撃に対する保護として、スプーフされた管理フレームを 1 フレームだけでも検知できます。MFP は、アクセス ポイントからクライアントへの管理フレームをすべてハッシュし、フレームに付加された Information Element(IE; 情報要素)のMessage Integrity Check(MIC; メッセージ整合性検査)にそのハッシュを挿入するという仕組みで機能します。有効な MIC を探すことで、管理対象アクセス ポイントは、スプーフされた管理フレームが 1 つだけであっても検出し、それに対して IDS アラートを作成します。これは他のベンダーの IDS 実装よりも大幅に優れている点で、通常は相当な数の管理フレームがスプーフされてからでないとアラートは生成されません。 多くのベンダーでは、一般的に「攻撃」の発生数を引き合いに出すことで、高価格のオーバーレイ ワイヤレス IDS ソリューションを販売しています。しかし、強力なワイヤレス LAN セキュリティ(つまり、WPA2 や WPA を利用)によってペネトレーション攻撃が防御されるため、WLAN のペネトレーションのシグニチャは、不正や DoS 攻撃を検出することほど重要ではありません。 また、これらの IDS アラートの多くは false negative であり、IT 管理者は不要なアラームを探すことに時間を浪費することになります。IDS アラートが false negative を生成する一般的な理由を以下に示します。
シスコ ユニファイド ワイヤレス ネットワークは、ワイヤレス攻撃シグニチャの包括的なデータベースを備えており、ユーザは独自のシグニチャを定義することもできます。シグニチャ脅威データベースは、新しいリリースによって定期的に更新されます。ただし、これは単に脅威を識別する事後対応的なアプローチです。シグニチャベースの IDS 攻撃検出に伴う問題のため、シスコでは特定のシグニチャを重視するのではなく、スプーフされた管理フレームなど、WLAN の不正動作の識別に重点を置いています。WLAN の不正動作が識別されると、シスコ ユニファイド ワイヤレス ネットワークではほとんどのケースでその動作を防止できるため、問題を単に識別するだけではなく、問題の発生を止めることができます。スプーフされた管理フレームを利用する攻撃に対しては、シスコは IEEE 802.11w 規格プロセスを促進することにより、業界を永久的な防御方式へと導いています。 偵察プローブの検出すでに説明したように、ネットワーク名を検出する NetStumbler などの偵察プローブは、適切にセキュリティで保護されたワイヤレス LAN には脅威をもたらしません。ネットワーク名を知るだけではハッカーにとって何のメリットもありません。シスコ ユニファイド ワイヤレス ネットワークでは、NetStumbler が作成する偵察プローブなどを報告しますが、気にする必要はありません。ワイヤレス IDS ベンダーは、このような種類のツールをシグニチャ データベースに取り込んで識別可能な攻撃数を増やそうとしていますが、根本的には Windows XP がワイヤレス ネットワーク名を自動検出することと同程度の危険性しかありません。 ワイヤレス IPS への投資レベルの判断ワイヤレス IPS にどの程度投資するかを判断するときは、いくつかの要素を検討する必要があります。シスコはどの企業に対しても、不正なアクセス ポイントや DoS 攻撃などのワイヤレスの脅威から保護するための最小レベルのワイヤレス IPS 機能を用意することを推奨しています。シスコ ユニファイド ワイヤレス ネットワークは、この機能を統合ワイヤレス IPS 機能を通じて提供しており、追加コストは一切発生しません。オーバーレイ ワイヤレス IPS ベンダーの一部には、アクセス ポイントがクライアントの処理に費やす時間があるために「継続的な保護」を提供していないとして、統合型のワイヤレス IPS 機能のイメージを低下させようとする動きがあります。この考えは間違っています。センサーは専用であれアクセス ポイントであれ、1 つのチャネルに継続的にとどまることはありません。つまり、すべてがチャネルからチャネルにホップし、802.11 の周波数帯全体をスキャンして脅威を検出する必要があります。 シスコ ユニファイド ワイヤレス ネットワーク アクセス ポイントは、センサーとして配備するだけで、オーバーレイ ワイヤレス IPS ソリューションと同じレベルの保護を達成します。実際、統合ワイヤレス IPS ソリューションでは使用中のチャネルにほとんどの時間を費やすため、オーバーレイ ソリューションよりも優れた、インライン攻撃に対する保護を実現します。一方、オーバーレイ ソリューションではどのチャネルにも同じ時間を費やさなければならないことがあり、したがって、攻撃発生時にチャネルに存在しない可能性が高くなります。 逆に、インライン ワイヤレス IPS を備えた統合ソリューションには、オーバーレイ ワイヤレス IPS ソリューションにはない独自の利点があります。正規のクライアントを認証することができるのは、クライアント サービスを提供するインライン システムだけです。オーバーレイ システムでは、正規のクライアントであるかどうかを Over-the-Air トラフィックの監視を通じて正確に判断することはできません。多くのオーバーレイ システムは、正規のアクセス ポイントのクライアント認証の検出に Over-the-Air を利用しています。しかし、オーバーレイ ワイヤレス IPS センサーはトラフィックを解読して信頼性を確認できないため、信頼性は高くありません。統合ソリューションは、DoS 攻撃のインライン検出を提供できる唯一のソリューションです。また、統合ソリューションでは、ハードウェア変更を 2 つのシステムではなく 1 つのシステムに抑えることで、802.11n などのテクノロジーに移行する際のアップグレード コストを最小限に抑えています。さらに、統合ソリューションでは、モバイル サービスやワイヤレス IPS の導入、管理、および継続的なメンテナンスを単一のプラットフォームで行えるため、総所有コストを軽減できます。 まとめワイヤレス LAN ネットワークと有線の企業ネットワークを適切に保護するために、IT 管理者はまず、できるだけ強力な Over-the-Air セキュリティを有効にする必要があります。可能であれば、WPA2 を使用して、ネットワークとクライアントの間で強力な AES 暗号化と相互認証を行います。正規のクライアントとインフラストラクチャを確実に認証することが、ワイヤレスの脅威を防ぐ第一歩です。また、それにより、NetStumbler などのツールが行う偵察試行はどれも無意味なものになります。強力認証および強力暗号化手段が適切に用意されていれば、SSID を知られても問題ありません。 シスコ ユニファイド ワイヤレス ネットワークは、正しいネットワーク コンポーネントが存在していることを適切に識別した後は、各コントローラに埋め込まれている RRM ソフトウェアを使用して Over-the-Air パケットを解析し、不正なアクセス ポイント、不正なクライアント、DoS 攻撃などのさまざまな種類の脅威を管理者に警告します。また、RRM により、シスコ ユニファイド ワイヤレス ネットワークでは RF 干渉も回避できます。脅威が存在する場所の正確なマッピングは WCS が提供します。これにより、IT 管理者は、必要に応じて不正なアクセス ポイント、不正なクライアント、またはアドホック ネットワークについて Over-the-Air 防御を使用するかどうかを選択できます。企業ネットワークに不正な接続があるかどうかの正確な判断は、Rogue Location Discovery Protocol と Rogue Detector の 2 つの方法で行います。 一般的にシスコの戦略は、脅威に対して単に対処するのではなく、脅威に対して予防的な処置を講じるものです。シスコでは、ワイヤレス攻撃シグニチャのデータベースを提供していますが、多くの攻撃ツールではシグニチャを簡単に変更できます。シスコ ユニファイド ワイヤレス ネットワークでは、ユーザはカスタム シグニチャを作成できますが、シスコでは IT リソースをより効果的に使用するという観点から、永久的なソリューションを推奨しています。このように、IEEE 802.11w 規格での立場を通じて、シスコは DoS 攻撃やペネトレーション試行を検出するだけでなく、それを防御するという方向に業界の取り組みを導いています。この機能、つまり管理フレーム保護規格の草案は、すでに入手することができます。 シスコ ユニファイド ワイヤレス ネットワークは、企業の各種ニーズを満たすためにいくつかのワイヤレス IPS 展開モードを備えています。アクセス ポイントは、クライアントの処理や、ワイヤレスの脅威のスキャンを目的として配備することも、専用エア モニタとしてのみ配備することもできます。ワイヤレス LAN の到達範囲に含まれていないブランチ オフィスやメイン エンタープライズ キャンパス部分では、専用エア モニタとしての使用が特に有効で、ワイヤレスの脅威に対する保護を実現できます。オーバーレイ ワイヤレス IPS ソフトウェアとは異なり、エア モニタは、後から機能アクセス ポイントに変換することができるため、総所有コストを大幅に軽減できます。 1 簡単にするため、これ以後はアクセス ポイントという用語を使用します。ただし、特に記載がない限り、説明はエア モニタに同じ意味で適用されます。 |
 |
統合型のワイヤレス IDS およびワイヤレス IPS を利用したワイヤレスの脅威への対処