Cisco DNA Centerの不正管理アプリケーションは、脅威を検出して分類し、ネットワーク管理者、ネットワークオペレータ、およびセキュリティオペレータがネットワークの脅威をモニタできるようにします。Cisco DNA Centerは、最も優先度の高い脅威を迅速に特定するのに役立ち、Cisco DNA アシュアランス内の不正管理ダッシュボードでこれらの脅威をモニタできます。
不正なデバイスとは、ネットワーク内で管理対象のアクセスポイントによって検出される、未知(管理対象外)のアクセスポイントまたはクライアントのことです。不正 AP は、正規のクライアントをハイジャックすることによって、無線 LAN の動作を妨害する可能性があります。ハッカーは不正
AP を使用して、ユーザ名やパスワードなどの機密情報を取得できます。すると、ハッカーは一連の Clear To Send(CTS; クリア ツー センド)フレームを送信できるようになります。このアクションは、特定のクライアントに送信するように通知し、他のすべてのユーザに待機するように指示する
AP を模倣します。その結果、正規のクライアントは、ネットワークリソースに接続できなくなります。したがって、無線 LAN サービスプロバイダーは、境域からの不正なアクセスポイントの締め出しに強い関心を持っています。
不正な AP は安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正な AP を既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正な AP は、企業のファイアウォールの背後にあるネットワークポートに接続されているとき、重大なネットワークセキュリティ侵害につながるおそれがあります。通常、従業員は不正な
AP のセキュリティ設定を有効にしないので、権限のないユーザがこの AP を使って、ネットワークトラフィックを傍受し、クライアントセッションをハイジャックすることは簡単です。さらに警戒すべきことは、無線ユーザはセキュリティで保護されていない AP
の場所を頻繁に公表するため、企業のセキュリティが侵害される危険性も増大します。
Cisco DNA Center すべての近くの AP を継続的にモニタし、これらの不正 AP に関する情報を自動的に検出して収集します。
Cisco DNA Centerは 、管理対象 AP から不正なイベントを受信すると、次のように反応します。
-
不明な AP がCisco DNA Centerによって管理されていない場合は、Cisco DNA Centerによって不正分類ルールが適用されます。
-
不明な AP がネットワークと同じ SSID を使用していない場合は、Cisco DNA Centerが、AP が企業の有線ネットワークに接続され、有線ネットワークに通じているかどうかを確認します。企業ネットワークのスイッチポートに物理的に接続されている場合 、Cisco DNA Centerは AP を有線ネットワーク上の不正として分類します。
(注) |
Cisco DNA Centerにより、有線ネットワーク上の不正でない AP が誤って有線ネットワーク上の不正として分類される場合があります。この誤った分類は、不正なクライアントが不正有線ネットワーク上の不正 AP から有線ネットワーク上の不正でない AP にローミングしている場合に発生します。新しい不正
AP を含む新しい不正クライアントレポートが受信され、そのクライアントのホストエントリが、不正クライアント情報を削除する前にCisco DNA Centerで使用できるようになります。これは、不正なクライアントのスイッチポートの詳細がスイッチで削除され、Cisco DNA Centerと同期されるまでに時間がかかるためです。そのため、クライアントがローミングする新しい不正 AP は、同期が発生する前に不正として分類されます。
|
-
AP がCisco DNA Centerに対して不明で、ネットワークと同じ SSID を使用している場合、Cisco DNA Centerは AP をハニーポットとして分類します。
(注) |
以前にハニーポットとして分類された検出された SSID は、バックアップには保持されません。したがって、復元操作の後、SSID はハニーポットとして分類されません。
|
-
不明な AP がネットワークと同じ SSID を使用しておらず、社内ネットワークに接続されていない場合、Cisco DNA Centerは、干渉が発生しているかどうかを確認します。存在する場合は、Cisco DNA Centerは AP を干渉源として分類し、不正な状態を潜在的な脅威としてマークします。ネットワーク上の干渉源を分類するためのしきい値レベルは -75 dBm です。
-
不明な AP がネットワークと同じ SSID を使用しておらず、社内ネットワークに接続されている場合、Cisco DNA Centerはその AP がネイバーであるかどうかを確認します。ネイバーである場合、 Cisco DNA Centerは AP をネイバーとして分類し、不正状態を情報としてマークします。ネイバー AP として分類するしきい値レベルは、-75 dBm 以下です。