不正管理および aWIPS ダッシュボードのモニタリング

不正管理および aWIPS アプリケーションへのアクセス

手順

ステップ 1

不正管理および aWIPS アプリケーションにアクセスするには、Cisco DNA Center にログインします。

ステップ 2

メニューアイコン()をクリックして、次を選択します。[Assurance] > [Rogue and aWIPS]

[Rogue and aWIPS] ダッシュボードが表示されます。

(注)  

 

Cisco DNA アシュアランス アプリケーションを使用する前に、設定する必要があります。詳細については、基本的な設定のワークフローを参照してください。

不正管理および aWIPS ダッシュボードのモニタリング

ネットワークで検出されたすべての不正 AP と aWIPS シグニチャの詳細な脅威分析とグローバルビューを表示するには、不正管理および aWIPS ダッシュボードを使用します。また、不正管理および aWIPS ダッシュボードは、最も優先度の高い脅威についての洞察を提供し、迅速に識別できるようにします。不正管理アプリケーションは、ストリーミングテレメトリを使用して不正 AP のデータを取得します。

手順

ステップ 1

メニューアイコン()をクリックして、次を選択します。[Assurance] > [Rogue and aWIPS]

[Rogue and aWIPS] ウィンドウが表示されます。デフォルトでは、Cisco DNA Center に [Overview] タブが表示されます。

(注)  

 

Cisco AireOS コントローラが最小ソフトウェアバージョンを満たしていない場合は、ダッシュボードの上部に通知が表示されます。通知の [Go To Devices] をクリックして、サポートされているバージョンにアップグレードします。

ステップ 2

シスコ ワイヤレス コントローラ および Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ で不正検出を有効にするには、[Actions] ドロップダウンリストで、[Rogue] > [Enable]の順に選択します。

不正管理機能は、Cisco DNA Center リリース 1.3.3.x から Cisco DNA Center リリース 2.2.1.0 以降への移行中にすでに有効になっている場合、デフォルトでは有効になっています。

ステップ 3

不正管理のアクションを一時的に無効にするには、[Rogue] > [Disable] の順に選択します。

ステップ 4

表示される [Warning] ダイアログボックスで [はい(Yes)] をクリックします。

不正管理機能を無効にすると、ワイヤレスコントローラのデータは、不正管理機能が有効になるまで、Cisco DNA Centerにプッシュされません。

ステップ 5

[Status] を選択して、不正な設定ジョブのステータスを表示します。

ステップ 6

[All]、[Failure]、[Success]、または [Progress] の各タブをクリックして、不正な設定ステータスをフィルタリングします。

ワイヤレスコントローラ で不正管理の検出操作が正常に有効化されると、[Operation] 列に [Enable] と表示されます。

設定の変更が ワイヤレスコントローラ に正常にプッシュされると、[Status] 列に [Success] と表示されます。

ステップ 7

Cisco DNA Center で aWIPS のデータ収集を有効にするには、[aWIPS] > [Enable] の順に選択します。

Cisco DNA Center リリース 1.3.3.x から Cisco DNA Center リリース 2.2.1.0 以降に移行する場合は、Cisco DNA Center リリース 2.2.1.0 以降で aWIPS 機能を有効にする必要があります。

ステップ 8

aWIPS のアクションを一時的に無効にするには、[aWIPS] > [Disable] の順に選択します。

ステップ 9

表示される [Warning] ダイアログボックスで [はい(Yes)] をクリックします。

ステップ 10

aWIPS のサブスクリプション ステータスを確認するには、[aWIPS] > [Status] の順に選択します。

ステップ 11

[All]、[Failure]、[Success]、または [In Progress] の各タブをクリックして、aWIPS の設定ステータスをフィルタ処理します。

ワイヤレスコントローラ で aWIPS の検出操作が正常に有効化されると、[Operation] 列に [Enable] と表示されます。

設定の変更が ワイヤレスコントローラ に正常にプッシュされると、[Status] 列に [Success] と表示されます。

ステップ 12

タイムスライダを移動して、特定の時間の脅威に関するデータを表示します。

タイムラインスライダの下にある [Active High Threats] と [High Threats Over Time] のグラフに、該当する脅威の詳細が表示されます。

ステップ 13

ネットワーク内のサイトのグローバルマップビューを表示するには、[Show Map] アイコンをクリックします。

  • [Active High Threats] と [High Threats Over Time] のグラフには、デフォルトでは過去 3 時間に検出された不正 AP に関する情報が表示されます。グラフの情報は、時間を選択するドロップダウンリストで選択した時間間隔に基づきます。

    オプションは、[Last 3 Hours]、[Last 24 Hours]、および [Last 7 Days] です。

  • [Active High Threats] ウィジェットは、ドーナツグラフの形式で脅威レベルに関する情報を提供します。グラフにカーソルを合わせると、各脅威レベルで検出された不正 AP の数が表示されます。

  • [High Threats Over Time] には、時間間隔ドロップダウンリストから選択した時間間隔に基づいて、時間の経過に伴う高レベルの脅威に関する情報が示されます。グラフの上にカーソルを合わせると、特定の時点で発生した高レベルの脅威の数が表示されます。

  • [Threats] テーブルには、ネットワーク上に存在する不正 AP のリストが表示されます。

ステップ 14

一部の列は、デフォルトの列ビュー設定で非表示になります。列をカスタマイズするには、列見出しの右端にある 3 つのドット をクリックします。

ステップ 15

をクリックしてレイアウトプリセット([Basic] または [All])を選択します。

ステップ 16

不正 AP リストを絞り込むには、[Threats] テーブルの左端にある [Filter] アイコン()をクリックします。[ID]、[Threat Level]、[Threat MAC Address]、[Type]、[State]、[Connection]、[Detecting AP]、[Detecting AP Site]、[RSSI (dBm)]、[SSID]、[Clients]、[Containment Status]、[Last Reported]、および [Vendor] の条件に基づいてフィルタ処理できます。

RSSISSID、および [Clients] は、aWIPS の場合は表示されません。

ネットワーク上の各不正 AP について、次の情報が表示されます。

  • ID: 不正 AP の ID。

  • [Threat Level]:色別に分類された脅威レベル。Cisco DNA Center では脅威を次のカテゴリに分類します。

    • 高レベルの脅威

    • 潜在的な脅威

    • 情報

  • [Threat Mac Address]:不正 AP の MAC アドレス。

  • [Type]:不正 AP および aWIPS の脅威の種類。

    利用可能な不正 AP の分類タイプは次のとおりです。

    • ビーコン不正チャネル

    • Beacon DS Attack

    • AP Impersonation

    • 許可リスト

    • Rogue on Wire

    • ハニーポット

    • 干渉源

    • 許可されたベンダー

    • Friendly

    • ネイバー(Neighbor)

    • カスタムルール名

  • aWIPS のシグニチャタイプは次のとおりです。

    • EAPOL ログオフフラッド

    • 認証解除ブロードキャスト

    • CTS フラッド

    • RTS フラッド

    • 認証解除フラッド

    • ディスアソシエーション ブロードキャスト

    • ディスアソシエーション フラッド

    • ブロードキャストプローブ

    • アソシエーションフラッド

    • 認証フラッド

    • 認証解除フラッド

    • ファジングビーコン

    • ファジングプローブ要求

    • ファジングプローブ応答

    • PS ポールフラッド

    • EAPOL 開始 V1 フラッド

    • 再関連付け要求フラッド

    • ビーコンフラッド

    • プローブ応答フラッド

    • ブロック ACK フラッド

    • AirDrop セッション

    • 不正な形式の関連付け要求

    • 認証失敗フラッド

    • 無効な MAC OUI フレーム

    • 不正な形式の認証

    • CTS 仮想キャリア検知攻撃

    • RTS 仮想キャリア検知攻撃

  • [State]:不正 AP または aWIPS 攻撃の状態を示します。

  • [Source/Target]:表示されている MAC アドレスが aWIPS 攻撃のソースであるか、aWIPS 攻撃のターゲットであるかを示します。この列は不正データには適用されません。

  • [Connection]:不正 AP が有線ネットワークまたはワイヤレスネットワーク上にあるかどうかを示します。この列には、ワイヤレスネットワークに対する aWIPS 攻撃が常に表示されます。

  • [Detecting AP]:不正 AP を現在検出している AP の名前。複数の AP で不正が検出された場合は、信号強度が最も高い AP が表示されます。この列は、不正 AP および aWIPS 攻撃に適用されます。

  • [Detecting AP Site]:検出 AP のサイトの場所。この列は、不正 AP および aWIPS 攻撃に適用されます。

  • [RSSI (dBm)]:検出 AP から報告された RSSI の値。RSSI(dBm)は不正 AP にのみ適用されます。

  • [SSID]:不正 AP をブロードキャストするサービスセット ID。SSID は、不正 AP にのみ適用されます。

  • [Clients]:この AP に関連付けられている不正クライアントの数。この列は、不正 AP にのみ適用されます。

    (注)  

     

    [Threats] テーブルに表示されるクライアント数は、[Threats 360 degrees] ウィンドウに表示されるクライアント数とは異なります。これは、Cisco DNA Center の以前のリリースで処理されたデータが Cisco DNA Center 2.3.2 以降に移行された場合に発生します。Cisco DNA Center 2.3.2 以降では、選択した時間範囲に新しいデータがある場合、新しく処理されたデータの正しいクライアント数が表示されます。

  • [Wireless Containment Status]:不正 AP の有効な値([Contained]、[Pending]、[Open]、[Partial])を示します。ワイヤレス封じ込めステータスは、不正 AP にのみ適用されます。

  • [Last Reported]:不正 AP および aWIPS 攻撃が最後に報告された日付、月、年、および時刻。

  • [Vendor]:不正 AP のベンダーの情報。この列は、aWIPS 攻撃には適用されません。

脅威 360° ビューから不正 AP および不正クライアントの詳細を取得

[Threat 360°] ビュー内で、フロアマップ上の特定の不正 AP または不正クライアントの場所の詳細をすばやく表示できます。

検出 AP の最も強力な信号強度に応じて、フロアマップ上の特定の不正 AP または不正クライアントの正確な場所の詳細を取得できます。Cisco コネクテッド モバイル エクスペリエンス(CMX)または Cisco DNA Spaces の統合により、不正 AP または不正クライアントの正確な場所を取得できます。

手順

ステップ 1

メニューアイコン()をクリックして、次を選択します。[Assurance] > [Rogue and aWIPS]

ステップ 2

特定の不正 AP または不正クライアントに対して [Threat 360°] ビューを起動するには、[Threat] テーブルで対象の行をクリックします。

[Threat 360] ペインが表示されます。

ペイン上部には、次の情報が表示されます。

  • 不正 AP の MAC アドレス

  • 脅威レベル

  • 脅威のタイプ

  • ステータス

  • ベンダー

  • 封じ込め

  • 最後のレポート

ペインの中央部分には、不正 AP またはフロアマップ上の脅威の推定位置が表示されます。

  • サイトの詳細とフロア番号。

  • フロアマップには、管理対象 AP の名前が表示されます。

ステップ 3

必要に応じて、次のタスクを実行します。

  • フロアマップの右上隅にある アイコンをクリックすると、到達可能性ステータスとともに AP を管理する ワイヤレスコントローラ の IP アドレスが表示されます。

  • フロアマップの右隅にある アイコンをクリックして、場所を拡大します。ズームレベルは画像の解像度によって異なります。高解像度の画像の場合、より高倍率のズームレベルを使用できます。各ズームレベルはさまざまなスケールで表示される各種スタイルマップで構成されていて、対応する詳細が表示されます。マップの中にはスケールを小さくしても大きくしても同じ状態のマップもあります。

  • アイコンをクリックすると、広範囲のマップが表示されます。

  • アイコンをクリックすると、マップ アイコンの凡例が表示されます。

次の表に、フロアマップアイコンの説明を示します。

表 1. マップアイコンと説明
フロアマップアイコン 説明

デバイス

アクセスポイント

センサー

不正 AP

マーカー

計画済み AP

スイッチ

干渉源

クライアント

不正なクライアント

AP の報告

検出 AP

正常性スコアの平均

正常性スコア:8 ~ 10

正常性スコア:4 ~ 7

正常性スコア:1 ~ 3

正常性スコア:不明

AP ステータス

センサーのカバー内

センサーのカバー外

ステップ 4

ペインの下部領域では、次のタスクを実行できます。

  • [Switch Port Detail] タブをクリックすると、ホスト Macデバイス名デバイス IPインターフェイス名最終更新日ポートモード管理ステータスなどの情報を含む不正なワイヤに関する詳細を取得できます。

    (注)  

     

    • [Admin Status] カラムには、インターフェイスのステータスが UP または DOWN として表示されます。

    • [Port Mode] 列には、インターフェイスモードが ACCESS または TRUNK として表示されます。

    (注)  

     

    シスコのスイッチは、有線ネットワーク上の不正の検出に必要です。

  • [Detections] タブをクリックすると、[Detecting AP]、[Detecting AP Site]、[Adhoc]、[Rogue SSID]、[RSSI (dBM)]、[Channels]、[Radio Type]、[SNR]、[State]、[Last Updated] などの情報が表示されます。

  • テーブルの左端にある [Filter]) アイコンをクリックして、[Rogue SSID] [RSSI][Radio Type]、[Security][SNR] に基づいて検索結果を絞り込むことができます。

  • [Export] アイコンをクリックして、システムに保存します。

  • [Clients] タブをクリックすると、不正 AP に関連付けられているクライアントに関する、[MAC Address]、[Gateway Mac]、[Rogue AP Mac]、[IP Address]、および [Last Heard] などの詳細情報が表示されます。

  • テーブルの左端にある [Filter]) アイコンをクリックして、検索条件に基づいて検索結果を絞り込むことができます。

脅威 360° ビューから aWIPS プロファイルのフォレンジックキャプチャをダウンロード

この手順では、脅威 360 ビューからさまざまなサービス妨害(DoS)攻撃のフォレンジックキャプチャをダウンロードする方法について説明します。


(注)  

Cisco DNA Center では、default-ap プロファイルでのみフォレンジックキャプチャが有効または無効になります。カスタム AP 参加プロファイルを作成したブラウンフィールド展開の場合は、フォレンジックキャプチャを有効または無効にする必要があります。

始める前に

アクセスポイントと Cisco DNA Center の間のネットワーク接続を確認する必要があります。

手順

ステップ 1

メニューアイコン()をクリックして、次を選択します。[Workflows] > [Rogue and aWIPS]

ステップ 2

[Rogue and aWIPS] ダッシュボードを下にスクロールして、[Threat] テーブルを表示します。

ステップ 3

[Threat MAC address] 列で、aWIPS 攻撃リンクをクリックします。

[Threat 360] ウィンドウが表示されます。

ステップ 4

[Forensic Capture] タブをクリックして、[Detecting AP]、[Alarm ID]、[Capture Filename]、[Last Updated] などの情報を表示します。

ステップ 5

[Capture Filename] 列で、pcap ファイルをクリックして aWIPS プロファイルのフォレンジックキャプチャをダウンロードします。

ステップ 6

[Download All] をクリックして、すべての pcap ファイルをダウンロードします。

ステップ 7

[Filter] アイコンをクリックして、[Detecting AP] に基づいて検索結果を絞り込みます。

ステップ 8

[Export] アイコンをクリックして、CSV ファイルをワークスペースに保存します。

(注)  

 

Cisco DNA Center では、一度に最大 50 のフォレンジックキャプチャが表示されます。