有線およびワイヤレスネットワークでの不正 AP の封じ込め

不正 AP の封じ込めの概要

Cisco DNA Center 不正 AP 封じ込め機能には、有線およびワイヤレスネットワーク上の不正 AP が含まれます。有線ネットワーク上の不正 AP 封じ込めの場合、Cisco DNA Center により、不正 AP が接続されている [ACCESS] モードのスイッチポート インターフェイスを [DOWN] 状態にします。ワイヤレスネットワーク上の不正 AP 封じ込めの場合、Cisco DNA Center は最も強力な検出ワイヤレスコントローラにワイヤレスネットワーク上の不正 BSSID の封じ込めを開始するように指示します。次に、ワイヤレスコントローラは、これらの BSSID の最強の検出 AP に、認証解除パケットをストリーミングして、不正 AP とその不正 AP のワイヤレスクライアント間の通信を中断するように指示します。

不正 AP 封じ込めはさらに次のように分類されます。

  • [Wired Rogue AP Containment]Cisco DNA Center 不正な脅威のダッシュボードで [Rogue on Wire] として分類された不正 AP の MAC アドレス。

  • [Wireless Rogue AP Containment]Cisco DNA Center 不正な脅威のダッシュボードで [Honeypot]、[Interferer]、または[Neighbor] として分類された不正 AP MAC アドレス。

不正 AP の封じ込めは、Cisco AireOS コントローラおよび Cisco Catalyst 9800 シリーズ ワイヤレス コントローラでサポートされています。


(注)  

封じ込めは、aWIPS 脅威ではサポートされていません。

有線ネットワーク上の不正 AP の封じ込め

有線ネットワーク上の不正 AP 封じ込め機能を使用すると、Cisco DNA Center では不正 AP が物理的に接続されているスイッチの ACCESS モードインターフェイスをシャットダウンできます。Cisco DNA Center では他のモードをシャットダウンするとネットワークがダウンする可能性があるため、ACCESS モードインターフェイスでのみ有線ネットワーク上の不正 AP 封じ込めを実行します。

不正 AP が非 ACCESS モードのインターフェイスに接続されている場合、ネットワーク管理者は手動で、または CLI コマンドを使用してインターフェイスを含める必要があります。

この手順では、Cisco DNA Center の [Rogue on Wire ] に分類された ACCESS モードインターフェイスで有線ネットワーク上の不正 AP の封じ込めを実行する方法について説明します。

始める前に

[Rogue and aWIPS] アプリケーションパッケージをダウンロードしてインストールします。詳細については、「Cisco DNA Center での不正および aWIPS アプリケーションパッケージのダウンロードとインストール」を参照します。

この手順を実行するには、プロビジョニング API、スケジューラ API、および不正側から書き込み権限があることを確認してください。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[Assurance] > [Rogue and aWIPS] > [Threats]

ステップ 2

[Threat MAC address] 列の [Rogue on Wire] に分類された不正 AP MAC アドレスをクリックします。

[Threat 360] ウィンドウが表示されます。

ステップ 3

[Action] ドロップダウンリストから、[Shutdown Switchport] を選択します。

警告ダイアログボックスに、対応するデバイスでシャットダウンする ACCESS モードインターフェイスのリストと、[Configuration Preview] が表示されます。

(注)  

 

[Shutdown Switchport] オプションは、不正 AP MAC アドレスが [Rogue on Wire] としてマークされている場合にのみ、[Action] ドロップダウンリストに表示されます。詳細については、Cisco 不正 AP 封じ込めアクションの互換性マトリックスを参照してください。

[Shutdown Switchport] アクションは元に戻せません。スイッチポートを手動で再起動する必要があります。

ステップ 4

[Configuration Preview] タブで設定を確認し、[Yes] をクリックします。

(注)  

 

[Configuration Preview] タブは、[Configuration Preview] が有効になっている場合にのみ表示されます。[Configuration Preview] を有効にする方法については、『Cisco DNA Center Administrator Guide』の「Enable Visibility and Control of Configurations」のトピックを参照してください。

ステップ 5

[Threat 360] ウィンドウには、次のように有線ネットワーク上の不正 AP 封じ込めステータスが表示されます。

  • 青色のチェックマークが付いたバナーは、無線ネットワーク上の不正 AP 封じ込め要求が進行中であることを示します。

  • 緑色のチェックマークが付いたバナーは、対応するインターフェイスで優先ネットワーク上の不正 AP 封じ込めが正常に開始されたことを示します。

  • 赤いチェックマークが付いたバナーは、有線ネットワーク上の不正 AP 封じ込め要求が失敗したことを示します。

(注)  

 

  • 封じ込めが開始されると、インターフェイスの状態が [Rogue on Wire] から別の脅威分類タイプに更新されるまでに時間がかかります。

  • [Rogue on Wire] 分類タイプは、同じ不正 AP の次の無線ネットワーク上の不正メッセージの到着時に別の分類タイプに変更されます。

不正 AP の MAC アドレスが [Rogue on Wire] に分類されているが、封じ込めを開始する ACCESS モードのインターフェイスがない場合、Cisco DNA Center により、[Action] ドロップダウンリストで [Shutdown Switchport] オプションが無効になります。

(注)  

 

対応する不正 AP が [Rogue on Wire] 分類タイプである場合を除き、[Wireless Rogue AP Containment] は開始できません。詳細については、無線ネットワーク上の不正 AP の封じ込めを参照してください。

無線ネットワーク上の不正 AP の封じ込め

ネットワーク上の不正 AP 封じ込め機能により、Cisco DNA Center は不正 AP に接続されたワイヤレスクライアントを封じ込めることができます。

封じ込めは、不正な AP に接続されているクライアント間の通信を妨害するため、一部の国では違法です。 Cisco DNA Center は、無線ネットワーク上の不正 AP 封じ込めを開始する際の法的影響について警告します。

この手順では、不正 AP に接続されているワイヤレスクライアントで無線ネットワーク上の不正 AP の封じ込めを開始および停止する方法について説明します

始める前に

[Rogue and aWIPS] アプリケーションパッケージをダウンロードしてインストールします。詳細については、Cisco DNA Center での不正管理および aWIPS アプリケーションパッケージのダウンロードとインストールを参照してください。

この手順を実行するには、プロビジョニング API とスケジューラ API からの書き込み権限があることを確認します。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。[Assurance] > [Rogue and aWIPS] > [Threats]

ステップ 2

ワイヤレスネットワーク上の不正 AP の封じ込めを実行するには、[Threat MAC address] 列の下に表示されている、[Honeypot]、[Interferer]、または [Neighbor] 分類タイプとしてマークされている不正 AP MAC アドレスをクリックします。

(注)  

 

Cisco Catalyst 9800 シリーズ ワイヤレス コントローラには、一度に 625 のみという不正な封じ込め設定の制限があります。制限に達すると、封じ込めはそれらのデバイスで検出された新しい不正に対して機能しなくなります。

[Threat 360] ウィンドウが表示されます。

(注)  

 

不正 AP MAC アドレスは、複数の不正 BSSID で構成されます。

ステップ 3

[Action] ドロップダウンリストから、[Start Containment] と [Configuration Preview] を選択します。

法的結果に関する情報、ワイヤレスコントローラに含まれる不正な BSSID のリスト、[Configuration Preview] が記載された警告ダイアログボックスが表示されます。

(注)  

 

不正 AP の MAC アドレスが [Honeypot]、[Interferer]、または [Neighbor] 分類タイプとしてマークされている場合にのみ、[Start Containment] オプションが、[Action] ドロップダウンリストに表示されます。詳細については、「Cisco Rogue AP Containment Actions Compatibility Matrix」を参照してください。

ステップ 4

デフォルトでは、[Rogue BSSID] リストが表示されます。

[Configuration Preview] タブで設定を確認し、[Yes] をクリックします。

(注)  

 

[Configuration Preview] タブは、[Configuration Preview] が有効になっている場合にのみ表示されます。[Configuration Preview] を有効にする方法については、『Cisco DNA Center Administrator Guide』の「Enable Visibility and Control of Configurations」のトピックを参照してください。

ステップ 5

[Threat 360] ウィンドウには、次のように有線ネットワーク上の不正 AP 封じ込めステータスが表示されます。

  • 青色のチェックマークが付いたバナーは、無線ネットワーク上の不正 AP 封じ込め要求が進行中であることを示します。

  • 緑のチェックマークが付いたバナーは、無線ネットワーク上の不正 AP 封じ込め要求が最も強力な検出 AP に正常に送信されたことを示します。RSSI 値に基づいて最も強力な検出 AP の横に赤い縦線が表示されます。

  • 赤色のチェックマークが付いたバナーは、無線ネットワーク上の不正 AP 封じ込め要求が失敗したことを示します。

(注)  

 

封じ込めが開始されると、[Containment Status] 列が別のワイヤレス封じ込めステータスで更新されるまでに時間がかかります。

[Threat 360] ウィンドウで、[Containment] 列の横にある [i] アイコンにカーソルを合わせます。「This always shows current Wireless Containment Status」という説明のツールチップが表示されます。

ステップ 6

Cisco DNA Center では、アシュアランス 内の [Rogue and aWIPS] ダッシュボードの脅威テーブルで、ワイヤレス不正 AP の [Containment Status] をモニタリングできます。

次の可能な値を表示するには、[Containment Status] 列の横にある [i] アイコンにカーソルをホバーします。

表 1. ワイヤレス封じ込めステータス可能な値

ワイヤレス封じ込めステータス

意味

Contained

ワイヤレスコントローラによってアクティブに封じ込められている不正 AP

Pending

ワイヤレスコントローラではこの不正は封じ込め保留状態に保持されています。

Open

不正APは封じ込めらていません。

Partial

不正 BSSID の一部は [Open] の状態で、残りの部分は、[Contained] または [Containment Pending] の状態になっています。

(注)  

 

ワイヤレス封じ込めステータスが [Partial] の不正 AP の場合、[Threat 360] ウィンドウの [Containment] 列の [Partial] 状態の横に [i] アイコンが表示されます。カーソルを [i] アイコンにホバーすると、不正 SSID の現在のワイヤレス封じ込めステータスが表示されます。

ワイヤレスコントローラは、次の理由により、ワイヤレスネットワーク上の不正 AP 封じ込めを [Pending] の状態に保つことができます。

  • [Resource outage]:不正な BSSID 封じ込め要求が送信されると、ワイヤレスコントローラは、不正な BSSID 封じ込めを [Containment] または [Containment Pending] のいずれかの状態にします。これは、クライアントがサービスを提供する無線の無線制限が 3 つの不正 BSSID、モニターモードの無線制限が 6 つの不正 BSSID であるためです。無線が指定された制限を超えると、封じ込めのために次に送信された不正な BSSID は、いずれかの不正な BSSID が [Contained] の状態から外れるまで、ワイヤレスコントローラによって [Pending] の状態になります。

  • [Protected Management Frames (PMF)]:ワイヤレスコントローラは、保護された管理フレーム(PMF)が不正 BSSID で有効であり、封じ込めステータスを [Pending] の状態に維持している限り、封じ込めを開始しません。PMF が無効になると、ワイヤレスコントローラが封じ込めを開始します。

  • [Dynamic Frequency Selection (DFS)]:ワイヤレスコントローラは封じ込めステータスを [Pending] の状態に維持し、動的周波数選択(DFS)チャネルでブロードキャストする場合、不正な BSSID を封じ込めようとしません。不正な BSSID が DFS チャネルから移動した後、ワイヤレスコントローラは封じ込めを開始します。

ステップ 7

[Contained]、[Pending]、または [Partial] の状態としてマークされた無線ネットワーク上の不正 AP のすべての不正 BSSID を [Open] の状態に戻すには、[Threat MAC address] 列の下にリストされている対象の不正 AP MAC アドレスをクリックします。

[Threat 360] ウィンドウが表示されます。

ステップ 8

[Action] ドロップダウンをクリックし、[Stop Containment] を選択します。

(注)  

 

[Stop Containment] オプションは、ワイヤレスネットワーク上の不正 AP が [Contained]、[Pending]、または [Partial] の状態の場合にのみ、[Action] ドロップダウンリストに表示されます。詳細については、Cisco 不正 AP 封じ込めアクションの互換性マトリックスを参照してください。

  • [Threat 360] ウィンドウに青色のチェックマークがバナーとして表示され、ワイヤレスネットワーク上の不正 AP で [Stop Containment] プロセスが進行中であることが示されます。

  • [Threat 360] ウィンドウに緑色のチェックマークがバナーとして表示され、ワイヤレスネットワーク上の不正 AP で [Stop Containment] プロセスが進行中であることが示されます。

Cisco 不正 AP 封じ込めアクションの互換性マトリックス

次の表は、[Threat 360] ウィンドウでの不正 AP の現在の状態に対する不正 AP 封じ込めアクションの動作を示しています。

表 2. 不正 AP 封じ込めアクションの互換性マトリックス

不正 AP 脅威タイプ

不正 AP の現在の封じ込め状態

[Actions] ドロップダウンリストの [Start Containment] オプション

[Actions] ドロップダウンリストの [Stop Containment] オプション

ビーコン不正チャネル

開く

無効

無効

包含/保留中/部分

無効

有効

ビーコン DS 攻撃

開く

無効

無効

包含/保留中/部分

無効

有効

AP 偽装

開く

無効

無効

包含/保留中/部分

無効

有効

有線ネットワーク上の不正

開く/包含/保留中/部分

非表示

スイッチポートのシャットダウンが表示されています

非表示

スイッチポートのシャットダウンが表示されています

許可リスト

開く

無効

無効

包含/保留中/部分

無効

有効

ハニーポット

開く

イネーブル

ディセーブル

包含/保留中/部分

無効

有効

干渉源

 開く

イネーブル

ディセーブル

包含/保留中/部分

無効

有効

危険性のない

 開く

無効

無効

包含/保留中/部分

無効

有効

ネイバー

 開く

イネーブル

ディセーブル

包含/保留中/部分

無効

有効

カスタムルール(高、潜在的)

開く

イネーブル

ディセーブル

包含/保留中/部分

無効

有効

カスタムルール(情報)

開く

無効

無効

包含/保留中/部分

無効

有効

不正 AP の封じ込めタイプのタスクと監査ログの表示

封じ込めに失敗した場合は、Cisco DNA Center では送信された有線および無線ネットワーク上の不正 AP 封じ込め要求のタスクと監査ログを表示できます。

手順

ステップ 1

左上隅にあるメニューアイコンをクリックして次を選択します。アクティビティ

ステップ 2

[Activity] ウィンドウで、[Tasks] タブをクリックします。

ステップ 3

[Search] フィールドに ROGUE と入力するか、リストから [ROGUE] を選択します。

有線およびワイヤレスの不正 AP 封じ込めに関連する送信済み要求のリストが表示されます。

ステップ 4

対応する封じ込め要求をクリックします。

[ROGUE] ウィンドウが表示され、不正 AP 封じ込め操作の詳細、ステータス、日時が表示されます。

ステップ 5

[Audit Logs] タブをクリックして、不正 AP 封じ込めタイプと対応するデバイス IP アドレスを表示します。

(注)  

 

  • Cisco AireOS の場合、封じ込め要求の監査ログには CLI コマンドが表示されます。

  • Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ の場合、封じ込め要求の監査ログには NETCONF 要求が表示されます。

  • 有線ネットワーク上の不正 AP 封じ込めの場合、監査ログには、スイッチポートをダウンさせるためにスイッチで実行された CLI コマンドが表示されます。