- はじめに
- コマンドライン インターフェイスの使用
- Web グラフィカル ユーザ インターフェイスの使用
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- TACACS+ の設定
- RADIUS の設定
- Kerberos の設定
- ローカル認証および許可の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- IPv6 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベース認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- IPv6 ファースト ホップ セキュリティの設定
- Cisco TrustSec の設定
- ワイヤレス ゲスト アクセスの設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- wIPS の設定
- 侵入検知システムの設定
セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月25日
章のタイトル: 不正なデバイスの管理
目次
- 不正なデバイスの管理
- 機能情報の確認
- 不正なデバイスについて
- 不正検出の設定方法
- 不正検出の設定(CLI)
- 不正検出の設定(GUI)
- 不正検出のモニタリング
- 例:不正検出の設定
- Additional References for Rogue Detection
- 不正検出設定の機能履歴と情報
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
不正なデバイスについて
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。 アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。
-
許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。 強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。
-
は、関連付けられたクライアントに対応するように設計されています。 これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。 高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。 あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。 ただしこの場合も、アクセス ポイントが各チャネルに費やす時間は約 50 ミリ秒です。
-
家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。
-
クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
-
不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。
-
各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(監視モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。
-
Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。
-
RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。
-
RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。 ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
-
RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルの監視モードである場合には機能します。
-
メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラから解除されます。 回避策は、メッシュ AP で RLDP を無効にすることです。
-
RLDP が監視モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。
-
不正を手動で阻止すると、不正なエントリは期限切れになった後でも保持されます。
-
不正を自動、ルール、AwIPS などの他の防御方法で阻止すると、不正なエントリは期限切れになると削除されます。
-
コントローラは、不正なクライアントの検証を AAA サーバに一度だけ要求します。 その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。 これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。
-
7.4 以前のリリースでは、ルールによってすでに分類された不正は再分類されませんでした。 7.5 リリースでは、不正ルールの優先順位に基づいて不正を再分類できるようにこの動作が強化されました。 優先順位は、コントローラが受信する不正レポートを使用して決定されます。
- WLAN、LAN、11a 無線および 11bg 無線の不正な AP の MAC アドレスは、不正 BSSID の +/- 1 の差異で設定されているので、不正検出 AP は、5Mhz チャネルの不正な有線 AP の関連付けおよび阻止に失敗します。 8.0 リリースでは、MAC アドレスの範囲を広げることによって、この動作が強化されました。不正検出 AP は有線 ARP MAC と不正 BSSID を +/- 3 の差異で関連付けます。
不正なデバイスの検出
コントローラは、近くにあるすべてのアクセス ポイントを継続的に監視し、不正なアクセス ポイントとクライアントに関する情報を自動的に検出および収集します。 コントローラは不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正がネットワークに接続されているかどうかを特定します。
コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。 RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。 RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。 不正なアクセス ポイントが検出された時点で(自動設定)、RLDP のプロセスが開始されます。
すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。 後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。 ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。
RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。 再試行は config rogue ap rldp retries コマンドを使用して設定できます。
Cisco Prime Infrastructure のインタラクションと不正検出
Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。 コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。
-
不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。 不正の状態が Internal または External であると、トラップは送信されません。
-
タイムアウトの経過後に不正なエントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。 コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。
不正検出の設定(CLI)
1. configure terminal
2. wireless wps rogue detection min-rssi rssi in dBm
3. wireless wps rogue detection min-transient-time time in seconds
4. end
手順の詳細
不正検出の設定(GUI)
| ステップ 1 | 該当するアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただし、 を選択して [Edit AP] ページを開き、このページの [General] エリアの [Rogue Detector] チェックボックスを選択または選択解除して、個別のアクセス ポイントの不正検出をイネーブルまたはディセーブルにすることができます。 | ||
| ステップ 2 |
[ を選択します。 [Rogue Policies] ページが表示されます。 |
||
| ステップ 3 | [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。 | ||
| ステップ 4 |
[Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。
|
||
| ステップ 5 | AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証するには、 [Validate Rogue Clients Against AAA] チェックボックスをオンにします。 デフォルトでは、チェックボックスはオフになっています。 | ||
| ステップ 6 | 必要に応じて、アドホックの不正検出およびレポートを有効にするには、[Detect and report Adhoc networks] チェックボックスを選択します。 デフォルトでは、チェックボックスはオンになっています。 | ||
| ステップ 7 | [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。 | ||
| ステップ 8 |
コントローラに自動的に特定の不正デバイスを阻止させる場合は、次のパラメータを有効にします。 デフォルトでは、これらのパラメータは無効の状態です。
|
||
| ステップ 9 | [Apply] をクリックします。 | ||
| ステップ 10 | [Save Configuration] をクリックします。 |
不正検出のモニタリング
この項では、不正検出の新しいコマンドについて説明します。
コマンド |
目的 |
| show wireless wps rogue ap summary | スイッチによって検出されたすべての不正アクセス ポイントのリストを表示します。 |
| show wireless wps rogue client detailed client-mac | 特定の不正クライアントの詳細情報を表示します。 |
例:不正検出の設定
Switch# configure terminal Switch(config)# wireless wps rogue detection min-rssi -100 Switch(config)# end Switch# show wireless wps rogue client detailed/show wireless wps rogue ap summary
Switch# configure terminal Switch(config)# wireless wps rogue detection min-transient-time 500 Switch(config)# end Switch# show wireless wps rogue client detailed/show wireless wps rogue ap summary
Additional References for Rogue Detection
Related Documents
| Related Topic | Document Title |
|---|---|
| Security commands | Security Command Reference Guide, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series) |
Standards and RFCs
| Standard/RFC | Title |
|---|---|
| None | — |
MIBs
| MIB | MIBs Link |
|---|---|
| All supported MIBs for this release. | To locate and download MIBs for selected platforms, Cisco IOS releases, and feature sets, use Cisco MIB Locator found at the following URL: |
Technical Assistance
| Description | Link |
|---|---|
| The Cisco Support website provides extensive online resources, including documentation and tools for troubleshooting and resolving technical issues with Cisco products and technologies. To receive security and technical information about your products, you can subscribe to various services, such as the Product Alert Tool (accessed from Field Notices), the Cisco Technical Services Newsletter, and Really Simple Syndication (RSS) Feeds. Access to most tools on the Cisco Support website requires a Cisco.com user ID and password. |
不正検出設定の機能履歴と情報
| リリース | 機能情報 |
|---|---|
| Cisco IOS XE 3.3SE | この機能が導入されました。 |
目次
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
不正なデバイスについて
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。 アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。
次に、不正なデバイスの管理に関する注意事項を示します。
-
許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。 強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。
-
は、関連付けられたクライアントに対応するように設計されています。 これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。 高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。 あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。 ただしこの場合も、アクセス ポイントが各チャネルに費やす時間は約 50 ミリ秒です。
-
家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。
-
クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
-
不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。
-
各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(監視モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。
-
Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。
-
RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。
-
RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。 ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
-
RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルの監視モードである場合には機能します。
-
メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラから解除されます。 回避策は、メッシュ AP で RLDP を無効にすることです。
-
RLDP が監視モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。
-
不正を手動で阻止すると、不正なエントリは期限切れになった後でも保持されます。
-
不正を自動、ルール、AwIPS などの他の防御方法で阻止すると、不正なエントリは期限切れになると削除されます。
-
コントローラは、不正なクライアントの検証を AAA サーバに一度だけ要求します。 その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。 これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。
-
7.4 以前のリリースでは、ルールによってすでに分類された不正は再分類されませんでした。 7.5 リリースでは、不正ルールの優先順位に基づいて不正を再分類できるようにこの動作が強化されました。 優先順位は、コントローラが受信する不正レポートを使用して決定されます。
- WLAN、LAN、11a 無線および 11bg 無線の不正な AP の MAC アドレスは、不正 BSSID の +/- 1 の差異で設定されているので、不正検出 AP は、5Mhz チャネルの不正な有線 AP の関連付けおよび阻止に失敗します。 8.0 リリースでは、MAC アドレスの範囲を広げることによって、この動作が強化されました。不正検出 AP は有線 ARP MAC と不正 BSSID を +/- 3 の差異で関連付けます。
不正なデバイスの検出
コントローラは、近くにあるすべてのアクセス ポイントを継続的に監視し、不正なアクセス ポイントとクライアントに関する情報を自動的に検出および収集します。 コントローラは不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正がネットワークに接続されているかどうかを特定します。
コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。 RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。 RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。 不正なアクセス ポイントが検出された時点で(自動設定)、RLDP のプロセスが開始されます。
すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。 後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。 ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。
RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。 再試行は config rogue ap rldp retries コマンドを使用して設定できます。
3 種類の方法でコントローラから RLDP を開始またはトリガーできます。
Cisco Prime Infrastructure のインタラクションと不正検出
Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。 コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。
-
不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。 不正の状態が Internal または External であると、トラップは送信されません。
-
タイムアウトの経過後に不正なエントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。 コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。
不正検出の設定(CLI)
手順の概要
手順の詳細
1. configure terminal
2. wireless wps rogue detection min-rssi rssi in dBm
3. wireless wps rogue detection min-transient-time time in seconds
4. end
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | configure terminal 例: Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
| ステップ 2 | wireless wps rogue detection min-rssi rssi in dBm 例: Switch(config)# wireless wps rogue detection min-rssi 100 |
不正に必要な最小 RSSI 値を指定します。これは、AP が不正を検出し、switchで不正エントリが作成されるために必要な値です。 rssi in dBm パラメータの有効範囲は –128 ~ –70 dBm で、デフォルト値は –128 dBm です。
|
||
| ステップ 3 | wireless wps rogue detection min-transient-time time in seconds 例: Switch(config)# wireless wps rogue detection min-transient-time |
不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。 time in sec パラメータの有効範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。 |
||
| ステップ 4 | end 例: Switch(config)# end |
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
不正検出の設定(GUI)
| ステップ 1 | 該当するアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただし、 を選択して [Edit AP] ページを開き、このページの [General] エリアの [Rogue Detector] チェックボックスを選択または選択解除して、個別のアクセス ポイントの不正検出をイネーブルまたはディセーブルにすることができます。 | ||
| ステップ 2 |
[ を選択します。 [Rogue Policies] ページが表示されます。 |
||
| ステップ 3 | [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。 | ||
| ステップ 4 | [Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。 | ||
| ステップ 5 | AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証するには、 [Validate Rogue Clients Against AAA] チェックボックスをオンにします。 デフォルトでは、チェックボックスはオフになっています。 | ||
| ステップ 6 | 必要に応じて、アドホックの不正検出およびレポートを有効にするには、[Detect and report Adhoc networks] チェックボックスを選択します。 デフォルトでは、チェックボックスはオンになっています。 | ||
| ステップ 7 | [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。 | ||
| ステップ 8 |
コントローラに自動的に特定の不正デバイスを阻止させる場合は、次のパラメータを有効にします。 デフォルトでは、これらのパラメータは無効の状態です。
|
||
| ステップ 9 | [Apply] をクリックします。 | ||
| ステップ 10 | [Save Configuration] をクリックします。 |
例:不正検出の設定
この例は、検出された不正 AP が存在する必要がある最小 RSSI を、
スイッチで作成されたエントリを持つように設定する方法を示しています。
Switch# configure terminal Switch(config)# wireless wps rogue detection min-rssi -100 Switch(config)# end Switch# show wireless wps rogue client detailed/show wireless wps rogue ap summary
次に、分類インターバルを設定する例を示します。
Switch# configure terminal Switch(config)# wireless wps rogue detection min-transient-time 500 Switch(config)# end Switch# show wireless wps rogue client detailed/show wireless wps rogue ap summary
Additional References for Rogue Detection
MIBs
Technical Assistance
| Description | Link |
|---|---|
| The Cisco Support website provides extensive online resources, including documentation and tools for troubleshooting and resolving technical issues with Cisco products and technologies. To receive security and technical information about your products, you can subscribe to various services, such as the Product Alert Tool (accessed from Field Notices), the Cisco Technical Services Newsletter, and Really Simple Syndication (RSS) Feeds. Access to most tools on the Cisco Support website requires a Cisco.com user ID and password. |
フィードバック