コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。
デフォルトでは、いずれの分類ルールも有効になっていません。したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。ルールを変更するたびに、Alert
状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。
不正またはアドホック不正を手動で未分類および Alert 状態に移動すると、その不正はデフォルト状態に移動されることになります。不正ルールは、未分類および Alert 状態に手動で移動されたすべての不正に適用されます。
(注) |
ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。
|
(注) |
1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。
|
コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。
-
コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。
-
未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。
-
不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。不正なアクセス ポイントがそれ以外に分類されており、Alert
状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。
-
コントローラは、優先度の一番高いルールを適用します。不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。
-
不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。
-
コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。
-
不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。その後、不正なアクセス
ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が
Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。
-
必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。
表 1. 分類マッピング
Friendly |
-
Internal:不明なアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。たとえば、ラボ ネットワーク内のアクセス ポイントなどです。
-
External:不明なアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。
-
Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
|
Malicious |
-
Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
-
Threat:未知(管理対象外)のアクセス ポイントがネットワーク上に発見され、WLAN のセキュリティに脅威を与えています。
-
Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。
-
Contained Pending:不明なアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。
|
未分類 |
-
Pending:最初の検出で、不明なアクセス ポイントは 3 分間 Pending 状態に置かれます。この間に、管理対象のアクセス ポイントでは、不明なアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。
-
Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
-
Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。
-
Contained Pending:不明なアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。
|
分類および不正アクセス ポイントのステータスは以下のように設定されています。
-
Known から Friendly、Internal
-
Acknowledged から Friendly、External
-
Contained から Malicious、Contained
前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。
表 2. 設定可能な分類タイプ/不正の状態の推移
Friendly(Internal、External、Alert) |
Malicious(Alert) |
Friendly(Internal、External、Alert) |
Unclassified(Alert) |
Friendly(Alert) |
Friendly(Internal、External) |
Malicious(Alert、Threat) |
Friendly(Internal、External) |
Malicious(Contained、Contained Pending) |
Malicious(Alert) |
Unclassified(Alert、Threat) |
Friendly(Internal、External) |
Unclassified(Contained、Contained Pending) |
Unclassified(Alert) |
Unclassified(Alert) |
Malicious(Alert) |
不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス
ポイントを削除して、コントローラで分類し直せるようにする必要があります。