不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。
次に、不正なデバイスの管理に関する注意事項を示します。
-
許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。
-
最も多くの不正アクセス ポイント数が疑われる高密度な RF 環境では、ローカル モードのアクセス ポイントによってチャネル 157 またはチャネル 161 で不正なアクセス ポイントが検出される可能性は、他のチャネルの場合に比べて低くなります。この問題を緩和するために、専用の監視モードのアクセス ポイントを使用することをお勧めします。
-
ローカル モード アクセス ポイントは、関連付けられたクライアントに対応するように設計されています。これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。高度な不正検出を実行するには、監視モードのアクセス ポイントを使用する必要があります。あるいは、スキャン間隔を 180 秒から 120 または 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。ただしこの場合も、アクセス ポイントが各チャネルに費やす時間は約 50 ミリ秒です。
-
家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。
-
クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
-
不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。
-
各コントローラは、不正アクセス ポイントの封じ込めを無線チャンネルごとに 3 台(監視モード アクセス ポイントの場合、無線チャネルごとに 6 台)に制限します。
-
Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。
-
RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。
-
RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
-
RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルの監視モードである場合には機能します。
-
メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラから解除されます。回避策は、メッシュ AP で RLDP を無効にすることです。
-
RLDP が監視モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。
-
不正を手動で阻止すると、不正なエントリは期限切れになった後でも保持されます。
-
不正を自動、ルール、AwIPS などの他の防御方法で阻止すると、不正なエントリは期限切れになると削除されます。
-
コントローラは、不正なクライアントの検証を AAA サーバに一度だけ要求します。その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。
-
7.4 以前のリリースでは、ルールによってすでに分類された不正は再分類されませんでした。7.5 リリースでは、不正ルールの優先順位に基づいて不正を再分類できるようにこの動作が強化されました。優先順位は、コントローラが受信する不正レポートを使用して決定されます。
-
WLAN、LAN、11a 無線および 11bg 無線の不正な AP の MAC アドレスは、不正 BSSID の +/- 1 の差異で設定されているので、不正検出 AP は、5Mhz チャネルの不正な有線 AP の関連付けおよび阻止に失敗します。8.0 リリースでは、MAC アドレスの範囲を広げることによって、この動作が強化されました。不正検出 AP は有線 ARP MAC と不正 BSSID を +/- 3 の差異で関連付けます。
-
オープン認証を使用する不正アクセス ポイントはネットワーク上で検出できます。NAT 有線または不正有線検出は、WLC(RLDP と不正検出 AP の両方)ではサポートされません。非隣接 MAC アドレスは、RLDP ではなく AP の不正検出モードでサポートされます。
-
ハイ アベイラビリティのシナリオでは、不正検出セキュリティ レベルを高か重要に設定すると、スタンバイ Cisco WLC の不正タイマーは、不正検出保留の安定時間の 300 秒が過ぎないと開始しません。したがって、スタンバイ Cisco WLC のアクティブ設定が反映されるのは、300 秒が過ぎてからです。
(注) |
不正 AP、不正クライアント、または一時的な封じ込めの設定は、リロード時に破棄されます。リロード後にすべての不正を再設定する必要があります。
|
(注) |
不正クライアントのトラップを制御するための独立したコマンドはありません。ただし、不正クライアントのトラップは、不正 AP でも使用する config trapflags rogueap {enable | disable} コマンドで有効、無効を切り替えることができます。GUI 設定でも、[Management] -> [SNMP] -> [TrapControl] -> [Security] -> [Rogue AP] で AP フラグを使用して、不正クライアントを制御してください。
|
Rogue Location Discovery Protocol
Rogue Location Discovery Protocol(RLDP)は、不正 AP で認証が設定されていない(オープン認証)場合に使用される積極的なアプローチです。このモードは、デフォルトで無効になっており、不正チャネルに移動して、クライアントとして不正に接続するようにアクティブ AP に指示します。この間に、アクティブ AP は、接続されたすべてのクライアントに認証解除メッセージを送信してから、無線インターフェイスをシャットダウンします。次に、クライアントとして不正 AP にアソシエートします。その後で、AP は、不正 AP から IP アドレスの取得を試み、ローカル AP と不正接続情報を含む User Datagram Protocol(UDP)パケット(ポート 6352)を不正 AP を介してコントローラに転送します。コントローラがこのパケットを受信すると、不正 AP が RLDP 機能を使用して有線ネットワークで検出されたことをネットワーク管理者に通知するためのアラームが設定されます。
RLDP の不正 AP の検出精度は 100% です。オープン AP と NAT AP を検出します。
(注) |
Lightweight AP が不正 AP とアソシエートして DHCP アドレスを受信するかどうかを確認するには、debug dot11 rldp enable コマンドを使用します。このコマンドは、Lightweight AP からコントローラに送信された UDP パケットも表示します。
|
ここで、Lightweight AP から送信される UDP (宛先ポート 6352)パケットのサンプルを示します。0020 0a 01 01 0d 0a 01 .......(.*......0030 01 1e 00 07 85 92 78 01 00 00 00 00 00 00 00 00 ......x.........0040 00 00 00 00 00 00 00 00 00 00
最初の 5 バイトのデータには、不正 AP によってローカル モード AP に割り当てられた DHCP アドレスが含まれています。次の 5 バイトはコントローラの IP アドレスで、その後に不正 AP MAC アドレスを表す 6 バイトが続きます。その後に、18 バイトの 0 が続きます。
ここで、RLDP の動作手順を示します。
-
信号強度値を使用して不正に最も近い統合 AP を特定します。
-
その後で、この AP が WLAN クライアントとして不正に接続します。3 回のアソシエーションを試みて、成功しない場合はタイムアウトします。
-
アソシエーションが成功すると、AP が DHCP を使用して IP アドレスを取得します。
-
IP アドレスが取得されたら、AP(WLAN クライアントとして機能している)は、コントローラの IP アドレスのそれぞれに UDP パケットを送信します。
-
コントローラがクライアントから RLDP パケットの 1 つでも受信すると、その不正が重大度が critical の on-wire としてマークされます。
(注) |
コントローラのネットワークと不正デバイスが設置されたネットワークの間にフィルタリング ルールが設定されている場合は、RLDP パケットがコントローラに到達できません。
|
RLDP の注意事項:
-
RLDP は、認証と暗号化が無効になっている SSID をブロードキャストするオープン不正 AP でのみ動作します。
-
RLDP では、クライアントとして機能しているマネージド AP が不正ネットワーク上で DHCP を介して IP アドレスを取得できる必要があります。
-
手動 RLDP を使用して、不正上で RLDP トレースを複数回試すことができます。
-
RLDP プロセス中は、AP がクライアントにサービスを提供できません。これがローカル モード AP のパフォーマンスと接続に悪影響を及ぼします。この問題を回避するために、RLDP はモニタ モード AP に対してのみ選択的に有効にできます。
-
RLDP は、5GHz DFS チャネルで動作する不正 AP への接続は試行しません。
(注) |
RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。自動 RLDP 試行で不正(ノイズの多い RF 環境などが原因)が検出されなかった場合は、コントローラが再試行しません。ただし、不正デバイス上で RLDP を手動で開始できます。
|
不正なデバイスの検出
コントローラは、近くにあるすべてのアクセス ポイントを継続的に監視し、不正なアクセス ポイントとクライアントに関する情報を自動的に検出および収集します。コントローラは不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正がネットワークに接続されているかどうかを特定します。
コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。不正なアクセス ポイントが検出された時点で(自動設定)、RLDP のプロセスが開始されます。
すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。
RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。再試行は config rogue ap rldp retries コマンドで設定できます。
3 種類の方法でコントローラから RLDP を開始またはトリガーできます。
-
コントローラの CLI から RLDP をスケジュールします。RLDP をスケジュールするための同等の GUI オプションはサポートされていません。
config rogue ap rldp schedule
-
コントローラの CLI から RLDP 開始コマンドを手動で入力します。RLDP を開始するための同等の GUI オプションはサポートされていません。
config rogue ap rldp initiate mac-address
-
コントローラの CLI から RLDP をスケジュールします。RLDP をスケジュールするための同等の GUI オプションはサポートされていません。
config rogue ap rldp schedule
-
自動 RLDP。コントローラの CLI または GUI から自動 RLDP を設定できますが、次の注意事項を考慮してください。
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。阻止動作は次の 2 つの方法で開始されます。
個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。
Cisco Prime Infrastructure のインタラクションと不正検出
Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。
-
不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。不正の状態が Internal または External であると、トラップは送信されません。
-
タイムアウトの経過後に不正なエントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。