統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS XE 3.3SE(Catalyst 3850 スイッチ)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS XE 3.3SE(Catalyst 3850 スイッチ)

Chapter Title

不正なアクセス ポイントの分類

検索結果

Updated:
2017年9月19日

章のタイトル: 不正なアクセス ポイントの分類

不正なアクセス ポイントの分類

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。Cisco.com のアカウントは必要ありません。

不正なアクセス ポイントの分類について

コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。

デフォルトでは、いずれの分類ルールも有効になっていません。したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。

不正またはアドホック不正を手動で未分類および Alert 状態に移動すると、その不正はデフォルト状態に移動されることになります。不正ルールは、未分類および Alert 状態に手動で移動されたすべての不正に適用されます。


(注)  

ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。


(注)  

1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。

コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。

  1. コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。

  2. 未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。

  3. 不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。不正なアクセス ポイントがそれ以外に分類されており、Alert 状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。

  4. コントローラは、優先度の一番高いルールを適用します。不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。

  5. 不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。

  6. コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。

  7. 不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。その後、不正なアクセス ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。

  8. 必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。

表 1 分類マッピング

ルール ベースの分類タイプ

不正の状態
Friendly

  • Internal:不明なアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。たとえば、ラボ ネットワーク内のアクセス ポイントなどです。

  • External:不明なアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。
Malicious

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Threat:未知(管理対象外)のアクセス ポイントがネットワーク上に発見され、WLAN のセキュリティに脅威を与えています。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

  • Contained Pending:不明なアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。
未分類

  • Pending:最初の検出で、不明なアクセス ポイントは 3 分間 Pending 状態に置かれます。この間に、管理対象のアクセス ポイントでは、不明なアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

  • Contained Pending:不明なアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。
分類および不正アクセス ポイントのステータスは以下のように設定されています。

  • Known から Friendly、Internal

  • Acknowledged から Friendly、External

  • Contained から Malicious、Contained

前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。

表 2 設定可能な分類タイプ/不正の状態の推移

遷移元

目的
Friendly(Internal、External、Alert) Malicious(Alert)
Friendly(Internal、External、Alert) Unclassified(Alert)
Friendly(Alert) Friendly(Internal、External)
Malicious(Alert、Threat) Friendly(Internal、External)
Malicious(Contained、Contained Pending) Malicious(Alert)
Unclassified(Alert、Threat) Friendly(Internal、External)
Unclassified(Contained、Contained Pending) Unclassified(Alert)
Unclassified(Alert) Malicious(Alert)

不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

不正なアクセス ポイントの分類の制限

この機能には、次のルールが適用されます。

  • カスタム タイプの不正の分類は、不正ルールに関連付けられています。このため、不正を手動で Custom として分類することはできません。カスタム クラスの変更は不正ルールを使用する場合にのみ行えます。

  • 不正分類の変更に対して、ルールによって 30 分ごとに阻止用のトラップが送信されます。カスタム分類の場合、最初のトラップはカスタム分類よりも前に存在していたため、そのトラップに重大度スコアは含まれません。不正が分類されると、30 分後に生成される後続のトラップから重大度スコアが取得されます。

  • 不正ルールは、優先順位に従って、コントローラ内の新しい着信不正レポートごとに適用されます。

  • 不正がより高い優先度ルールを満たし、分類されると、同じレポートの優先順位リスト内で下位に下がることはありません。

  • 以前に分類された不正は、次の制限に従って、新しい不正レポートが作成されるたびに、再分類されます。

    • ルールによって Friendly に分類され、状態が ALERT に設定されている不正は、新しい不正レポートを受け取ると再分類が開始されます。

    • 不正が管理者によって Friendly に手動で分類されると、状態は INTERNAL になり、次に続く不正レポートで再分類されません。

    • 不正が Malicious に分類されると、その状態に関係なく、後続の不正レポートで再分類されません。

  • 一部の属性が新しい不正レポートで欠落している場合、複数の不正ルールによって、Friendly から Malicious に不正の状態が遷移する可能性があります。

  • どの不正ルールによっても、Malicious から他の分類に不正の状態が遷移することはありません。

  • 不正 AP が Friendly に分類される場合、その不正 AP は近くに存在し、既知の AP であり、追跡する必要はないことを意味します。したがって、すべての不正 AP は Friendly な不正 AP に関連付けられている場合、削除されるか追跡されません。

  • サービス セット識別子(SSID)が不正ルールの一部として定義され、show wireless wps rogue rule detailedshow wireless wps rogue rule detailed コマンドを使用して不正ルールの詳細が表示されている場合、Cisco IOS XE リリース 3.7E 以前のリリースと Cisco IOS XE Denali 16.1.1 以降のリリースでは出力が異なります。

    次に、Cisco IOS XE リリース 3.6E 以前のリリースで show wireless wps rogue rule detailed コマンドを実行した場合の出力例を示します。
    Switch# show wireless wps rogue rule detailed test

Priority                                    : 1
Rule Name                                   : wpstest
State                                       : Disabled
Type                                        : Pending
Match Operation                             : Any
Hit Count                                   : 0
Total Conditions                            : 1
Condition :
  type                                      : Ssid
  SSID Count                                : 2 
  SSID 1                                    : ssid1
  SSID 2                                    : ssid2
    次に、Cisco IOS XE Denali 16.1.1 以降のリリースで show wireless wps rogue rule detailed コマンドを実行した場合の出力例を示します。
    Switch# show wireless wps rogue rule detailed test

Priority                                    : 1
Rule Name                                   : wpstest
State                                       : Disabled
Type                                        : Pending
Match Operation                             : Any
Hit Count                                   : 0
Total Conditions                            : 1
Condition :
  type                                      : Ssid
  SSID Count                                : 2 
  SSID                                      : ssid1
  SSID                                      : ssid2

不正なアクセス ポイントの分類方法

不正分類ルールの設定(CLI)

手順

     コマンドまたはアクション目的
    ステップ 1configure terminal


    例: 
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2wireless wps rogue rule rule-namepriority priority


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)#
     

    ルールを作成またはイネーブルにします。ルールを作成する場合、ルールのプライオリティを入力する必要があります。

    (注)      ルールを作成した後、ルールを編集する場合、ディセーブルになった不正ルールに対してのみプライオリティを変更できます。有効にされた不正ルールのプライオリティは変更できません。編集時の不正ルールのプライオリティ変更は任意です。
     
    ステップ 3classify {friendly | malicious}


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# classify friendly
     

    ルールを分類します。

     
    ステップ 4 condition {client-count|duration|encryption|infrastructure|rssi|ssid}


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# condition client-count 5
     
    不正アクセス ポイントが満たす必要のあるルールに以下の条件を追加することを指定します。

    • client-count:不正アクセス ポイントに最小数のクライアントがアソシエートされている必要があります。たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、condition_value パラメータに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

    • duration:不正アクセス ポイントが最小期間で検出される必要があります。このオプションを選択する場合は、condition_value パラメータに最小検出期間の値を入力します。有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

    • encryption:アドバタイズされた WLAN で暗号化が無効になっている必要があります。

    • infrastructure:SSID がコントローラで認識される必要があります。

    • rssi:不正アクセス ポイントには、最小の RSSI 値が必要です。たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、condition_value パラメータに最小 RSSI 値を入力します。有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

    • ssid:不正なアクセス ポイントには、特定の SSID が必要です。コントローラによって管理されない SSID を追加する必要があります。このオプションを選択する場合は、condition_value パラメータに SSID を入力します。SSID はユーザ設定の SSID リストに追加されます。

     
    ステップ 5match {all | any}


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# match all
     

    検出された不正なアクセス ポイントがルールに一致していると見なされ、そのルールの分類タイプが適用されるためには、ルールで定義されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

     
    ステップ 6default


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# default
     

    コマンドをデフォルトに設定するように指定します。

     
    ステップ 7exit


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# exit
    Device(config)#
     

    サブモードの終了を指定します。

     
    ステップ 8shutdown


    例: 
    Device(config)# wireless wps rogue rule rule_3 priority 3
    Device(config-rule)# shutdown
     

    特定の不正ルールをディセーブルにすることを指定します。たとえば、ルール rule_3 はディセーブルです。

     
    ステップ 9end


    例:
    Device(config)# end
     

    特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     
    ステップ 10configure terminal


    例: 
    Device# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 11wireless wps rogue ruleshutdown


    例: 
    Device(config)# wireless wps rogue rule shutdown
     

    すべての不正ルールをディセーブルにすることを指定します。

     
    ステップ 12end


    例:
    Device(config)# end
     

    特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     

    不正分類ルールの設定(GUI)

    手順
      ステップ 1   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Rogue Rules] を選択して、[Rogue Rules] ページを開きます。

      すでに作成されているすべてのルールが優先順位に従って一覧表示されます。各ルールの名前、タイプ、およびステータスが表示されます。

      (注)     

      ルールを削除するには、そのルールの青いドロップダウンの矢印の上にマウス カーソルを置いて、[Remove] をクリックします。

      ステップ 2   次の手順を実行して、新しいルールを作成します。
      1. [Add Rule] をクリックします。[Add Rule] セクションがページ上部に表示されます。
      2. [Rule Name] テキスト ボックスに、新しいルールの名前を入力します。名前にはスペースを含めないでください。
      3. [Rule Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを [Friendly] または [Malicious] として分類します。

        • Friendly

        • Malicious

      4. [Add] をクリックして既存のルール リストにこのルールを追加するか、[Cancel] をクリックしてこの新しいルールを破棄します。
      ステップ 3   次の手順を実行して、ルールを編集します。
      1. 編集するルールの名前をクリックします。[Rogue Rule] > [Edit] ページが表示されます。
      2. [Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを分類します。

        • Friendly

        • Malicious

      3. [Match Operation] テキスト ボックスから、次のいずれかを選択します。

        [All]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定されたすべての条件を満たしている場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。

        [Any]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定された条件のいずれかを満たす場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。これはデフォルト値です。

      4. このルールを有効にするには、[Enable Rule] チェックボックスをオンにします。デフォルト値はオフです。
      5. この特定のルールをディセーブルにするには、[Enable Rule] チェックボックスをオフにします。
        (注)      GUI から一度にすべての不正ルールをディセーブルにすることはできませんが、wireless wps rogue ruleshutdown コマンドを使用すると、CLI からすべての不正ルールをディセーブルにできます。
      6. [Add Condition] ドロップダウン リストで、不正なアクセス ポイントが満たす必要がある次の条件から 1 つまたは複数を選択し、[Add Condition] をクリックします。
        • [SSID]不正なアクセス ポイントには、特定のユーザ設定 SSID が必要です。このオプションを選択する場合は、[User Configured SSID] テキスト ボックスに SSID を入力し、[Add SSID] をクリックします。ユーザ設定の SSID が追加され、リストされます。
          (注)      SSID を削除するには、SSID を強調表示して [Remove] をクリックします。WLAN に適用された SSID は不正ルールには適用できません。
        • [RSSI]:不正なアクセス ポイントには、最小の受信信号強度表示(RSSI)値が必要です。たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、[Minimum RSSI] テキスト ボックスに最小 RSSI 値を入力します。有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

        • [Duration]不正なアクセス ポイントが最小期間検出される必要があります。このオプションを選択する場合は、[Time Duration] テキスト ボックスに最小検出期間の値を入力します。有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

        • [Client Count]不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、[Minimum Number of Rogue Clients] テキスト ボックスに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

        • [No Encryption]:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。不正なアクセス ポイントの暗号化が無効になっている場合、より多くのクライアントがそのアクセス ポイントに対してアソシエートを試行します。このオプションに関して、これ以外の設定を行う必要はありません。

          (注)     

          Cisco Prime Infrastructure は、このオプションを「Open Authentication(オープンな認証)」と呼んでいます。

        • [Managed SSID]:不正なアクセス ポイントの管理対象 SSID(WLAN に設定された SSID)がコントローラで認識される必要があります。このオプションに関して、これ以外の設定を行う必要はありません。
          (注)     

          SSID および管理対象 SSID の 2 つのリストは相互に排他的であるため、[SSID] および [Managed SSID] の条件を [All] 操作で使用することはできません。[Match All] を使用してルールを定義し、これら 2 つの条件を設定した場合は、いずれかの条件が満たされないので、不正なアクセス ポイントが Friendly または Malicious に分類されることはありません。

          1 つのルールにつき最大 6 つの条件を追加できます。条件を追加すると、[Conditions] セクションにその条件が表示されます。

          (注)     

          このルールから条件を削除するには、条件付近の [Remove] をクリックします。

        • [User configured SSID]:不正アクセス ポイントが特定のユーザ設定 SSID のサブ文字列を持つ必要があります。コントローラは同じ発生パターン内でサブ文字列を検索し、サブ文字列が SSID の文字列全体で見つかった場合はその一致を返します。

      7. [Apply] をクリックします。
      ステップ 4   不正分類ルールを適用する優先順位を変更する場合の手順は、次のとおりです。

      1. [Change Priority] をクリックして、[Rogue Rules > Priority] ページにアクセスします。

        不正ルールが優先順位に従って [Change Rules Priority] テキスト ボックスに表示されます。

      2. 優先順位を変更する特定のルールをクリックし、[Up] をクリックしてリスト内の順位を上げるか、[Down] をクリックしてリスト内の順位を下げます。

        (注)     

        ディセーブルのルールだけの優先順位を変更することが可能です。イネーブルのルールだけの優先順位を変更することはできません。

      3. [Apply] をクリックします。

      不正なデバイスの表示および分類(GUI)

      手順
        ステップ 1   [Monitor] > [Rogues] の順に選択します。
        ステップ 2   次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。

        • Friendly APs

        • Malicious APs

        • Unclassified APs

        対応する不正な AP ページが、不正アクセス ポイントの MAC アドレス、不正アクセス ポイントを検出した無線の数、不正アクセス ポイントに接続されたクライアント数、不正アクセス ポイントの現在のステータス、および最後のコンタクトに関する情報を提供します。

        ステップ 3   不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。[Rogue AP Detail] ページが表示されます。

        このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。

        [Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。

        • [Friendly]ユーザ定義の Friendly ルールと一致した不明なアクセス ポイント、または既知の不正なアクセス ポイント。危険性のないアクセス ポイントは阻止することができません。

        • [Malicious]ユーザ定義の Malicious ルールと一致した不明なアクセス ポイント、またはユーザが Friendly または Unclassified 分類タイプから手動で移動した不明なアクセス ポイント。

          (注)     

          アクセス ポイントが Malicious に分類されると、その後でそのアクセス ポイントにルールを適用することはできなくなります。また、別の分類タイプに移動することもできません。危険性のあるアクセス ポイントを Unclassified 分類タイプに移動する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

        • [Unclassified]ユーザ定義の Friendly または Malicious ルールと一致しない不明なアクセス ポイント。未分類のアクセス ポイントは阻止することができます。また、このアクセス ポイントは、ユーザ定義のルールに従って自動的に、またはユーザが手動で、Friendly または Malicious 分類タイプに移動できます。

        ステップ 4   このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。
        (注)     

        不正なアクセス ポイントの現在の状態が [Contain] である場合、そのアクセス ポイントは移動できません。

        ステップ 5   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。

        • [Internal]コントローラはこの不正なアクセス ポイントを信頼します。このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

        • [External]コントローラはこの不正なアクセス ポイントの存在を認識します。このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

        • [Contain]コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

        • [Alert]コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

        ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。

        ステップ 6   [Apply] をクリックします。
        ステップ 7   [Save Configuration] をクリックします。
        ステップ 8   コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues] を選択します。[Adhoc Rogues] ページが表示されます。

        このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。

        ステップ 9   アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。[Adhoc Rogue Detail] ページが表示されます。

        このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。

        ステップ 10   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。

        • [Contain]コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

        • [Alert]コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

        • [Internal]コントローラはこの不正なアクセス ポイントを信頼します。

        • [External]コントローラはこの不正なアクセス ポイントの存在を認識します。

        ステップ 11   [Maximum Number of APs to Contain the Rogue] ドロップダウン リストから、[1]、[2]、[3]、[4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。 ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。
        ステップ 12   [Apply] をクリックします。
        ステップ 13   [Save Configuration] をクリックします。
        ステップ 14   無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List] を選択します。[Rogue AP Ignore-List] ページが表示されます。

        このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。不正無視リストには、ユーザが Cisco Prime Infrastructure マップに手動で追加した任意の自律アクセス ポイントのリストが含まれています。コントローラでは、これらの自律アクセス ポイントが、Prime Infrastructure によって管理されていても不正と見なされます。不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。このリストは次のように更新されます。

        • コントローラは、不正レポートを受信すると、不明なアクセス ポイントが不正無視アクセス ポイント リストに存在するかどうかを確認します。

        • 不明なアクセス ポイントが不正無視リストに存在する場合、コントローラはこのアクセス ポイントを無視して他の不正なアクセス ポイントの処理を続けます。

        • 不明なアクセス ポイントが不正無視リストにない場合、コントローラは Prime Infrastructure にトラップを送信します。Prime Infrastructure が自律アクセス ポイントにこのアクセス ポイントを検出した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストに追加するためのコマンドをコントローラに送信します。このアクセス ポイントは、今後の不正レポートで無視されるようになります。

        • ユーザが Prime Infrastructure から自律アクセス ポイントを削除した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストから削除するコマンドをコントローラに送信します。

        例:不正なアクセス ポイントの分類

        次の例は、不正アクセス ポイントを Friendly として組織および表示できるルールを作成する方法を示しています。
        Device# configure terminal
Device(config)# wireless wps rogue rule ap1 priority 1
Device(config-rule)# classify friendly
Device(config-rule)# end
        この例は、不正アクセス ポイントが満たす必要のある条件を適用する方法を示しています。
        Device# configure terminal
Device(config)# wireless wps rogue rule ap1 priority 1
Device(config-rule)# condition client-count 5
Device(config-rule)# condition duration 1000
Device(config-rule)# end

        不正なアクセス ポイントの分類に関する追加情報

        関連資料

        関連項目 マニュアル タイトル
        セキュリティ コマンド

        『Security Command Reference Guide, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series)』

        標準および RFC

        標準/RFC Title
        なし

        MIB

        MIB MIB のリンク
        本リリースでサポートするすべての MIB

        選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

        http:/​/​www.cisco.com/​go/​mibs

        シスコのテクニカル サポート

        説明 Link

        シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

        お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

        シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​support

        不正なアクセス ポイントの分類の機能履歴および情報

        リリース 機能情報
        Cisco IOS XE 3.3SE この機能が導入されました。

        このドキュメントは役に立ちましたか?

        Feedbackフィードバック

        シスコに問い合わせ