ワイヤレス侵入検知システム

Management Frame Protection

管理フレーム保護について

Management Frame Protection(MFP; 管理フレーム保護)では、アクセス ポイントとクライアント間で送受信される 802.11 管理メッセージを保護および暗号化することにより、セキュリティが確保されます。MFP は、インフラストラクチャとクライアント サポートの両方を実現します。

  • インフラストラクチャ MFP:DoS 攻撃を引き起こしたり、ネットワーク上で過剰なアソシエーションやプローブを生じさせたり、不正なアクセス ポイントとして介入したり、QoS と無線測定フレームへの攻撃によりネットワーク パフォーマンスを低下させたりする敵対者を検出することにより、管理フレームを保護します。インフラストラクチャ MFP は、フィッシング インシデントを検出および報告するための迅速かつ効果的な手段を提供するグローバル設定です。

    インフラストラクチャ MFP は特に、アクセス ポイントによって送信され(クライアントによって送信されたのではなく)、次にネットワーク内の他のアクセス ポイントによって検証される管理フレームに、Message Integrity Check Information Element(MIC IE; メッセージ整合性情報要素)を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP はパッシブです。侵入を検知し報告しますが、それを止めることはできません。

  • クライアント MFP:認証されたクライアントをスプーフィング フレームから保護し、無線 LAN に対する多くの一般化した攻撃が効力を発揮することのないようにします。認証解除攻撃などのほとんどの攻撃では、有効なクライアントとの競合により簡単にパフォーマンスを悪化させます。

    具体的には、クライアント MFP は、アクセス ポイントと CCXv5 クライアント間で送受信される管理フレームを暗号化します。その結果、スプーフィングされたクラス 3 管理フレーム(つまり、アクセス ポイントと、認証およびアソシエートされたクライアントとの間でやり取りされる管理フレーム)をドロップすることにより、アクセス ポイントとクライアントの両方で予防措置をとることができます。クライアント MFP は、IEEE 802.11i によって定義されたセキュリティ メカニズムを利用し、アソシエーション解除、認証解除、および QoS(WMM)アクションといったタイプのクラス 3 ユニキャスト管理フレームを保護します。クライアント MFP は、最も一般的な種類のサービス拒否攻撃から、クライアントとアクセス ポイント間のセッションを保護します。また、セッションのデータ フレームに使用されているのと同じ暗号化方式を使用することにより、クラス 3 管理フレームを保護します。アクセス ポイントまたはクライアントにより受信されたフレームの暗号化解除に失敗すると、そのフレームはドロップされ、イベントがコントローラに報告されます。

    クライアント MFP を使用するには、クライアントは CCXv5 MFP をサポートしており、TKIP または AES-CCMP のいずれかを使用して WPA2 をネゴシエートする必要があります。EAP または PSK は、PMK を取得するために使用されます。CCKM およびコントローラのモビリティ管理は、レイヤ 2 およびレイヤ 3 の高速ローミングのために、アクセス ポイント間でセッション キーを配布するのに使用されます。


    (注)  

    ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントでは、ブロードキャスト クラス 3 管理フレーム(アソシエーション解除、認証解除、またはアクションなど)を送信しません。CCXv5 クライアントおよびアクセス ポイントは、ブロードキャスト クラス 3 管理フレームを破棄する必要があります。

    インフラストラクチャ MFP は、クライアント MFP 対応でないクライアントに送信された無効なユニキャスト フレームと、無効なクラス 1 およびクラス 2 管理フレームを引き続き検出および報告するため、クライアント MFP は、インフラストラクチャ MFP を置き換えるのではなく、補足するものであると言えます。インフラストラクチャ MFP は、クライアント MFP によって保護されていない管理フレームにのみ適用されます。

    インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。

  • 管理フレーム保護:アクセス ポイントは、送信される各管理フレームに MIC IE を追加することによってフレームを保護します。フレームのコピー、変更、再送が試みられた場合、MIC は無効となり、MFP フレームを検出するよう設定された受信アクセス ポイントは不具合を報告します。MFP は、Cisco Aironet Lightweight アクセス ポイントでの使用がサポートされています。

  • 管理フレーム検証:インフラストラクチャ MFP では、アクセス ポイントによって、ネットワーク内の他のアクセス ポイントから受信する各管理フレームが検証されます。MIC IE が存在しており(送信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身に一致していることを確認します。MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID からの正当な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。タイムスタンプが適切に機能するように、すべてのコントローラでネットワーク タイム プロトコル(NTP)が同期されている必要があります。

  • イベント報告:アクセス ポイントで異常が検出されるとコントローラに通知されます。コントローラでは、受信した異常イベントが集計され、その結果が SNMP トラップを使用してネットワーク管理システムに報告されます。


    (注)  

    クライアント MFP は、インフラストラクチャ MFP と同じイベント報告メカニズムを使用します。

インフラストラクチャ MFP は、デフォルトで無効になっており、システム全体で有効にできます。以前のソフトウェア リリースからアップグレードする場合、アクセス ポイント認可が有効になっているときは、これら 2 つの機能は相互に排他的であるため、インフラストラクチャ MFP はシステム全体で無効になります。インフラストラクチャ MFP がグローバルに有効化されると、選択した WLAN に対してシグニチャの生成(MIC を送信フレームに追加する)を無効にでき、選択したアクセス ポイントに対して検証を無効にできます。

クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトで有効にされています。選択した WLAN 上で無効にすることも、必須にする(その場合、MFP をネゴシエートするクライアントのみがアソシエーションを許可されます)こともできます。

管理フレーム保護の制約事項

  • Lightweight アクセス ポイントでは、インフラストラクチャ MFP はローカル モードおよび監視モードでサポートされます。アクセス ポイントがコントローラに接続しているときは、FlexConnect モードでサポートされます。クライアント MFP は、ローカル モード、FlexConnect モード、およびブリッジ モードでサポートされます。

  • OEAP 600 シリーズのアクセス ポイントでは、MFP はサポートされません。

  • クライアント MFP は、TKIP または AES-CCMP で WPA2 を使用する CCXv5 クライアントでの使用のみがサポートされています。

  • クライアント MFP が無効にされているか、オプションである場合は、非 CCXv5 クライアントは WLAN にアソシエートできます。

  • スタンドアロン モードの FlexConnect アクセス ポイントで生成されるエラー レポートは、コントローラに転送することはできず、ドロップされます。

管理フレーム保護の設定(GUI)

手順

ステップ 1

[Security] > [Wireless Protection Policies] > [AP Authentication/MFP] の順に選択して、[AP Authentication Policy] ページを開きます。

ステップ 2

[Protection Type] ドロップダウン リストから [Management Frame Protection] を選択して、コントローラに対してインフラストラクチャ MFP をグローバルに有効にします。

ステップ 3

[Apply] をクリックして、変更を確定します。

(注)   

複数のコントローラがモビリティ グループに含まれている場合は、インフラストラクチャ MFP に対して設定されているモビリティ グループ内のすべてのコントローラ上で、NTP/SNTP サーバを設定する必要があります。

ステップ 4

コントローラに対してインフラストラクチャ MFP をグローバルに有効にしたあと、次の手順を実行して、特定の WLAN にクライアント MFP を設定します。

  1. [WLANs] を選択します。

  2. 目的の WLAN のプロファイル名をクリックします。[WLANs > Edit] ページが表示されます。

  3. [Advanced] を選択します。[WLANs > Edit]([Advanced])ページが表示されます。

  4. [MFP Client Protection] ドロップダウン リストから、[Disabled]、[Optional]、または [Required] を選択します。デフォルト値は [Optional] です。[Required] を選択した場合、MFP がネゴシエートされている場合(つまり、WPA2 がコントローラ上で設定されており、クライアントが CCXv5 MFP をサポートしていて WPA2 に対して設定されている場合)のみ、クライアントはアソシエーションを許可されます。

    (注)   

    Cisco OEAP 600 では MFP はサポートされません。[Disabled] または [Optional] を選択してください。

  5. [Apply] をクリックして、変更を確定します。

ステップ 5

[Save Configuration] をクリックして設定を保存します。

管理フレーム保護の設定の表示(GUI)

コントローラの現在のグローバル MFP の設定を表示するには、[Security] > [Wireless Protection Policies] > [Management Frame Protection] の順に選択します。[Management Frame Protection Settings] ページが表示されます。

このページでは、次の MFP 設定が表示されます。

  • [Management Frame Protection] フィールドは、インフラストラクチャ MFP がコントローラでグローバルに有効化されているかどうかを示します。

  • [Controller Time Source Valid] フィールドは、コントローラの時刻が(時刻を手動で入力することにより)ローカルで設定されているか、外部ソース(NTP/SNTP サーバなど)を通じて設定されているかを示します。時刻が外部ソースによって設定される場合は、このフィールドの値が "True" になります。時刻がローカルに設定される場合は、この値が "False" になります。時刻源は、モビリティ グループ内の複数のコントローラのアクセス ポイント間の管理フレーム上のタイムスタンプを検証するために使用されます。

  • [Client Protection] フィールドは、クライアント MFP が個別の WLAN に対して有効化されているかどうかと、オプションまたは必須のいずれであるかを示します。

管理フレーム保護の設定(CLI)

手順

  • 次のコマンドを入力して、コントローラに対してインフラストラクチャ MFP をグローバルに有効または無効にします。

    config wps mfp infrastructure {enable | disable}

  • 次のコマンドを入力して、特定の WLAN でクライアント MFP シグニチャを有効または無効にします。

    config wlan mfp client {enable | disable } wlan_id [required ]

    クライアント MFP を有効にしてオプションの required パラメータを使用すると、MFP がネゴシエートされている場合のみ、クライアントはアソシエーションを許可されます。

管理フレーム保護の設定の表示(CLI)

手順

  • 次のコマンドを入力して、コントローラの現在の MFP の設定を表示します。

    show wps mfp summary

  • 次のコマンドを入力して、特定の WLAN の現在の MFP の設定を表示します。

    show wlan wlan_id

  • 次のコマンドを入力して、特定のクライアントに対してクライアント MFP が有効になっているかどうかを表示します。

    show client detail client_mac

  • 次のコマンドを入力して、コントローラの MFP 統計情報を表示します。

    show wps mfp statistics

    (注)  

    実際に攻撃が進行中でない限り、このレポートにデータは含まれません。この表は 5 分ごとにクリアされ、データはネットワーク管理ステーションに転送されます。

管理フレーム保護の問題のデバッグ(CLI)

手順

  • MFP に関する問題が発生した場合は、次のコマンドを使用します。

    debug wps mfp ? {enable | disable }

    ここで、? は、次のいずれかを示します。

    client :クライアント MFP メッセージのデバッグを設定します。

    capwap :コントローラとアクセス ポイント間の MFP メッセージのデバッグを設定します。

    detail :MFP メッセージの詳細デバッグを設定します。

    report :MFP レポートのデバッグを設定します。

    mm :MFP モビリティ(コントローラ間)メッセージのデバッグを設定します。

クライアント除外ポリシー

クライアント除外ポリシーの設定(GUI)

手順

ステップ 1

[Security] > [Wireless Protection Policies] > [Client Exclusion Policies] を選択して、[Client Exclusion Policies] ページを開きます。

ステップ 2

指定された条件について、コントローラがクライアントを除外するように設定するには、次のチェックボックスのいずれかをオンにします。各除外ポリシーのデフォルトは有効です。

  • [Excessive 802.11 Association Failures]クライアントは、802.11 アソシエーションの試行に 5 回連続して失敗すると、6 回目の試行で除外されます。
  • [Excessive 802.11 Authentication Failures]クライアントは、802.11 認証の試行に 5 回連続して失敗すると、6 回目の試行で除外されます。

  • [Excessive 802.1X Authentication Failures]クライアントは、802.1X 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。

  • [IP Theft or IP Reuse]IP アドレスが他のデバイスにすでに割り当てられている場合、クライアントは除外されます。
  • [Excessive Web Authentication Failures]クライアントは、Web 認証の試行に 3 回連続して失敗すると、4 回目の試行で除外されます。
ステップ 3

設定を保存します。

クライアント除外ポリシーの設定(CLI)

手順

ステップ 1

次のコマンドを入力して、802.11 アソシエーションを 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion 802.11-assoc {enable | disable }
ステップ 2

次のコマンドを入力して、802.11 認証を 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion 802.11-auth {enable | disable }
ステップ 3

次のコマンドを入力して、802.1X 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion 802.1x-auth {enable | disable }
ステップ 4

次のコマンドを入力して、RADIUS サーバとの 802.1X 認証で最大失敗試行回数に達するクライアントを除外するようコントローラを設定します。

config wps client-exclusion 802.1x-auth max-1x-aaa-fail-attempts

802.1X 認証の最大失敗試行回数は 1 ~ 3 の範囲で設定できます。デフォルト値は 3 です。

ステップ 5

次のコマンドを入力して、IP アドレスが別のデバイスにすでに割り当てられている場合に、コントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion ip-theft {enable | disable }
ステップ 6

次のコマンドを入力して、Web 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion web-auth {enable | disable }
ステップ 7

次のコマンドを入力して、上記のすべての理由でコントローラがクライアントを除外する設定を有効または無効にします。

config wps client-exclusion all {enable | disable }
ステップ 8

次のコマンドを使用して、クライアント除外エントリを追加または削除します。

config exclusionlist {add mac-addr description | delete mac-addr | description mac-addr description}
ステップ 9

次のコマンドを入力して、変更を保存します。

save config
ステップ 10

次のコマンドを入力して、動的に除外されたクライアントのリストを表示します。

show exclusionlist

以下に類似した情報が表示されます。 


Dynamically Disabled Clients
----------------------------
  MAC Address             Exclusion Reason        Time Remaining (in secs)
  -----------             ----------------        ------------------------

00:40:96:b4:82:55         802.1X Failure          	51
ステップ 11

次のコマンドを入力して、クライアント除外ポリシー構成の設定を表示します。

show wps summary

以下に類似した情報が表示されます。 


Auto-Immune
	Auto-Immune.................................... Disabled

Client Exclusion Policy
  Excessive 802.11-association failures.......... Enabled
  Excessive 802.11-authentication failures....... Enabled
  Excessive 802.1x-authentication................ Enabled
  IP-theft....................................... Enabled
  Excessive Web authentication failure........... Enabled
  Maximum 802.1x-AAA failure attempts............ 3

Signature Policy
  Signature Processing........................ Enabled

不正アクセス ポイントの管理

不正検出(Rogue Detection)

不正なデバイスについて

不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。

不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。ワイヤレス ユーザがエンタープライズ ネットワーク内のアクセス ポイントに接続する場合、エンタープライズ セキュリティ違反が発生する可能性が高くなります。

次に、不正なデバイスの管理に関する注意事項を示します。

  • 許可とアソシエーションの検出後、ただちに阻止フレームが送信されます。強化された不正阻止アルゴリズムを使用すると、アドホック クライアントをより効果的に阻止することができます。

  • 最も多くの不正アクセス ポイント数が疑われる高密度な RF 環境では、ローカルおよび FlexConnect モードのアクセス ポイントによってチャネル 157 またはチャネル 161 で不正なアクセス ポイントが検出される可能性は、他のチャネルの場合に比べて低くなります。この問題を緩和するために、専用の監視モードのアクセス ポイントを使用することをお勧めします。

  • ローカルおよび FlexConnect モード アクセス ポイント は、関連付けられたクライアントに対応するように設計されています。これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。高い不正 AP 検知を実行する場合、モニタ モード アクセス ポイントを使用する必要があります。あるいは、スキャン間隔を 180 秒から 120 秒や 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。ただしこの場合も、アクセス ポイントが各チャネルに費やす時間は約 50 ミリ秒です。

  • 家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

  • クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。

  • 不正なアクセス ポイントの分類および報告は、不正の状態と、不正なアクセス ポイントの状態を自動的に移行できるようにする、ユーザ定義の分類規則に従って行うことができます。

  • 各コントローラの不正封じ込めの数は無線ごとに 3(モニタ モードのアクセス ポイントの場合は無線ごとに 6)に制限されています。

  • Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。

  • RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。

  • RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。ネットワークのアクセス リストによって不正なアクセス ポイントからコントローラへの RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。

  • RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。 ただし RLDP は、管理対象のアクセス ポイントが DFS チャネルの監視モードである場合には機能します。

  • メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラから解除されます。回避策は、メッシュ AP で RLDP を無効にすることです。

  • RLDP がモニタ モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。

  • 不正を手動で阻止すると、不正なエントリは期限切れになった後でも保持されます。

  • 不正を自動ルール、AwIPS 防御などのその他の方法で阻止すると、不正エントリは期限切れになると削除されます。

  • コントローラは、不正なクライアントの検証を AAA サーバに一度だけ要求します。その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。

  • コントローラは、RADIUS(CISCO IOS/PIX 6.0)として認証有りの AAA クライアントとして AAA サーバに追加する必要があります。関連するデリミタを含む MAC アドレスに対応する関連のデリミタ、ユーザ名とパスワードを使用して、該当する不正 AP をユーザデータベースに追加する必要があります。次のキーワードを使用して、このユーザの [009\001] cisco-av-pair を定義する必要があります。

    • rogue-ap-state=contain:ここで、rogue-ap-state は次のようにできます:alert/contain/internal/external/threat

    • rogue-ap-class=malicious:ここで、rogue-ap-class は次のキーワードにできます:unclassified/malicious/friendly

    class/state の許可される組み合わせは次のとおりです。

    • unclassified:alert/contain/threat

    • malicious:alert/contain/threat

    • friendly:alert/internal/external

  • すべての有効なクライアント MAC の詳細が、コントローラの RADIUS 構成で設定されたものと同じ MAC デリミタ オプションを持つ AAA 認証サーバに登録される必要があります。MAC デリミタ オプションの設定方法の詳細については、「RADIUS の設定(GUI)」の項を参照してください。

  • 7.4 以前のリリースでは、ルールによってすでに分類された不正は再分類されませんでした。7.5 リリースでは、不正ルールの優先順位に基づいて不正を再分類できるようにこの動作が強化されました。優先順位は、コントローラが受信する不正レポートを使用して決定されます。

  • (自動またはルールまたは手動により)Friendly または Contained 状態としてマークされるすべての不正は、コントローラのフラッシュ メモリに格納されます。リリース 7.4 を搭載したコントローラをリブートすると、これらの不正は手動で変更されたものとして表示されます。コントローラをリブートするときは、すべての不正な AP と不正アドホックをコントローラから取り除き、設定を保存してからコントローラをリブートする必要があります。

  • (手動のみにより)Friendly または Contained 状態としてマークされるすべての不正は、コントローラのフラッシュ メモリに格納されます。リリース 7.4 から 7.6 以降のバージョンにコントローラをアップグレードする場合は、リリース 7.4 に格納されているすべての不正は手動で分類されたか(Friendly 分類された場合)、または手動で阻止されたものとして表示されます。そのため、リリース 7.4 から 7.6 以降のバージョンにコントローラをアップグレードした後は、すべての不正な AP と不正アドホックをコントローラから削除し、不正検出の設定を開始する必要があります。

  • 接続モードの FlexConnect AP(不正検出が有効になっている)は、コントローラから不正阻止のリストを取得します。自動阻止 SSID および自動阻止アドホックがコントローラに設定されている場合、これらの設定は、接続モードのすべての FlexConnect AP に設定され、AP はこれをメモリに保存します。

    FlexConnect AP がスタンドアロン モードに移行すると、次の処理が実行されます。

    • コントローラによる阻止設定が継続されます。

    • FlexConnect AP が、インフラ SSID と同じ SSID(FlexConnect AP が接続されているコントローラに設定された SSID)を持つ不正な AP を検出すると、スタンドアロン モードに移行する前に自動阻止 SSID がコントローラから有効にされていれば、阻止が開始されます。

    • FlexConnect AP がアドホック不正を検出すると、接続モード時に自動阻止アドホックがコントローラから有効にされていれば、阻止が開始されます。

    スタンドアロンの FlexConnect AP を接続モードに戻すと、次の処理が実行されます。

    • すべての阻止がクリアされます。

    • コントローラから開始された阻止が引き継ぎます。

  • WLAN、LAN、11a 無線および 11bg 無線の不正な AP の MAC アドレスは、不正 BSSID の +/- 1 の差異で設定されているので、不正検出 AP は、5Mhz チャネルの不正な有線 AP の関連付けおよび阻止に失敗します。8.0 リリースでは、MAC アドレスの範囲を広げることによって、この動作が強化されました。不正検出 AP は有線 ARP MAC と不正 BSSID を +/- 3 の差異で関連付けます。

  • オープン認証を使用する不正アクセス ポイントはネットワーク上で検出できます。NAT 有線または不正有線検出は、WLC(RLDP と不正検出 AP の両方)ではサポートされません。非隣接 MAC アドレスは、RLDP ではなく AP の不正検出モードでサポートされます。

  • ハイ アベイラビリティのシナリオでは、不正検出セキュリティ レベルを高か重要に設定すると、スタンバイ Cisco WLC の不正タイマーは、不正検出保留の安定時間の 300 秒が過ぎないと開始しません。したがって、スタンバイ Cisco WLC のアクティブ設定が反映されるのは、300 秒が過ぎてからです。

  • AP が不正検出モードからその他のモードに移行、または AP がスニファ モードからローカルまたはモニタ モードに移行すると、不正検出機能はその AP では保持されません。AP で不正検出機能を有効にするには、その AP を不正検出モードに明示的に移行する必要があります。


(注)  

不正 AP、不正クライアント、または一時的な封じ込めの設定は、リロード時に破棄されます。リロード後にすべての不正を再設定する必要があります。


(注)  

不正クライアントのトラップを制御するための独立したコマンドはありません。ただし、不正クライアントのトラップは、config trapflags rogueap {enable | disable } コマンドを使用して有効または無効にできます。このコマンドは、不正 AP にも使用されます。GUI 設定でも、[Management] > [SNMP] > [TrapControl] > [Security] > [Rogue AP] で不正 AP フラグを使用して、不正クライアントを制御する必要があります。

Rogue Location Discovery Protocol

Rogue Location Discovery Protocol(RLDP)は、不正 AP で認証が設定されていない(オープン認証)場合に使用される積極的なアプローチです。このモードは、デフォルトで無効になっており、不正チャネルに移動して、クライアントとして不正に接続するようにアクティブ AP に指示します。この間に、アクティブ AP は、接続されたすべてのクライアントに認証解除メッセージを送信してから、無線インターフェイスをシャットダウンします。次に、クライアントとして不正 AP にアソシエートします。その後で、AP は、不正 AP から IP アドレスの取得を試み、ローカル AP と不正接続情報を含む User Datagram Protocol(UDP)パケット(ポート 6352)を不正 AP を介してコントローラに転送します。コントローラがこのパケットを受信すると、不正 AP が RLDP 機能を使用して有線ネットワークで検出されたことをネットワーク管理者に通知するためのアラームが設定されます。

RLDP の不正 AP の検出精度は 100% です。オープン AP と NAT AP を検出します。


(注)  

Lightweight AP が不正 AP とアソシエートして DHCP アドレスを受信するかどうかを確認するには、debug dot11 rldp enable コマンドを使用します。このコマンドは、Lightweight AP からコントローラに送信された UDP パケットも表示します。

ここで、Lightweight AP から送信される UDP (宛先ポート 6352)パケットのサンプルを示します。0020 0a 01 01 0d 0a 01 .......(.*...... 0030 01 1e 00 07 85 92 78 01 00 00 00 00 00 00 00 00 ......x......... 0040 00 00 00 00 00 00 00 00 00 00

最初の 5 バイトのデータには、不正 AP によってローカル モード AP に割り当てられた DHCP アドレスが含まれています。次の 5 バイトはコントローラの IP アドレスで、その後に不正 AP MAC アドレスを表す 6 バイトが続きます。その後に、18 バイトの 0 が続きます。

次の手順では、RLDP の機能について説明します。

  1. 信号強度値を使用して不正に最も近い統合 AP を特定します。

  2. その後で、この AP が WLAN クライアントとして不正に接続します。3 回のアソシエーションを試みて、成功しない場合はタイムアウトします。

  3. アソシエーションが成功すると、AP が DHCP を使用して IP アドレスを取得します。

  4. IP アドレスが取得されたら、AP(WLAN クライアントとして機能している)は、コントローラの IP アドレスのそれぞれに UDP パケットを送信します。

  5. コントローラがクライアントから RLDP パケットの 1 つでも受信すると、その不正が on-wire としてマークされます。


(注)  

コントローラのネットワークと不正デバイスが設置されたネットワークの間にフィルタリング ルールが設定されている場合は、RLDP パケットがコントローラに到達できません。

RLDP の注意事項:

  • RLDP は、認証と暗号化が無効になっている SSID をブロードキャストするオープン不正 AP でのみ動作します。

  • RLDP では、クライアントとして機能しているマネージド AP が不正ネットワーク上で DHCP を介して IP アドレスを取得できる必要があります。

  • 手動 RLDP を使用して、不正上で RLDP トレースを複数回試すことができます。

  • RLDP プロセス中は、AP がクライアントにサービスを提供できません。これがローカル モード AP のパフォーマンスと接続に悪影響を及ぼします。この問題を回避するために、RLDP はモニタ モード AP に対してのみ選択的に有効にできます。

  • RLDP は、5GHz DFS チャネルで動作する不正 AP への接続は試行しません。


(注)  

RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。自動 RLDP 試行で不正(ノイズの多い RF 環境などが原因)が検出されなかった場合は、コントローラが再試行しません。ただし、不正デバイス上で RLDP を手動で開始できます。

不正なデバイスの検出

コントローラは、近くにあるすべてのアクセス ポイントを継続的に監視し、不正なアクセス ポイントとクライアントに関する情報を自動的に検出および収集します。コントローラは不正アクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正アクセス ポイントがネットワークに接続されているかどうかを確認します。

コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。不正アクセス ポイントが検出された時点で(auto-configuration)、RLDP プロセスが開始されます。

すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。

RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。再試行回数は、config rogue ap rldp retries コマンドを使用して設定できます。

3 種類の方法でコントローラから RLDP を開始またはトリガーできます。

  1. コントローラの CLI から RLDP 開始コマンドを手動で入力します。RLDP を開始するための同等の GUI オプションはサポートされていません。

    config rogue ap rldp initiate mac-address

  2. コントローラのCLI から RLDP をスケジュールします。RLDP をスケジュールするための同等の GUI オプションはサポートされていません。

    config rogue ap rldp schedule

  3. 自動 RLDP。コントローラの CLI または GUI から自動 RLDP を設定できますが、次の注意事項を考慮してください。

    • 不正検出のセキュリティ レベルが custom に設定されている場合にのみ、自動 RLDP オプションを設定できます。

    • 自動 RLDP および RLDP のスケジュールを同時に有効にすることはできません。

不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。阻止動作は次の 2 つの方法で開始されます。

  • コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。不正なアクセス ポイントの阻止の場合、フレームは不正なクライアントがアソシエートされている場合にのみ送信されます。

  • 阻止された不正アクティビティが検出されると、阻止フレームが送信されます。

個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。

Cisco Prime Infrastructure のインタラクションと不正検出

Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。

  • 不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。不正の状態が Internal または External であると、トラップは送信されません。

  • タイムアウトの経過後に不正なエントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正なアクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。

不正検出の設定(GUI)

手順

ステップ 1

該当するアクセス ポイントで不正検出が有効になっていることを確認します。コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。ただし、[All APs > Details for]([Advanced])ページで [Rogue Detection] チェックボックスをオンまたはオフにして、個々のアクセス ポイントの不正検出を有効または無効にできます。

ステップ 2

[Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] を選択します。

[Rogue Policies] ページが表示されます。

ステップ 3

[Rogue Detection Security Level] で次のオプションのいずれかを選択します。

  • [Low]小規模な導入向けの基本不正検出。
  • [High]中規模な展開向けの自動阻止を備えた基本不正検出。
  • [Critical]機密性の高い展開向けの自動阻止と RLDP を備えた基本不正検出。
  • Custom
    (注)   
    自動 RLDP の場合、セキュリティ レベルを [Custom] モードに設定します。[Custom] モードの場合でも RLDP のスケジューリングは有効にしないでください。
ステップ 4

[Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。

  • [Disable]すべてのアクセス ポイントで RLDP を無効にします。これはデフォルト値です。
  • [All APs]すべてのアクセス ポイントで RLDP を有効にします。
  • [Monitor Mode APs]監視モードのアクセス ポイントでのみ RLDP を有効にします。
ステップ 5

[Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。

(注)   

不正なアクセス ポイントまたはクライアントのエントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

ステップ 6

AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証するには、[Validate Rogue Clients Against AAA] チェックボックスをオンにします。デフォルトでは、このチェックボックスはオフになっています。

(注)   

AAA に対する不正クライアントを検証するには、Cisco AVP ペアの形式設定は必須です。Free RADIUS の形式は次のとおりです。

  • e09d3166fb2c Cleartext-Password := "e09d3166fb2c"

  • Cisco-AVPair := "rogue-ap-state=threat"
ステップ 7

不正なクライアントの詳細を持っている Cisco Mobility Services Engine(MSE)を使用してクライアントを検証するには、[Validate Rogue Clients Against MSE] チェックボックスをオンにします。

MSE は、不正なクライアントが有効で認識されたクライアントであるかどうかに関する情報とともに応答します。コントローラによって、不正なクライアントが脅威として含められるか、脅威と見なされる場合があります。

ステップ 8

必要に応じて、[Detect and Report Ad-Hoc Networks] チェックボックスをオンにして、アドホック不正検出および報告を有効にします。デフォルトでは、このチェックボックスはオンになっています。

ステップ 9

[Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートを Cisco WLC に送信する間隔を秒単位で入力します。有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。

(注)   

最小値の 10 秒は、モニタ モードの AP にのみ適用できます。ローカル モードの AP の場合、設定できる間隔の最小値は 30 秒です。
ステップ 10

[Rogue Detection Minimum RSSI] テキスト ボックスに、AP が不正を検出し、不正エントリがコントローラで作成されるために必要な受信信号強度インジケータ(RSSI)の最小値を入力します。有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。

(注)   

この機能は、すべての AP モードに適用できます。RSSI 値が低く、不正の分析に有益な情報をもたらさない場合、不正が多数存在する可能性があります。そのため、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタ処理できます。

ステップ 11

[Rogue Detection Transient Interval] テキスト ボックスに、不正が AP により最初にスキャンされた後、スキャンされる時間間隔を入力します。連続的に不正がスキャンされると、更新情報が定期的にコントローラへ送信されます。したがって、短時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタ処理されます。有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。

不正検出の一時的間隔は、監視モードの AP にのみ適用されます。

この機能には次の利点があります。

  • AP からコントローラへの不正 AP レポートが短くなる。

  • 一時的不正 AP エントリをコントローラで回避できる。

  • 一時的な不正 AP への不要なメモリ割り当てを防止します。

ステップ 12

[Rogue Client Threshold] テキスト ボックスに、しきい値を入力します。値が 0 の場合、rogue client threshold パラメータは無効になります。

ステップ 13

[Rogue Containment Automatic Rate Selection] チェックボックスを有効または無効にします。

このオプションを使用して、ターゲットの不正に最良のレートを使用するためにレートを最適化できます。AP は不正 RSSI に基づいて最良のレートを選択します。

ステップ 14

コントローラに自動的に特定の不正デバイスを阻止させる場合は、次のパラメータを有効にします。デフォルトでは、これらのパラメータは無効の状態です。

注意     

Auto Contain パラメータのいずれかを選択して [Apply] をクリックすると、「Using this feature may have legal consequences. Do you want to continue?」というメッセージが表示されます。産業科学医療(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に公開されており、ライセンスを受けずに使用できます。したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

  • [Auto Containment Level]自動阻止レベルを設定します。デフォルトで、自動阻止レベルは 1 に設定されています。

    [Auto] を選択すると、コントローラは有効な阻止を必要とする AP を動的に選択します。

  • [Auto Containment only for Monitor mode APs]自動阻止用のモニタ モード アクセス ポイントを設定します。
  • [Auto Containment on FlexConnect Standalone]自動阻止に対して FlexConnect スタンドアロン モードのアクセス ポイントを設定します。
    (注)   

    AP が接続 FlexConnect モードのときに設定された場合、auto-containment は続行されます。スタンドアロン AP がコントローラと再び関連付けられると、自動阻止は停止します。AP が関連付けられているコントローラの設定によって、今後の一連のアクションが決まります。FlexConnect AP のアドホック SSID および管理対象 SSID で自動阻止を設定することもできます。

  • [Rogue on Wire]:有線ネットワークで検出される不正の自動阻止を設定します。
  • [Using Our SSID]:ネットワークの SSID をアドバタイズする不正の自動阻止を設定します。このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
  • [Valid Client on Rogue AP]:信頼できるクライアントが関連付けられている不正なアクセス ポイントの自動阻止を設定します。このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
  • [AdHoc Rogue AP]:コントローラによって検出されたアドホック ネットワークの自動阻止を設定します。このパラメータをオフにしておくと、該当するネットワークが検出されても警告が生成されるだけです。
ステップ 15

[Apply] をクリックします。

ステップ 16

[Save Configuration] をクリックします。

不正検出の設定(CLI)

手順

ステップ 1

必要なアクセス ポイントで不正検出が有効になっていることを確認します。不正検出は、コントローラに関連付けられているすべてのアクセス ポイントに対してデフォルトで有効になっています。次のコマンドを入力して、個々のアクセス ポイントの不正検出を有効または無効にできます。

config rogue detection {enable | disable } cisco-ap command.

(注)   

特定のアクセス ポイントの現在の不正検出設定を確認するには、show ap config general Cisco_AP コマンドを入力します。

(注)   

家庭の環境で展開されるアクセス ポイントは大量の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出はデフォルトでは無効です。

ステップ 2

次のコマンドを入力して、不正検出のセキュリティ レベルを設定します。

config rogue detection security-level {critical | custom | high | low }
  • critical :機密性の高い展開向けの自動封じ込めと RLDP を使用した基本不正検出。
  • high :中規模展開向けの自動封じ込めを使用した基本不正検出。
  • low :小規模展開向けの基本不正検出。
ステップ 3

次のコマンドを入力して、RLDP を有効化、無効化、または開始します。

  • config rogue ap rldp enable alarm-only :すべてのアクセス ポイントで RLDP を有効にします。

  • config rogue ap rldp enable alarm-only monitor_ap_only :モニタ モードのアクセス ポイントでのみ RLDP を有効にします。

  • config rogue ap rldp initiate rogue_mac_address :特定の不正アクセス ポイントで RLDP を開始します。

  • config rogue ap rldp disable :すべてのアクセス ポイントで RLDP を無効にします。

  • config rogue ap rldp retries :不正アクセス ポイントごとに試行される RLDP の回数を指定します。指定できる範囲は 1 ~ 5 で、デフォルトは 1 です。

ステップ 4

次のコマンドを入力して、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を指定します。

config rogue ap timeout seconds

seconds パラメータの有効な範囲は 240 ~ 3600 秒(両端の値を含む)です。デフォルト値は 1200 秒です。

(注)   

不正なアクセス ポイントまたはクライアント エントリがタイムアウトすると、その不正の状態がいずれの分類タイプに対しても Alert または Threat である場合には、コントローラから削除されます。

ステップ 5

次のコマンドを入力して、アドホック不正検出および報告を有効または無効にします。

config rogue adhoc {enable | disable }

ステップ 6

次のコマンドを入力して AAA サーバまたはローカル データベースを有効または無効にし、不正なクライアントが有効なクライアントかどうかを検証します。

config rogue client aaa {enable | disable }

ステップ 7

次のコマンドを入力して、不正なクライアントの詳細を持つ MSE の使用を有効または無効にし、クライアントを検証します。

config rogue client mse {enable | disable }
ステップ 8

次のコマンドを入力して、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。

config rogue detection monitor-ap report-interval time in sec

time in sec パラメータの有効な範囲は 10 秒~ 300 秒です。デフォルト値は 10 秒です。

(注)   

この機能は、監視モード AP にのみ適用されます。

ステップ 9

次のコマンドを入力して、AP が不正を検出し、不正エントリがコントローラで作成されるために必要な最小 RSSI 値を入力します。

config rogue detection min-rssi rssi in dBm

rssi in dBm パラメータの有効な範囲は -128 dBm ~ 0 dBm です。デフォルト値は 0 dBm です。

(注)   

この機能は、すべての AP モードに適用できます。RSSI 値が非常に低く、不正の分析に有益な情報をもたらさない場合、不正が多数存在する可能性があります。したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

ステップ 10

次のコマンドを入力して、不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。

config rogue detection monitor-ap transient-rogue-interval time in sec

time in sec パラメータの有効な範囲は 120 秒~ 1800 秒です。デフォルト値は 0 です

(注)   

この機能は、監視モード AP にのみ適用されます。

一時的な間隔値を使用して、AP が不正をスキャンする間隔を制御できます。AP は、それぞれの一時的間隔値に基づいて、不正 AP のフィルタリングも実行できます。

この機能には次の利点があります。

  • AP からコントローラへの不正 AP レポートが短くなる。

  • 一時的不正エントリをコントローラで回避できる。

  • 一時的不正への不要なメモリ割り当てを回避できる。

ステップ 11

特定の不正なデバイスをコントローラで自動的に阻止するには、次のコマンドを入力します。

注意     

これらのコマンドのいずれかを入力すると、次のメッセージが表示されます。Using this feature may have legal consequences. Do you want to continue? 産業科学医療(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に公開されており、ライセンスを受けずに使用できます。したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

  • config rogue ap rldp enable auto-contain :有線ネットワークで検出された不正を自動的に封じ込めます。

  • config rogue ap ssid auto-contain :ネットワークの SSID をアドバタイズしている不正を自動的に封じ込めます。

    (注)   

    該当する不正が検出された場合にのみコントローラがアラームを生成するようにする場合は、config rogue ap ssid alarm コマンドを入力します。

  • config rogue ap valid-client auto-contain :信頼できるクライアントがアソシエートされる不正アクセス ポイントを自動的に封じ込めます。

    (注)   

    該当する不正が検出された場合にのみコントローラがアラームを生成するようにする場合は、config rogue ap valid-client alarm コマンドを入力します。

  • config rogue adhoc auto-contain :コントローラによって検出されたアドホック ネットワークを自動的に封じ込めます。

    (注)   

    該当するネットワークが検出された場合にのみコントローラがアラームを生成するようにする場合は、config rogue adhoc alert コマンドを入力します。

  • config rogue auto-contain level level monitor_mode_ap_only :モニタ モード アクセス ポイントに対して自動阻止レベルを設定します。デフォルト値は 1 です。レベルに 0 を入力すると、コントローラは有効な阻止に必要な AP の数を動的に選択します。

  • config rogue containment flexconnect {enable | disable }:スタンドアロンの FlexConnect アクセス ポイントに対して自動阻止オプションを設定します。
    (注)   

    AP が接続 FlexConnect モードのときに自動阻止を設定した場合、自動阻止は継続されます。スタンドアロン AP がコントローラに再アソシエートされると、自動阻止が停止して、以降のアクションは AP が関連付けられているコントローラの設定によって決まります。FlexConnect AP のアドホック SSID、および管理対象 SSID で自動阻止を設定することもできます。

  • config rogue containment auto-rate {enable | disable } :不正の封じ込めの自動レートを設定します。
ステップ 12

次のコマンドを入力して、アドホックの不正分類を設定します。

  • config rogue adhoc classify friendly state {internal | external } mac-addr
  • config rogue adhoc classify malicious state {alert | contain } mac-addr
  • config rogue adhoc classify unclassified state {alert | contain } mac-addr
次に、パラメータを簡単に説明します。

  • internal :外部アドホック不正を信頼します。

  • external :アドホック不正の存在を承認します。

  • alert :アドホック不正が検出された場合に、トラップを生成します。

  • contain :不正アドホックの封じ込めを開始します。

ステップ 13

次のコマンドを入力して、RLDP のスケジュールを設定します。

config rogue ap rldp schedule { add | delete | disable | enable }
  • add :特定の曜日に RLDP をスケジュールできるようにします。RLDP をスケジュールする曜日(mon tue wed など)を入力し、開始時刻と終了時刻を HH:MM:SS 形式で入力する必要があります。次に例を示します。config rogue ap rldp schedule add mon 22:00:00 23:00:00
  • delete :RLDP のスケジュールを削除できるようにします。日数を入力する必要があります。
  • disable :RLDP のスケジューリングを無効にするように設定します。
  • enable :RLDP のスケジューリングを有効にするように設定します。
(注)   

RLDP スケジュールを設定すると、それ以降、つまり設定の保存後にそのスケジュールが実行されるとみなされます。

ステップ 14

次のコマンドを入力して、変更を保存します。

save config

(注)   

サービス チャネルでの非モニタ AP に対する不正クライアントの検出は、8.1 リリースまでは行われていませんでした。リリース 8.1 から、WIPS サブモードが非モニタ AP で有効になっている場合のみ、サービス チャネルの不正クライアントが検出されます。

不正デバイスの分類

不正なアクセス ポイントの分類について

コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、Custom または Unclassified に分類して表示するルールを作成できます。カスタム タイプの場合、重大度スコアと分類の名前を指定する必要があります。

(注)  

手動分類と、auto-containment または rogue-on-wire の結果行われた分類は、不正ルールをオーバーライドします。不正な AP のクラスおよび/または状態を手動で変更し、不正ルールを AP に適用する場合、それを Unclassified および Alert 状態に変更する必要があります。


(注)  

不正デバイスを contained 状態(任意のクラス)か、friendly 状態に手動で移行させると、この情報はスタンバイ Cisco WLC のフラッシュ メモリに保存されますが、データベースは更新されません。HA のスイッチオーバーが発生すると、スタンバイ Cisco WLC のフラッシュ メモリからこの不正リストがロードされます。

デフォルトでは、いずれの分類ルールも有効になっていません。したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、Custom および Unclassified)にそのルールが適用されます。

1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。

また、クライアントカウント状態を除くアドホック不正に、不正ルールを適用できます。

不正アクセス ポイントのデータベース テーブルに格納できる不正クライアントの最大数は 256 です。

RSSI 不正ルール状態によって不正な AP またはアドホック不正が分類される場合、トリガーを生じた RSSI 値がコントローラの GUI/CLI に表示されます。コントローラには、トラップにある分類された RSSI、分類された AP MAC アドレス、およびルール名が含まれます。新しいトラップは、新しい分類が作成されるか、不正ルールによって状態が変更するたびに生成されますが、そのレートは不正な AP またはアドホック不正に対して 30 分ごとに制限されています。ただし、不正ルールによる阻止で状態が変更した場合、トラップは即座に送信されます。デフォルト以外の分類タイプ(Friendly、Malicious、および Custom 分類)に有効な値は、「classified by」、「classified at」、および「classified by rule name」です。未分類のタイプの場合、これらのフィールドは表示されません。

(注)  

不正ルールの RSSI 状態の場合、再分類は RSSI の変動が設定された RSSI 値の 2 dBm よりも多い場合にのみ行われます。

信頼できる不正ルールが条件として RSSI を使用して設定されている場合は、不正ルールが正しく機能しない可能性があります。その場合は、信頼できるルールで最大 RSSI が使用されており、適宜ルールが変更されることを見越してルールを変更する必要があります。

コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。

  1. コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。

  2. 未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。

  3. 不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。不正なアクセス ポイントがそれ以外に分類されており、Alert 状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。

  4. コントローラは、優先度の一番高いルールを適用します。不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。

  5. 不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。

  6. コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。

  7. 不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。その後、不正なアクセス ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。

  8. 必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。

表 1. 分類マッピング

ルール ベースの分類タイプ

不正の状態

Friendly

  • Internal:不明なアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。たとえば、ラボ ネットワーク内のアクセス ポイントなどです。

  • External:不明なアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

Malicious

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

Custom

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

Unclassified

  • Pending:最初の検出で、不明なアクセス ポイントは 3 分間 Pending 状態に置かれます。この間に、管理対象のアクセス ポイントでは、不明なアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

  • Contained Pending:不明なアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

不正アクセス ポイントの分類と状態は以下のように設定されています。

  • Known から Friendly、Internal

  • Acknowledged から Friendly、External

  • Contained から Malicious、Contained

不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

不正なアクセス ポイントの分類の制限

  • カスタム タイプの不正の分類は、不正ルールに関連付けられています。このため、不正を手動で Custom として分類することはできません。カスタム クラスの変更は、不正ルールが使用されている場合にのみ行われます。

  • 一部の は、不正分類の変更に対して、ルールによって 30 分ごとに封じ込めのために送信されます。カスタム分類の場合、最初のトラップはカスタム分類よりも前に存在していたため、そのトラップに重大度スコアは含まれません。不正が分類されると、30 分後に生成される後続のトラップから重大度スコアが取得されます。

  • 不正ルールは、優先順位に従って、コントローラ内の新しい着信不正レポートごとに適用されます。

  • 不正がより高い優先順位のルールを満たし、分類されると、同じレポートの優先順位リスト内で下位に下がることはありません。

  • 以前に分類された不正は、次の制限に従って、新しい不正レポートが作成されるたびに、再分類されます。

    • ルールによって Friendly に分類され、状態が ALERT に設定されている不正は、新しい不正レポートを受け取ると再分類が開始されます。

    • 不正が管理者によって Friendly に手動で分類されると、状態は INTERNAL になり、次に続く不正レポートで再分類されません。

    • 不正が Malicious に分類されると、その状態に関係なく、後続の不正レポートで再分類されません。

  • 一部の属性が新しい不正レポートで欠落している場合、複数の不正ルールによって、Friendly から Malicious に不正の状態が遷移する可能性があります。

  • どの不正ルールによっても、Malicious から他の分類に不正の状態が遷移することはありません。

  • 不正のクラス タイプが Unclassified に移動するまで不正デバイスを異なるクラス タイプ間で移動させると、そのデバイスの Contain または Alert へのステータス変更は機能しません。

  • 不正 AP が Friendly に分類されるつまり、その不正 AP は近くに存在する既知の AP であり、追跡する必要はないことを意味します。したがって、すべての不正 AP は Friendly な不正 AP に関連付けられている場合、削除されるか追跡されません。

不正分類ルールの設定(GUI)

手順

ステップ 1

[Security] > [Wireless Protection Policies] > [Rogue Policies] > [Rogue Rules] を選択して、[Rogue Rules] ページを開きます。

すでに作成されているすべてのルールが優先順位に従って一覧表示されます。各ルールの名前、タイプ、およびステータスが表示されます。

(注)   

ルールを削除するには、そのルールの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。

ステップ 2

次の手順を実行して、新しいルールを作成します。

  1. [Add Rule] をクリックします。[Add Rule] セクションがページ上部に表示されます。

  2. [Rule Name] テキスト ボックスに、新しいルールの名前を入力します。名前にはスペースを含めないでください。

  3. [Rule Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを [Friendly] または [Malicious] として分類します。

    • Friendly

    • Malicious

    • Custom

  4. [Notify] ドロップダウン リストから、ルールがマッチする場合の通知を [All]、[Global]、[Local]、または [None] に設定します。

    ルールの説明:

    • [All]:Cisco WLC および Cisco Prime Infrastructure などのトラップの受信者に通知します。

    • [Global]:Cisco Prime Infrastructure などのトラップの受信者だけに通知します。

    • [Local]:Cisco WLC だけに通知します。

    • [None]:通知は送信されません。

    (注)   
    [Rogue Rule Notification] のオプション [All]、[Global]、[Local]、および [None] は、次の不正トラップだけを制御できます。

    • Rogue AP Detected (Rogue AP: XX:XX:XX:XX:XX:XX detected on Base Radio MAC: XX:XX:XX:XX:XX:XX Interface no: 0(1) Channel: 6 RSSI: 45 SNR: 10 Classification: unclassified, State: alert, RuleClassified : unclassified, Severity Score: 100, RuleName: rule1, Classified AP MAC: XX:XX:XX:XX:XX:XX, Classified RSSI: 45)

    • Rogue Adhoc Detected (Adhoc Rogue : XX:XX:XX:XX:XX:XX detected on Base Radio MAC : XX:XX:XX:XX:XX:XX Interface no: 0(1) on Channel 6 with RSSI: 45 and SNR: 10 Classification: unclassified, State: alert, RuleClassified: unclassified, Severity Score: 100, RuleName: rule1,Classified APMAC: XX:XX:XX:XX:XX:XX, Classified RSSI: 45)

    • Rogue AP contained (Rogue AP: Rogue with MAC Address: XX:XX:XX:XX:XX:XX has been contained due to rule with containment Level : 1)

    • Rogue AP clear contained (Rogue AP: Rogue with MAC Address: XX:XX:XX:XX:XX:XX is no longer contained due to rule

  5. [State] ドロップダウン リストから、ルールがマッチする場合の不正な AP の状態を構成します。

  6. [Rule Type] を [Custom] に選択する場合、[Severity Score] と [Classification Name] に入力します。

  7. [Add] をクリックして既存のルール リストにこのルールを追加するか、[Cancel] をクリックしてこの新しいルールを破棄します。

ステップ 3

次の手順を実行して、ルールを編集します。

  1. 編集するルールの名前をクリックします。[Rogue Rule] > [Edit] ページが表示されます。

  2. [Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを分類します。

    • Friendly

    • Malicious

    • Custom

  3. [Notify] ドロップダウン リストから、ルールがマッチする場合の通知を [All]、[Global]、[Local]、または [None] に設定します。

  4. [State] ドロップダウン リストから、ルールがマッチする場合の不正な AP の状態を構成します。

  5. [Match Operation] テキスト ボックスから、次のいずれかを選択します。

    [Match All]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定されたすべての条件を満たしている場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。

    [Match Any]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定された条件のいずれかを満たす場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。これはデフォルト値です。

  6. このルールを有効にするには、[Enable Rule] チェックボックスをオンにします。デフォルト値はオフです。

  7. [Rule Type] を [Custom] に選択する場合、[Severity Score] と [Classification Name] に入力します。

  8. [Add Condition] ドロップダウン リストで、不正なアクセス ポイントが満たす必要がある次の条件から 1 つまたは複数を選択し、[Add Condition] をクリックします。

    • [SSID]不正なアクセス ポイントには、特定のユーザ設定 SSID が必要です。このオプションを選択する場合は、[User Configured SSID] テキスト ボックスに SSID を入力し、[Add SSID] をクリックします。
      (注)   

      SSID を削除するには、SSID を強調表示して [Remove] をクリックします。

    • [RSSI]:不正なアクセス ポイントには、最小の受信信号強度インジケータ(RSSI)値が必要です。たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、[Minimum RSSI] テキスト ボックスに最小 RSSI 値を入力します。 有効な範囲は 0 ~ -128 dBm(両端の値を含む)です。

    • [Duration]不正なアクセス ポイントが最小期間検出される必要があります。このオプションを選択する場合は、[Time Duration] テキスト ボックスに最小検出期間の値を入力します。有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

    • [Client Count]不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、[Minimum Number of Rogue Clients] テキスト ボックスに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

    • [No Encryption]:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。不正なアクセス ポイントの暗号化が無効になっている場合、より多くのクライアントがそのアクセス ポイントに対してアソシエートを試行します。このオプションに関して、これ以外の設定を行う必要はありません。

      (注)   

      Cisco Prime Infrastructure は、このオプションを「Open Authentication(オープンな認証)」と呼んでいます。

    • [Managed SSID]:不正なアクセス ポイントの管理対象 SSID(WLAN に設定された SSID)がコントローラで認識される必要があります。このオプションに関して、これ以外の設定を行う必要はありません。
      (注)   

      SSID および管理対象 SSID の 2 つのリストは相互に排他的であるため、[SSID] および [Managed SSID] の条件を [Match All] 操作で使用することはできません。[Match All] を使用してルールを定義し、これら 2 つの条件を設定した場合は、いずれかの条件が満たされないので、不正なアクセス ポイントが Friendly または Malicious に分類されることはありません。

      1 つのルールにつき最大 6 つの条件を追加できます。条件を追加すると、[Conditions] セクションにその条件が表示されます。

      (注)   

      条件を削除するには、その条件の青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。

    • [SSID Wildcard]:不正なアクセス ポイントに特定のユーザ設定 SSID のサブストリングが存在する必要があります。コントローラは同じ発生パターン内でサブ文字列を検索し、サブ文字列が SSID の文字列全体で見つかった場合はその一致を返します。

  9. [Apply] をクリックします。

ステップ 4

[Save Configuration] をクリックします。

ステップ 5

不正分類ルールを適用する順序を変更する場合の手順は、次のとおりです。

  1. [Back] をクリックして、[Rogue Rules] ページに戻ります。

  2. [Change Priority] をクリックして、[Rogue Rules > Priority] ページにアクセスします。

    不正ルールが優先順位に従って [Change Rules Priority] テキスト ボックスに表示されます。

  3. 優先順位を変更するルールを強調表示し、[Up] をクリックしてリスト内の順位を上げるか、[Down] をクリックしてリスト内の順位を下げます。

  4. 目的の順位になるまで、ルールを上または下に移動します。

  5. [Apply] をクリックします。

ステップ 6

次の手順を実行して、任意の不正なアクセス ポイントを Friendly に分類し、危険性のない MAC アドレス リストに追加します。

  • [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Friendly Rogue] の順に選択して、[Friendly Rogue > Create] ページにアクセスします。
  • [MAC Address] テキスト ボックスに、危険性のない不正なアクセス ポイントの MAC アドレスを入力します。
  • [Apply] をクリックします。
  • [Save Configuration] をクリックします。このアクセス ポイントは、コントローラの、危険性のないアクセス ポイントのリストに追加され、[Friendly Rogue APs] ページに表示されます。

不正なデバイスの表示および分類(GUI)

始める前に


注意    

contain a rogue device を選択した場合、次の警告が表示されます。「There may be legal issues following this containment. Are you sure you want to continue?」産業科学医療(ISM)帯域の 2.4 GHz- および 5 GHz の周波数は公開されており、ライセンスを受けずに使用できます。したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。

手順

ステップ 1

[Monitor] > [Rogues] の順に選択します。

ステップ 2

次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。

  • Friendly APs

  • Malicious APs

  • Unclassified APs

  • Custom APs

不正な AP の各ページには、不正アクセス ポイントの MAC アドレスと SSID、チャネル番号、不正なアクセス ポイントが検出された無線の数、不正アクセス ポイントに接続しているクライアントの数、および不正アクセス ポイントの現在のステータスの情報が含まれます。

(注)   

データベースから認識済みの不正を削除するには、不正状態を Alert に変更します。不正が存在しなくなれば、不正データが 20 分以内にデータベースから削除されます。

(注)   

これらのいずれかのページから不正なアクセス ポイントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] をクリックします。複数の不正なアクセス ポイントを削除するには、削除対象の行に該当するチェックボックスをオンにし、[Remove] をクリックします。

(注)   
それぞれのページで [Move to Alert] ボタンをクリックして、阻止されているまたは阻止された悪意のある未分類の不正 AP を Alert 状態に戻すことができます。
ステップ 3

不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。[Rogue AP Detail] ページが表示されます。

このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。

[Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。

  • [Friendly]ユーザ定義の Friendly ルールと一致した不明なアクセス ポイント、または既知の不正なアクセス ポイント。危険性のないアクセス ポイントは阻止することができません。

  • [Malicious]ユーザ定義の Malicious ルールと一致した不明なアクセス ポイント、またはユーザが Friendly または Unclassified 分類タイプから手動で移動した不明なアクセス ポイント。

    (注)   

    アクセス ポイントが Malicious に分類されると、その後でそのアクセス ポイントにルールを適用することはできなくなります。また、別の分類タイプに移動することもできません。危険性のあるアクセス ポイントを Unclassified 分類タイプに移動する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

  • [Unclassified]ユーザ定義の Friendly または Malicious ルールと一致しない不明なアクセス ポイント。未分類のアクセス ポイントは阻止することができます。また、このアクセス ポイントは、ユーザ定義のルールに従って自動的に、またはユーザが手動で、Friendly または Malicious 分類タイプに移動できます。

  • [Custom]:不正ルールに関連付けられている、ユーザ定義の分類タイプ。 手動で不正を Custom に分類することはできません。カスタム クラスの変更は不正ルールを使用する場合にのみ行えます。

ステップ 4

このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。

(注)   

不正なアクセス ポイントの現在の状態が [Contain] である場合、そのアクセス ポイントは移動できません。

ステップ 5

[Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。

  • [Internal]コントローラはこの不正なアクセス ポイントを信頼します。このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

  • [External]コントローラはこの不正なアクセス ポイントの存在を認識します。このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

  • [Contain]コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

  • [Alert]コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。

ステップ 6

[Apply] をクリックします。

ステップ 7

[Save Configuration] をクリックします。

ステップ 8

コントローラに接続された不正なクライアントを表示するには、[Rogue Clients] を選択します。[Rogue Clients] ページが表示されます。このページには、不正なクライアントの MAC アドレス、不正なクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID、不正なクライアントが検出された無線の数、不正なクライアントが最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。

ステップ 9

不正なクライアントの詳細情報を取得するには、そのクライアントの MAC アドレスをクリックします。[Rogue Client Detail] ページが表示されます。

このページには、不正なクライアントの MAC アドレス、このクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID および IP アドレス、不正なクライアントが最初および最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。
ステップ 10

[Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なクライアントに対するコントローラの応答方法を指定します。

  • [Contain]コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

  • [Alert]コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

ページの下部には、この不正なクライアントが検出されたアクセス ポイントに関する情報が提供されます。

ステップ 11

[Apply] をクリックします。

ステップ 12

必要に応じて [Ping] をクリックすると、このクライアントへのコントローラの接続をテストできます。

ステップ 13

[Save Configuration] をクリックします。

ステップ 14

コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues] を選択します。[Adhoc Rogues] ページが表示されます。

このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。

ステップ 15

アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。[Adhoc Rogue Detail] ページが表示されます。

このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。

ステップ 16

[Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。

  • [Contain]コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

  • [Alert]コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

  • [Internal]コントローラはこの不正なアクセス ポイントを信頼します。

  • [External]コントローラはこの不正なアクセス ポイントの存在を認識します。

ステップ 17

[Maximum number of APs to contain the rogue] ドロップダウン リストから、[1]、[2]、[3]、[4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。

ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。

  • 1:対象の不正なアクセス ポイントが 1 つのアクセス ポイントで阻止されることを指定します。これは最も低い阻止レベルです。

  • 2:対象の不正なアクセス ポイントが 2 つのアクセス ポイントで阻止されることを指定します。

  • 3:対象の不正なアクセス ポイントが 3 つのアクセス ポイントで阻止されることを指定します。

  • 4:対象の不正なアクセス ポイントが 4 つのアクセス ポイントで阻止されることを指定します。これは最も高い阻止レベルです。

ステップ 18

[Apply] をクリックします。

ステップ 19

[Save Configuration] をクリックします。

ステップ 20

無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List] を選択します。[Rogue AP Ignore-List] ページが表示されます。

このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。不正無視リストには、ユーザが Cisco Prime Infrastructure マップに手動で追加した任意の Autonomous アクセス ポイントのリストが含まれています。コントローラでは、これらの Autonomous アクセス ポイントが、Prime Infrastructure によって管理されていても不正と見なされます。不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。このリストは次のように更新されます。

  • コントローラは、不正レポートを受信すると、不明なアクセス ポイントが不正無視アクセス ポイント リストに存在するかどうかを確認します。

  • 不明なアクセス ポイントが不正無視リストに存在する場合、コントローラはこのアクセス ポイントを無視して他の不正なアクセス ポイントの処理を続けます。

  • 不明なアクセス ポイントが不正無視リストにない場合、コントローラは Prime Infrastructure にトラップを送信します。Prime Infrastructure が Autonomous アクセス ポイントにこのアクセス ポイントを検出した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストに追加するためのコマンドをコントローラに送信します。このアクセス ポイントは、今後の不正レポートで無視されるようになります。

  • ユーザが Prime Infrastructure から Autonomous アクセス ポイントを削除した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストから削除するコマンドをコントローラに送信します。

不正分類ルールの設定(CLI)

手順

ステップ 1

次のコマンドを入力して、ルールを作成します。

config rogue rule add ap priority priority classify {friendly | malicious } rule-name

後でこのルールの優先順位を変更し、それに従ってリスト内の他の順番も変更する場合は、config rogue rule priority priority rule-name コマンドを入力します。

後でこのルールの分類を変更する場合は、config rogue rule classify {friendly | malicious } rule-name コマンドを入力します。

すべての不正分類ルールまたは特定のルールを削除する場合は、{config rogue rule delete {all | rule-name} コマンドを入力します。

ステップ 2

次のコマンドを入力して、ルールを作成します。

  • 次のコマンドを入力して、Friendly 不正のルールを設定します。

    config rogue rule add ap priority priority classify friendly notify {all | global | local | none } state {alert | internal | external | delete } rule-name

  • 次のコマンドを入力して、Malicious 不正のルールを設定します。

    config rogue rule add ap priority priority classify malicious notify {all | global | local | none } state {alert | contain | delete } rule-name

  • 次のコマンドを入力して、Custom 不正のルールを設定します。

    config rogue rule add ap priority priority classify custom severity-score classification-name notify {all | global | local | none } state {alert | contain | delete } rule-name

後でこのルールの優先順位を変更し、それに従ってリスト内の他の順番も変更する場合は、config rogue rule priority priority rule-name コマンドを入力します。

後でこのルールの分類を変更する場合は、config rogue rule classify {friendly | malicious | custom severity-score classification-name} rule-name コマンドを入力します。

すべての不正分類ルールまたは特定のルールを削除する場合は、{config rogue rule delete {all | rule-name} コマンドを入力します。

ステップ 3

次のコマンドを入力して、ルールに基づき、不正 AP の状態を設定します。

config rogue rule state {alert | contain | internal | external | delete } rule-name

ステップ 4

次のコマンドを入力して、ルール マッチの通知を設定します。

config rogue rule notify {all | global | local | none } rule-name

ステップ 5

次のコマンドを入力して、すべてのルールまたは特定のルールを無効にします。

config rogue rule disable {all | rule_name}

(注)   

ルールの属性を変更する前にルールを無効にする必要があります。

ステップ 6

次のコマンドを入力して、不正なアクセス ポイントが満たす必要があるルールに条件を追加します。

config rogue rule condition ap set condition_type condition_value rule_name

利用可能な状態の種類は、次のとおりです。

  • ssid :不正なアクセス ポイントには、特定の SSID が必要です。コントローラによって管理されない SSID を追加する必要があります。このオプションを選択する場合は、condition_value パラメータに SSID を入力します。SSID はユーザ設定の SSID リストに追加されます。

    (注)   

    ユーザ設定の SSID リストからすべての SSID または特定の SSID を削除する場合は、config rogue rule condition ap delete ssid {all | ssid } rule_name コマンドを入力します。

    (注)   

    部分文字列は、SSID の全部または一部で指定する必要があります(アスタリスクなし)。この部分文字列は、不正 AP SSID の発生に同じシーケンスで一致します。条件が満たされると、(OR または AND 一致条件に応じて)不正 AP が分類されます。

  • rssi :不正アクセス ポイントには、最小の RSSI 値が必要です。たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、condition_value パラメータに最小 RSSI 値を入力します。

    リリース 8.0 以降のリリースでは、信頼できる不正ルールのために、最大 RSSI 値を設定する必要があります。不正 AP が危険性のない不正として分類されるようにするには、不正 AP の RSSI 値を、設定された RSSI 値より小さくする必要があります。悪意のある不正ルールとカスタム不正ルールに関しては、機能の変更はありません。

    たとえば、危険性のない不正ルールでは、RSSI 値が –80 dBm に設定されます。RSSI 値が –80 dBm 未満の検出されたすべての不正 AP が、危険性のない不正として分類されます。悪意のある不正ルーツとカスタム不正ルールでは、RSSI 値が –80 dBm に設定されます。RSSI 値が –80 dBm 超の検出されたすべての不正 AP が、悪意のあるまたはカスタム不正 AP として分類されます。

  • duration :不正アクセス ポイントが最小期間で検出される必要があります。このオプションを選択する場合は、condition_value パラメータに最小検出期間の値を入力します。有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

  • client-count :不正アクセス ポイントに最小数のクライアントがアソシエートされている必要があります。たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。このオプションを選択する場合は、condition_value パラメータに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

  • managed-ssid :不正アクセス ポイントの SSID がコントローラで認識される必要があります。このオプションには condition_value パラメータは必要ありません。

    (注)   

    1 つのルールにつき最大 6 つの条件を追加できます。ルールからすべての条件または特定の条件を削除する場合は、config rogue rule condition ap delete all condition_type condition_value rule_name コマンドを入力します。

  • wildcard-ssid :不正アクセス ポイントに特定のユーザ設定 SSID のワイルドカードが割り当てられている必要があります。サブストリングが SSID の全文字列内で検出されると、コントローラは同じ発生パターンのワイルドカードを検索して一致を返します。
ステップ 7

検出された不正なアクセス ポイントがルールに一致しているとみなされ、そのルールの分類タイプが適用されるためには、ルールで指定されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

config rogue rule match {all | any } rule_name

ステップ 8

次のコマンドを入力して、すべてのルールまたは特定のルールを有効にします。

config rogue rule enable {all | rule_name }
(注)   

変更を有効にするには、ルールを有効にする必要があります。

ステップ 9

次のコマンドを入力して、新しい危険性のないアクセス ポイント エントリを危険性のない MAC アドレスのリストに追加したり、リストから既存の危険性のないアクセス ポイント エントリを削除したりします。

config rogue ap friendly {add | delete } ap_mac_address

ステップ 10

次のコマンドを入力して、変更を保存します。

save config

ステップ 11

次のコマンドを入力して、コントローラ上に設定されている不正分類ルールを表示します。

show rogue rule summary
ステップ 12

次のコマンドを入力して、特定の不正分類ルールの詳細情報を表示します。

show rogue rule detailed rule_name

不正なデバイスの表示および分類(CLI)

手順

  • 次のコマンドを入力して、コントローラによって検出されたすべての不正なアクセス ポイントのリストを表示します。

    show rogue ap summary

  • 次のコマンドを入力して、コントローラによって検出された危険性のない不正なアクセス ポイントのリストを表示します。

    show rogue ap friendly summary

  • 次のコマンドを入力して、コントローラによって検出された危険性のある不正なアクセス ポイントのリストを表示します。

    show rogue ap malicious summary

  • 次のコマンドを入力して、コントローラによって検出された未分類の不正なアクセス ポイントのリストを表示します。

    show rogue ap unclassified summary

  • 次のコマンドを入力して、特定の不正なアクセス ポイントに関する詳細情報を表示します。

    show rogue ap detailed ap_mac_address

  • 次のコマンドを入力して、特定の 802.11a/n/ac 無線に関する不正レポート(各種チャネル幅で検出された不正なデバイスの数を示す)を表示します。

    show ap auto-rf 802.11a Cisco_AP

  • 次のコマンドを入力して、不正なアクセス ポイントにアソシエートされているすべての不正なクライアントのリストを表示します。

    show rogue ap clients ap_mac_address

  • 次のコマンドを入力して、コントローラによって検出されたすべての不正なクライアントのリストを表示します。

    show rogue client summary

  • 次のコマンドを入力して、特定の不正なクライアントに関する詳細情報を表示します。

    show rogue client detailed Rogue_AP client_mac_address

  • 次のコマンドを入力して、コントローラによって検出されたすべてのアドホック不正のリストを表示します。

    show rogue adhoc summary

  • 次のコマンドを入力して、特定のアドホック不正に関する詳細情報を表示します。

    show rogue adhoc detailed rogue_mac_address

  • 次のコマンドを入力して、分類に基づいてアドホック不正の要約を表示します。

    show rogue adhoc {friendly | malicious | unclassified } summary

  • 次のコマンドを入力して、無視するように設定されている不正なアクセス ポイントのリストを表示します。

    show rogue ignore-list

  • 次のコマンドを入力して、不正なアクセス ポイントを Friendly に分類します。

    config rogue ap classify friendly state {internal | external } ap_mac_address

    値は次のとおりです。

    internal は、コントローラがこの不正なアクセス ポイントを信頼することを意味します。

    external は、コントローラがこの不正なアクセス ポイントの存在を承認することを意味します。


    (注)  

    不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Friendly クラスに移動することはできません。

  • 次のコマンドを入力して、不正なアクセス ポイントに Malicious のマークを付けます。

    config rogue ap classify malicious state {alert | contain } ap_mac_address

    値は次のとおりです。

    alert は、コントローラからシステム管理者に更なる処理を行うよう即時に警告が転送されることを意味します。

    contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを意味します。


    (注)  

    不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Malicious クラスに移動することはできません。

  • 次のコマンドを入力して、不正なアクセス ポイントに Unclassified のマークを付けます。

    config rogue ap classify unclassified state {alert | contain } ap_mac_address


    (注)  

    現在の状態が Contain の場合、不正なアクセス ポイントは Unclassified クラスに移動できません。

    alert は、コントローラからシステム管理者に更なる処理を行うよう即時に警告が転送されることを意味します。

    contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを意味します。

  • 次のコマンドを入力して、アドホック不正の阻止に使用するアクセス ポイントの最大数を選択します。

    config rogue ap classify unclassified state contain rogue_ap_mac_address 1、2、3、または 4

    • 1:対象の不正なアクセス ポイントが 1 つのアクセス ポイントで阻止されることを指定します。これは最も低い阻止レベルです。

    • 2:対象の不正なアクセス ポイントが 2 つのアクセス ポイントで阻止されることを指定します。

    • 3:対象の不正なアクセス ポイントが 3 つのアクセス ポイントで阻止されることを指定します。

    • 4:対象の不正なアクセス ポイントが 4 つのアクセス ポイントで阻止されることを指定します。これは最も高い阻止レベルです。

  • 次のコマンドのいずれかを入力して、不正なクライアントに対するコントローラの応答方法を指定します。

    config rogue client alert client_mac_address :コントローラからシステム管理者にさらなる処理を行うよう即時に警告が転送されます。

    config rogue client contain client_mac_address :コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が認証されたクライアントに干渉しないようになります。

  • 次のコマンドのいずれかを入力して、アドホック不正に対するコントローラの応答方法を指定ます。

    config rogue adhoc alert rogue_mac_address :コントローラからシステム管理者にさらなる処理を行うよう即時に警告が転送されます。

    config rogue adhoc contain rogue_mac_address :コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が認証されたクライアントに干渉しないようになります。

    config rogue adhoc external rogue_mac_address :コントローラによって、このアドホック不正の存在が認識されます。

  • 次のいずれかのコマンドを入力して、アドホック不正の分類を設定します。

    • Friendly 状態:config rogue adhoc classify friendly state {internal | external } mac-addr
    • Malicious 状態:config rogue adhoc classify malicious state {alert | contain } mac-addr
    • Unclassified 状態:config rogue adhoc classify unclassified state {alert | contain } mac-addr

  • 次のコマンドを入力して、カスタム不正 AP 情報の要約を表示します。

    show rogue ap custom summary

  • 次のコマンドを入力して、カスタム アドホック不正情報を表示します。

    show rogue adhoc custom summary

  • 次のコマンドを入力して、不正な AP を削除します。

    config rogue ap delete {class | all | mac-addr}

  • 次のコマンドを入力して、不正なクライアントを削除します。

    config rogue client delete {state | all | mac-addr}

  • 次のコマンドを入力して、アドホック不正を削除します。

    config rogue adhoc delete {class | all | mac-addr}

  • 次のコマンドを入力して、変更を保存します。

    save config

Cisco Intrusion Detection System

Cisco Intrusion Detection System について

Cisco Intrusion Detection System/Intrusion Prevention System(CIDS/IPS)は、特定のクライアントに関わる攻撃がレイヤ 3 ~ レイヤ 7 で検出されたとき、これらのクライアントによるワイヤレス ネットワークへのアクセスをブロックするよう、コントローラに指示します。このシステムは、ワーム、スパイウェア/アドウェア、ネットワーク ウイルス、およびアプリケーションの不正使用などの脅威の検出、分類、阻止を支援することにより、強力なネットワーク保護を提供します。潜在的な攻撃を検出するには 2 つの方法があります。

  • IDS センサー

  • IDS シグニチャ

ネットワークのさまざまなタイプの IP レベル攻撃を検出するように、IDS センサーを設定することができます。センサーで攻撃が特定されたら、違反クライアントを回避(shun)するよう、コントローラに警告することができます。新しく IDS センサーを追加したときは、コントローラをその IDS センサーに登録し、回避クライアントのリストをセンサーから取得できるようにします。

回避クライアント

IDS センサーは、疑わしいクライアントを検出すると、コントローラにこのクライアントを回避するよう警告します。回避エントリは、同じモビリティ グループ内のすべてのコントローラに配信されます。回避すべきクライアントが現在、このモビリティ グループ内のコントローラに join している場合、アンカー コントローラはこのクライアントを動的除外リストに追加し、外部コントローラはクライアントを切り離します。次回、このクライアントがコントローラに接続を試みた場合、アンカー コントローラはハンドオフを拒否し、外部コントローラにクライアントを除外することを通知します。

IDS センサーの設定(GUI)

手順

ステップ 1

[Security] > [Advanced] > [CIDS] > [Sensors] の順に選択して、[CIDS Sensors List] ページを開きます。

(注)   

既存のセンサーを削除するには、そのセンサーの青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。

ステップ 2

リストに新しい IDS センサーを追加するには、[New] をクリックします。[CIDS Sensor Add] ページが表示されます。

ステップ 3

[Index] ドロップダウン リストから数字(1 ~ 5)を選択し、コントローラで IDS センサーが検索される順序を決定します。たとえば、1 を選択した場合には、コントローラは最初にこの IDS センサーを検索します。

Cisco WLC は最大 5 つの IDS センサーをサポートします。

ステップ 4

[Server Address] テキスト ボックスに、IDS サーバの IP アドレスを入力します。

ステップ 5

[Port] テキスト ボックスに、コントローラが IDS センサーとの通信に使用する必要がある HTTPS ポートの番号を入力します。

センサーはデフォルトで 443 を使用して通信するので、このパラメータを 443 に設定することをお勧めします。デフォルト値は 443 で、範囲は 1 ~ 65535 です。

ステップ 6

[Username] テキスト ボックスに、コントローラが IDS センサーの認証に使用するユーザ名を入力します。

(注)   
このユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。
ステップ 7

[Password] テキスト ボックスと [Confirm Password] テキスト ボックスに、コントローラが IDS センサーの認証に使用するパスワードを入力します。

ステップ 8

[Query Interval] テキスト ボックスに、コントローラが IDS サーバで IDS イベントをクエリーする間隔(秒単位)を入力します。

デフォルトは 60 秒で、範囲は 10 ~ 3600 秒です。

ステップ 9

[State] チェックボックスをオンにしてコントローラをこの IDS センサーに登録するか、このチェックボックスをオフにして登録を解除します。デフォルト値は [disabled] です。

ステップ 10

[Fingerprint] テキスト ボックスに、40 桁の 16 進数文字のセキュリティ キーを入力します。このキーは、センサーの有効性の確認、およびセキュリティ攻撃の防止に使用されます。

(注)   

キー内にコロンが 2 バイト間隔で表記されるようにしてください。たとえば AA:BB:CC:DD のように入力します。

ステップ 11

[Apply] をクリックします。[CIDS Sensors List] ページのセンサーのリストに新しい IDS センサーが表示されます。

ステップ 12

[Save Configuration] をクリックします。

回避クライアントの表示(GUI)

手順

ステップ 1

[Security] > [Advanced] > [CIDS] > [Shunned Clients] の順に選択して、[CIDS Shun List] ページを開きます。

このページには、各回避クライアントの IP アドレスと MAC アドレス、IDS センサーの要求に応じてコントローラがクライアントのデータ パケットをブロックする期間、およびクライアントを検出した IDS センサーの IP アドレスが表示されます。
ステップ 2

必要に応じて [Re-sync] をクリックし、リストを削除およびリセットします。

(注)   

コントローラは、対応するタイマーが期限切れになっても、回避エントリに何も処理を行いません。回避エントリ タイマーは、表示用としてのみ保持されます。回避エントリはコントローラが IPS サーバをポーリングするたびにクリーン アップされます。CIDS IPS サーバに接続できない場合、回避エントリはコントローラでタイム アウトが生じても削除されません。回避エントリは、CIDS IPS サーバが再び動作し、コントローラが CIDS IPS サーバをポーリングするときにのみクリーンアップされます。

IDS センサーの設定(CLI)

手順

ステップ 1

次のコマンドを入力して、IDS センサーを追加します。

config wps cids-sensor add index ids_ip_address username password。
index パラメータは、コントローラで IDS センサーが検索される順序を決定します。コントローラでは最大 5 つの IDS センサーをサポートします。数字(1 ~ 5)を入力してこのセンサーの優先順位を決定します。たとえば、1 を入力した場合には、コントローラは最初にこの IDS センサーを検索します。
(注)   
ユーザ名は IDS センサーに設定されており、少なくとも読み取り専用権限を持っている必要があります。
ステップ 2

(オプション)次のコマンドを入力して、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号を指定します。

config wps cids-sensor port index port

port-number パラメータには、1 ~ 65535 の値を入力することができます。デフォルト値は 443 です。この手順は任意であり、デフォルト値の 443 を使用することをお勧めします。デフォルトでは、センサーはこの値を使用して通信します。
ステップ 3

次のコマンドを入力して、コントローラが IDS センサーで IDS イベントをクエリーする間隔を指定します。

config wps cids-sensor interval index interval

interval パラメータには、10 ~ 3600 秒の値を入力することができます。デフォルト値は 60 秒です。
ステップ 4

次のコマンドを入力して、センサーの有効性の確認に使用する 40 桁の 16 進数文字から成るセキュリティ キーを入力します。

config wps cids-sensor fingerprint index sha1 fingerprint

センサーのコンソール上で show tls fingerprint と入力すると、フィンガープリントの値を取得できます。
(注)   
キー内にコロン(:)が 2 バイト間隔で表記されるようにしてください(たとえば、AA:BB:CC:DD)。
ステップ 5

次のコマンドを入力して、IDS センサーへのこのコントローラの登録を有効または無効にします。

config wps cids-sensor {enable | disable } index
ステップ 6

次のコマンドを入力して、DoS 攻撃からの保護を有効または無効にします。

デフォルト値は [disabled] です。

(注)   
潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように IDS を誘導する場合があります。それによって、コントローラはこの正規のクライアントの接続を誤って解除し、DoS 攻撃が開始されます。自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。
ステップ 7

次のコマンドを入力して、設定を保存します。

save config
ステップ 8

次のコマンドのいずれかを入力して、IDS センサーの設定を表示します。

  • show wps cids-sensor summary

  • show wps cids-sensor detail index

ステップ 9

2 つ目のコマンドは、1 つ目のコマンドよりも詳細な情報を提供します。
ステップ 10

次のコマンドを入力して、自動免疫設定の情報を表示します。

show wps summary

以下に類似した情報が表示されます。


Auto-Immune
  Auto-Immune.................................... Disabled

Client Exclusion Policy
  Excessive 802.11-association failures.......... Enabled
  Excessive 802.11-authentication failures....... Enabled
  Excessive 802.1x-authentication................ Enabled
  IP-theft....................................... Enabled
  Excessive Web authentication failure........... Enabled
Signature Policy
  Signature Processing........................... Enabled

ステップ 11

次のコマンドを入力して、IDS センサー設定に関連するデバッグ情報を取得します。

debug wps cids enable
(注)   

センサーの設定を削除または変更するには、まず config wps cids-sensor disable index コマンドを入力して設定を無効にする必要があります。そのあと、センサーを削除するには、config wps cids-sensor delete index コマンドを入力します。

回避クライアントの表示(CLI)

手順

ステップ 1

次のコマンドを入力して、回避すべきクライアントのリストを表示します。

show wps shun-list
ステップ 2

次のコマンドを入力して、コントローラを、この回避リストに対応するモビリティ グループ内の他のコントローラに同期させます。

config wps shun-list re-sync
(注)   

コントローラは、対応するタイマーが期限切れになっても、回避エントリに何も処理を行いません。回避エントリ タイマーは、表示用としてのみ保持されます。回避エントリはコントローラが IPS サーバをポーリングするたびにクリーン アップされます。CIDS IPS サーバに接続できない場合、回避エントリはコントローラでタイム アウトが生じても削除されません。回避エントリは、CIDS IPS サーバが再び動作し、コントローラが CIDS IPS サーバをポーリングするときにのみクリーンアップされます。

IDS シグネチャ

IDS シグニチャについて

コントローラ上で、IDS シグニチャ、または受信する 802.11 パケットにおけるさまざまなタイプの攻撃を識別するのに使用されるビット パターンのマッチング ルールを設定することができます。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。攻撃が検出されると、適切な緩和措置が開始されます。

シスコでは 17 の標準シグニチャをサポートしています。これらのシグニチャは 6 つの主要なグループに分かれます。初めの 4 つのグループには管理シグニチャが含まれており、後の 2 つのグループにはデータ シグニチャが含まれます。

  • ブロードキャスト認証解除フレーム シグニチャ:ブロードキャスト認証解除フレーム攻撃において、ハッカーは別のクライアントのブロードキャスト MAC 宛先アドレスに対して 802.11 認証解除フレームを送信します。この攻撃により、宛先クライアントは接続アクセス ポイントから強制的にアソシエーション解除させられ、ネットワークの接続断が発生します。この処理が繰り返されると、クライアントでサービス利用ができない状態が発生します。ブロードキャスト認証解除フレーム シグニチャ(優先順位 1)を使用してそのような攻撃を検出する場合、アクセス ポイントでは、シグニチャの特性と一致するクライアント送信ブロードキャスト認証解除フレームがリッスンされます。アクセス ポイントは、そのような攻撃を検出すると、コントローラに警告を送ります。システムの設定に応じて、危険性のあるデバイスが封じ込められて、そのデバイスの信号が認可されたクライアントに干渉しないようにされるか、コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されるか、または、その両方が実行されます。

  • NULL プローブ応答シグニチャ:NULL プローブ応答攻撃において、ハッカーは無線クライアント アダプタに NULL プローブ応答を送信します。結果として、クライアント アダプタがロックされます。NULL プローブ応答シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントはワイヤレス クライアントを特定し、コントローラに警告を送ります。NULL プローブ応答シグニチャを次に示します。

    • NULL probe resp 1(優先順位 2)

    • NULL probe resp 2(優先順位 3)


    (注)  

    コントローラは、Signature Events Summary 出力内に履歴 NULL プローブ IDS イベントを記録しません。

  • 管理フレーム フラッドシグニチャ:管理フレーム フラッド攻撃において、ハッカーはアクセス ポイントに大量の 802.11 管理フレームを送り付けます。その結果、アクセス ポイントにアソシエートしている、もしくはアソシエートを試みているすべての端末に対して、サービス利用ができない状態が発生します。この攻撃は、アソシエーション要求、認証要求、再アソシエーション要求、プローブ要求、アソシエーション解除要求、認証解除要求、予約管理サブタイプなど、さまざまなタイプの管理フレームを使用して実行されます。

    管理フレーム フラッド シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントによって、シグニチャのすべての特性と一致する管理フレームが特定されます。これらのフレームの検出頻度が、シグニチャで設定された閾値より大きくなると、これらのフレームを受信するアクセス ポイントによって警告が送信されます。コントローラはトラップを生成し、それを Cisco Prime Infrastructure に転送します。

    管理フレーム フラッド シグニチャを次に示します。

    • Assoc flood(優先順位 4)

    • Auth flood(優先順位 5)

    • Reassoc flood(優先順位 6)

    • Broadcast probe flood(優先順位 7)

    • Disassoc flood(優先順位 8)

    • Deauth flood(優先順位 9)

    • Reserved mgmt 7(優先順位 10)

    • Reserved mgmt F(優先順位 11)

      予約管理フレーム シグニチャ(Reserved mgmt )7 および F は、将来使用するために予約されています。

  • Wellenreiter シグニチャ:Wellenreiter は、無線 LAN スキャンおよびディスカバリ ユーティリティです。これを使用すると、アクセス ポイントおよびクライアントに関する情報が漏洩してしまう可能性があります。Wellenreiter シグニチャ(優先 17)によってこうした攻撃を検出すると、アクセス ポイントは攻撃しているデバイスを特定し、コントローラに警告します。

  • EAPOL フラッド シグニチャ:EAPOL フラッド攻撃において、ハッカーは 802.1X 認証要求を含む EAPOL フレームを大量に発生させます。結果として、802.1X 認証サーバはすべての要求に応答できなくなり、有効なクライアントに正常な認証応答を送信できなくなります。そして、その影響を受けるすべてのクライアントにおいてサービス利用ができない状況が発生します。EAPOL フラッド シグニチャ(優先順位 12)を使用してそのような攻撃が検出されると、アクセス ポイントは EAPOL パケットの最大許容数を超えるまで待機します。次に、コントローラに警告を送り、適切な緩和措置を実行します。

  • NetStumbler シグニチャ:NetStumbler は、無線 LAN スキャン ユーティリティです。これによって、アクセス ポイントのブロードキャスト関連情報(動作チャネル、RSSI 情報、アダプタ製造業者名、SSID、WEP ステータス、GPS が接続された NetStumbler を実行するデバイスの経度と緯度など)が報告されます。NetStumbler は、アクセス ポイントに対する認証とアソシエーションを正常に完了すると、次の文字列のデータ フレーム(NetStumbler のバージョンによって異なる)を送信します。

バージョン

文字列

3.2.0

「Flurble gronk bloopit、bnip Frundletrune」

3.2.3

「All your 802.11b are belong to us」

3.3.0

ホワイト スペースを送信

NetStumbler シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定してコントローラに警告を送ります。NetStumbler シグニチャは次のとおりです。

  • NetStumbler 3.2.0(優先順位 13)

  • NetStumbler 3.2.3(優先順位 14)

  • NetStumbler 3.3.0(優先順位 15)

  • NetStumbler generic(優先順位 16)

コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。

IDS シグニチャの設定(GUI)

IDS シグニチャのアップロードまたはダウンロード

手順

ステップ 1

必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2

Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。TFTP サーバをセットアップするときには、次のガイドラインに従ってください。

  • サービス ポート経由でダウンロードする場合、サービス ポートはルーティングできないため、TFTP サーバはサービス ポートと同じサブネット上になければなりません。そうでない場合は、コントローラ上に静的ルートを作成する必要があります。

  • ディストリビューション システム ネットワーク ポートを経由してダウンロードする場合、ディストリビューション システム ポートはルーティング可能なので、TFTP サーバは同じサブネット上にあっても、別のサブネット上にあってもかまいません。

  • サードパーティの TFTP サーバを Cisco Prime Infrastructure と同じ PC 上で実行することはできません。Prime Infrastructure 内蔵 TFTP サーバとサードパーティの TFTP サーバのどちらも、同じ通信ポートを使用するからです。

ステップ 3

カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4

[Commands] を選択して、[Download File to Controller] ページを開きます。

ステップ 5

次のいずれかの操作を行います。

  • カスタム シグニチャ ファイルをコントローラにダウンロードする場合は、[Download File to Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。

  • 標準シグニチャ ファイルをコントローラからアップロードする場合は、[Upload File] を選択してから、[Upload File from Controller] ページの [File Type] ドロップダウン リストから [Signature File] を選択します。

ステップ 6

[Transfer Mode] ドロップダウン リストから、[TFTP]、[FTP]、または [SFTP] を選択します

[SFTP] オプションはリリース 7.4 で追加されました。

ステップ 7

[IP Address] テキスト ボックスに [TFTP]、[FTP]、または [SFTP] サーバの IP アドレスを入力します。

ステップ 8

TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、[Maximum retries] テキスト ボックスに、コントローラがシグニチャ ファイルのダウンロードを試行する最大回数を入力します。

指定できる範囲は 1 ~ 254 で、デフォルトは 10 です。

ステップ 9

TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、シグニチャ ファイルのダウンロードの試行時にコントローラがタイムアウトするまでの時間(秒単位)を [Timeout] テキスト ボックスに入力します。

範囲は 1 ~ 254 秒で、デフォルトは 6 秒です。

ステップ 10

[File Path] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。デフォルト値は「/」です。

ステップ 11

[File Name] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。

(注)   

シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

ステップ 12

FTP または SFTP サーバを使用している場合は、次の手順に従います。

  1. [Server Login Username] テキスト ボックスに、FTP または SFTP サーバにログインするためのユーザ名を入力します。

  2. [Server Login Password] テキスト ボックスに、FTP または SFTP サーバにログインするためのパスワードを入力します。

  3. [Server Port Number] テキスト ボックスに、ダウンロードが発生する FTP または SFTP サーバのポート番号を入力します。デフォルト値は 21 です。

ステップ 13

[Download] を選択してシグニチャ ファイルをコントローラにダウンロードするか、[Upload] を選択してコントローラからシグニチャ ファイルをアップロードします。

IDS シグニチャの有効化または無効化

手順

ステップ 1

[Security] > [Wireless Protection Policies] > [Standard Signatures] または [Custom Signatures] を選択して、[Standard Signatures] ページまたは [Custom Signatures] ページを開きます。

[Standard Signatures] ページには、現在コントローラ上に存在するシスコ提供のシグニチャのリストが表示されます。[Custom Signatures] ページには、現在コントローラ上に存在する、ユーザ提供のシグニチャのリストが表示されます。このページには、各シグニチャについて次の情報が表示されます。

  • コントローラがシグニチャ チェックを行う順序、または優先順位。

  • シグニチャ名。シグニチャが検出しようとする攻撃タイプを明示するもの。

  • シグニチャがセキュリティ攻撃を検出するフレーム タイプ。フレーム タイプとしては、データおよび管理があります。

  • シグニチャが攻撃を検出したとき、コントローラが行うべき処理。実行可能な処理は、None と Report です。

  • シグニチャの状態。セキュリティ攻撃を検出するために、シグニチャが有効化されているかどうかを示すもの。

  • シグニチャが検出しようとする攻撃のタイプの説明。
ステップ 2

次のいずれかの操作を行います。

  • 個々の状態が [Enabled] に設定されたすべてのシグニチャ(標準およびカスタムの両方)を有効なままにしておくには、[Standard Signatures] ページまたは [Custom Signatures] ページの上部の [Enable Check for All Standard and Custom Signatures] チェックボックスをオンにします。デフォルト値が有効(オン)になっています。シグニチャが有効化されると、コントローラに接続されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。

  • コントローラ上のすべてのシグニチャ(標準およびカスタムの両方)を無効にしておく場合には、[Enable Check for All Standard and Custom Signatures] チェックボックスをオフにします。このチェックボックスをオフにすると、たとえシグニチャの個々の状態が [Enabled] に設定されている場合でも、すべてのシグニチャが無効になります。

ステップ 3

[Apply] をクリックして、変更を確定します。

ステップ 4

目的とするシグニチャの優先順位番号をクリックして、個々のシグニチャを有効または無効にします。[Standard Signature(または Custom Signature)> Detail] ページが表示されます。

このページには、[Standard Signatures] ページおよび [Custom Signatures] ページとほぼ同じ情報が表示されますが、次のような詳細も表示されます。

  • アクセス ポイントによるシグニチャ分析およびコントローラへの結果報告に使用される追跡方法。表示される値は次のとおりです。

    • [Per Signature]:シグニチャ分析とパターン マッチングにおける追跡および報告は、シグニチャ別およびチャネル別に実行されます。

    • [Per MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、チャネルごとに個々のクライアント MAC アドレス別に実行されます。

    • [Per Signature and MAC]:シグニチャ分析とパターン マッチングにおける追跡と報告は、シグニチャ別/チャネル別、および MAC アドレス別/チャネル別の両方で実行されます。

  • セキュリティ攻撃の検出に使用されるパターン。
ステップ 5

[Measurement Interval] テキスト ボックスに、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を入力します。有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。
ステップ 6

[Signature Frequency] テキスト ボックスに、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。

ステップ 7

[Signature MAC Frequency] テキスト ボックスに、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。

ステップ 8

[Quiet Time] テキスト ボックスに、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を入力します。有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。
ステップ 9

[State] チェックボックスをオンにしてこのシグニチャを有効にし、セキュリティ攻撃を検出するか、オフにしてこのシグニチャを無効にします。デフォルト値が有効(オン)になっています。

ステップ 10

[Apply] をクリックして、変更を確定します。[Standard Signatures] ページまたは [Custom Signatures] ページに、シグニチャの更新された状態が反映されます。

ステップ 11

[Save Configuration] をクリックして、変更を保存します。

IDS シグニチャ イベントの表示(GUI)

手順

ステップ 1

[Security] > [Wireless Protection Policies] > [Signature Events Summary] の順に選択して、[Signature Events Summary] ページを開きます。

ステップ 2

特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャのシグニチャ タイプをクリックします。[Signature Events Detail] ページが表示されます。

このページには、次の情報が表示されます。

  • 攻撃者として特定されたクライアントの MAC アドレス

  • アクセス ポイントが攻撃の追跡に使用する方法

  • 攻撃が検出されるまでに特定された 1 秒当たりの一致パケットの数

  • 攻撃が検出されたチャネル上のアクセス ポイント数

  • アクセス ポイントが攻撃を検出した日時
ステップ 3

特定の攻撃に関する詳細を表示するには、その攻撃の [Detail] リンクをクリックします。[Signature Events Track Detail] ページが表示されます。

  • 攻撃を検出したアクセス ポイントの MAC アドレス

  • 攻撃を検出したアクセス ポイントの名前

  • アクセス ポイントが攻撃の検出に使用した無線のタイプ(802.11a または 802.11b/g)

  • 攻撃が検出された無線チャネル

  • アクセス ポイントから攻撃が報告された日時

IDS シグニチャの設定(CLI)

手順

ステップ 1

必要に応じて、独自のカスタム シグニチャ ファイルを作成します。

ステップ 2

TFTP サーバが使用可能であることを確認します。

ステップ 3

カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。

ステップ 4

transfer {download | upload } mode tftp コマンドを入力して、ダウンロード モードまたはアップロード モードを指定します。

ステップ 5

transfer {download | upload } datatype signature コマンドを入力して、ダウンロードまたはアップロードするファイルのタイプを指定します。

ステップ 6

transfer {download | upload } serverip tftp-server-ip-address コマンドを入力して、TFTP サーバの IP アドレスを指定します。

(注)   

TFTP サーバによっては、TFTP サーバ IP アドレスにスラッシュ(/)を入力するだけで、自動的に適切なディレクトリへのパスが判別されるものもあります。

ステップ 7

transfer {download | upload } path absolute-tftp-server-path-to-file コマンドを入力して、ダウンロードまたはアップロードのパスを指定します。

ステップ 8

transfer {download | upload } filename filename.sig コマンドを入力して、ダウンロードまたはアップロードするファイルを指定します。

(注)   

シグニチャをアップロードする際、コントローラはユーザが指定した基本名に「_std.sig」および「_custom.sig」を追加したファイル名を使用して、標準シグニチャ ファイルとカスタム シグニチャ ファイルの両方を TFTP サーバにアップロードします。たとえば、「ids1」という名前のシグニチャ ファイルをアップロードする場合、コントローラは自動的に ids1_std.sig と ids1_custom.sig を生成して TFTP サーバにアップロードします。その後、必要に応じて TFTP サーバ上で ids1_custom.sig を変更し(必ず「Revision = custom」を設定してください)、シグニチャ ファイルを自動的にダウンロードすることもできます。

ステップ 9

transfer {download | upload } start コマンドを入力して、プロンプトに y と応答し、現在の設定を確認して、ダウンロードまたはアップロードを開始します。

ステップ 10

次のコマンドを入力して、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を指定します。

config wps signature interval signature_id interval

ここで、signature_id は、シグニチャを一意に識別するために使用する数字です。有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。

ステップ 11

次のコマンドを入力して、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

config wps signature frequency signature_id frequency

有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。

ステップ 12

次のコマンドを入力して、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。

config wps signature mac-frequency signature_id mac_frequency

有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。
ステップ 13

次のコマンドを入力して、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を指定します。

config wps signature quiet-time signature_id quiet_time

有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。

ステップ 14

次のいずれかの操作を行います。

  • 個々の IDS シグニチャを有効または無効にするには、次のコマンドを入力します。

    config wps signature {standard | custom } state signature_id {enable | disable }

  • IDS シグニチャ処理を有効または無効(すべての IDS シグニチャの処理を有効または無効)にするには、次のコマンドを入力します。

    config wps signature {enable | disable }

    (注)   

    IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

ステップ 15

次のコマンドを入力して、変更を保存します。

save config
ステップ 16

必要に応じて、特定のシグニチャまたはすべてのシグニチャをデフォルト値にリセットできます。そのためには、次のコマンドを入力します。

config wps signature reset {signature_id | all}
(注)   

シグニチャをデフォルト値にリセットするには、コントローラの CLI しか使用できません。

IDS シグニチャ イベントの表示(CLI)

手順

  • 次のコマンドを入力して、コントローラで IDS シグニチャ処理が有効か無効かを確認します。

    show wps summary


    (注)  

    IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。

  • 次のコマンドを入力して、コントローラにインストールされているすべての標準シグニチャとカスタム シグニチャの個々の要約を表示します。

    show wps signature summary

  • 次のコマンドを入力して、有効なシグニチャによって検出された攻撃の数を表示します。

    show wps signature events summary

  • 次のコマンドを入力して、特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示します。

    show wps signature events {standard | custom } precedence# summary

  • 次のコマンドを入力して、アクセス ポイントによってシグニチャ別/チャネル別に追跡される攻撃の詳細を表示します。

    show wps signature events {standard | custom } precedence# detailed per-signature source_mac

  • 次のコマンドを入力して、アクセス ポイントによって個別クライアント ベース(MAC アドレス別)で追跡される攻撃の詳細を表示します。

    show wps signature events {standard | custom } precedence# detailed per-mac source_mac

SNMP

SNMP の設定(CLI)


(注)  
リリース 8.3 以降では、SNMP over IPSec と SNMP Traps over IPSec が IPv6 インターフェイス上でサポートされています。

(注)  
コントローラ トラップ ログを表示するには、コントローラ GUI の [Monitor] を選択してから [Most Recent Traps] の下の [View All] をクリックします。

手順

  • 次のコマンドを入力して、SNMP コミュニティ名を作成します。

    config snmp community create name

  • 次のコマンドを入力して、SNMP コミュニティ名を削除します。

    config snmp community delete name

  • 次のコマンドを入力して、読み取り専用権限を持つ SNMP コミュニティ名を設定します。

    config snmp community accessmode ro name

  • 次のコマンドを入力して、読み取り/書き込み権限を持つ SNMP コミュニティ名を設定します。

    config snmp community accessmode rw name

  • IPv4 を設定する場合は、次のコマンドを入力して、SNMP コミュニティの IPv4 アドレスとサブネット マスクを設定します。

    config snmp community ipaddr ip-address ip-mask name


    (注)  
    このコマンドは、SNMP アクセス リストのように動作します。デバイスは、このコマンドで指定された IP アドレスから、アソシエートされたコミュニティ付きの SNMP パケットを受け入れます。要求元エンティティの IP アドレスとサブネット マスクの間で AND 演算が行われた後、IP アドレスが比較されます。サブネット マスクが 0.0.0.0 に設定されている場合、IP アドレス 0.0.0.0 はすべての IP アドレスに一致します。デフォルト値は 0.0.0.0 です。

    (注)  
    コントローラが 1 つの SNMP コミュニティの管理に使用できる IP アドレス範囲は 1 つだけです。

  • IPv6 を設定する場合は、次のコマンドを入力して、SNMP コミュニティの IPv6 アドレスとプレフィックス長を設定します。

    config snmp community ipaddr ipv6-address ip-mask name

  • 次のコマンドを入力して、コミュニティ名を有効または無効にします。

    config snmp community mode {enable | disable }

  • 次のコマンドを入力して、コミュニティ名を有効または無効にします。

    config snmp community ipsec {enable | disable }

  • 次のコマンドを入力して、トラップの宛先を設定します。

    config snmp trapreceiver create name ip-address

  • 次のコマンドを入力して、トラップを削除します。

    config snmp trapreceiver delete name

  • 次のコマンドを入力して、トラップの宛先を変更します。

    config snmp trapreceiver ipaddr old-ip-address name new-ip-address

  • 次のコマンドを入力して、トラップ レシーバの IPSec セッションを設定します。

    config snmp trapreceiver ipsec {enable | disable } community-name

    認証モードを変更するには、トラップ レシーバ IPSec が無効状態になっている必要があります。

  • 次のコマンドを入力して、トラップを有効または無効にします。

    config snmp trapreceiver mode {enable | disable }

  • 次のコマンドを入力して、SNMP コンタクトの名前を設定します。

    config snmp syscontact syscontact-name

    担当者名には、最大 31 文字の英数字を使用できます。

  • 次のコマンドを入力して、SNMP システムの場所を設定します。

    config snmp syslocation syslocation-name

    場所の名前には、最大 31 文字の英数字を使用できます。

  • 次のコマンドを入力して、SNMP トラップおよびコミュニティが正しく設定されていることを確認します。

    show snmpcommunity

    show snmptrap

  • 次のコマンドを入力して、有効および無効にされたトラップ フラグを表示します。

    show trapflags

    必要に応じて、config trapflags コマンドを使用して、トラップ フラグを有効または無効にします。

  • 次のコマンドを入力して、コントローラに関連付けられたクライアントまたは RFID タグの数がしきい値レベル付近になった後、警告メッセージが表示される条件を設定します。

    config trapflags {client | rfid } max-warning-threshold {threshold-between-80-to-100| enable | disable }

    警告メッセージは 600 秒(10 分)ごとに表示されます。

  • 次のコマンドを入力して、SNMP エンジン ID を設定します。

    config snmp engineID engine-id-string

  • 次のコマンドを入力して、エンジン ID を表示します。

    show snmpengineID

  • 次のコマンドを入力して、SNMP バージョンを設定します。

    config snmp version {v1 | v2c | v3 } {enable | disable }

SNMP コミュニティ ストリング

読み取り専用および読み取り/書き込みの SNMP コミュニティ ストリングに対するコントローラのデフォルト値には、「public」と「private」という一般に知られた値が使用されています。これらの標準値を使用すると、セキュリティ上のリスクが発生します。デフォルトのコミュニティ名のままだと、それらは知られているので、SNMP を使用したコントローラとの通信に利用されるおそれがあります。したがって、これらの値を変更することを強く推奨します。

SNMP コミュニティ ストリングのデフォルト値の変更(GUI)

手順

ステップ 1

[Management] を選択してから、[SNMP] の下の [Communities] を選択します。[SNMP v1 / v2c Community] ページが表示されます。

ステップ 2

[Community Name] カラムに「public」または「private」が表示されている場合は、そのコミュニティの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択してそのコミュニティを削除します。

ステップ 3

[New] をクリックして、新しいコミュニティを作成します。[SNMP v1 / v2c Community > New] ページが表示されます。

ステップ 4

[Community Name] テキスト ボックスに、16 文字以内の英数字から成る一意の名前を入力します。「public」または「private」を入力しないでください。

ステップ 5

次の 2 つのテキスト ボックスに、関連付けられたコミュニティと IP マスクの SNMP パケットをこのデバイスが受け入れる IPv4/IPv6 アドレスおよび IP マスクまたはプレフィックス長を入力します。

ステップ 6

[Access Mode] ドロップダウン リストから [Read Only] または [Read/Write] を選択して、このコミュニティのアクセス レベルを指定します。

ステップ 7

[Status] ドロップダウン リストから [Enable] または [Disable] を選択して、このコミュニティのステータスを指定します。

ステップ 8

[Apply] をクリックして、変更を確定します。

ステップ 9

[Save Configuration] をクリックして設定を保存します。

ステップ 10

「public」または「private」というコミュニティがまだ [SNMP v1 / v2c Community] ページに表示されている場合には、この手順を繰り返します。

SNMP コミュニティ ストリングのデフォルト値の変更(CLI)

手順

ステップ 1

次のコマンドを入力して、このコントローラに対する SNMP コミュニティの最新のリストを表示します。

show snmp community

ステップ 2

[SNMP Community Name] カラムに「public」または「private」と表示されている場合は、次のコマンドを入力してこのコミュニティを削除します。

config snmp community delete name

name パラメータがコミュニティ名です(この場合は「public」または「private」)。

ステップ 3

次のコマンドを入力して、新しいコミュニティを作成します。

config snmp community create name

name パラメータに、16 文字以内の英数字を入力します。「public」または「private」を入力しないでください。

ステップ 4

IPv4 固有の設定の場合、次のコマンドを入力して、関連付けられたコミュニティを伴う SNMP パケットをこのデバイスが受け入れる IPv4 アドレスを入力します。

config snmp community ipaddr ip_address ip_mask name

ステップ 5

IPv6 固有の設定の場合、次のコマンドを入力して、関連付けられたコミュニティを伴う SNMP パケットをこのデバイスが受け入れる IPv6 アドレスを入力します。

config snmp community ipaddr ip_address prefix_length name

ステップ 6

次のコマンドを入力して、このコミュニティのアクセス レベルを指定します。ここで、ro は読み取り専用モードで、rw は読み取り/書き込みモードです。

config snmp community accessmode {ro | rw } name

ステップ 7

次のコマンドを入力して、この SNMP コミュニティを有効または無効にします。

config snmp community mode {enable | disable } name

ステップ 8

次のコマンドを入力して、すべての SNMP コミュニティの SNMP IPSec セッションを有効または無効にします。

config snmp community ipsec {enable | disable } name

デフォルトでは、SNMP IPSec セッションは無効になっています。認証モードを変更するには、SNMP IPSec セッションが無効状態である必要があります。

ステップ 9

次のコマンドを入力して、IKE 認証方式を設定します。

config snmp community ipsec ike auth-mode {certificate | pre-shared-key ascii/hex secret}

  • 認証モードが事前共有キーとして設定される場合は、シークレットの値を入力します。シークレット値は、ASCII または 16 進数値を指定できます。設定されている認証モードが証明書の場合、WLC は、SNMP over IPSec に ipsecCaCert および ipsecDevCerts を使用します。

  • 認証モードが証明書として設定されている場合、コントローラは SNMP セッションに IPSec CA および IPsec デバイスの証明書を使用します。transfer download datatype {ipseccacert | ipsecdevcert } コマンドを使用して、これらの証明書をコントローラにダウンロードする必要があります。

ステップ 10

次のコマンドを入力して、変更を保存します。

save config

ステップ 11

「public」または「private」コミュニティ ストリングのデフォルト値を変更する必要がまだある場合は、この手順を繰り返します。

リアル タイム統計情報の設定(CLI)

SNMP トラップは、AP とコントローラの CPU およびメモリ使用率に対して定義されます。SNMP トラップは、しきい値を超過したときに送信されます。サンプリング期間および統計情報の更新間隔は、SNMP と CLI を使用して設定できます。


(注)  

現在のメモリ使用量に適した値を取得するには、サンプリング間隔または統計間隔を設定する必要があります。

  • 次のコマンドを入力して、サンプリング間隔を設定します。

    config service statistics sampling-interval seconds

  • 次のコマンドを入力して、統計間隔を設定します。

    config service statistics statistics-interval seconds

  • 次のコマンドを入力して、サンプリング間隔とサービス間隔の統計を表示します。

    show service statistics interval

SNMP トラップの拡張

この機能は、設定可能なしきい値がホールド タイムを呼び出した後、SNMP トラップのソークとトラップの再送信を行います。ホールド タイムは、間違ったトラップ生成の抑制にも役立ちます。サポートされるトラップは、APR コントローラの CPU とメモリ使用率用です。トラップの再送信はトラップが削除されるまで実行されます。

手順

  • 次のコマンドを使用して、SNMP トラップが再送信されるまでのホールド タイムを設定します。

    config service alarm hold-time seconds

  • 次のコマンドを入力して、トラップの再送信間隔を設定します。

    config service alarm trap retransmit-interval seconds

  • 次のコマンドを入力して、トラップ デバッグを設定します。

    debug service alarm {enable | disable }

SNMP トラップ レシーバの設定(GUI)

手順

ステップ 1

[Management] > [SNMP] > [Trap Receivers] を選択します。

ステップ 2

[New] をクリックします。

ステップ 3

[SNMP Trap Receiver > New] ページで、トラップ レシーバの詳細を指定します。

  1. [Community Name] ボックスに SNMP トラップ レシーバ名を入力します。

  2. [IP Address(Ipv4/Ipv6)] ボックスに、レシーバの IP アドレスを入力します。IPv4 および IPv6 の両方のアドレス形式がサポートされています。

  3. [Status] ドロップダウン リストから [Enable] または [Disable] を選択して、トラップ レシーバを有効または無効にします。

  4. トラップ レシーバの IPSec パラメータを設定する場合は、[IPSec] チェックボックスをオンにします。

  5. [Auth Method] ドロップダウン リストから、IKE の認証方式として、[Certificate] または [PSK] を選択します。

    • 認証モードが証明書として設定されている場合、Cisco WLC は SNMP セッションに IPSec CA および IPsec デバイスの証明書を使用します。

    • 認証モードが事前共有キーとして設定される場合は、シークレットの値を入力します。シークレット値は、ASCII または 16 進数値を指定できます。設定されている認証モードが証明書の場合、Cisco WLC は、SNMP over IPSec に ipsecCaCert および ipsecDevCerts を使用します。

最大 6 つの SNMP トラップ レシーバを作成できます。

ステップ 4

設定を保存します。

wIPS

wIPS について

Cisco 適応型ワイヤレス侵入防御システム(wIPS)は、無線の脅威の検出およびパフォーマンス管理のための高度な手法を使用します。この手法では、ネットワーク トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。インフラストラクチャに完全に統合されたソリューションを採用して、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワークインテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃を正確に特定し事前に防止することができます。

シスコの適合型 wIPS は、Cisco 3300 シリーズ Mobility Services Engine(MSE)の一部です。MSE は、Cisco Aironet AP を継続的に監視して、収集された情報を一元処理します。シスコの適応型 wIPS の機能と、Cisco MSE への Cisco Prime Infrastructure の統合により、wIPS は wIPS ポリシーとアラームを設定、監視して、脅威をレポートします。


(注)  

お使いの wIPS が Cisco WLC、アクセス ポイント、Cisco MSE で構成されている場合、これら 3 つのエンティティはすべて UTC タイム ゾーンに設定してください。

シスコの適応型 wIPS は Cisco WLC には設定されていません。代わりに、プロファイル設定が Cisco Prime Infrastructure から wIPS サービスに転送され、wIPS サービスによってそのプロファイルが Cisco WLC に転送されます。このプロファイルは、Cisco WLC のフラッシュ メモリに保存され、Cisco WLC に参加するときに AP に送信されます。アクセス ポイントのアソシエーションを解除して、別の Cisco WLC に参加するとき、そのアクセス ポイントは新しい Cisco WLC から新しい wIPS プロファイルを受信します。

wIPS 機能のサブセットを備えたローカル モードまたは FlexConnect モードの AP を、拡張ローカル モード アクセス ポイント、または ELM AP と呼びます。アクセス ポイントが次のいずれかのモードであれば、その AP を wIPS モードで動作するように設定できます。

  • Monitor

  • Local

  • FlexConnect

通常のローカル モードまたは FlexConnect モードの AP は、wIPS 機能のサブセットで拡張します。この機能を使用すると、独立したオーバーレイ ネットワークがなくても、AP を展開して保護機能を提供できます。

wIPS ELM の、オフチャネル アラーム検出機能は限定的です。AP は定期的にオフチャネルになり、動作していないチャネルを短時間監視し、そのチャネルで攻撃を検出した場合はアラームをトリガーします。ただし、オフチャネルのアラーム検出はベスト エフォートであり、攻撃を検出してアラームをトリガーするには時間がかかることがあります。そのため ELM AP が断続的にアラームを検出しては(確認できないため)クリアする、という場合があります。上記のいずれかのモードの AP は、ポリシー プロファイルに基づくアラームを Cisco WLC 経由で定期的に wIPS サービスに送信できます。wIPS サービスはアラームを格納および処理して、SNMP トラップを生成します。Cisco Prime Infrastructure は自身の IP アドレスをトラップの宛先として設定し、SNMP トラップを Cisco MSE から受信します。

次の表に SNMP トラップ制御とそれに対応するトラップを示します。トラップ制御が有効な場合、そのトラップ制御のトラップはすべて有効です。


(注)  

Cisco WLC が SNMP トラップの送信に使用するのは SNMPv2 のみです。

表 2. SNMP トラップ制御と対応トラップ

タブ名

トラップ制御

トラップ

General

Link (Port) Up/Down

linkUp、linkDown

Spanning Tree

newRoot、topologyChange、stpInstanceNewRootTrap、stpInstanceTopologyChangeTrap

Config Save

bsnDot11EssCreated、bsnDot11EssDeleted、bsnConfigSaved、ciscoLwappScheduledResetNotif、ciscoLwappClearResetNotif、ciscoLwappResetFailedNotif、ciscoLwappSysInvalidXmlConfig

AP

AP Register

bsnAPDisassociated、bsnAPAssociated

AP Interface Up/Down

bsnAPIfUp、bsnAPIfDown

Client Traps

802.11 Association

bsnDot11StationAssociate

802.11 Disassociation

bsnDot11StationDisassociate

802.11 Deauthentication

bsnDot11StationDeauthenticate

802.11 Failed Authentication

bsnDot11StationAuthenticateFail

802.11 Failed Association

bsnDot11StationAssociateFail

Exclusion

bsnDot11StationBlacklisted

NAC Alert

cldcClientWlanProfileName、cldcClientIPAddress、cldcApMacAddress、cldcClientQuarantineVLAN、cldcClientAccessVLAN

Security Traps

User Authentication

bsnTooManyUnsuccessLoginAttempts、cLWAGuestUserLoggedIn、cLWAGuestUserLoggedOut

RADIUS Servers Not Responding

bsnRADIUSServerNotResponding、ciscoLwappAAARadiusReqTimedOut

WEP Decrypt Error

bsnWepKeyDecryptError

Rogue AP

bsnAdhocRogueAutoContained、bsnRogueApAutoContained、bsnTrustedApHasInvalidEncryption、bsnMaxRogueCountExceeded、bsnMaxRogueCountClear、bsnApMaxRogueCountExceeded、bsnApMaxRogueCountClear、bsnTrustedApHasInvalidRadioPolicy、bsnTrustedApHasInvalidSsid、bsnTrustedApIsMissing

SNMP Authentication

agentSnmpAuthenticationTrapFlag

Multiple Users

multipleUsersTrap

Auto RF Profile Traps

Load Profile

bsnAPLoadProfileFailed

Noise Profile

bsnAPNoiseProfileFailed

Interference Profile

bsnAPInterferenceProfileFailed

Coverage Profile

bsnAPCoverageProfileFailed

Auto RF Update Traps

channel update

bsnAPCurrentChannelChanged

Tx Power Update

bsnAPCurrentTxPowerChanged

Mesh Traps

Child Excluded Parent

ciscoLwappMeshChildExcludedParent

Parent Change

ciscoLwappMeshParentChange

Authfailure Mesh

ciscoLwappMeshAuthorizationFailure

Child Moved

ciscoLwappMeshChildMoved

Excessive Parent Change

ciscoLwappMeshExcessiveParentChange

Excessive Children

ciscoLwappMeshExcessiveChildren

Poor SNR

ciscoLwappMeshAbateSNR、ciscoLwappMeshOnsetSNR

Console Login

ciscoLwappMeshConsoleLogin

Excessive Association

ciscoLwappMeshExcessiveAssociation

Default Bridge Group Name

ciscoLwappMeshDefaultBridgeGroupName

次に、「SNMP トラップ制御と対応トラップ」の表に記載されているトラップについて説明します。

  • 一般トラップ
    • [SNMP Authentication]:SNMPv2 エンティティが、適切に認証されていないプロトコル メッセージを受信しました。

      (注)  
      SNMP V3 モードで設定されているユーザが正しくないパスワードで Cisco WLC にアクセスを試みると、認証は失敗し、エラー メッセージが表示されます。ただし、認証エラーの場合、トラップ ログは生成されません。
    • [Link (Port) Up/Down]:リンクのステータスは、アップまたはダウンから変更されます。
    • [Link (Port) Up/Down]:リンクのステータスは、アップまたはダウンから変更されます。
    • [Multiple Users]:2 人のユーザが同じ ID でログインしました。
    • [Rogue AP]:不正アクセス ポイントが検出されるたびに、このトラップが MAC アドレスとともに送信されます。また、以前に検出された不正アクセス ポイントが存在しなくなっている場合にこのトラップが送信されます。
    • [Config Save]:Cisco WLC 設定が変更されると送信される通知。
  • Cisco AP トラップ
    • [AP Register]:アクセス ポイントが Cisco WLC とアソシエートまたはディスアソシエートすると送信される通知。
    • [AP Interface Up/Down]:アクセス ポイント インターフェイス(802.11X)の状態がアップまたはダウンになると送信される通知です。
  • クライアント関連トラップ
    • [802.11 Association]:クライアントがアソシエーション フレームを送信すると送信されるアソシエーション通知。
    • [802.11 Disassociation]:クライアントがディスアソシエーション フレームを送信すると送信されるディスアソシエーション通知。
    • [802.11 Deauthentication]:クライアントが認証解除フレームを送信すると送信される認証解除通知。
    • [802.11 Failed Authentication]:クライアントが成功以外のステータス コードの認証フレームを送信すると送信される認証エラー通知。
    • [802.11 Failed Association]:クライアントが成功以外のステータス コードのアソシエーション フレームを送信すると送信されるアソシエーション エラー通知。
    • [Exclusion]:クライアントが除外リストに掲載(blacklisted)されている場合に送信されるアソシエーション失敗通知。

      (注)  

      AP に設定できる静的ブラック リスト エントリの最大数は 340 です。

    • [Authentication]:クライアントが正常に認証されると送信される認証通知。

    • [Max Clients Limit Reached]:[Threshold] フィールドに定義されている最大数のクライアントが Cisco WLC とアソシエートされた場合に送信される通知。

    • [NAC Alert]:クライアントが SNMP NAC 対応 WLAN に join する場合に送信されるアラート。

      この通知は、NAC 対応 SSID 上のクライアントがその存在に関する情報を NAC アプライアンスに通知するために Layer2 認証を完了したときに生成されます。cldcClientWlanProfileName は、802.11 ワイヤレス クライアントが接続されている WLAN のプロファイル名を表します。cldcClientIPAddress は、クライアントの一意の IP アドレスを表します。cldcApMacAddress は、クライアントがアソシエートされている AP の MAC アドレスを表します。cldcClientQuarantineVLAN は、クライアントの隔離 VLAN を表します。cldcClientAccessVLAN は、クライアントのアクセス VLAN を表します。

    • [Association with Stats]:クライアントが Cisco WLC とアソシエートするときや、ローミングするときに、データ統計とともに送信されるアソシエーション通知。データの統計情報には、送受信されたバイトとパケットが含まれます。

    • [Disassociation with Stats]:クライアントが Cisco WLC からディスアソシエートするときに、データ統計とともに送信されるディスアソシエーション通知。データの統計情報には、送受信されたパケットとバイト、SSID、セッション ID が含まれます。


      (注)  

      新しいリリースからリリース 7.4 にダウングレードする場合、リリース 7.4 のサポート対象外のトラップ(たとえば、NAC Alert トラップ)をダウングレード前に有効にしておくと、すべてのトラップが無効になります。ダウングレードが終了したら、ダウングレード前に有効であったすべてのトラップを有効にする必要があります。他のすべてのトラップが無効にならないように、ダウングレードする前に新しいトラップを無効にすることをお勧めします。

  • Security トラップ
    • [User Auth Failure]:このトラップは、クライアントの RADIUS 認証の失敗が発生したことを通知します。
    • [RADIUS Server No Response]:このトラップは、RADIUS クライアントが送信した認証要求に応答する RADIUS サーバがないことを示します。
    • [WEP Decrypt Error]:Cisco WLC が WEP 復号化エラーを検出すると送信される通知です。
    • [Rogue AP]:不正アクセス ポイントが検出されるたびに、このトラップが MAC アドレスとともに送信されます。また、以前に検出された不正アクセス ポイントが存在しなくなっている場合にこのトラップが送信されます。
    • [SNMP Authentication]:SNMPv2 エンティティが、適切に認証されていないプロトコル メッセージを受信しました。

      (注)  
      SNMP V3 モードで設定されているユーザが正しくないパスワードで Cisco WLC にアクセスを試みると、認証が失敗し、エラー メッセージが表示されます。ただし、認証エラーの場合、トラップ ログは生成されません。
    • [Multiple Users]:2 人のユーザが同じ ID でログインしました。
  • SNMP Authentication
    • [Load Profile]:[Load Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Noise Profile]:[Noise Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Interference Profie]:[Interference Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Coverage Profile]:[Coverage Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
  • Auto RF Profile トラップ
    • [Load Profile]:[Load Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Noise Profile]:[Noise Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Interference Profie]:[Interference Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
    • [Coverage Profile]:[Coverage Profile] 状態が PASS と FAIL の間で変更されると送信される通知。
  • Auto RF Update トラップ
    • [Channel Update]:アクセス ポイントの動的チャネル アルゴリズムが更新されると送信される通知。
    • [Tx Power Update]:アクセス ポイントの動的送信電力アルゴリズムが更新されると送信される通知。
  • Mesh トラップ
    • [Child Excluded Parent]:親メッシュ ノードを介して、Cisco WLC に対するアソシエーションの失敗数が定義された回数に達すると送信される通知。
    • 子メッシュ ノード数が検出応答タイムアウトのしきい値制限を超えると送信される通知。子メッシュ ノードが、定義された間隔で除外された親メッシュ ノードのアソシエーションを試行することはありません。子メッシュ ノードは、ネットワークに参加するときに、除外された親 MAC アドレスを記憶しており、それを Cisco WLC に通知します。
    • [Parent Change]:子メッシュ ノードがその親を変更すると、通知がエージェントによって送信されます。子メッシュ ノードは以前の親を記憶し、ネットワークに再度参加するときに、親の変更について Cisco WLC に通知します。
    • [Child Moved]:親メッシュ ノードが子メッシュ ノードとの接続を失うと送信される通知。
    • [Excessive Parent Change]:子メッシュ ノードが親を頻繁に変更すると送信される通知です。各メッシュ ノードは一定期間の親の変更回数のカウントを保持します。これが定義されたしきい値を超えると、子メッシュ ノードが Cisco WLC に通知します。
    • [Excessive Children]:RAP や MAP で子の数が超過すると送信される通知。
    • [Poor SNR]:子メッシュ ノードが、バックホール リンクでより低い SNR を検出すると送信される通知です。他のトラップの場合、子メッシュ ノードが、「clMeshSNRThresholdAbate」によって定義されるオブジェクトより高い SNR をバックホール リンクで検出すると、通知をクリアするための通知が送信されます。
    • [Console Login]:MAP コンソールでログインが成功するか、3 回の試行の後に失敗するとエージェントが通知を送信します。
    • [Default Bridge Group Name]:デフォルトのブリッジ グループ名で MAP メッシュ ノードがその親に参加すると送信される通知。

(注)  

上記以外のトラップにトラップ制御機能はありません。これらのトラップは、頻繁に生成されないので、トラップ制御は必要ありません。Cisco WLC で生成されるその他のトラップをオフにすることはできません。


(注)  

上記のすべてのケースで、Cisco WLC は純粋に転送デバイスとして機能します。

40 MHz と 80 MHz の wIPS サポート

リリース 8.2 は、40 MHz と 80 MHz の wIPS をサポートします。この機能により、(RRM チャネルのスキャンを選択しておくと)40 MHz と 80 MHz のアラームが検出され、Cisco Prime Infrastructure に情報が届きます。チャネル幅情報はパケット データ レートから抽出され、アラームごとにチャネル幅を保存する wIPS モジュールに送信されます。show capwap am alarm alarm-id コマンドを使用すると、攻撃が発生したチャネル幅を確認できます。

wIPS アラーム レポートには、攻撃やデバイス機能の channel-width (11a/bg/n/ac)が取り込まれます。この機能は wIPS 固有の設定がなくても有効にできます。この機能を正しく動作させるために必要な唯一の要件は、RRM スキャニングを有効にすることです。

wIPS の制約事項

  • wIPS ELM は、次の AP ではサポートされていません。

    • 702i

    • 702W

    • 1130

    • 1240

  • 送信要求(RTS)フレームと Clear to Send(CTS)フレームは、RTS と CTS が AP の BSSID の場合にドライバに転送されません。

  • WIPS および不正検出は、CAPWAP 外のトラフィックが 32.x.x.x 宛先へ向けて漏れないようにするため IPv6 モードの AP で無効にする必要があります。

アクセス ポイントでの wIPS の設定(GUI)

手順

ステップ 1

[Wireless] > [Access Points] > [All APs] > [ap-name] の順に選択します。

ステップ 2

[AP Mode] パラメータを設定します。wIPS 用のアクセス ポイントを設定するには、[AP Mode] ドロップダウン リストから次のモードのいずれかを選択します。

  • Local
  • FlexConnect
  • Monitor
ステップ 3

[AP Sub Mode] ドロップダウン リストから [wIPS] を選択します。

ステップ 4

設定を保存します。

アクセス ポイントでの wIPS の設定(CLI)

手順

ステップ 1

次のコマンドを入力して、監視モード用のアクセス ポイントを設定します。

config ap mode {monitor | local | flexconnect} Cisco_AP
(注)   

wIPS 用にアクセス ポイントを設定するには、そのアクセス ポイントを monitor モード、local モード、または flexconnect モードにする必要があります。

ステップ 2

アクセス ポイントがリブートされることを知らせるメッセージが表示された場合、処理を続行するには Y と入力します。

ステップ 3

次のコマンドを入力して、変更を保存します。

save config

ステップ 4

次のコマンドを入力して、アクセス ポイント無線を無効にします。

config {802.11a | 802.11b} disable Cisco_AP
ステップ 5

次のコマンドを入力して、アクセス ポイントで wIPS サブモードを設定します。

config ap mode ap_mode submode wips Cisco_AP
(注)   

アクセス ポイントで wIPS を無効にするには、config ap mode ap_mode submode none Cisco_AP コマンドを入力します。

ステップ 6

次のコマンドを入力して、wIPS に最適化されたチャネル スキャンをアクセス ポイントで有効にします。

config ap monitor-mode wips-optimized Cisco_AP

アクセス ポイントは、250 ミリ秒の間、各チャネルをスキャンします。監視設定に基づいてスキャンされるチャネルの一覧が取得されます。次のオプションのいずれかを選択できます。

  • All:すべてのチャネルがアクセス ポイントの無線でサポートされます
  • Country:アクセス ポイントの使用国でサポートされているチャネルのみ
  • DCA:動的チャネル割り当て(DCA)アルゴリズムによって使用されるチャネル セットのみ(デフォルトでは、アクセス ポイントの使用国で許可された、オーバーラップしないすべてのチャネルを含む)

監視設定チャネル セットは、show advanced {802.11a | 802.11b} monitor コマンドの出力の 802.11a または 802.11b Monitor Channels 情報に表示されます。 


Default 802.11b AP monitoring
  802.11b Monitor Mode........................... enable
  802.11b Monitor Channels....................... Country channels
  802.11b AP Coverage Interval................... 180 seconds
  802.11b AP Load Interval....................... 60 seconds
  802.11b AP Noise Interval...................... 180 seconds
  802.11b AP Signal Strength Interval............ 60 seconds

ステップ 7

次のコマンドを入力して、アクセス ポイント無線を再度有効にします。

config { 802.11a | 802.11b } enable Cisco_AP
ステップ 8

次のコマンドを入力して、変更を保存します。

save config

wIPS 情報の表示(CLI)


(注)  

コントローラ GUI からアクセス ポイント サブモードを表示することもできます。そのためには、[Wireless] > [Access Points] > [All APs] > アクセスポイント名 > [Advanced] タブを選択します。アクセス ポイントが監視モードで、そのアクセス ポイントに wIPS サブモードが設定されている場合、[AP Sub Mode] フィールドに [wIPS] と表示されます。アクセス ポイントが監視モードではない場合、または、アクセス ポイントは監視モードであるが wIPS サブモードが設定されていない場合、[AP Sub Mode] フィールドには [None] と表示されます。

手順

  • 次のコマンドを入力して、アクセス ポイントの wIPS サブモードを表示します。

    show ap config general Cisco_AP

  • 次のコマンドを入力して、アクセス ポイントに設定された、wIPS に最適化されたチャネル スキャンを表示します。

    show ap monitor-mode summary

  • 次のコマンドを入力して、Cisco Prime Infrastructure によってコントローラに転送される wIPS 設定を表示します。

    show wps wips summary

  • 次のコマンドを入力して、コントローラで現在動作している wIPS の状態を表示します。

    show wps wips statistics

  • 次のコマンドを入力して、コントローラ上の wIPS 統計情報をクリアします。

    clear stats wps wips

Cisco 適応型 wIPS アラーム

コントローラは、潜在的な脅威の通知として動作する 5 つの Cisco 適応型 wIPS アラームをサポートします。Cisco Prime Infrastructure を使用して、ご使用のネットワーク トポロジに基づいてこれらのアラームを有効にする必要があります。詳細については、『Cisco Prime Infrastructure User Guide』を参照してください。

  • VPN で保護されていないデバイス:すべてのコントローラのトラフィックが VPN 接続を介してルーティングされるように、ワイヤレス クライアントとアクセス ポイントがセキュアな VPN を介して通信していない場合に、コントローラはアラームを生成します。

  • WPA ディクショナリ攻撃:WPA のセキュリティ キー上でディクショナリ攻撃が発生した場合、コントローラはアラームを生成します。攻撃は、クライアントとアクセス ポイント間の最初のハンドシェイク メッセージの前に検出されます。
  • 検出された WiFi ダイレクト セッション:クライアントの WiFi ダイレクト セッションが Wifi ダイレクトで検出された場合にコントローラはアラームを生成し、エンタープライズの脆弱性が回避されます。
  • RSN インフォメーション エレメント Out-of-Bound サービス拒否:RSN インフォメーション エレメントの容量が大きくて、アクセス ポイントのクラッシュが生じた場合、コントローラはアラームを生成します。
  • DS パラメータ セット DoS:複数のチャネルが重複している間に、クライアントのチャネルで混乱が生じる場合に、コントローラはアラームを生成します。