管理フレーム保護について
Management Frame Protection(MFP; 管理フレーム保護)では、アクセス ポイントとクライアント間で送受信される 802.11 管理メッセージを保護および暗号化することにより、セキュリティが確保されます。MFP は、インフラストラクチャとクライアント サポートの両方を実現します。
-
インフラストラクチャ MFP:DoS 攻撃を引き起こしたり、ネットワーク上で過剰なアソシエーションやプローブを生じさせたり、不正なアクセス ポイントとして介入したり、QoS と無線測定フレームへの攻撃によりネットワーク パフォーマンスを低下させたりする敵対者を検出することにより、管理フレームを保護します。インフラストラクチャ MFP は、フィッシング インシデントを検出および報告するための迅速かつ効果的な手段を提供するグローバル設定です。
インフラストラクチャ MFP は特に、アクセス ポイントによって送信され(クライアントによって送信されたのではなく)、次にネットワーク内の他のアクセス ポイントによって検証される管理フレームに、Message Integrity Check Information Element(MIC IE; メッセージ整合性情報要素)を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP はパッシブです。侵入を検知し報告しますが、それを止めることはできません。
-
クライアント MFP:認証されたクライアントをスプーフィング フレームから保護し、無線 LAN に対する多くの一般化した攻撃が効力を発揮することのないようにします。認証解除攻撃などのほとんどの攻撃では、有効なクライアントとの競合により簡単にパフォーマンスを悪化させます。
具体的には、クライアント MFP は、アクセス ポイントと CCXv5 クライアント間で送受信される管理フレームを暗号化します。その結果、スプーフィングされたクラス 3 管理フレーム(つまり、アクセス ポイントと、認証およびアソシエートされたクライアントとの間でやり取りされる管理フレーム)をドロップすることにより、アクセス ポイントとクライアントの両方で予防措置をとることができます。クライアント MFP は、IEEE 802.11i によって定義されたセキュリティ メカニズムを利用し、アソシエーション解除、認証解除、および QoS(WMM)アクションといったタイプのクラス 3 ユニキャスト管理フレームを保護します。クライアント MFP は、最も一般的な種類のサービス拒否攻撃から、クライアントとアクセス ポイント間のセッションを保護します。また、セッションのデータ フレームに使用されているのと同じ暗号化方式を使用することにより、クラス 3 管理フレームを保護します。アクセス ポイントまたはクライアントにより受信されたフレームの暗号化解除に失敗すると、そのフレームはドロップされ、イベントがコントローラに報告されます。
クライアント MFP を使用するには、クライアントは CCXv5 MFP をサポートしており、TKIP または AES-CCMP のいずれかを使用して WPA2 をネゴシエートする必要があります。EAP または PSK は、PMK を取得するために使用されます。CCKM およびコントローラのモビリティ管理は、レイヤ 2 およびレイヤ 3 の高速ローミングのために、アクセス ポイント間でセッション キーを配布するのに使用されます。
(注)
ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントでは、ブロードキャスト クラス 3 管理フレーム(アソシエーション解除、認証解除、またはアクションなど)を送信しません。CCXv5 クライアントおよびアクセス ポイントは、ブロードキャスト クラス 3 管理フレームを破棄する必要があります。
インフラストラクチャ MFP は、クライアント MFP 対応でないクライアントに送信された無効なユニキャスト フレームと、無効なクラス 1 およびクラス 2 管理フレームを引き続き検出および報告するため、クライアント MFP は、インフラストラクチャ MFP を置き換えるのではなく、補足するものであると言えます。インフラストラクチャ MFP は、クライアント MFP によって保護されていない管理フレームにのみ適用されます。
インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。
-
管理フレーム保護:アクセス ポイントは、送信される各管理フレームに MIC IE を追加することによってフレームを保護します。フレームのコピー、変更、再送が試みられた場合、MIC は無効となり、MFP フレームを検出するよう設定された受信アクセス ポイントは不具合を報告します。MFP は、Cisco Aironet Lightweight アクセス ポイントでの使用がサポートされています。
-
管理フレーム検証:インフラストラクチャ MFP では、アクセス ポイントによって、ネットワーク内の他のアクセス ポイントから受信する各管理フレームが検証されます。MIC IE が存在しており(送信側が MFP フレームを送信するよう設定されている場合)、管理フレームの中身に一致していることを確認します。MFP フレームを送信するよう設定されているアクセス ポイントに属する BSSID からの正当な MIC IE が含まれていないフレームを受信した場合、不具合をネットワーク管理システムに報告します。タイムスタンプが適切に機能するように、すべてのコントローラでネットワーク タイム プロトコル(NTP)が同期されている必要があります。
-
イベント報告:アクセス ポイントで異常が検出されるとコントローラに通知されます。コントローラでは、受信した異常イベントが集計され、その結果が SNMP トラップを使用してネットワーク管理システムに報告されます。
(注)
クライアント MFP は、インフラストラクチャ MFP と同じイベント報告メカニズムを使用します。
インフラストラクチャ MFP は、デフォルトで無効になっており、システム全体で有効にできます。以前のソフトウェア リリースからアップグレードする場合、アクセス ポイント認可が有効になっているときは、これら 2 つの機能は相互に排他的であるため、インフラストラクチャ MFP はシステム全体で無効になります。インフラストラクチャ MFP がグローバルに有効化されると、選択した WLAN に対してシグニチャの生成(MIC を送信フレームに追加する)を無効にでき、選択したアクセス ポイントに対して検証を無効にできます。
クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトで有効にされています。選択した WLAN 上で無効にすることも、必須にする(その場合、MFP をネゴシエートするクライアントのみがアソシエーションを許可されます)こともできます。