不正なデバイスについて
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。ワイヤレス ユーザがエンタープライズ ネットワーク内のアクセス ポイントに接続する場合、エンタープライズ セキュリティ違反が発生する可能性が高くなります。
次に、不正なデバイスの管理に関する注意事項を示します。
-
アクセス ポイントは、関連付けられたクライアントに対応するように設計されています。これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。大量の不正 AP とクライアントを高感度で検出する場合、モニタ モード アクセス ポイントを使用する必要があります。あるいは、スキャン間隔を 180 秒から 120 秒や 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。ただしこの場合も、アクセス ポイントは引き続き各チャネル上で約 50 ミリ秒を費やします。
-
家庭環境で展開されるアクセス ポイントは多数の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出がデフォルトで無効になっています。
-
クライアント カードの実装により、アド ホックの抑制の効果が低下することがあります。
-
不正の状態と、状態の自動的な移行を可能にするユーザ定義の分類規則を使って、不正なアクセス ポイントを分類および報告できます。
-
各コントローラ の不正封じ込めの数は、モニタモードのアクセスポイントの場合は無線ごとに 3 および 6 に制限されています。
-
Rogue Location Discovery Protocol(RLDP)は、オープン認証に設定されている不正なアクセス ポイントを検出します。
-
RLDP はブロードキャスト Basic Service Set Identifier(BSSID)を使用する不正なアクセス ポイント(つまり Service Set Identifier をビーコンでブロードキャストするアクセス ポイント)を検出します。
-
RLDP は、同じネットワークにある不正なアクセス ポイントのみを検出します。ネットワークのアクセスリストによって不正なアクセスポイントからコントローラ への RLDP のトラフィックの送信が阻止されている場合は、RLDP は機能しません。
-
RLDP は 5 GHz の動的周波数選択(DFS)チャネルでは機能しません。
-
メッシュ AP で RLDP が有効にされていて、その AP が RLDP タスクを実行すると、そのメッシュ AP のアソシエーションはコントローラ から解除されます。回避策は、メッシュ AP で RLDP を無効にすることです。
-
RLDP がモニタ モードではない AP で有効になっている場合、RLDP の処理中にクライアント接続の中断が発生します。
-
設定を使用して手動の阻止を実行すると、不正エントリは有効期限が切れた後でも保持されます。
-
不正エントリの有効期限が切れると、管理対象のアクセス ポイントはすべてのアクティブな封じ込めを停止するように指示されます。
-
不正を自動、ルールなどのその他の方法で阻止すると、不正エントリは期限切れになると削除されます。
-
コントローラ は、不正なクライアントの検証を AAA サーバに一度だけ要求します。その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバに有効なクライアント エントリを追加します。
不正検出の制約事項
-
DFS チャネルでの不正封じ込めはサポートされていません。
Rogue Location Discovery Protocol
Rogue Location Discovery Protocol(RLDP)は、不正 AP で認証が設定されていない(オープン認証)場合に使用される積極的なアプローチです。このモードは、デフォルトで無効になっており、不正チャネルに移動して、クライアントとして不正に接続するようにアクティブ AP に指示します。この間に、アクティブ AP は、接続されたすべてのクライアントに認証解除メッセージを送信してから、無線インターフェイスをシャットダウンします。次に、クライアントとして不正 AP にアソシエートします。その後、AP は不正 AP から IP アドレスの取得を試み、ローカル AP と不正接続情報を含む User Datagram Protocol(UDP)パケット(ポート 6532)を不正 AP 経由でコントローラ に送信します。コントローラ がこのパケットを受信すると、RLDP 機能によって有線ネットワーク上で不正 AP が検出されたことをネットワーク管理者に知らせるアラームが設定されます。
ここで、Lightweight AP から送信される UDP (宛先ポート 6352)パケットのサンプルを示します。0020 0a 01 01 0d 0a 01 .......(.*...... 0030 01 1e 00 07 85 92 78 01 00 00 00 00 00 00 00 00 ......x......... 0040 00 00 00 00 00 00 00 00 00 00
最初の 5 バイトのデータには、不正 AP によってローカル モード AP に割り当てられた DHCP アドレスが含まれています。次の 5 バイトはコントローラ の IP アドレスで、その後に不正 AP MAC アドレスを表す 6 バイトが続きます。その後に、18 バイトの 0 が続きます。
次の手順では、RLDP の機能について説明します。
-
信号強度値を使用して不正に最も近い統合 AP を特定します。
-
その後で、この AP が WLAN クライアントとして不正に接続します。3 回のアソシエーションを試みて、成功しない場合はタイムアウトします。
-
アソシエーションが成功すると、AP が DHCP を使用して IP アドレスを取得します。
-
IP アドレスが取得されると、AP(WLAN クライアントとして機能している)は、コントローラ のそれぞれの IP アドレスに UDP パケットを送信します。
-
コントローラ がクライアントから RLDP パケットを 1 つでも受信すると、その不正が on-wire としてマークされます。
(注) |
コントローラ のネットワークと不正デバイスが設置されたネットワークの間にフィルタリングルールが設定されている場合は、RLDP パケットがコントローラ に到達できません。 |
RLDP の注意事項:
-
RLDP は、認証と暗号化が無効になっている SSID をブロードキャストするオープン不正 AP でのみ動作します。
-
RLDP では、クライアントとして機能しているマネージド AP が不正ネットワーク上で DHCP を介して IP アドレスを取得できる必要があります。
-
手動 RLDP を使用して、不正上で RLDP トレースを複数回試すことができます。
-
RLDP プロセス中は、AP がクライアントにサービスを提供できません。これがローカル モード AP のパフォーマンスと接続に悪影響を及ぼします。この問題を回避するために、RLDP はモニタ モード AP に対してのみ選択的に有効にできます。
-
RLDP は、5GHz DFS チャネルで動作する不正 AP への接続は試行しません。
(注) |
RLDP は、シスコの Atonomous 不正アクセス ポイントではサポートされていません。これらのアクセス ポイントは、RLDP クライアントによって送信された DHCP 検出要求をドロップします。また不正なアクセス ポイント チャネルが動的周波数選択(DFS)を必要とする場合、RLDP はサポートされません。 |
不正なデバイスの検出
コントローラ は、すべての近隣のアクセスポイントを継続的に監視し、不正なアクセスポイントおよびクライアントに関する情報を自動的に検出して収集します。コントローラ は、不正なアクセスポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正がネットワークに接続されているかどうかを判断します。
コントローラ は、オープンの認証の不正デバイスで RLDP を開始します。RLDP が FlexConnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。不正アクセス ポイントが検出された時点で(auto-configured)、RLDP プロセスが開始されます。
すべてのアクセスポイントで、または監視(リッスン専用)モードに設定されたアクセスポイントでのみ、RLDP を使用するように、コントローラ を設定できます。後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。すべてのアクセスポイントで RLDP を使用するようにコントローラ を設定していて、モニタアクセスポイントとローカル(データ)アクセスポイントの両方が近くにある場合、コントローラ は常に RLDP 動作に対してモニタアクセスポイントを選択します。ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。
RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。再試行回数は、wireless wps rogue ap rldp retries 設定 CLI を使用して設定できます。
3 つの方法でコントローラ から RLDP を開始またはトリガーできます。
-
コントローラ の CLI から RLDP 開始コマンドを手動で入力します。
wireless wps rogue ap mac-address mac-address rldp initiate
-
コントローラの 設定 CLI から RLDP をスケジュールします。
wireless wps rogue ap rldp schedule
-
自動 RLDP。コントローラ の CLI または GUI のどちらからでもコントローラ の自動 RLDP を設定できますが、次の注意事項を考慮してください。
-
不正検出のセキュリティ レベルが custom に設定されている場合にのみ、自動 RLDP オプションを設定できます。
-
自動 RLDP および RLDP のスケジュールを同時に有効にすることはできません。
-
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラ は、不正の阻止に最も効果的なアクセスポイントを選択し、そのアクセスポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、監視モードのアクセスポイントだけを使用するようにコントローラ を設定できます。阻止動作は次の 2 つの方法で開始されます。
-
コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。不正なアクセス ポイントの阻止の場合、フレームは不正なクライアントがアソシエートされている場合にのみ送信されます。
-
阻止された不正アクティビティが検出されると、阻止フレームが送信されます。
個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。
Cisco Prime Infrastructure のインタラクションと不正検出
Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。
-
不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。不正の状態が Internal または External であると、トラップは送信されません。
-
タイムアウトの経過後に不正エントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正アクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。