高度な WIPS

高度な WIPS の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

表 1. 高度な WIPS の機能履歴

リリース

機能名

機能情報

Cisco IOS XE Bengaluru 17.5.1

高度な WIPS の署名

最大 15 個の追加の署名がサポートされます。

Cisco IOS XE Bengaluru 17.6.1

高度な WIPs の Syslog サポート

17.6.1 リリース以降:

  • 2 つの追加の署名がサポートされます。

  • 高度な WIPS のコントローラに Syslog サポートが追加されました。

高度な WIPS について

Cisco Advanced Wireless Intrusion Prevention System(aWIPS)は、ワイヤレス侵入の脅威を検出および軽減するメカニズムです。aWIPS は、無線の脅威の検出およびパフォーマンス管理のための高度な手法を使用します。AP が脅威を検出してアラームを生成します。この手法では、ネットワーク トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。

インフラストラクチャに完全に統合されたソリューションを採用して、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワーク インテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃を正確に特定し事前に防止することができます。

次の表に、Cisco IOS XE Bengaluru 17.5.1 以降で導入されたアラームを示します。

表 2. 高度な WIPS の署名と定義:Cisco IOS XE Bengaluru 17.5.1 以降

高度な WIPS の署名

定義

RTS 仮想キャリア検知攻撃

これは、Cisco IOS XE Bengaluru 17.4.x で導入された既存の RTS フラッドアラームに追加されました。このアラームは、継続時間が長い RTS が検出されるとトリガーされます。攻撃者は、これらのフレームを使用して通信時間を使い果たし、ワイヤレス クライアント サービスを妨害することができます。

CTS 仮想キャリア検知攻撃

これは、Cisco IOS XE Bengaluru 17.4.x で導入された既存の CTS フラッドアラームに追加されました。このアラームは、継続時間が長い CTS が検出されるとトリガーされます。攻撃者は、これらのフレームを使用して通信時間を使い果たし、ワイヤレス クライアント サービスを妨害することができます。

ペアによる認証解除フラッド

強化された脅威のコンテキストで、攻撃の送信元(攻撃者)と宛先(攻撃対象)の両方が可視化されます(ペアで追跡)。

ファジングビーコン

ファジングビーコンでは、無効なデータ、予期しないデータ、またはランダムなデータがビーコンに導入され、それらの変更されたフレームが空中にリプレイされます。このプロセスは接続先デバイスに、ドライバのクラッシュ、オペレーティングシステムのクラッシュ、スタックベースのオーバーフローなど予想外の動作を引き起こす場合があります。これにより、影響を受けたシステムの任意のコードを実行できるようになります。

ファジングプローブ要求

ファジングプローブ要求では、無効なデータ、予期しないデータ、またはランダムなデータがプローブ要求に導入され、それらの変更されたフレームが空中にリプレイされます。

ファジングプローブ応答

ファジングプローブ応答では、無効なデータ、予期しないデータ、またはランダムなデータがプローブ応答に導入され、それらの変更されたフレームが空中にリプレイされます。

署名による PS ポールフラッド

PS ポールフラッドでは、潜在的なハッカーによってワイヤレスクライアントの MAC アドレスがスプーフィングされ、PS ポールフレームのフラッドが送信されます。AP はバッファデータフレームをワイヤレスクライアントに送信します。クライアントがパワーセーフモードになっている可能性があるため、これによってクライアントでデータフレームが失われます。

署名による Eapol 開始 V1 フラッド

Extensible Authentication Protocol over LAN(EAPOL)開始フラッドでは、攻撃者が AP の内部リソースを使い果たすために EAPOL 開始フレームで AP をフラッディングすることで、AP をダウンさせようとします。

宛先による再関連付け要求フラッド

再関連付け要求フラッドでは、特定のデバイスが、AP のリソース、特にクライアント関連付けテーブルを使い果たすために、大量のエミュレートおよびスプーフィングされたクライアント再関連付けで AP をフラッディングしようとします。クライアント関連付けテーブルがオーバーフローすると、正規のクライアントを関連付けできなくなり、DoS 攻撃が成立します。

署名によるビーコンフラッド

ビーコンフラッドでは、ネットワークをアクティブに検索しているステーションが、異なる MAC アドレスと SSID を使用して生成されたビーコンでネットワークから攻撃されます。このフラッドによって、有効なクライアントは企業 AP によって送信されるビーコンを検出できなくなり、DoS 攻撃を受けることになります。

宛先によるプローブ応答フラッド

プローブ応答フラッドでは、デバイスが AP からの大量のスプーフィングされたプローブ応答によりクライアントをフラッディングしようとします。これにより、クライアントは企業 AP から送信された有効なプローブ応答を検出できなくなります。

署名によるブロック ACK フラッド

ブロック ACK フラッドでは、有効なクライアントの MAC アドレスをスプーフィングしているときに、攻撃者が無効な Add Block Acknowledgment(ADDBA)フレームを AP に送信します。このプロセスにより、AP は無効なフレーム範囲の終わりに達するまで、クライアントから送信される有効なトラフィックを無視することになります。

AirDrop セッション

AirDrop セッションは、AirDrop と呼ばれる Apple の機能を指します。AirDrop は、ファイル共有用のピアツーピアリンクを設定するために使用されます。この結果、WLAN 環境で未承認のピアツーピアネットワークが動的に作成されるため、セキュリティリスクが生じる可能性があります。

不正な形式の関連付け要求

不正な形式の関連付け要求では、攻撃者が不正な形式の関連付け要求を送信します。その結果、AP のバグがトリガーされます。これにより DoS 攻撃が成立します。

署名による認証失敗フラッド

認証失敗フラッドでは、特定のデバイスが、有効なクライアントからスプーフィングされた無効な認証要求で AP をフラッディングしようとします。これにより、接続が切断されます。

署名による無効な MAC OUI

無効な MAC OUI では、有効な OUI を持たないスプーフィングされた MAC アドレスが使用されます。

不正な形式の認証

不正な形式の認証では、攻撃者が不正な形式の認証フレームを送信し、一部のドライバの脆弱性が公開されます。

次の表に、Cisco IOS XE Bengaluru 17.5.1 より前に導入されたアラームを示します。

表 3. 高度な WIPS の署名:Cisco IOS XE Bengaluru 17.5.1 より前

高度な WIPS の署名

認証フラッドアラーム

アソシエーション フラッド アラーム

ブロードキャスト プローブ フラッド アラーム

ディスアソシエーション フラッド アラーム

ブロードキャスト ディスアソシエーション フラッド アラーム

認証解除フラッドアラーム

ブロードキャスト認証解除フラッドアラーム

EAPOL ログオフフラッドアラーム

CTS フラッドアラーム

RTS フラッドアラーム

注意事項および制約事項

  • aWIPS プロファイルでは、Cisco Aironet 1850 シリーズ アクセスポイント、Cisco Catalyst 9117 シリーズ アクセスポイント、および Cisco Catalyst 9130AX シリーズ アクセスポイントは、オフチャネルでのみ EAPOL-Logoff 攻撃を検出し、それに応じてアラームを生成できます。オンチャネルでは EAPOL-Logoff 攻撃を検出できず、アラームを生成できません。

  • Cisco Catalyst Center が完全修飾ドメイン名(FQDN)を使用して設定されている場合、aWIPS プロファイルのダウンロードはサポートされません。

高度な WIPS の有効化

Cisco IOS XE リリース 17.5.1 以降では、aWIPS セキュリティは Hyperlocation/Fastlocate よりも優先されます。可能性があるシナリオを次に示します。

Fastlocate をサポートするすべての Catalyst AP は、AP モードに関係なく、設定に応じて aWIPS と一緒に使用できます。

Cisco Aironet 4800 AP のモニターモード以外のモードでは、aWIPS と Hyperlocation の両方が有効になっている場合、aWIPS のみが使用可能です。

Hyperlocation/Fastlocate

高度な WIPS

Cisco Aironet 4800 AP モード

Cisco Aironet 4800 AP の有効な機能

有効

有効

モニター以外

aWIPS1

有効

無効

モニター以外

Hyperlocation/Fastlocate

無効

無効

モニター以外

Hyperlocation/Fastlocate と aWIPS が無効になります。

無効

有効

モニター以外

aWIPS

有効

有効

モニター

aWIPS と Hyperlocation2

無効

有効

モニター

aWIPS3

有効

無効

モニター

Hyperlocation/Fastlocate

無効

無効

モニター

Hyperlocation/Fastlocate と aWIPS が無効になります。
1 モニターモード以外のモードでは、aWIPS と Hyperlocation/Fastlocate の両方が有効になっている場合、aWIPS のみが使用可能です。
2 モニターモードでは、aWIPS と Hyperlocation/Fastlocate の両方が有効になっている場合、aWIPS と Hyperlocation/Fastlocate の両方が使用可能です。
3 AP で aWIPS と Hyperlocation/Fastlocate のステータスを同時にモニターするには、show capwap client rcb コマンドを使用します。

高度な WIPS の Syslog サポート

この機能は、高度な WIPS のコントローラに syslog サポートを追加します。

コントローラは、AP からアラームを受信すると、syslog メッセージを生成します。syslog メッセージはスロットリングされます。設定されたスロットリング間隔で同じ AP から同じ署名が検出された場合は、そのアラームの syslog メッセージを生成する必要があります。たとえば、スロットリング間隔(1 分など)内に同じ AP から同じ署名が 100 回発生した場合、その 1 分間にコントローラで表示される syslog メッセージは 100 件のメッセージではなく 1 つだけです。

Syslog 形式の例

次に、syslog 形式の例を示します。

Nov 18 20:45:23.746: %APMGR_AWIPS_SYSLOG-6-APMGR_AWIPS_MESSAGE: Chassis 1 R0/0: wncd: AWIPS alarm:(AP00B0.E19A.5720) 00b0.e19a.5720 Radio MAC 00b0.e19b.c300 detected Probe Response Flood by Destination (10019)

この形式には、AP 名、AP イーサネット MAC アドレス、AP 無線 MAC アドレス、説明(署名識別子)が含まれます。


(注)  

syslog メッセージには、クライアント情報やコンテキストは表示されません。

高度な WIPS ソリューション コンポーネント

aWIPS ソリューションは次のコンポーネントで構成されています。

  • Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ

  • Cisco Aironet Wave 2 AP

  • Cisco Catalyst Center

Cisco Catalyst Center には aWIPS の機能が統合されているため、aWIPS で WIPS のポリシーとアラームを設定およびモニタし、脅威を報告することができます。

aWIPS は次の機能をサポートしています。

  • スタティックシグニチャ

    Cisco IOS XE 17.4.1 以降、Cisco Catalyst Center では、しきい値を変更し、新しいシグニチャファイルを AP にプッシュできます。

  • Cisco Catalyst Center からのシグニチャ フォレンジック キャプチャの有効化または無効化

  • スタンドアロンシグニチャ検出のみ

  • アラームのみ

  • GUI のサポート

  • アラームを表示する CLI

  • コントローラおよび AP イメージに付属のスタティック シグニチャ ファイル

  • WSA チャネルを介した Cisco Catalyst Center へのアラームのエクスポート


(注)  

AP MAC アドレス、アラーム ID、アラーム文字列、シグニチャ ID などの aWIPS アラームの詳細は、Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ GUI に表示されます。

サポート対象のモードとプラットフォーム

aWIPS は次のコントローラでサポートされています。

  • Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ

  • Catalyst アクセスポイント上の Cisco Embedded Wireless Controller


(注)  

aWIPS は Cisco IOS AP ではサポートされていません。

高度な WIPS の有効化(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [AP Join] を選択します。

ステップ 2

[Add] をクリックします。[Add AP Join Profile] ウィンドウが表示されます。

ステップ 3

[Add AP Join Profile] ウィンドウで [Security] タブをクリックします。

ステップ 4

[aWIPS] セクションで [aWIPS Enable] チェックボックスをオンにします。

ステップ 5

[Apply to Device] をクリックします。[General] タブに戻ります。

ステップ 6

[Security] タブをクリックします。

ステップ 7

[aWIPS] セクションで [Forensic Enable] チェックボックスをオンにします。

ステップ 8

[Apply to Device] をクリックします。

高度な WIPS の有効化(CLI)

コントローラから aWIPS を有効にし、aWIPS が Hyperlocation/Fastlocate よりも優先されるようにするには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile profile-name

例:

Device(config)# ap profile ap-profile-name

デフォルトの AP プロファイルを設定します。

ステップ 3

awips

例:

Device(config-ap-profile)# awips

aWIPS を有効にします。

(注)  

 

デフォルトでは、aWIPS はコントローラで無効になっています。

ステップ 4

awips forensic

例:

Device(conf-ap-profile)# awips forensic

aWIPS アラームのフォレンジックを有効にします。

ステップ 5

hyperlocation

例:

Device(config-ap-profile)# hyperlocation

この AP プロファイルに関連付けられているすべてのサポート対象の AP で、Hyperlocation/Fastlocate を有効にします。

ステップ 6

end

例:

Device(config-ap-profile)# end

特権 EXEC モードに戻ります。

高度な WIPS の Syslog しきい値の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

awips-syslog throttle period syslog-throttle-interval

例:

Device(config)# awips-syslog throttle period 38

aWIPS の syslog しきい値を設定します。

syslog-throttle-interval :syslog スロットル間隔を秒単位で入力します。範囲は 30 ~ 600 です。

(注)  

 

デフォルトのスロットリング間隔は 60 秒です。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。

高度な WIPS アラームの表示(GUI)

手順

ステップ 1

[Monitoring] > [Security] > [aWIPS]に移動します。

ステップ 2

過去 5 分間のアラームの詳細を表示するには、[Current Alarms] タブをクリックします。

ステップ 3

1 時間や 1 日(24 時間)、またはそれ以上の長期間におけるアラーム数を表示するには、[Historical Statistics] タブをクリックします。

ステップ 4

次のパラメータに基づいてアラームをソートまたはフィルタ処理します。

  • AP Radio MAC address

  • Alarm ID

  • Time Stamp

  • Signature ID

  • Alarm Description

  • Alarm Message Index

高度な WIPS の確認

aWIPS ステータスを表示するには、show awips status radio_mac コマンドを使用します。 

Device# show awips status 0xx7.8xx8.2xx0

AP Radio MAC 	AWIPS Status 	Forensic Capture Status   Alarm Message Count 
----------------------------------------------------------------------------------
0xx7.8xx8.2xx0      ENABLED 	     CONFIG_NOT_ENABLED 	14691

各 aWIPS ステータスインジケータは次のとおりです。

  • ENABLED:aWIPS が有効になっています。

  • NOT_SUPPORTED:AP が AWIPS をサポートしていません。

  • CONFIG_NOT ENABLED:AP で aWIPS が有効になっていません。

特定のアラームシグニチャの詳細を表示するには、show awips alarm signature signature_id コマンドを使用します。 

Device# show awips alarm signature 10001

AP Radio MAC    AlarmID   Timestamp          SignatureID    Alarm Description     Message Index 
-----------------------------------------------------------------------------------------------------------------
0xx7.8xx8.2f80   1714    11/02/2020 13:02:19   10001       Authentication Flood     3966

アラームメッセージの統計を表示するには、show awips alarm statistics コマンドを使用します。 

Device# show awips alarm statistics

最後のクリア以降のアラームのリストを表示するには、show awips alarm ap ap_mac detailed コマンドを使用します。 

Device# show awips alarm ap 0xx7.8xx8.2f80 detailed
AP Radio MAC    AlarmID     Timestamp              SignatureID   Alarm Description                              
---------------------------------------------------------------------------------------------------------------
0xx7.8xx8.2f80    2491    08/02/2022 17:44:40       10009         RTS Flood

詳細なアラームの情報を表示するには、show awips alarm detailed コマンドを使用します。 

Device# show awips alarm detailed

AP Radio MAC    AlarmID  Timestamp   SignatureID Alarm Description 
--------------------------------------------------------------------------------------------------
7xx3.5xxd.d360  1        10/29/2020  23:21:27    10001 Authentication Flood by Source 
dxxc.3xx5.9460  71       10/29/2020  23:21:27    10001 Authentication Flood by Source 
7xx3.5xxd.d360  2        10/29/2020  23:21:28    10002 Association Request Flood by Destination
dxxc.3xx5.9460  72       10/29/2020  23:21:28    10002 Association Request Flood by Destination

特定の AP のアラームを表示するには、show awips alarm ap radio_mac detailed コマンドを使用します。

高度な WIPS の Syslog 設定の確認

aWIPS の syslog 設定を確認するには、次のコマンドを使用します。

Device# show awips syslog throttle

Syslog Throttle Interval (seconds)

-------------------------------------------------------------------------------------------

38