セキュリティ

データ Datagram Transport Layer Security について

データ Datagram Transport Layer Security(DTLS)により、DTLS を使用してアクセスポイントとコントローラ間で送信される CAPWAP データパケットを暗号化できます。これは、TLS に基づいて制御パケットとデータパケットの両方を暗号化できる標準トラック IETF プロトコルです。CAPWAP 制御パケットは、コントローラとアクセスポイント間で交換される管理パケットですが、CAPWAP データパケットは、転送された無線フレームをカプセル化します。CAPWAP コントロールおよびデータパケットはそれぞれ異なる UDP ポートである 5246(コントロール)および 5247(データ)で送信されます。

アクセスポイントが DTLS データ暗号化をサポートしない場合、DTLS はコントロールプレーンにのみ有効となり、データプレーンの DTLS セッションは確立されません。

アクセスポイントがデータ DTLS をサポートしている場合は、コントローラから新しい設定を受信した後にデータ DTLS を有効にします。アクセスポイントは、ポート5247で DTLS ハンドシェイクを実行し、ハンドシェイクが成功すると DTLS セッションを確立します。すべてのデータトラフィック(アクセスポイントからコントローラへのデータトラフィックとコントローラからアクセスポイントへのデータトラフィック)が暗号化されます。


(注)  

データ暗号化が有効になっている一部の AP では、スループットが影響を受けます。

次の誤った設定が行われた場合、コントローラは、cookie を使用して client-hello を処理した直後に DTLS ハンドシェイクを実行しません。

  • 「ap dtls-cipher <>」の ECDHE-ECDSA 暗号と「wireless management trustpoint」の RSA ベースの証明書。

  • 「ap dtls-cipher <>」の RSA 暗号と「wireless management trustpoint」の EC ベースの証明書。


(注)  

これは、CC -> FIPS -> 非 FIPS モードから移行する場合に該当します。

(注)  

AP の DHCP リース時間が短く、DHCP プールが小さい場合、アクセスポイントの参加に失敗したり、データ Datagram Transport Layer Security(DTLS)セッションの確立に失敗する可能性があります。このようなシナリオでは、AP を名前付きサイトタグに関連付け、DHCP リース時間を増やして 8 日間以上にします。

データ DTLS の設定(GUI)

コントローラ上のアクセスポイントの DTLS データ暗号化を有効にするには、次の手順を実行します。

手順

ステップ 1

[Configuration] > [Tags and Profile] > [AP Join]をクリックします。

ステップ 2

[Add] をクリックして新しい [AP Join Profile] を作成するか、既存のプロファイルをクリックして編集します。

ステップ 3

[CAPWAP] > [Advanced]をクリックします。

ステップ 4

Datagram Transport Layer Security(DTLS)データ暗号化を有効にするには、[Enable Data Encryption] チェックボックスをオンにします。

ステップ 5

[Update & Apply to Device] をクリックします。

データ DTLS の設定(CLI)

コントローラ上のアクセスポイントの DTLS データ暗号化を有効にするには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile ap-profile

例:

Device(config)# ap profile test-ap-profile

AP プロファイルを設定し、AP プロファイル コンフィギュレーション モードを開始します。

(注)  

 

例に示すように、デフォルトの AP プロファイル(default-ap-profile)を使用するか、または名前付き AP プロファイルを作成できます。

ステップ 3

link-encryption

例:

Device(config-ap-profile)# link-encryption

プロファイルに基づいてリンク暗号化を有効にします。システムから次のメッセージが表示されたら、[Yes] で応答します。

(注)  

 

AP プロファイルで stats-timer をゼロ(0)に設定すると、AP はリンク暗号化の統計を送信しません。

 
Enabling link-encryption will reboot the APs with link-encryption.
Are you sure you want to continue? (y/n)[y]:

ステップ 4

end

例:

Device(config-ap-profile)# end

特権 EXEC モードに戻ります。

ステップ 5

show wireless dtls connections

例:

Device# show wireless dtls connections

(任意)このコントローラに参加した AP に対して確立された DTLS セッションを表示します。

ステップ 6

show ap link-encryption

例:

Device# show ap link-encryption

(任意)AP から受信したリンク暗号化関連の統計情報(リンク暗号化が有効か無効か)のカウンタを表示します。

802.1X 認証の概要

IEEE 802.1X ポートベースの認証は、不正なデバイスによるネットワークアクセスを防止するためにデバイスに設定されます。デバイスでは、固定された構成に基づいて、ルータ、スイッチ、およびアクセス ポイントの機能を組み合わせることができます。802.1X 認証が有効になっているスイッチポートに接続しているデバイスはすべて、トラフィックの交換を開始する場合に、関連する EAP 認証モデルを実行する必要があります。

現在、Cisco Wave 2 AP および Wi-Fi 6(802.11AX)APは、EAP-FAST、EAP-TLS、および EAP-PEAP 方式のスイッチポートを使用した 802.1X 認証をサポートしています。そのため、設定を有効にしてコントローラから AP にクレデンシャルを提供できます。


(注)  

AP が dot1x EAP-FAST の場合、AP の再起動時に匿名 PAC プロビジョニングを実行する必要があります。PAC プロビジョニングを実行するには、ADH 暗号スイートを使用して認証トンネルを確立する必要があります。ADH 暗号スイートが Radius サーバーでサポートされていない場合、AP はリロード時に認証に失敗します。

EAP-FAST プロトコル

シスコが開発した EAP-FAST プロトコルでは、RADIUS を使用したセキュアな TLS トンネルを確立するために、AP では、インバンド プロビジョニング(セキュア チャネル内)またはアウトバンド プロビジョニング(手動)を介して提供される強力な共有キー(PAC)を必要とします。


(注)  
AP では MSCHAP バージョン 2 方式の EAP-FAST が使用されるため、EAP-FAST タイプの設定では AP に対して 802.1x クレデンシャルの設定が必要です。

(注)  

ローカル EAP は、Cisco 7925 電話ではサポートされていません。

(注)  

Cisco Wave 2 AP では、PAC プロビジョニング後に EAP-FAST を使用して 802.1x 認証を行う場合(初期接続または AP のリロード後に発生)は、authentication timer restart num または authentication timer reauthenticate num のいずれかのコマンドを使用して再認証をトリガーするようにスイッチポートを設定してください。

Cisco IOS XE Amsterdam 17.1.1 以降では、TLS 1.2 は EAP-FAST 認証プロトコルでサポートされています。

EAP-TLS/EAP-PEAP プロトコル

EAP-TLS プロトコルまたは EAP-PEAP プロトコルは、証明書ベースの相互 EAP 認証を提供します。

EAP-TLS では、サーバー側証明書とクライアント側証明書の両方が必要であり、特定のセッションに対してデータを暗号化または復号化するために、セキュリティ保護された共有キーが導出されます。一方、EAP-PEAP ではサーバー側証明書のみ必要であり、クライアントはセキュリティ保護されたチャネルでパスワードベースのプロトコルを使用して認証を行います。


(注)  

EAP-PEAP タイプの設定では AP に対して Dot1x クレデンシャルの設定が必要です。また、AP では LSC のプロビジョニングを実行する必要もあります。AP では MSCHAP バージョン 2 方式の PEAP プロトコルが使用されます。

802.1X 認証の制限事項

  • 802.1X はダイナミックポートまたはイーサネットチャネルポートではサポートされていません。

  • 802.1X はメッシュ AP のシナリオではサポートされていません。

  • クレデンシャルの不一致、または AP 上の証明書の期限切れ/無効が生じた場合、コントローラから回復することはありません。構成を修正するために再び AP に接続するには、スイッチポートで 802.1X 認証を無効にする必要があります。

  • AP にインストールされた証明書では証明書失効チェックは実装されません。

  • AP ではローカルで有効な証明書(LSC)を 1 つだけプロビジョニングでき、コントローラによる CAPWAP DTLS セッションの確立と、スイッチによる 802.1X 認証では、これと同じ証明書を使用する必要があります。コントローラのグローバル LSC 設定が無効になった場合、AP では、すでにプロビジョニングされている LSC が削除されます。

  • AP に構成のクリアが適用された場合、AP では 802.1X EAP タイプの構成と LSC 証明書が失われます。802.1X が必要な場合、AP では再度ステージングプロセスを実行する必要があります。

  • マルチホスト認証モードのトランクポート AP の 802.1X がサポートされています。Network Edge Authentication Topology(NEAT)は COS AP ではサポートされていません。

  • DHCP 要求は、「2, 3, 4, 6, 8, 11, 15, 20, 27, 30, 30, 30, 30, 30...」というように定期的に値を増やして送信されます。Cisco Catalyst 9100 アクセス ポイントは、100 秒のタイムアウト後にインターフェイスのリセットを実行します。これにより、接続されている関連スイッチポートのタイマーがリセットされます。

トポロジ - 概要

802.1X 認証のイベントは次のとおりです。

  1. AP は 802.1X サプリカントとして機能し、RADIUS サーバーに対してスイッチによって認証されます。RADIUS サーバーは、EAP-FAST とともに EAP-TLS と EAP-PEAP もサポートします。dot1x 認証がスイッチポートで有効になっている場合、そのポートに接続しているデバイスは、802.1X トラフィック以外のデータを受信して転送するために自分自身を認証します。

  2. EAP-FAST 方式による認証を行うには、AP で RADIUS サーバーのクレデンシャルが必要になります。クレデンシャルはコントローラで設定でき、そこから設定更新要求を介して AP に渡されます。EAP-TLS または EAP-PEAP の場合、AP では、ローカル CA サーバーによって重要扱いにされた証明書(デバイス/ID および CA)が使用されます。

図 1. 図 1:802.1X 認証のトポロジ

802.1X 認証タイプと LSC AP 認証タイプの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [AP Join]の順に選択します。

ステップ 2

[AP Join Profile] ページで、[Add] をクリックします。

[Add AP Join Profile] ページが表示されます。

ステップ 3

[AP] > [General] タブで、[AP EAP Auth Configuration] セクションに移動します。

ステップ 4

[EAP Type] ドロップダウン リストから、EAP タイプとして [EAP-FAST]、[EAP-TLS]、または [EAP-PEAP] を選択して、dot1x 認証タイプを設定します。

ステップ 5

[AP Authorization Type] ドロップダウン リストから、タイプとして [CAPWAP DTLS +] または [CAPWAP DTLS] のいずれかを選択します。

ステップ 6

[Save & Apply to Device] をクリックします。

802.1X 認証タイプと LSC AP 認証タイプの設定

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ap profile profile-name

例:

Device(config)# ap profile new-profile

プロファイル名を指定します。

ステップ 4

dot1x {max-sessions | username | eap-type | lsc-ap-auth-state}

例:

Device(config-ap-profile)# dot1x eap-type

dot1x 認証タイプを設定します。

max-sessions:AP ごとに開始される 802.1X セッションの最大数を設定します。

username:すべての AP の 802.1X ユーザー名を設定します。

eap-type:スイッチ ポートを使用した dot1x 認証タイプを設定します。

lsc-ap-auth-state:AP での LSC 認証状態を設定します。

ステップ 5

dot1x eap-type {EAP-FAST | EAP-TLS | EAP-PEAP}

例:

Device(config-ap-profile)# dot1x eap-type

dot1x 認証タイプ(EAP-FAST、EAP-TLS、または EAP-PEAP)を設定します。

ステップ 6

dot1x lsc-ap-auth-state {CAPWAP-DTLS | Dot1x-port-auth | Both}

例:

Device(config-ap-profile)#dot1x lsc-ap-auth-state Dot1x-port-auth

AP での LSC 認証状態を設定します。

CAPWAP-DTLS:CAPWAP DTLS にのみ LSC を使用します。

Dot1x-port-auth:ポートでの dot1x 認証にのみ LSC を使用します。

Both:CAPWAP-DTLS とポートでの Dot1x 認証の両方に LSC を使用します。

ステップ 7

end

例:

Device(config-ap-profile)# end

AP プロファイル コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。

802.1X ユーザー名とパスワードの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [AP Join] を選択します。

ステップ 2

[AP Join] ページで、 AP 参加プロファイルの名前をクリックするか、[Add] をクリックして新規に作成します。

ステップ 3

[Management] タブをクリックし、[Credentials] タブをクリックします。

ステップ 4

ローカルのユーザー名とパスワードの詳細を入力します。

ステップ 5

適切なローカル パスワード タイプを選択します。

ステップ 6

802.1X ユーザー名とパスワードの詳細を入力します。

ステップ 7

適切な 802.1X パスワードタイプを選択します。

ステップ 8

セッションが期限切れになるまでの時間を秒単位で入力します。

ステップ 9

必要に応じて、ローカルログイン情報や 802.1X ログイン情報を有効にします。

ステップ 10

[Update & Apply to Device] をクリックします。

802.1X ユーザー名とパスワードの設定(CLI)

次の手順では、すべての AP の 802.1X パスワードを設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ap profile profile-name

例:

Device(config)# ap profile new-profile

プロファイル名を指定します。

ステップ 4

dot1x {max-sessions | username | eap-type | lsc-ap-auth-state}

例:

Device(config-ap-profile)# dot1x eap-type

dot1x 認証タイプを設定します。

max-sessions:AP ごとに開始される 802.1X セッションの最大数を設定します。

username:すべての AP の 802.1X ユーザー名を設定します。

eap-type:スイッチ ポートを使用した dot1x 認証タイプを設定します。

lsc-ap-auth-state:AP での LSC 認証状態を設定します。

ステップ 5

dot1x username <username> password {0 | 8} <password>

例:

Device(config-ap-profile)#dot1x username username password 0 password

すべての AP の dot1x パスワードを設定します。

0:暗号化されていないパスワードに従うことを指定します。

8:AES で暗号化されたパスワードに従うことを指定します。

スイッチポートでの 802.1X の有効化

次の手順では、スイッチポートで 802.1X を有効にします。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:

Device(config)# aaa new-model

AAA を有効にします。

ステップ 4

aaa authentication dot1x {default | listname} method1[method2...]

例:

Device(config)# aaa authentication dot1x default group radius

デバイスが AAA サーバーと通信できるように、特権コマンド レベルにアクセスするユーザー権限の決定に使用される一連の認証方式を作成します。

ステップ 5

aaa authorization network group

例:

aaa authorization network group

802.1X でのネットワークサービスの AAA 認証を有効にします。

ステップ 6

dot1x system-auth-control

例:

Device(config)# dot1x system-auth-control

802.1x ポートベースの認証をグローバルに有効にします。

ステップ 7

interface type slot/port

例:

Device(config)# interface fastethernet2/1

インターフェイス コンフィギュレーション モードを開始し、802.1X 認証を有効にするインターフェイスを指定します。

ステップ 8

authentication port-control {auto | force-authorized | force-unauthorized}

例:

Device(config-if)# authentication port-control auto

インターフェイス上で 802.1x ポートベースの認証を有効にします。

[auto]:IEEE 802.1X 認証を有効にし、ポートを無許可ステートで開始します。ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに変更したとき、または EAPOL-Start フレームを受信したときに、認証プロセスが開始されます。デバイスはサプリカントの識別を要求し、サプリカントと認証サーバ間で認証メッセージのリレーを開始します。デバイスはサプリカントの MAC アドレスを使用して、ネットワーク アクセスを試みる各サプリカントを一意に識別します。

[force-authorized]:IEEE 802.1X 認証を無効にし、その結果、認証の交換を必要とせずにポートが許可済みステートに変更されます。ポートは、クライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルト設定です。

[force unauthorized]:ポートが無許可ステートのままになり、サプリカントからの認証の試みをすべて無視します。デバイスは、このポートを介してサプリカントに認証サービスを提供することはできません。

ステップ 9

dot1x pae [supplicant | authenticator | both]

例:

Device(config-if)# dot1x pae authenticator

ポート上でデフォルト設定の 802.1X 認証を有効にします。

ステップ 10

end

例:

Device(config-if)# end

特権 EXEC モードを開始します。

スイッチポートでの 802.1X の確認

次の show コマンドは、スイッチポートでの 802.1X の認証状態を表示します。
Device# show dot1x all
Sysauthcontrol             Enabled
Dot1x Protocol Version     2
Dot1x Info for FastEthernet1
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both 
HostMode                  = MULTI_HOST
ReAuthentication          = Disabled
QuietPeriod               = 60
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
RateLimitPeriod           = 0
Device#

認証タイプの確認

次の show コマンドは、AP プロファイルの認証状態を表示します。
Device#show ap profile <profile-name> detailed ?
  chassis  Chassis
  |        Output modifiers
  <cr>

Device#show ap profile <profile-name> detailed

  AP Profile Name        : default-ap-profile
  Description            : default ap profile
  …
  Dot1x EAP Method       : [EAP-FAST/EAP-TLS/EAP-PEAP/Not-Configured]
  LSC AP AUTH STATE      : [CAPWAP DTLS / DOT1x port auth / CAPWAP DTLS + DOT1x port auth

アクセス ポイント クライアント ACL カウンタの機能履歴

次の表に、このセクションで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 1. アクセス ポイント クライアント ACL カウンタの機能履歴

リリース

機能

機能情報

Cisco IOS XE Dublin 17.13.1

アクセス ポイント クライアント ACL カウンタ

AP クライアント ACL カウンタ機能は、クライアント ACL ルールの統計カウントを提供します。この機能を使用すると、クライアント ACL の特定のルールに一致するパケットの数をカウントできます。

アクセス ポイント クライアント ACL カウンタについて

Cisco IOS XE Dublin 17.13.1 リリースから、AP クライアント ACL カウンタ機能は、クライアント ACL ルールの統計カウントを提供します。Cisco IOS XE Dublin 17.12.1 リリースまでは、どのルールがパケットを通過させたか、またはドロップしたかを判断するためのルールごとのカウンタはありませんでした。

次の AP コマンドを使用して、この機能で AP のカウンタを有効にし、クライアント ACL の特定のルールにヒットしたパケットの数をカウントします。

  • [no] debug flexconnect access-list counter [all | vlan-acl | client-acl]

  • [no] debug flexconnect access-list event [all | vlan-acl | client-acl]

  • ACL カウンタをクリアするには、次のコマンドを使用します。

    • clear counters access-list client <MAC> all

AP クライアント ACL カウンタは、FlexConnect モードおよびローカルスイッチング中央認証サブモードでサポートされます。