不正なデバイスの管理

不正検出

不正なデバイス

不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。

不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザーがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。ワイヤレス ユーザーがエンタープライズ ネットワーク内のアクセス ポイントに接続する場合、エンタープライズ セキュリティ違反が発生する可能性が高くなります。

次に、不正なデバイスの管理に関する注意事項を示します。

  • アクセスポイントは、関連付けられたクライアントにサービスを提供するように設計されています。これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。大量の不正 AP とクライアントを高感度で検出する場合、モニター モード アクセス ポイントを使用する必要があります。あるいは、スキャン間隔を 180 秒から 120 秒や 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。ただしこの場合も、アクセス ポイントは引き続き各チャネル上で約 50 ミリ秒を費やします。

  • 家庭環境で展開されるアクセス ポイントは多数の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出がデフォルトで無効になっています。

  • クライアントカードの実装により、封じ込めの効果が低下することがあります。これは通常、「関連付け解除/認証解除」フレームを受信後、クライアントがネットワークにすぐに再接続する可能性がある場合に発生し、一部のトラフィックが引き続き通過できる可能性があります。ただし、不正なクライアントが封じ込められると、そのブラウジング エクスペリエンスに悪影響を及ぼす可能性があります。

  • 不正の状態と、状態の自動的な移行を可能にするユーザー定義の分類規則を使って、不正なアクセス ポイントを分類および報告できます。

  • 各コントローラは、モニターモードでの不正アクセスポイントの封じ込めを無線ごとに 3 および 6 台に制限します。

  • 設定を使用して手動の阻止を実行すると、不正エントリは有効期限が切れた後でも保持されます。

  • 不正エントリの有効期限が切れると、管理対象のアクセス ポイントはすべてのアクティブな封じ込めを停止するように指示されます。

  • [Validate Rogue AP Against AAA] が有効になっている場合、コントローラは設定された間隔で不正 AP の分類を AAA サーバーに要求します。

  • AAA に対する不正 AP を検証するには、関連するデリミタ、ユーザー名、およびパスワード(関連するデリミタを含む MAC アドレス)とともに、不正 AP の MAC を AAA ユーザーデータベースに追加します。Access-Accept には、次のキーワードのいずれかを持つ Cisco-AV ペアが含まれています。

    • rogue-ap-state =state


      (注)  

      ここで、state は、Alert、Contain、Internal、External、Threat のいずれかのタイプになります。

    • rogue-ap-class =class


      (注)  

      ここで、class は、Unclassified、Malicious、または Friendly のいずれかのタイプになります。

    クラスまたは状態の許可される組み合わせは次のとおりです。

    • [Unclassified]:Alert、Contain、または Threat。

    • [Malicious]:Alert、Contain、または Threat。

    • [Friendly]:Alert、Internal、または External。

    不正 AP AAA 検証の Radius Access-Reject は無視されます。

  • [Validate Rogue Clients Against AAA] が有効になっている場合、コントローラは一度だけ不正なクライアントの検証を AAA サーバーに要求します。その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバーに有効なクライアント エントリを追加します。

不正検出の制約事項

  • 不正な封じ込めは DFS チャネルではサポートされていません。

不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、モニター モードのアクセス ポイントだけを使用するようにコントローラを設定できます。阻止動作は次の 2 つの方法で開始されます。

  • コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。不正なアクセス ポイントの阻止の場合、フレームは不正なクライアントがアソシエートされている場合にのみ送信されます。

  • 阻止された不正アクティビティが検出されると、阻止フレームが送信されます。

個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。

17.7.1 リリース以降、Beacon DS Attack および Beacon Wrong Channel シグネチャが導入されました。

[Beacon DS Attack]:管理対象 AP と不正 AP が同じ BSSID を使用している場合、不正 AP は偽装者と呼ばれます。攻撃者は、任意のチャネル番号で Direct-Sequence パラメータ セット情報要素を追加できます。追加されたチャネル番号が管理対象 AP が使用するチャネル番号と異なる場合、その攻撃は Beacon DS Attack と呼ばれます。

[Beacon Wrong Channel]:管理対象の AP と不正 AP が同じ BSSID を使用している場合、不正 AP は AP 偽装者と呼ばれます。AP 偽装者が、同じ BSSID を持つ管理対象 AP によって使用される番号とは異なるチャネル番号を使用している場合、その攻撃は Beacon Wrong Channel と呼ばれます。そのような場合、Direct-Sequence 情報要素がビーコンフレームに存在しないこともあります。

Cisco Prime Infrastructure のインタラクションと不正検出

Cisco Prime Infrastructure ではルール ベースの分類がサポートされ、コントローラで設定された分類ルールが使用されます。コントローラは、次のイベント後に Cisco Prime Infrastructure にトラップを送信します。

  • 不明なアクセス ポイントが Friendly 状態に初めて移行すると、コントローラは、不正の状態が Alert の場合にのみ Cisco Prime Infrastructure にトラップを送信します。不正の状態が Internal または External であると、トラップは送信されません。

  • タイムアウトの経過後に不正エントリが削除されると、Malicious(Alert、Threat)または Unclassified(Alert)に分類された不正アクセス ポイントに関して、コントローラから Cisco Prime Infrastructure にトラップが送信されます。コントローラでは、不正の状態が Contained、Contained Pending、Internal、および External である不正なエントリは削除されません。

不正な封じ込めに関する情報(保護された管理フレーム(PMF)が有効)

Cisco IOS XE Amsterdam 17.3.1 以降では、802.11w 保護された管理フレーム(PMF)が有効になっている不正デバイスは含まれていません。代わりに、不正デバイスは [Contained Pending] としてマークされ、WSA アラームが発生して Contained Pending イベントに関する通知がされます。デバイスの抑制は実行されないため、アクセスポイント(AP)リソースが不必要に消費されることはありません。


(注)  

この機能は Wave 2 AP でのみサポートされています。

不正デバイスで PMF が有効になっているときに、show wireless wps rogue ap detailed コマンドを実行して、デバイスの抑制を確認します。

AP 偽装検出

AP 偽装の検出方法は次のとおりです。

  • 管理対象 AP が AP 自体を不正であると報告した場合の AP 偽装検出。この方法は常に有効であり、設定は不要です。

  • MFP に基づく AP 偽装検出。

  • AP 認証に基づく AP 偽装検出。

インフラストラクチャ MFP は、クライアントではなく、AP によって送信され、ネットワーク内の他の AP によって検証される管理フレームにメッセージ整合性チェック(MIC)情報要素を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP が有効になっている場合、管理対象 AP によって、MIC 情報要素の存在の有無、MIC 情報要素が期待どおりの内容であるかがチェックされます。いずれかの条件が満たされていない場合、管理対象 AP は、更新された AP 認証失敗カウンタを含む不正 AP レポートを送信します。

AP 認証機能を使用すると、AP 偽装を検出できます。この機能を有効にすると、コントローラで AP ドメインの秘密が作成され、同じネットワーク内の他の AP と共有されます。これにより、AP が相互に認証できるようになります。

AP 認証情報要素は、ビーコンおよびプローブ応答フレームに添付されます。AP 認証情報要素に不正な [Signature] フィールドがある場合、タイムスタンプがオフの場合、または AP 認証情報要素が欠落している場合、そのような状態を検出した AP により [AP authentication failure count] フィールドが増分されます。[AP authentication failure count] フィールドがしきい値を超えると、偽装アラームが発生します。不正 AP は、状態が [Threat] である [Malicious] として分類されます。

show wireless wps rogue ap detail コマンドを実行して、認証エラーが原因で偽装が検出された時刻を確認します。


(注)  

ccx aironet-iesupport コマンドがすべての WLAN 手順で実行されていることを確認します。実行されていない場合、BSSID が不正として検出されます。

AP 偽装検出では、AP プロファイルで CAPWAP ベースの時間の代わりに Network Time Protocol(NTP)を有効にする必要があります。

不正検出の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [AP Join] を選択します。

ステップ 2

[AP Join Profile Name] をクリックして、AP 参加プロファイルのプロパティを編集します。

ステップ 3

[Edit AP Join Profile] ウィンドウで [Rogue AP] タブをクリックします。

ステップ 4

[Rogue Detection] チェックボックスをオンにして、不正 AP 検知を有効にします。

ステップ 5

[Rogue Detection Minimum RSSI] フィールドに、RSSI 値を入力します。

ステップ 6

[Rogue Detection Transient Interval] フィールドに、間隔を秒単位で入力します。

ステップ 7

[Rogue Detection Report Interval] フィールドに、レポート間隔の値を秒単位で入力します。

ステップ 8

[Rogue Detection Client Number Threshold] フィールドに、不正なクライアント検出のしきい値を入力します。

ステップ 9

[Auto Containment on FlexConnect Standalone] チェックボックスをオンにして、自動封じ込めを有効にします。

ステップ 10

[Update & Apply to Device] をクリックします。

不正検出の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ap profile profile-name rogue detection min-rssi rssi in dBm

例:

Device(config)# ap profile profile1
Device(config)# rogue detection   min-rssi -100

不正に必要な最小 RSSI 値を指定します。これは、AP が不正を検出し、deviceで不正エントリが作成されるために必要な値です。

rssi in dBm パラメータの有効範囲は –128 ~ –70 dBm で、デフォルト値は –128 dBm です。

(注)  

 

この機能は、すべての AP モードに適用できます。RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。

ステップ 3

ap profile profile-name rogue detection containment { auto-rate | flex-rate}

例:

Device(config)# ap profile profile1
Device(config)# rogue detection   containment flex-rate

不正な封じ込めオプションを指定します。[auto-rate] オプションを指定すると、不正を封じ込めるための自動レートが有効になります。[flex-rate] オプションを指定すると、スタンドアロン FlexConnect AP の不正な封じ込めが有効になります。

ステップ 4

ap profile profile-name rogue detection enable

例:

Device(config)# ap profile profile1
Device(config)# rogue detection enable

すべての AP で不正 AP 検知を有効にします。

ステップ 5

ap profile profile-name rogue detection report-interval time in seconds

例:

Device(config)# ap profile profile1
Device(config)# rogue detection report-interval 120

モニターモードの Cisco AP に対する不正レポートの間隔を設定します。

報告する間隔の有効な範囲(秒単位)は、10 ~ 300 秒です。

コントローラが数千の不正 AP を検出した場合、PUBD プロセスが原因で CPU の使用率が高い状態が続く可能性があります。これは、[Rogue Detection Report Interval] をデフォルトの 10 からそれ以上に増やすことで修正できます。

不正 AP の RSSI 偏差通知しきい値の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless wps rogue ap notify-rssi-deviation

例:

Device(config)# wireless wps rogue ap notify-rssi-deviation

不正 AP の RSSI 偏差通知しきい値を設定します。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

管理フレーム保護の設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Wireless Protection Policies] を選択します。

ステップ 2

[Rogue Policy] タブの [MFP Configuration] セクションで、[Global MFP State] チェックボックスと [AP Impersonation Detection] チェックボックスをオンにして、グローバル MFP 状態と AP 偽装検出をそれぞれ有効にします。

ステップ 3

[MFP Key Refresh Interval] フィールドで、更新間隔を時間単位で指定します。

ステップ 4

[Apply] をクリックします。

管理フレーム保護の設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless wps mfp

例:

Device(config)# wireless wps mfp

管理フレーム保護を設定します。

ステップ 3

wireless wps mfp {ap-impersonation | key-refresh-interval}

例:

Device(config)# wireless wps mfp ap-impersonation
Device(config)# wireless wps mfp key-refresh-interval

AP の偽装検出(または)MFP キーの更新間隔を時単位で設定します。

key-refresh-interval:MFP キーの更新間隔を時単位で設定します。有効な範囲は 1 ~ 24 です。デフォルト値は 24 です。

ステップ 4

end

例:

Device(config)# end

設定を保存し、コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

アクセスポイント認証の有効化

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless wps ap-authentication

例:

Device(config)# wireless wps ap-authentication

ワイヤレス WPS AP 認証を設定します。

ステップ 3

wireless wps ap-authentication threshold threshold

例:

Device(config)# wireless wps ap-authentication threshold 100

AP ネイバー認証を設定し、AP 認証エラーのしきい値を設定します。

ステップ 4

wlan wlan-name wlan-id SSID-name

例:

Device(config)# wlan wlan-demo 1 ssid-demo

WLAN を設定します。

ステップ 5

ccx aironet-iesupport

例:

Device(config-wlan)# ccx aironet-iesupport

この WLAN の Aironet 情報要素のサポートを有効にします。

ステップ 6

end

例:

Device# end

特権 EXEC モードに戻ります。

管理フレーム保護の確認

管理フレーム保護(MFP)機能が有効かどうかを確認するには、次のコマンドを使用します。

Device# show wireless wps summary
Client Exclusion Policy
  Excessive 802.11-association failures   : unknown
  Excessive 802.11-authentication failures: unknown
  Excessive 802.1x-authentication         : unknown
  IP-theft                                : unknown
  Excessive Web authentication failure    : unknown
  Failed Qos Policy                       : unknown

Management Frame Protection
  Global Infrastructure MFP state : Enabled
  AP Impersonation detection      : Disabled
  Key refresh interval            : 15

MFP の詳細を表示するには、次のコマンドを使用します。

Device# show wireless wps mfp summary
Management Frame Protection
  Global Infrastructure MFP state : Enabled
  AP Impersonation detection      : Disabled
  Key refresh interval            : 15

不正イベントの確認

不正イベントの履歴を確認するには、show wireless wps rogue ap detailed コマンドを実行します。 

Device# show wireless wps rogue ap detailed
Rogue Event history

Timestamp                  #Times   Class/State Event                Ctx                       RC
-------------------------- -------- ----------- -------------------- ------------------------- ----
05/10/2021 13:56:46.657434 2        Mal/Threat  FSM_GOTO                                Threat  0x0
05/10/2021 13:56:46.654905 1        Unk/Init    EXPIRE_TIMER_START                        240s  0x0
05/10/2021 13:56:46.654879 1        Unk/Init    AP_IMPERSONATION           DS:1,ch:1,band_id:0  0x0
05/10/2021 13:56:46.654673 1        Unk/Init    RECV_REPORT                   70db.98fc.2680/0  0x0
05/10/2021 13:56:46.654663 1        Unk/Init    INIT_TIMER_START                          180s  0x0
05/10/2021 13:56:46.654608 1        Unk/Init    CREATE                                          0x0


Rogue BSSID                            : 002c.c8c1.096d
Last heard Rogue SSID                  : MarvellAP0d
802.11w PMF required                   : No
Is Rogue an impersonator               : Yes
Beacon Wrong Channel                   : Yes
Beacon DS Attack                       : Yes
Is Rogue on Wired Network              : No
Classification                         : Malicious
Manually Contained                     : No
State                                  : Threat
First Time Rogue was Reported          : 05/10/2021 13:56:46
Last Time Rogue was Reported           : 05/10/2021 13:56:46

Number of clients                      : 0

不正検出の検証

この項では、不正検出の新しいコマンドについて説明します。

次のコマンドを使用して、デバイスでの不正 AP 検知を確認できます。

表 1. アドホック不正情報の確認

コマンド

目的

show wireless wps rogue adhoc detailed mac_address

アドホック不正の詳細情報を表示します。

show wireless wps rogue adhoc summary

すべてのアドホック不正のリストを表示します。
表 2. 不正 AP 情報の確認

コマンド

目的

show wireless wps rogue ap clients mac_address

不正に関連付けられているすべての不正クライアントのリストを表示します。

show wireless wps rogue ap custom summary

カスタム不正 AP の情報を表示します。

show wireless wps rogue ap detailed mac_address

不正 AP の詳細情報を表示します。

show wireless wps rogue ap friendly summary

危険性のない不正 AP の情報を表示します。

show wireless wps rogue ap list mac_address

特定の AP によって検出された不正 AP のリストを表示します。

show wireless wps rogue ap malicious summary

悪意のある不正 AP の情報を表示します。

show wireless wps rogue ap summary

すべての不正 AP のリストを表示します。

show wireless wps rogue ap unclassified summary

未分類の不正 AP の情報を表示します。
表 3. 不正の自動封じ込めに関する情報の確認

コマンド

目的

show wireless wps rogue auto-contain

不正の自動封じ込めに関する情報を表示します。
表 4. 分類ルールの情報の確認

コマンド

目的

show wireless wps rogue rule detailed rule_name

分類ルールの詳細情報を表示します。

show wireless wps rogue rule summary

すべての不正ルールのリストを表示します。
表 5. 不正統計情報の確認

コマンド

目的

show wireless wps rogue stats

不正統計情報を表示します。
表 6. 不正クライアントの情報の確認

コマンド

目的

show wireless wps rogue client detailed mac_address

不正クライアントの詳細情報を表示します。
show wireless wps rogue client summary

すべての不正クライアントのリストを表示します。
表 7. 不正無視リストの確認

コマンド

目的

show wireless wps rogue ignore-list

不正無視リストを表示します。

例:不正検出の設定

次に、検出された不正 AP が存在する必要がある最小 RSSI を、デバイスで作成されたエントリを持つように設定する例を示します。 

Device# configure terminal
Device(config)# ap profile profile1
Device(config)# rogue detection min-rssi -100
Device(config)# end
Device# show wireless wps rogue client summary/show wireless wps rogue ap summary
次に、分類インターバルを設定する例を示します。 

Device# configure terminal
Device(config)# ap profile profile1
Device(config)# rogue detection min-transient-time 500
Device(config)# end
Device# show wireless wps rogue client summary/show wireless wps rogue ap summary

不正ポリシーの設定(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Wireless Protection Policies] の順に選択します。

ステップ 2

[Rogue Policies] タブで、[Rogue Detection Security Level] ドロップダウンを使用してセキュリティ レベルを選択します。

ステップ 3

[Expiration timeout for Rogue APs (seconds)] フィールドに、タイムアウト値を入力します。

ステップ 4

[Validate Rogue Clients against AAA] チェック ボックスをオンにして、AAA サーバーに対して不正クライアントを検証します。

ステップ 5

[Validate Rogue APs against AAA] チェック ボックスをオンにして、AAA サーバーに対して不正アクセス ポイントを検証します。

ステップ 6

[Rogue Polling Interval (seconds)] フィールドに、不正情報について AAA サーバーにポーリングする間隔を入力します。

ステップ 7

不正アドホックネットワークの検出を有効にするには、[Detect and Report Adhoc Networks] チェックボックスをオンにします。

ステップ 8

[Rogue Detection Client Number Threshold] フィールドに、SNMP トラップを生成するしきい値を入力します。

ステップ 9

[Auto Contain] セクションで、次の詳細情報を入力します。

ステップ 10

[Auto Containment Level] ドロップダウンを使用してレベルを選択します。

ステップ 11

自動封じ込めをモニター モードの AP のみに制限するには、[Auto Containment only for Monitor Mode APs] チェック ボックスをオンにします。

ステップ 12

自動封じ込めを有線の不正 AP のみに制限するには、[Rogue on Wire] チェック ボックスをオンにします。

ステップ 13

コントローラに設定されているいずれかの SSID を使用している不正 AP のみに自動封じ込めを制限するには、[Using our SSID] チェックボックスをオンにします。

ステップ 14

自動封じ込めをアドホック不正 AP のみに制限するには、[Adhoc Rogue AP] チェック ボックスをオンにします。

ステップ 15

[Apply] をクリックします。

不正ポリシーの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

例:

Device(config)# wireless wps rogue security-level custom

不正検出セキュリティ レベルを設定します。

機密性の高い展開には [Critical]、カスタマイズ可能なセキュリティレベルには [Custom]、中規模の展開には [High]、小規模な展開には [Low] を選択できます。

ステップ 3

wireless wps rogue ap timeout number of seconds

例:

Device(config)# wireless wps rogue ap timeout 250

不正なエントリの有効期限を秒単位で設定します。秒単位の時間の有効な範囲は 240 ~ 3600 秒です。

ステップ 4

例:

Device(config)# wireless wps rogue client aaa

有効な MAC アドレスを検出するための AAA またはローカルデータベースの使用を設定します。

ステップ 5

例:

Device(config)# wireless wps rogue client mse

有効な MAC アドレスを検出するための MSE の使用を設定します。

ステップ 6

wireless wps rogue client notify-min-rssi RSSI threshold

例:

Device(config)# wireless wps rogue client notify-min-rssi -128

不正なクライアントの最小 RSSI 通知しきい値を設定します。RSSI しきい値(dB 単位)の有効な範囲は -128 ~ -70 dB です。

ステップ 7

wireless wps rogue client notify-min-deviation RSSI threshold

例:

Device(config)# wireless wps rogue client notify-min-deviation 4

不正なクライアントの RSSI 偏差通知しきい値を設定します。RSSI しきい値(dB 単位)の有効な範囲は 0 ~ 10 dB です。

ステップ 8

wireless wps rogue ap aaa

例:

Device(config)# wireless wps rogue ap aaa

不正 AP の MAC アドレスに基づいて不正 AP を分類するために、AAA またはローカルデータベースの使用を設定します。

ステップ 9

wireless wps rogue ap aaa polling-interval AP AAA Interval

例:

Device(config)# wireless wps rogue ap aaa polling-interval 120

不正 AP AAA 検証間隔を設定します。AP AAA 間隔の有効な範囲(秒単位)は 60 ~ 86400 秒です。

ステップ 10

wireless wps rogue adhoc

例:

Device(config)# wireless wps rogue adhoc

アドホック不正(IBSS)の検出とレポートを有効にします。

ステップ 11

wireless wps rogue client client-threshold threshold

例:

Device(config)# wireless wps rogue client client-threshold 100

不正 AP SNMP トラップしきい値ごとに不正なクライアントを設定します。しきい値の有効な範囲は 0 ~ 256 です。

ステップ 12

wireless wps rogue ap init-timer

例:

Device(config)# wireless wps rogue ap init-timer 180

不正 AP の初期化タイマーを設定します。タイマーのデフォルト値は 180 秒に設定されています。

(注)  

 

不正 AP が検出されると、初期タイマーが開始され、タイマーが期限切れになるとルールが適用されます。これにより、ルールを適用する前に不正 AP 情報を安定させることができます。ただし、このコマンドを使用して、このタイマーの値を変更できます。たとえば、新しい不正 AP が検出されたらすぐにルールを適用する必要がある場合は、初期化タイマーを 0 に設定できます。

不正検出セキュリティ レベル

不正検出セキュリティ レベルの設定を使用して、不正検出パラメータを設定できます。

使用可能なセキュリティ レベルは次のとおりです。

  • Critical:機密性の高い展開向けの基本不正検出。

  • High:中規模な展開向けの基本不正検出。

  • Low:小規模な展開向けの基本不正検出。

  • Custom:デフォルトのセキュリティレベル(すべての検出パラメータが設定可能)。


(注)  

Critical、High、または Low の場合、一部の不正パラメータは固定されており、設定できません。

次の表に、事前に定義された 3 つのレベルについてパラメータの詳細を示します。

表 8. 不正検出:事前に定義されたレベル

パラメータ

Critical

High

Low

クリーンアップ タイマー

3600

1200

240

AAA 検証クライアント

無効

無効

無効

AAA 検証 AP

無効

無効

無効

アドホック レポート

有効

有効

有効

モニターモード レポート間隔

10 秒

30 秒

60 秒

最小 RSSI

-128 dBm

-80 dBm

-80 dBm

一時間隔

600 秒

300 秒

120 秒

自動封じ込め

モニター モードの AP でのみ動作します。

無効

無効

無効

自動封じ込めレベル

1

1

1

同じ SSID の自動封じ込め

無効

無効

無効

不正 AP 上の有効なクライアントの自動封じ込め

無効

無効

無効

アドホックの自動封じ込め

無効

無効

無効

封じ込め自動レート

有効

有効

有効

CMX によるクライアントの検証

有効

有効

有効

封じ込め FlexConnect

有効

有効

有効

不正検出セキュリティレベルの設定

不正検出セキュリティレベルを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless wps rogue security-level custom

例:

Device(config)# wireless wps rogue security-level custom

不正検出セキュリティ レベルを「カスタム」に設定します。

ステップ 3

wireless wps rogue security-level low

例:

Device(config)# wireless wps rogue security-level low

小規模展開向けの基本不正検出を設定するための不正検出セキュリティ レベルを設定します。

ステップ 4

wireless wps rogue security-level high

例:

Device(config)# wireless wps rogue security-level high

中規模展開向けの不正検出を設定するための不正検出セキュリティ レベルを設定します。

ステップ 5

wireless wps rogue security-level critical

例:

Device(config)# wireless wps rogue security-level critical

機密性の高い展開向けの不正検出を設定するための不正検出セキュリティ レベルを設定します。

Wireless Service Assurance 不正イベント

リリース 16.12.x 以降のリリースでサポートされている Wireless Service Assurance(WSA)不正イベントは、SNMP トラップのサブセットに対応したテレメトリ通知で構成されています。WSA 不正イベントは、対応する SNMP トラップの一部となっている同じ情報を複製します。

エクスポートされたすべてのイベントについて、次の詳細が Wireless Service Assurance(WSA)インフラストラクチャに提供されます。

  • 不正 AP の MAC アドレス

  • 最も強力な RSSI で不正 AP を検出した管理対象 AP と無線の詳細

  • イベント固有のデータ(SSID、潜在的なハニーポットイベントのチャネル、偽装イベント用偽装 AP の MAC アドレスなど)

WSA 不正イベント機能は、サポートされる AP の最大数の 4 倍まで、およびサポートされるクライアントの最大数の半分まで拡張できます。

WSA 不正イベント機能は、Cisco Catalyst Center およびその他のサードパーティ インフラストラクチャでサポートされています。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

network-assurance enable

例:

Device# network-assurance enable

Wireless Service Assurance を有効にします。

ステップ 3

wireless wps rogue network-assurance enable

例:

Device# wireless wps rogue network-assurance enable

不正デバイスに対する Wireless Service Assurance を有効にします。これにより、WSA 不正イベントがイベント キューに送信されます。

Wireless Service Assurance 不正イベントのモニターリング

手順

  • show wireless wps rogue stats

    例:

    Device# show wireless wps rogue stats

WSA Events
  Total WSA Events Triggered            : 9
    ROGUE_POTENTIAL_HONEYPOT_DETECTED   : 2
    ROGUE_POTENTIAL_HONEYPOT_CLEARED    : 3
    ROGUE_AP_IMPERSONATION_DETECTED     : 4
  Total WSA Events Enqueued             : 6
    ROGUE_POTENTIAL_HONEYPOT_DETECTED   : 1
    ROGUE_POTENTIAL_HONEYPOT_CLEARED    : 2
    ROGUE_AP_IMPERSONATION_DETECTED     : 3

    この例では、9 つのイベントがトリガーされていますが、そのうちの 6 つだけがキューに入れられています。これは、WSA 不正機能が有効になる前に 3 つのイベントがトリガーされたためです。

  • show wireless wps rogue stats internal

    show wireless wps rogue ap detailed rogue-ap-mac-addr

    これらのコマンドは、WSA イベントに関連する情報をイベント履歴に表示します。

不正フルスケールクォータと優先順位

不正フルスケールクォータと優先順位の機能履歴

次の表に、このセクションで説明する機能のリリースおよび関連情報を示します。

この機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースでも使用できます。

表 9. 不正フルスケールクォータと優先順位の機能履歴

リリース

機能

機能情報

Cisco IOS XE Cupertino 17.9.1

不正フルスケールクォータと優先順位

不正フルスケールクォータと優先順位機能は、不正アクセスポイント(AP)の拡張性、パフォーマンス、管理性、および有用性を向上させるのに役立ちます。

クラスごとの不正 AP スケールモード

最大スケールに達した場合に不正 AP がデータベースに追加されるかどうかを決定するモードを以下に示します。

  • クォータ:クォータは、最大スケールのパーセンテージとして各分類に適用されます。たとえば、分類のクォータが X である場合、不正データベースの X% がその分類用に予約されます。特手の分類のメモリがすべて使用されている場合、その分類で新しく報告された不正 AP はドロップされます。

  • 優先順位:分類ごとに優先順位が適用されます。クォータが設定されていない場合、優先順位モードがデフォルトモードになります。

    各分類の優先順位は、次のように設定されます。

    Malicious のデフォルトの優先順位は highest です。Custom のデフォルトの優先順位は high です。Unclassified のデフォルトの優先順位は medium で、Friendly のデフォルトの優先順位は low です。

    優先順位は、最大スケールに達した場合にのみ適用されます。新しい不正 AP が分類され、最大スケールに達した場合、その AP は、優先順位のより低い不正 AP がデータベース内にあるときにのみデータベースに追加されます。このような場合、優先順位が最も低い最新の不正 AP エントリが削除されます。優先順位のより低い不正 AP がない場合、新しい不正 AP はドロップされます。

  • ハイブリッド:ハイブリッドモードでは、クォータと優先順位を組み合わせて使用できます。優先順位の高い不正 AP 用に予約された未使用のクォータは、スペースが利用可能な場合、優先順位の低い不正 AP によって使用されます。

最大スケールに達した後、新しい不正 AP が分類される場合、次のロジックが適用されます。

  • (新しい不正 AP のクラスで)保存されている不正 AP の数がクォータを下回っている場合は、新しい不正 AP を保存します。クォータを超えている、優先順位が最も低い分類の最新の不正 AP を削除します。

  • または、新しく分類された不正 AP よりも優先順位が低く、クォータを超えているクラスがあるかどうかを確認します。そのようなクラスが存在する場合は、その優先順位の低い分類の最新の不正 AP を削除し、新しい不正 AP を保存します。

  • 上記の条件のいずれにも当てはまらない場合は、新しい不正 AP をドロップします。

表 10. ロールスケールモードの利点と欠点

モード

利点

欠点

クォータ

使いやすく、わかりやすい。

  • メモリが効率的に使用されない。

  • 最大クォータにすでに達しているクラスの新しい不正 AP はドロップされる。その一方で、不正 AP がない別のクラス用に予約されたメモリは空のままになる。

    このため、使用可能なメモリがまだあるにもかかわらず、悪意のある不正 AP がドロップされる場合がある。

プライオリティ

  • 使いやすく、わかりやすい。

  • 使用可能なメモリを利用できる。

  • 重要な不正 AP が保存される。

優先順位の高い不正 AP が使用可能なメモリをすべて利用している場合、優先順位の低い不正 AP クラスの一部が不正データベースに表示されないことがある。

ハイブリッド

すべてのクラスがデータベースに表示されるようにクォータを使用しながら、使用可能なメモリを利用できる。

ユーザーにとって、正確な動作がわかりにくい。

不正 AP スケールの設定(CLI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

[no] wireless wps rogue scale quota malicious percentage-malicious-rogue-AP custom percentage-custom-rogue-AP unclassified percentage-unclassified-rogue-AP friendly percentage-friendly-rogue-AP

例:

Device(config)# wireless wps rogue scale quota malicious 5 custom 10 unclassified 3 friendly 5

Malicious、Custom、Unclassified、および Friendly の不正 AP に対する不正スケールのクォータを設定します。クォータのデフォルト値は 0 です。すべてのクォータの合計が 100% 以下である必要があります。

設定されたすべてのクォータの合計が 0 に等しい場合、優先順位モードが使用されます。すべてのクォータの合計が 0 に等しくない場合、クォータモードが使用されます。ハイブリッドモードが設定されている場合、クォータ構成に関係なくハイブリッドモードが使用されます。すべてのクォータが 0 に等しいハイブリッドモードは、優先順位モードと同じです。

(注)  

 

最大スケールに達すると、ハイブリッドモードが有効になります。最大スケールに達する前に、すべての不正 AP が保存されます。

ステップ 3

[no] wireless wps rogue scale priority malicious {high | highest | low | medium} custom {high | highest | low | medium} unclassified {high | highest | low | medium} friendly {high | highest | low | medium}

例:

Device(config)# wireless wps rogue scale priority malicious highest custom high unclassified medium friendly low

Malicious、Custom、Unclassified、および Friendly の不正 AP に対する不正スケールの優先順位を設定します。Malicious のデフォルト値は highest 、Custom のデフォルト値は high 、Unclassified のデフォルト値は medium 、Friendly のデフォルト値は low です。

ステップ 4

[no] wireless wps rogue scale mode hybrid

例:

Device(config)# wireless wps rogue scale mode hybrid

不正スケールのハイブリッドモードを設定します。優先順位の高い不正 AP 用に予約された未使用のクォータは、スペースが利用可能な場合、優先順位の低い不正 AP によって使用されます。

不正スケールの詳細の確認

不正スケールの詳細を確認するには、次のコマンドを実行します。

Device# show wireless wps rogue stats
.
.
.
  Total Post Init/Max            : 0/4000
  Total/Max                      : 0/4200
  Init                           : 0
.
.
.
Classification
  Friendly                       : 0/0/0 (Total/Init/Quota[%])
  Malicious                      : 0/0/0 (Total/Init/Quota[%])
  Custom                         : 0/0/0 (Total/Init/Quota[%])
  Unclassified                   : 0/0/0 (Total/Init/Quota[%])
  Unknown                        : 0/0 (Total/Init)
.
.
.
Configured Quotas by Classification
  Custom         : <% of max scale>
  Friendly       : <% of max scale>
  Malicious      : <% of max scale>
  Unclassified   : <% of max scale>

Configured Priorities by Classification
  Custom          :  2 (High)
  Friendly        :  4 (Low)
  Malicious       :  1 (Highest)
  Unclassified    :  3 (Medium)

Configured Rogue Scale Mode: [Priority|Quota|Hybrid]

不正アドホックの概要を表示するには、次のコマンドを実行します。

Device# show wireless wps rogue adhoc summary
Detect and report Ad-Hoc Networks : Enabled
Auto-Contain Ad-Hoc Networks      : Disabled
Total Number of Rogue Ad-Hoc      : 0
Friendly Ad-Hoc Rogues            : 0
Malicious Ad-Hoc Rogues           : 0
Custom Ad-Hoc Rogues              : 0
Unclassified Ad-Hoc Rogues        : 0
Unknown Ad-Hoc Rogues             : 0
Client MAC Address   Adhoc BSSID        Classification  State        # APs  Last Heard            
------------------------------------------------------------------------------------------------