不正なデバイス
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザーがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。ワイヤレス ユーザーがエンタープライズ ネットワーク内のアクセス ポイントに接続する場合、エンタープライズ セキュリティ違反が発生する可能性が高くなります。
次に、不正なデバイスの管理に関する注意事項を示します。
-
アクセスポイントは、関連付けられたクライアントにサービスを提供するように設計されています。これらのアクセス ポイントは比較的短時間でオフチャネル スキャンを実行します(各チャネル約 50 ミリ秒)。大量の不正 AP とクライアントを高感度で検出する場合、モニター モード アクセス ポイントを使用する必要があります。あるいは、スキャン間隔を 180 秒から 120 秒や 60 秒などに短縮して、無線がオフチャネルになる頻度を増やします。これにより、不正が検出される可能性は増加します。ただしこの場合も、アクセス ポイントは引き続き各チャネル上で約 50 ミリ秒を費やします。
-
家庭環境で展開されるアクセス ポイントは多数の不正デバイスを検出する可能性が高いため、OfficeExtend アクセス ポイントでは不正検出がデフォルトで無効になっています。
-
クライアントカードの実装により、封じ込めの効果が低下することがあります。これは通常、「関連付け解除/認証解除」フレームを受信後、クライアントがネットワークにすぐに再接続する可能性がある場合に発生し、一部のトラフィックが引き続き通過できる可能性があります。ただし、不正なクライアントが封じ込められると、そのブラウジング エクスペリエンスに悪影響を及ぼす可能性があります。
-
不正の状態と、状態の自動的な移行を可能にするユーザー定義の分類規則を使って、不正なアクセス ポイントを分類および報告できます。
-
各コントローラは、モニターモードでの不正アクセスポイントの封じ込めを無線ごとに 3 および 6 台に制限します。
-
設定を使用して手動の阻止を実行すると、不正エントリは有効期限が切れた後でも保持されます。
-
不正エントリの有効期限が切れると、管理対象のアクセス ポイントはすべてのアクティブな封じ込めを停止するように指示されます。
-
[Validate Rogue Clients Against AAA] が有効になっている場合、コントローラは一度だけ不正なクライアントの検証を AAA サーバーに要求します。その結果、不正なクライアント検証が最初の試行で失敗すると、不正なクライアントは今後脅威として検出されなくなります。これを回避するには、[Validate Rogue Clients Against AAA] を有効にする前に、認証サーバーに有効なクライアント エントリを追加します。
不正検出の制約事項
-
不正な封じ込めは DFS チャネルではサポートされていません。
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、モニター モードのアクセス ポイントだけを使用するようにコントローラを設定できます。阻止動作は次の 2 つの方法で開始されます。
-
コンテナ アクセス ポイントが定期的に不正阻止のリストを確認し、ユニキャスト阻止フレームを送信します。不正なアクセス ポイントの阻止の場合、フレームは不正なクライアントがアソシエートされている場合にのみ送信されます。
-
阻止された不正アクティビティが検出されると、阻止フレームが送信されます。
個々の不正阻止には、一連のユニキャスト アソシエーション解除フレームおよび認証解除フレームの送信が含まれます。
17.7.1 リリース以降、Beacon DS Attack および Beacon Wrong Channel シグネチャが導入されました。
[Beacon DS Attack]:管理対象 AP と不正 AP が同じ BSSID を使用している場合、不正 AP は偽装者と呼ばれます。攻撃者は、任意のチャネル番号で Direct-Sequence パラメータ セット情報要素を追加できます。追加されたチャネル番号が管理対象 AP が使用するチャネル番号と異なる場合、その攻撃は Beacon DS Attack と呼ばれます。
[Beacon Wrong Channel]:管理対象の AP と不正 AP が同じ BSSID を使用している場合、不正 AP は AP 偽装者と呼ばれます。AP 偽装者が、同じ BSSID を持つ管理対象 AP によって使用される番号とは異なるチャネル番号を使用している場合、その攻撃は Beacon Wrong Channel と呼ばれます。そのような場合、Direct-Sequence 情報要素がビーコンフレームに存在しないこともあります。
不正な封じ込めに関する情報(保護された管理フレーム(PMF)が有効)
Cisco IOS XE Amsterdam 17.3.1 以降では、802.11w 保護された管理フレーム(PMF)が有効になっている不正デバイスは含まれていません。代わりに、不正デバイスは [Contained Pending] としてマークされ、WSA アラームが発生して Contained Pending イベントに関する通知がされます。デバイスの抑制は実行されないため、アクセスポイント(AP)リソースが不必要に消費されることはありません。
 (注) |
この機能は Wave 2 AP でのみサポートされています。 |
不正デバイスで PMF が有効になっているときに、show wireless wps rogue ap detailed コマンドを実行して、デバイスの抑制を確認します。
AP 偽装検出
AP 偽装の検出方法は次のとおりです。
-
管理対象 AP が AP 自体を不正であると報告した場合の AP 偽装検出。この方法は常に有効であり、設定は不要です。
-
MFP に基づく AP 偽装検出。
-
AP 認証に基づく AP 偽装検出。
インフラストラクチャ MFP は、クライアントではなく、AP によって送信され、ネットワーク内の他の AP によって検証される管理フレームにメッセージ整合性チェック(MIC)情報要素を追加することによって、802.11 セッション管理機能を保護します。インフラストラクチャ MFP が有効になっている場合、管理対象 AP によって、MIC 情報要素の存在の有無、MIC 情報要素が期待どおりの内容であるかがチェックされます。いずれかの条件が満たされていない場合、管理対象 AP は、更新された AP 認証失敗カウンタを含む不正 AP レポートを送信します。
AP 認証機能を使用すると、AP 偽装を検出できます。この機能を有効にすると、コントローラで AP ドメインの秘密が作成され、同じネットワーク内の他の AP と共有されます。これにより、AP が相互に認証できるようになります。
AP 認証情報要素は、ビーコンおよびプローブ応答フレームに添付されます。AP 認証情報要素に不正な [Signature] フィールドがある場合、タイムスタンプがオフの場合、または AP 認証情報要素が欠落している場合、そのような状態を検出した AP により [AP authentication failure count] フィールドが増分されます。[AP authentication failure count] フィールドがしきい値を超えると、偽装アラームが発生します。不正 AP は、状態が [Threat] である [Malicious] として分類されます。
show wireless wps rogue ap detail コマンドを実行して、認証エラーが原因で偽装が検出された時刻を確認します。
フィードバック