この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Unified Wireless Network(UWN)セキュリティ ソリューションは、複雑になりがちなレイヤ 1、レイヤ 2、およびレイヤ 3 の 802.11 アクセス ポイントのセキュリティ コンポーネントを 1 つのシンプルなポリシー マネージャにまとめたもので、システム全体のセキュリティ ポリシーを WLAN 単位でカスタマイズできます。 Cisco UWN セキュリティ ソリューションは、シンプルで、統一された、体系的なセキュリティ管理ツールを提供します。
企業での WLAN 展開の最も大きな障害の 1 つが、脆弱な独立型の暗号化方式である Wired Equivalent Privacy(WEP)です。 低価格のアクセス ポイントの登場も新たな問題であり、それらは企業ネットワークに接続して man-in-the-middle 攻撃や DoS 攻撃(サービス拒絶攻撃)に利用される可能性があります。
Cisco UWN セキュリティ ソリューションによって、すべてのクライアントのアクセス回数は、ユーザが設定した数値までに制限されます。 制限回数内でアクセスできなかった場合、そのクライアントはユーザが設定したタイマーが切れるまで自動的に除外(アクセスをブロック)されます。 オペレーティング システムでは、WLAN ごとに SSID ブロードキャストを無効にすることもできます。
上位レベルのセキュリティと暗号化が必要な場合は、拡張認証プロトコル(EAP)や Wi-Fi Protected Access(WPA)、および WPA2 など業界標準のセキュリティ ソリューションを実装することもできます。 Cisco UWN ソリューションの WPA 実装には、AES(Advanced Encryption Standard)ダイナミック キー、TKIP + Michael(Temporal Key Integrity Protocol + Message Integrity Code Checksum)ダイナミック キー、WEP(Wired Equivalent Privacy)スタティック キーが含まれます。 無効化も使用され、ユーザが設定した回数だけ認証の試行に失敗すると、自動的にレイヤ 2 アクセスがブロックされます。
どの無線セキュリティ ソリューションを採用した場合も、コントローラと Lightweight アクセス ポイントとの間のすべてのレイヤ 2 有線通信は、Control and Provisioning of Wireless Access Points(CAPWAP)トンネルを使用してデータを渡すことにより保護されます。
認証キー管理として WPA/WPA2 と CCKM が使用されている場合、Cisco Aironet クライアント アダプタ バージョン 4.2 で認証は行われず、コントローラと AP 間に 2 秒の遅延があります。
WEP の問題は、パススルー VPN のような業界標準のレイヤ 3 セキュリティ ソリューションを使用すると、さらに進んだ解決が可能です。
Cisco UWN ソリューションでは、ローカルおよび RADIUS MAC(Media Access Control)フィルタリングがサポートされています。 このフィルタリングは、802.11 アクセス カードの MAC アドレス一覧情報が把握できている小規模のクライアント グループに適しています。
Cisco UWN ソリューションでは、ローカルおよび RADIUS ユーザおよびパスワード認証がサポートされています。 この認証は、小規模から中規模のクライアント グループに適しています。
Remote Authentication Dial-In User Service(RADIUS)とは、ネットワークへの管理アクセス権を取得しようとするユーザに対して中央管理されたセキュリティ機能を提供する、クライアント/サーバ プロトコルです。 このプロトコルは、ローカル認証や TACACS+ 認証と同様に、バックエンドのデータベースとして機能し、認証サービスおよびアカウンティング サービスを提供します。
RADIUS では、転送に User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を使用します。 RADIUS では、1 つのデータベースが保持されます。そして、UDP ポート 1812 で受信認証要求がリッスンされ、UDP ポート 1813 で受信アカウンティング要求がリッスンされます。 アクセス コントロールを要求するコントローラは、クライアントとして動作し、サーバから AAA サービスを要求します。 コントローラとサーバ間のトラフィックは、プロトコルで定義されるアルゴリズムと、両方のデバイスにおいて設定される共有秘密キーによって暗号化されます。
複数の RADIUS アカウンティングおよび認証サーバを設定できます。たとえば、1 台の RADIUS 認証サーバを中央に配置し、複数の RADIUS アカウンティング サーバを異なる地域に配置することができます。 同じタイプのサーバを複数設定すると、最初のサーバで障害が発生したり、接続不能になったりしても、コントローラは、必要に応じて 2 台目や 3 台目あるいはそれ以降のサーバへの接続を自動的に試行します。
プライマリ RADIUS サーバ(最も低いサーバ インデックスを持つサーバ)は、コントローラの最優先サーバであるとみなされます。 プライマリ サーバが応答しなくなると、コントローラは、次にアクティブなバックアップ サーバ(低い方から 2 番目のサーバ インデックスを持つサーバ)に切り替えます。 コントローラは、プライマリ RADIUS サーバが回復して応答可能になるとそのサーバにフォールバックするように設定されているか、使用可能なバックアップ サーバの中からより優先されるサーバにフォールバックするように設定されていない限り、このバックアップ サーバを引き続き使用します。
ステップ 1 | を選択します。 | ||
ステップ 2 |
次のいずれかの操作を行います。
|
||
ステップ 3 | [Call Station ID Type] ドロップダウン リストから、[IP Address]、[System MAC Address]、または [AP MAC Address] を選択して、送信側の IP アドレス、システム MAC アドレス、または AP MAC アドレスが Access-Request メッセージで RADIUS サーバに送信されるかどうかを指定します。 | ||
ステップ 4 | [Use AES Key Wrap] チェックボックスをオンにし、AES キー ラップ保護を使用して RADIUS からコントローラへのキーの転送を有効にします。 デフォルト値はオフです。 この機能は、FIPS を使用するユーザにとって必要です。 | ||
ステップ 5 | [Apply] をクリックして、変更を確定します。 次のいずれかの操作を行います。 | ||
ステップ 6 | 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、同じサービスを提供するその他の設定済みの RADIUS サーバに対してこのサーバの優先順位を指定します。 | ||
ステップ 7 | 新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに RADIUS サーバの IP アドレスを入力します。 | ||
ステップ 8 | [Shared Secret Format] ドロップダウン リストから [ASCII] または [Hex] を選択し、コントローラと RADIUS サーバ間で使用される共有秘密キーの形式を指定します。 デフォルト値は [ASCII] です。 | ||
ステップ 9 |
[Shared Secret] テキスト ボックスと [Confirm Shared Secret] テキスト ボックスに、コントローラとサーバ間で認証に使用される共有秘密キーを入力します。
|
||
ステップ 10 |
新しい RADIUS 認証サーバを設定して AES キー ラップを有効にすると、コントローラと RADIUS サーバ間の共有秘密の安全性を高めることができます。そのための手順は次のとおりです。
|
||
ステップ 11 | 新しいサーバを追加している場合は、[Port Number] テキスト ボックスに、インターフェイス プロトコルに対応する RADIUS サーバの UDP ポート番号を入力します。 有効な値の範囲は 1 ~ 65535 で、認証用のデフォルト値は 1812、アカウンティング用のデフォルト値は 1813 です。 | ||
ステップ 12 | [Server Status] テキスト ボックスから [Enabled] を選択してこの RADIUS サーバを有効にするか、[Disabled] を選択して無効にします。 デフォルト値はイネーブルです。 | ||
ステップ 13 | 新しい RADIUS 認証サーバを設定している場合は、[Support for RFC 3576] ドロップダウン リストから [Enabled] を選択して RFC 3576 を有効にするか、[Disabled] を選択してこの機能を無効にします。RFC 3576 では、ユーザ セッションの動的な変更を可能にするよう RADIUS プロトコルが拡張されています。 デフォルト値は [Enabled] です。 RFC 3576 では、ユーザの切断およびユーザ セッションに適用される許可の変更のほか、Disconnect メッセージと Change-of-Authorization(CoA)メッセージがサポートされています。 Disconnect メッセージはユーザ セッションをただちに終了させ、CoA メッセージはデータ フィルタなどのセッション認証属性を変更します。 | ||
ステップ 14 |
[Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。 [Key Wrap] チェックボックスをオンにします。
|
||
ステップ 15 | [Network User] チェックボックスをオンにしてネットワーク ユーザ認証(またはアカウンティング)を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオンです。 この機能を有効にすると、ここで設定するサーバはネットワーク ユーザの RADIUS 認証(アカウンティング)サーバと見なされます。 WLAN 上の RADIUS サーバを設定しなかった場合は、ネットワーク ユーザに対してこのオプションを有効にする必要があります。 | ||
ステップ 16 | RADIUS 認証サーバを設定している場合は、[Management] チェックボックスをオンにして管理認証を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオンです。 この機能を有効にすると、ここで設定するサーバは管理ユーザの RADIUS 認証サーバと見なされ、認証要求が RADIUS サーバに送られます。 | ||
ステップ 17 | [IPSec] チェックボックスをオンにして IP セキュリティ メカニズムを有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオフです。 | ||
ステップ 18 |
ステップ 17 で IPSec を有効にした場合は、次の手順に従って追加の IPSec パラメータを設定します。
|
||
ステップ 19 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 20 | [Save Configuration] をクリックして、変更を保存します。 | ||
ステップ 21 | 同じサーバ上または追加の RADIUS サーバ上で追加のサービスを設定する場合は、上記の手順を繰り返します。 | ||
ステップ 22 |
次の手順を実行して、RADIUS サーバ フォールバックの動作を指定します。
|
||
ステップ 23 | [Security] > [Priority Order] > [Management User] の順に選択し、複数のデータベースを設定する際の認証の順序を指定します。 [Priority Order > Management User] ページが表示されます。 | ||
ステップ 24 |
[Order Used for Authentication] テキスト ボックスで、コントローラが管理ユーザを認証する際にどのサーバを優先するかを指定します。 [Not Used] テキスト ボックスと [Order Used for Authentication] テキスト ボックスの間でサーバを移動するには、[>]
および [<]
ボタンを使用します。 希望するサーバが [Order Used for Authentication] テキスト ボックスに表示されたら、[Up]
ボタンと [Down]
ボタンを使用して優先するサーバをリストの先頭に移動します。 デフォルトで、ローカル データベースは常に最初に検索されます。 ユーザ名が見つからない場合、コントローラは、RADIUS に設定されている場合は RADIUS サーバへの切り換え、TACACS+ に設定されている場合は TACACS+ サーバへの切り換えを行います。 デフォルトの設定はローカル、RADIUS の順になっています。 |
||
ステップ 25 | [Apply] をクリックします。 | ||
ステップ 26 | [Save Configuration] をクリックします。 |
ステップ 1 |
次のコマンドを入力して、送信側の IP アドレス、システム MAC アドレス、または AP MAC アドレスが Access-Request メッセージで RADIUS サーバに送信されるかどうかを指定します。 config radius callStationIdType { ip_address, mac_address, ap_mac_address, ap_macaddr_ssid}
|
||||
ステップ 2 |
次のコマンドを入力して、Access-Request メッセージで RADIUS 認証サーバまたはアカウンティング サーバに送信される MAC アドレスにデリミタを指定します。 config radius { auth | acct} mac-delimiter { colon | hyphen | single-hyphen | none} |
||||
ステップ 3 |
次のコマンドを入力して、RADIUS 認証サーバを設定します。
|
||||
ステップ 4 |
次のコマンドを入力して、RADIUS アカウンティング サーバを設定します。
|
||||
ステップ 5 |
次のコマンドを入力して、RADIUS サーバのフォールバック動作を設定します。 config radius fallback-test mode {off | passive | active}
|
||||
ステップ 6 | ステップ 5 で Active モードを有効にした場合は、次のコマンドを入力して追加のフォールバック パラメータを設定します。 | ||||
ステップ 7 | 次のコマンドを入力して、変更を保存します。 save config | ||||
ステップ 8 |
次のコマンドを入力して、複数のデータベースを設定する際の認証の順序を設定します。 config aaa auth mgmt AAA_server_type AAA_server_type |
||||
ステップ 9 | 次のコマンドを入力して、RADIUS の統計情報を表示します | ||||
ステップ 10 | 次のコマンドを入力して、アクティブなセキュリティ アソシエーションを表示します。 | ||||
ステップ 11 | 次のコマンドを入力して、1 台または複数の RADIUS サーバの統計情報をクリアします。 | ||||
ステップ 12 | 次のコマンドを入力して、コントローラが RADIUS サーバに到達できることを確認します。 |
この表に RADIUS 認証属性を示します。この認証属性は、Access-Request パケットおよび Access-Accept パケットで Lightweight アクセス ポイントからクライアントに送信されます。
1 | User-Name |
2 | Password |
3 | CHAP-Password |
4 | NAS-IP-Address |
5 | NAS-Port |
6 | Service-Type |
12 | Framed-MTU |
30 | Called-Station-ID(MAC アドレス) |
31 | Calling-Station-ID(MAC アドレス) |
32 | NAS-Identifier |
33 | Proxy-State |
60 | CHAP-Challenge |
61 | NAS-Port-Type |
79 | EAP-Message |
243 | TPLUS-Role |
1 | Cisco-LEAP-Session-Key |
2 | Cisco-Keywrap-Msg-Auth-Code |
3 | Cisco-Keywrap-NonCE |
4 | Cisco-Keywrap-Key |
5 | Cisco-URL-Redirect |
6 | Cisco-URL-Redirect-ACL |
(注) |
シスコ固有の属性 Auth-Algo-Type および SSID はサポートされません。 |
6 | Service-Type RADIUS 認証を使用してコントローラへの読み取り専用アクセスまたは読み取りと書き込みアクセスを指定するには、RADIUS サーバで Service-Type 属性(6)を設定する必要があります。読み取り専用アクセスが必要な場合は [Callback NAS Prompt] を設定し、読み取りと書き込みの両方の権限が必要な場合は [Administrative] を設定してください。 |
8 | Framed-IP-Address |
25 | Class |
26 | Vendor-Specific |
27 | Timeout |
29 | Termination-Action |
40 | Acct-Status-Type |
64 | Tunnel-Type |
79 | EAP-Message |
81 | Tunnel-Group-ID |
(注) |
11 | MS-CHAP-Challenge |
16 | MS-MPPE-Send-Key |
17 | MS-MPPE-Receive-Key |
25 | MS-MSCHAP2-Response |
26 | MS-MSCHAP2-Success |
1 | VAP-ID |
3 | DSCP |
4 | 8021P-Type |
5 | VLAN-Interface-Name |
6 | ACL-Name |
7 | Data-Bandwidth-Average-Contract |
8 | Real-Time-Bandwidth-Average-Contract |
9 | Data-Bandwidth-Burst-Contract |
10 | Real-Time-Bandwidth-Burst-Contract |
11 | Guest-Role-Name |
1 | User-Name |
4 | NAS-IP-Address |
5 | NAS-Port |
8 | Framed-IP-Address |
25 | Class |
30 | Called-Station-ID(MAC アドレス) |
31 | Calling-Station-ID(MAC アドレス) |
32 | NAS-Identifier |
40 | Accounting-Status-Type |
41 | Accounting-Delay-Time(ストップおよび中間メッセージのみ) |
42 | Accounting-Input-Octets(ストップおよび中間メッセージのみ) |
43 | Accounting-Output-Octets(ストップおよび中間メッセージのみ) |
44 | Accounting-Session-ID |
45 | Accounting-Authentic |
46 | Accounting-Session-Time(ストップおよび中間メッセージのみ) |
47 | Accounting-Input-Packets(ストップおよび中間メッセージのみ) |
48 | Accounting-Output-Packets(ストップおよび中間メッセージのみ) |
49 | Accounting-Terminate-Cause(ストップおよび中間メッセージのみ) |
64 | Tunnel-Type |
65 | Tunnel-Medium-Type |
81 | Tunnel-Group-ID |
1 | Start |
2 | Stop |
3 | Interim-Update |
7 | Accounting-On |
8 | Accounting-Off |
9-14 | トンネリングのアカウンティング用に予約 |
15 | Failed 用に予約 |
Terminal Access Controller Access Control System Plus(TACACS+)は、コントローラへの管理アクセスを取得しようとするユーザに中央管理されたセキュリティを提供する、クライアント/サーバ プロトコルです。 このプロトコルは、ローカルおよび RADIUS に類似したバックエンドのデータベースとして機能します。 ただし、ローカルおよび RADIUS では、認証サポートと制限のある認可サポートしか提供されないのに対し、TACACS+ では、次の 3 つのサービスが提供されます。
(注) |
複数のデータベースを設定する場合、コントローラ GUI または CLI を使用して、バックエンド データベースが試行される順序を指定できます。 |
(注) |
ユーザが割り当てられたロールでは許可されていないコントローラ GUI のページに変更を加えようとすると、十分な権限がないことを示すメッセージが表示されます。 ユーザが割り当てられたロールでは許可されていないコントローラ CLI コマンドを入力すると、実際にはそのコマンドは実行されていないのに、正常に実行されたというメッセージが表示されます。 この場合、「Insufficient Privilege! Cannot execute command!」というメッセージがさらに表示され、コマンドを実行するための十分な権限がないことがユーザに通知されます。 |
RADIUS でユーザ データグラム プロトコル(UDP)を使用するのとは異なり、TACACS+ では、転送にトランスミッション コントロール プロトコル(TCP)を使用します。 1 つのデータベースを維持し、TCP ポート 49 で受信要求をリッスンします。 アクセス コントロールを要求するコントローラは、クライアントとして動作し、サーバから AAA サービスを要求します。 コントローラとサーバ間のトラフィックは、プロトコルで定義されるアルゴリズムと、両方のデバイスにおいて設定される共有秘密キーによって暗号化されます。
最大 3 台の TACACS+ 認証サーバ、認可サーバ、およびアカウンティング サーバをそれぞれ設定できます。 たとえば、1 台の TACACS+ 認証サーバを中央に配置し、複数の TACACS+ 許可サーバを異なる地域に配置できます。 同じタイプの複数のサーバを設定していると、最初のサーバで障害が発生したり、接続不能になっても、コントローラは自動的に 2 台目、および必要に応じて 3 台目のサーバを試行します。
(注) |
複数の TACACS+ サーバが冗長性のために設定されている場合、バックアップが適切に機能するようにするには、すべてのサーバにおいてユーザ データベースを同一にする必要があります。 |
インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと TACACS+ サーバの間でベンダー固有属性(VSA)を伝達する方法が規定されています。 IETF は属性 26 を使用します。 ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。
シスコの TACACS+ 実装では、IETF 仕様で推奨される形式を使用したベンダー固有のオプションを 1 つサポートしています。 シスコのベンダー ID は 9、サポートされるオプションのベンダー タイプは 1(名前付き cisco-av-pair)です。 値は次の形式のストリングです。
protocol : attribute separator value *
protocol は、特定の許可タイプを表すシスコの属性です。separator は、必須属性の場合は =(等号)、オプションの属性の場合は *(アスタリスク)です。
ステップ 1 | ACS のメイン ページで、[Network Configuration] を選択します。 | ||||
ステップ 2 |
[AAA Clients] の下の [Add Entry]
を選択し、使用しているコントローラをサーバに追加します。 [Add AAA Client] ページが表示されます。
|
||||
ステップ 3 | [AAA Client Hostname] テキスト ボックスに、コントローラの名前を入力します。 | ||||
ステップ 4 | [AAA Client IP Address] テキスト ボックスに、コントローラの IP アドレスを入力します。 | ||||
ステップ 5 |
[Shared Secret] テキスト ボックスに、サーバとコントローラ間の認証に使用する共有秘密キーを入力します。
|
||||
ステップ 6 | [Authenticate Using] ドロップダウン リストから [TACACS+ (Cisco IOS)] を選択します。 | ||||
ステップ 7 | [Submit + Apply] をクリックして、変更内容を保存します。 | ||||
ステップ 8 | ACS のメイン ページで、左のナビゲーション ペインから [Interface Configuration] を選択します。 | ||||
ステップ 9 | [TACACS+ (Cisco IOS)] を選択します。 [TACACS+ (Cisco)] ページが表示されます。 | ||||
ステップ 10 | [TACACS+ Services] の [Shell (exec)] チェックボックスをオンにします。 | ||||
ステップ 11 | [New Services] で最初のチェックボックスをオンにし、[Service] テキスト ボックスに ciscowlc、[Protocol] テキスト ボックスに common と入力します。 | ||||
ステップ 12 | [Advanced Configuration] オプションの [Advanced TACACS+ Features] チェックボックスをオンにします。 | ||||
ステップ 13 | [Submit] をクリックして変更を保存します。 | ||||
ステップ 14 | ACS のメイン ページで、左のナビゲーション ペインから [System Configuration] を選択します。 | ||||
ステップ 15 | [Logging] を選択します。 | ||||
ステップ 16 | [Logging Configuration] ページが表示されたら、ログ記録するすべてのイベントを有効にし、変更内容を保存します。 | ||||
ステップ 17 | ACS のメイン ページで、左のナビゲーション ペインから [Group Setup] を選択します。 | ||||
ステップ 18 |
[Group] ドロップダウン リストから、以前に作成したグループを選択します。
|
||||
ステップ 19 | [Edit Settings] をクリックします。 [Group Setup] ページが表示されます。 | ||||
ステップ 20 | [TACACS+ Settings] の [ciscowlc common] チェックボックスをオンにします。 | ||||
ステップ 21 | [Custom Attributes] チェックボックスをオンにします。 | ||||
ステップ 22 |
[Custom Attributes] の下のテキストボックスで、このグループに割り当てるロールを指定します。 使用可能なロールは、MONITOR、WLAN、CONTROLLER、WIRELESS、SECURITY、MANAGEMENT、COMMANDS、ALL、および LOBBY です。 最初の 7 つのロールは、コントローラ GUI のメニュー オプションに対応しており、これら特定のコントローラ機能へのアクセスを許可します。 グループでの必要性に応じて、1 つまたは複数のロールを入力できます。 7 つのロールすべてを指定するには ALL を、ロビー アンバサダー ロールを指定するには LOBBY を使用します。 次の形式を使用してロールを入力します。 たとえば、特定のユーザ グループに対して WLAN、CONTROLLER、および SECURITY のロールを指定するには、次のテキストを入力します。 role1=WLAN role2=CONTROLLER role3=SECURITY? あるユーザ グループに 7 つのロールすべてに対するアクセスを付与するには、次のテキストを入力します。 role1=ALL?
|
||||
ステップ 23 | [Submit] をクリックして変更を保存します。 |
ステップ 1 | [Security] > [AAA] > [TACACS+] の順に選択します。 | ||||
ステップ 2 |
次のいずれかの操作を行います。
[TACACS+(Authentication、Authorization、または Accounting)Servers] ページが表示されます。 このページでは、これまでに設定されたすべての TACACS+ サーバが表示されます。 |
||||
ステップ 3 | 次のいずれかの操作を行います。 | ||||
ステップ 4 | 新しいサーバを追加している場合は、[Server Index (Priority)] ドロップダウン リストから数字を選択し、同じサービスを提供するその他の設定済みの TACACS+ サーバに対してこのサーバの優先順位を指定します。 最大 3 台のサーバを設定できます。 コントローラが最初のサーバに接続できない場合、リスト内の 2 番目および必要に応じて 3 番目のサーバへの接続を試行します。 | ||||
ステップ 5 | 新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに TACACS+ サーバの IP アドレスを入力します。 | ||||
ステップ 6 | [Shared Secret Format] ドロップダウン リストから [ASCII] または [Hex] を選択し、コントローラと TACACS+ サーバ間で使用される共有秘密キーの形式を指定します。 デフォルト値は [ASCII] です。 | ||||
ステップ 7 |
[Shared Secret] テキスト ボックスと [Confirm Shared Secret] テキスト ボックスに、コントローラとサーバ間で認証に使用される共有秘密キーを入力します。
|
||||
ステップ 8 | 新しいサーバを追加している場合は、[Port Number] テキスト ボックスに、インターフェイス プロトコルに対応する TACACS+ サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 49 です。 | ||||
ステップ 9 | [Server Status] テキスト ボックスから [Enabled] を選択してこの TACACS+ サーバを有効にするか、[Disabled] を選択して無効にします。 デフォルト値は [Enabled] です。 | ||||
ステップ 10 |
[Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 5 ~ 30 秒で、デフォルト値は 5 秒です。
|
||||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 | ||||
ステップ 13 | 同じサーバ上で、または追加の TACACS+ サーバ上で追加のサービスを設定する場合は、上記の手順を繰り返します。 | ||||
ステップ 14 | [Security] > [Priority Order] > [Management User] の順に選択し、複数のデータベースを設定する際の認証の順序を指定します。 [Priority Order > Management User] ページが表示されます。 | ||||
ステップ 15 |
[Order Used for Authentication] テキスト ボックスで、コントローラが管理ユーザを認証する際にどのサーバを優先するかを指定します。 [Not Used] テキスト ボックスと [Order Used for Authentication] テキスト ボックスの間でサーバを移動するには、[>] および [<] ボタンを使用します。 希望するサーバが [Order Used for Authentication] テキスト ボックスに表示されたら、[Up] ボタンと [Down] ボタンを使用して優先するサーバをリストの先頭に移動します。 デフォルトで、ローカル データベースは常に最初に検索されます。 ユーザ名が見つからない場合、コントローラは、RADIUS に設定されている場合は RADIUS サーバへの切り換え、TACACS+ に設定されている場合は TACACS+ サーバへの切り換えを行います。 デフォルトの設定はローカル、RADIUS の順になっています。 |
||||
ステップ 16 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 17 | [Save Configuration] をクリックして、変更を保存します。 |
次のコマンドを入力して、TACACS+ 認証サーバを設定します。
次のコマンドを入力して、TACACS+ 許可サーバを設定します。
config tacacs athr add index server_ip_address port# { ascii | hex} shared_secret:TACACS+ 許可サーバを追加します。
config tacacs athr delete index:以前に追加された TACACS+ 許可サーバを削除します。
config tacacs athr ( enable | disable} index:TACACS+ 許可サーバを有効または無効にします。
config tacacs athr server-timeout index timeout:TACACS+ 認可サーバの再送信のタイムアウト値を設定します。
次のコマンドを入力して、TACACS+ アカウンティング サーバを設定します。
config tacacs acct add index server_ip_address port# { ascii | hex} shared_secret:TACACS+ アカウンティング サーバを追加します。
config tacacs acct delete index:以前に追加された TACACS+ アカウンティング サーバを削除します。
config tacacs acct ( enable | disable} index:TACACS+ アカウンティング サーバを有効または無効にします。
config tacacs acct server-timeout index timeout:TACACS+ アカウンティング サーバの再送信のタイムアウト値を設定します。
次のコマンドを入力して、TACACS+ の統計情報を表示します
次のコマンドを入力して、1 台または複数の TACACS+ サーバの統計情報をクリアします。
次のコマンドを入力して、複数のデータベースを設定する際の認証の順序を設定します。 デフォルト設定では local、radius の順になっています。
config aaa auth mgmt [ radius | tacacs]
現在の管理認証サーバの順序を表示するには、 show aaa auth コマンドを入力します。次のコマンドを入力して、コントローラが TACACS+ サーバに到達できることを確認します。
次のコマンドを入力して、TACACS+ のデバッグを有効または無効にします。
次のコマンドを入力して、変更を保存します。
ステップ 1 | ACS のメイン ページで、左のナビゲーション ペインから [Reports and Activity] を選択します。 |
ステップ 2 |
[Reports] の [TACACS+ Administration]
を選択します。 表示するログの日付に対応する .csv ファイルをクリックします。 [TACACS+ Administration .csv] ページが表示されます。
|
コントローラを設定して、ユーザ認証情報を格納するために使用するローカル データベース エントリの最大数を指定できます。 データベース エントリには、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイント認可リスト エントリが含まれます。 これらを合わせて、設定されている最大値を超えることはできません。
ステップ 1 | [Security] > [AAA] > [General] の順に選択して、[General] ページを開きます。 |
ステップ 2 |
[Maximum Local Database Entries] テキスト ボックスに、次回コントローラがリブートしたときにローカル データベースに追加できる最大エントリ数を入力します。 現在設定されている値が、テキスト ボックスの右側のカッコ内に表示されます。 有効な範囲は 512 ~ 2048 で、デフォルトの設定は 2048 です。 [Number of Entries, Already Used] テキスト ボックスに、データベースに現存するエントリ数が表示されます。 |
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 | [Save Configuration] をクリックして設定を保存します。 |
ステップ 1 | 次のコマンドを入力して、次回コントローラがリブートしたときにローカル データベースに追加できる最大エントリ数を指定します。 |
ステップ 2 |
次のコマンドを入力して、変更を保存します。 save config |
ステップ 3 | 次のコマンドを入力して、データベース エントリの最大数およびデータベースの現在の内容を表示します。 show database summary |
コントローラ上のローカル ユーザ データベースに、ローカル ネットワーク ユーザを追加することができます。 ローカル ユーザ データベースには、すべてのローカル ネットワーク ユーザの資格情報(ユーザ名とパスワード)が保存されます。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとしてローカル ユーザ データベースを使用する場合があります。
(注) |
コントローラはクライアント情報をまず RADIUS 認証サーバに渡します。 クライアント情報が RADIUS データベースのエントリに一致しない場合、RADIUS 認証サーバは認証失敗メッセージで応答します。 RADIUS 認証サーバが応答しない場合は、ローカル ユーザ データベースにクエリーが送信されます。 RADIUS 認証が失敗した場合、または存在しない場合は、このデータベースで見つかったクライアントがネットワーク サービスへのアクセスを付与されます。 |
ステップ 1 |
[Security]
> [AAA]
> [Local Net Users]
の順に選択して、[Local Net Users] ページを開きます。
|
||
ステップ 2 | 次のいずれかの操作を行います。 | ||
ステップ 3 |
新しいユーザを追加している場合は、[User Name] テキスト ボックスにローカル ユーザのユーザ名を入力します。 最大 24 文字の英数字を入力できます。
|
||
ステップ 4 | [Password] および [Confirm Password] テキスト ボックスに、ローカル ユーザのパスワードを入力します。 最大 24 文字の英数字を入力できます。 | ||
ステップ 5 | 新しいユーザを追加している場合、そのユーザがローカル ネットワークにアクセスできる時間を制限するには、[Guest User] チェックボックスをオンにします。 デフォルト設定は選択されていません。 | ||
ステップ 6 | 新しいユーザを追加していて、[Guest User] チェックボックスをオンにした場合は、[Lifetime] テキスト ボックスに、ゲスト ユーザ アカウントをアクティブにしておく時間(秒単位)を入力します。 有効な範囲は 60 ~ 2,592,000(30 日間)秒(両端の値を含む)で、デフォルトの設定は 86,400 秒です。 | ||
ステップ 7 |
新しいユーザを追加していて、[Guest User] チェックボックスをオンにした場合、そのゲスト ユーザに QoS ロールを割り当てるには、[Guest User Role]
チェックボックスをオンにします。 デフォルト設定は選択されていません。
|
||
ステップ 8 | 新しいユーザを追加していて、[Guest User Role] チェックボックスをオンにした場合は、そのゲスト ユーザに割り当てる QoS ロールを [Role] ドロップダウン リストから選択します。 | ||
ステップ 9 | [WLAN Profile] ドロップダウン リストから、ローカル ユーザによってアクセスされる WLAN の名前を選択します。 デフォルトの設定である [Any WLAN] を選択すると、ユーザは設定済みのどの WLAN にもアクセスできるようになります。 | ||
ステップ 10 | [Description] テキスト ボックスに、ローカル ユーザを説明するタイトル(「ユーザ 1」など)を入力します。 | ||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 |
次のコマンドを入力して、ローカル ネットワーク ユーザを設定します。
config netuser add username password wlan wlan_id userType permanent description description:コントローラ上のローカル ユーザ データベースに永久ユーザを追加します。
(注) |
永久ユーザまたはゲスト ユーザをコントローラからローカル ユーザ データベースに追加する代わりに、RADIUS サーバ上にユーザに対するエントリを作成して Web 認証が実行される WLAN に対して RADIUS 認証を有効にするよう選択できます。 |
(注) |
ローカル ネットワーク ユーザ名は、すべて同じデータベース内に保存されるため、一意である必要があります。 |
次のコマンドを入力して、コントローラに設定されたローカル ネットワーク ユーザに関する情報を表示します。
次のコマンドを入力して、変更を保存します。
ローカル ネットワーク ユーザの設定の詳細については、ローカル EAP の設定を参照してください。
パスワード ポリシーを使用すると、コントローラおよびアクセス ポイントの追加管理ユーザ用に新しく作成されたパスワードに対し、強力なパスワード チェックを適用できます。 新規パスワードには次の要件が適用されます。
ステップ 1 | [Security] > [AAA] > [Password Policies] の順に選択して、[Password Policies] ページを開きます。 |
ステップ 2 | 小文字、大文字、数字、特殊文字の中から少なくとも 3 種類の文字をパスワードに含める場合は、[Password must contain characters from at least 3 different classes] チェックボックスをオンにします。 |
ステップ 3 | 新規パスワード内で同じ文字が 4 回以上連続して繰り返されないようにするには、[No character can be repeated more than 3 times consecutively] チェックボックスをオンにします。 |
ステップ 4 | パスワードに Cisco、ocsic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列をパスワードに含めないようにするには、[Password cannot be the default words like cisco, admin] チェックボックスをオンにします。 |
ステップ 5 | パスワードにユーザ名またはユーザ名を逆にした文字を含めないようにするには、[Password cannot contain username or reverse of username] チェックボックスをオンにします。 |
ステップ 6 | [Apply] をクリックして、変更を確定します。 |
ステップ 7 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
次のコマンドを入力して、AP および WLC に対して強力なパスワード チェックを有効または無効にします。 config switchconfig strong-pwd { case-check | consecutive-check | default-check | username-check | all-check} { enable | disable} 値は次のとおりです。 |
ステップ 2 |
次のコマンドを入力して、強力なパスワード チェックに設定されたオプションを表示します。 802.3x Flow Control Mode......................... Disabled FIPS prerequisite features....................... Disabled secret obfuscation............................... Enabled Strong Password Check Features: case-check ...........Enabled consecutive-check ....Enabled default-check .......Enabled username-check ......Enabled |
この項では、Lightweight Directory Access Protocol(LDAP)サーバを、RADIUS データベースやローカル ユーザ データベースに類似したバックエンド データベースとして設定する方法について説明します。
LDAP バックエンド データベースを使用すると、コントローラで、特定のユーザの資格情報(ユーザ名およびパスワード)を LDAP サーバから検索できるようになります。 これらの資格情報は、ユーザの認証に使用されます。 たとえば、ローカル EAP では、ユーザの資格情報を取得するのに、バックエンド データベースとして LDAP を使用する場合があります。
(注) |
LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。 |
(注) |
Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http://www.cisco.com/en/US/products/ps6366/products_white_paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。 |
ステップ 1 | [Security] > [AAA] > [LDAP] の順に選択して、[LDAP Servers] ページを開きます。 |
ステップ 2 |
次のいずれかの操作を行います。
|
ステップ 3 | 新しいサーバを追加している場合は、[Server IP Address] テキスト ボックスに LDAP サーバの IP アドレスを入力します。 |
ステップ 4 | 新しいサーバを追加している場合は、[Port Number] テキスト ボックスに LDAP サーバの TCP ポート番号を入力します。 有効な範囲は 1 ~ 65535 で、デフォルト値は 389 です。 |
ステップ 5 | [Enable Server Status] チェックボックスをオンにしてこの LDAP サーバを有効にするか、オフにして無効にします。 デフォルト値は [disabled] です。 |
ステップ 6 | [Simple Bind] ドロップダウン リストから [Anonymous] または [Authenticated] を選択して、LDAP サーバ用のローカル認証バインド方式を指定します。 [Anonymous] 方式では、LDAP サーバへの匿名アクセスが可能です。 [Authenticated] 方式では、ユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [Anonymous] です。 |
ステップ 7 |
前の手順で [Authenticated] を選択した場合は、次の手順に従ってください。
|
ステップ 8 |
[User Base DN] テキスト ボックスに、全ユーザのリストが含まれた、LDAP サーバ内のサブツリーの識別名(DN)を入力します。 たとえば、ou=organizational unit、.ou=next organizational unit、o=corporation.com のようになります。 ユーザを含むツリーがベース DN である場合は、
o=
corporation.com または dc = corporation ,dc=com |
ステップ 9 | [User Attribute] テキスト ボックスに、ユーザ名が含まれたユーザ レコード内の属性の名前を入力します。 この属性はディレクトリ サーバから取得できます。 |
ステップ 10 | [User Object Type] テキスト ボックスに、レコードをユーザとして識別する LDAP objectType 属性の値を入力します。 多くの場合、ユーザ レコードには複数の objectType 属性の値が含まれています。そのユーザに一意の値と、他のオブジェクト タイプと共有する値があります。 |
ステップ 11 | [Server Timeout] テキスト ボックスに、再送信の間隔を秒単位で入力します。 有効な範囲は 2 ~ 30 秒で、デフォルト値は 2 秒です。 |
ステップ 12 | [Apply] をクリックして、変更を確定します。 |
ステップ 13 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 14 |
次の手順を実行して、LDAP をローカル EAP 認証用の優先バックエンド データベース サーバとして指定します。
|
ステップ 15 |
(オプション)次の手順を実行して、特定の LDAP サーバを WLAN に割り当てます。
|
次のコマンドを入力して、LDAP サーバを設定します。
config ldap add index server_ip_address port# user_base user_attr user_type: LDAP サーバを追加します。
config ldap simple-bind { anonymous index | authenticated index username username password password}:LDAP サーバ用のローカル認証バインド方式を指定します。 匿名方式では LDAP サーバへの匿名アクセスが可能です。一方、認可方式ではユーザ名とパスワードを入力してアクセスをセキュリティで保護する必要があります。 デフォルト値は [anonymous] です。 ユーザ名には、最大 80 文字を使用できます。
ユーザ名が「cn=」(小文字)で始まる場合、コントローラはユーザ名に完全な LDAP データベース パスが含まれていると見なし、ユーザベース DN を付加しません。 この指定により、認証済みのバインド ユーザをユーザ ベース DN の外に置くことができます。
次のコマンドを入力して、LDAP を優先バックエンド データベース サーバとして指定します。
config local-auth user-credentials ldap
config local-auth user-credentials ldap local コマンドを入力すると、ローカル EAP は LDAP バックエンド データベースを使用してクライアントの認証を試行し、LDAP サーバが接続不能である場合は、ローカル ユーザ データベースにフェールオーバーします。 ユーザが見つからない場合、認証の試行は拒否されます。 config local-auth user-credentials local ldap コマンドを入力すると、ローカル EAP はローカル ユーザ データベースのみを使用して認証を試行します。 LDAP バックエンド データベースへのフェールオーバーは行われません。
(オプション)次のコマンドを入力して、特定の LDAP サーバを WLAN に割り当てます。
次のコマンドを入力して、設定済みの LDAP サーバに関連する情報を表示します。
show ldap summary:設定済みの LDAP サーバの概要を表示します。
Idx Server Address Port Enabled --- --------------- ---- ------- 1 2.3.1.4 389 No 2 10.10.20.22 389 Yes
show ldap index:詳細な LDAP サーバ情報を表示します。 次のような情報が表示されます。
Server Index..................................... 2 Address.......................................... 10.10.20.22 Port............................................. 389 Enabled.......................................... Yes User DN.......................................... ou=active,ou=employees,ou=people, o=cisco.com User Attribute................................... uid User Type........................................ Person Retransmit Timeout............................... 2 seconds Bind Method ..................................... Authenticated Bind Username................................. user1
show ldap statistics:LDAP サーバの統計情報を表示します。
Server Index..................................... 1 Server statistics: Initialized OK................................. 0 Initialization failed.......................... 0 Initialization retries......................... 0 Closed OK...................................... 0 Request statistics: Received....................................... 0 Sent........................................... 0 OK............................................. 0 Success........................................ 0 Authentication failed.......................... 0 Server not found............................... 0 No received attributes......................... 0 No passed username............................. 0 Not connected to server........................ 0 Internal error................................. 0 Retries........................................ 0 Server Index..................................... 2 ..
次のコマンドを入力して、コントローラが LDAP サーバに到達できることを確認します。 ping server_ip_address
次のコマンドを入力して、変更を保存します。
次のコマンドを入力して、LDAP のデバッグを有効または無効にします。 debug aaa ldap { enable | disable}
LEAP の設定方法の詳細については、ローカル EAP の設定を参照してください。
ローカル EAP は、ユーザおよびワイヤレス クライアントのローカル認証を可能にする認証方式です。 この方式は、バックエンド システムが妨害されたり、外部認証サーバがダウンした場合でも、ワイヤレス クライアントへの接続を維持できるように、リモート オフィスで使用する目的で設計されています。 ローカル EAP を有効にすると、コントローラは認証サーバおよびローカル ユーザ データベースとして機能するため、外部認証サーバに依存する必要がなくなります。 ローカル EAP は、ローカル ユーザ データベースまたは LDAP バックエンド データベースからユーザの資格情報を取得して、ユーザを認証します。 ローカル EAP では、コントローラとワイヤレス クライアント間で、LEAP、EAP-FAST、EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC 認証方式をサポートします。
(注) |
LDAP バックエンド データベースでは、ローカル EAP 方式として、EAP-TLS、EAP-FAST/GTC、および PEAPv1/GTC がサポートされます。 LEAP、EAP-FAST/MSCHAPv2、および PEAPv0/MSCHAPv2 もサポートされていますが、平文のパスワードを返すように LDAP サーバが設定されている場合にのみサポートされます。 |
(注) |
Cisco ワイヤレス LAN コントローラは、Microsoft Active Directory や Novell の eDirectory などの外部 LDAP データベースに対するローカル EAP 認証をサポートしています。 Novell の eDirectory に対するローカル EAP 認証をコントローラに設定する方法については、http://www.cisco.com/en/US/products/ps6366/products_white_paper09186a0080b4cd24.shtml で『Configure Unified Wireless Network for Authentication Against Novell's eDirectory Database』ホワイトペーパーを参照してください。 |
コントローラ上で RADIUS サーバが設定されている場合は、コントローラはまず RADIUS サーバを使用してワイヤレス クライアントを認証しようとします。 ローカル EAP は、RADIUS サーバがタイムアウトしていたり、RADIUS サーバが設定されていない場合など、RADIUS サーバが見つからない場合にのみ試行されます。 4 台の RADIUS サーバが設定されている場合、コントローラは最初の RADIUS サーバを使用してクライアントの認証を試行し、次に 2 番めの RADIUS サーバ、その次にローカル EAP を試行します。 その後クライアントが手動で再認証を試みると、コントローラは 3 番めの RADIUS サーバを試行し、次に 4 番めの RADIUS サーバ、その次にローカル EAP を試行します。 コントローラで外部 RADIUS サーバを使用したクライアント認証を行いたくない場合は、次の CLI コマンドを示された順序どおりに入力します。
(注) |
EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は、認証に証明書を使用し、EAP-FAST は、証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。 |
ステップ 1 | 上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。 |
ステップ 2 | コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。 |
ステップ 3 | コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。 |
ステップ 4 |
次の手順を実行して、ユーザの資格情報をバックエンド データベース サーバから取得する順序を指定します。
|
ステップ 5 |
次の手順を実行して、ローカル EAP タイマーの値を指定します。
|
ステップ 6 |
次の手順を実行して、ワイヤレス クライアントでサポートされる EAP 認証タイプを指定する、ローカル EAP プロファイルを作成します。
|
ステップ 7 |
EAP-FAST プロファイルを作成した場合、EAP-FAST パラメータを設定する手順は、次のとおりです。
|
ステップ 8 |
次の手順を実行して、WLAN 上でローカル EAP を有効にします。
|
ステップ 9 | [Save Configuration] をクリックして、変更を保存します。 |
(注) |
EAP-TLS、PEAPv0/MSCHAPv2、および PEAPv1/GTC は認証に証明書を使用し、EAP-FAST は証明書または PAC のいずれかを使用します。 コントローラには、シスコによりインストールされたデバイスの証明書と、Certificate Authority(CA; 認証局)の証明書が付属しています。 ただし、ご自身のベンダー固有の証明書を使用する場合は、それらの証明書をコントローラにインポートする必要があります。 |
ステップ 1 | 上記に示したいずれかの EAP タイプを使用するようにローカル EAP を設定する場合は、適切な証明書と PAC(手動の PAC プロビジョニングを使用する場合)がコントローラにインポートされていることを確認してください。 | ||||||
ステップ 2 | コントローラでローカル ユーザ データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上でローカル ネットワーク ユーザを適切に設定していることを確認してください。 | ||||||
ステップ 3 | コントローラで LDAP バックエンド データベースからユーザの資格情報を取得するようにする場合は、そのコントローラ上で LDAP サーバを適切に設定していることを確認してください。 | ||||||
ステップ 4 |
次のコマンドを入力して、ローカルまたは LDAP データベースからユーザの資格情報を取得する順位を指定します。 config local-auth user-credentials { local | ldap}
|
||||||
ステップ 5 |
次のコマンドを入力して、ローカル EAP タイマーの値を指定します。
|
||||||
ステップ 6 |
次のコマンドを入力して、ローカル EAP プロファイルを作成します。 config local-auth eap-profile add profile_name
|
||||||
ステップ 7 |
次のコマンドを入力して、ローカル EAP プロファイルに EAP 方式を追加します。
config local-auth eap-profile method add
method profile_name サポートされている方式は leap、fast、tls、および peap です。
|
||||||
ステップ 8 | EAP-FAST プロファイルを作成した場合は、次のコマンドを入力して EAP-FAST パラメータを設定します。 | ||||||
ステップ 9 |
次のコマンドを入力して、プロファイルごとに証明書パラメータを設定します。
|
||||||
ステップ 10 |
次のコマンドを入力して、ローカル EAP を有効にし、EAP プロファイルを WLAN に接続します。 config wlan local-auth enable profile_name wlan_id
|
||||||
ステップ 11 | 次のコマンドを入力して、変更を保存します。 | ||||||
ステップ 12 |
次のコマンドを入力して、ローカル EAP に関連する情報を表示します。
|
||||||
ステップ 13 |
(オプション)次のコマンドを入力して、ローカル EAP セッションのトラブルシューティングを行います。
|
証明書と PAC のインポートの手順については、コントローラ ソフトウェアと設定の管理の項を参照してください。
コントローラのローカル ネットワーク ユーザの設定手順については、コントローラでのローカル ネットワーク ユーザの設定の項を参照してください。
LDAP の設定手順については、LDAP の設定の項を参照してください。
SpectraLink 社の NetLink 電話を Cisco UWN ソリューションと最適な形で統合するには、 長いプリアンブルを有効にするようオペレーティング システムを設定する必要があります。 無線プリアンブル(ヘッダーとも呼ばれる)とは、パケットの先頭部分のデータ セクションのことであり、ここには、無線デバイスでのパケットの送受信に必要な情報が格納されています。 ショート プリアンブルの方がスループット パフォーマンスが向上するため、デフォルトではこちらが有効になっています。 ただし、SpectraLink 社の NetLink 電話などの一部の無線デバイスは、ロング プリアンブルを必要とします。
ステップ 1 | [Wireless] > [802.11b/g/n] > [Network] の順に選択して、[802.11b/g Global Parameters] ページを開きます。 | ||
ステップ 2 | [Short Preamble] チェックボックスがオンの場合は、以降の手順に進みます。 [Short Preamble] チェックボックスがオフの場合(つまり、長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話用に最適化されているため、これ以降の手順を実行する必要はありません。 | ||
ステップ 3 | [Short Preamble] チェックボックスをオフにして、長いプリアンブルを有効にします。 | ||
ステップ 4 |
[Apply] をクリックして、コントローラの設定を更新します。
|
||
ステップ 5 |
[Commands]
> [Reboot]
> [Reboot] > [Save and Reboot]
の順に選択して、コントローラをリブートします。 次のプロンプトに対し [OK] をクリックします。 Configuration will be saved and the controller will be rebooted. Click ok to confirm. |
||
ステップ 6 | コントローラの GUI にもう一度ログインし、コントローラが正しく設定されていることを確認します。 | ||
ステップ 7 | [Wireless] > [802.11b/g/n] > [Network] の順に選択して、[802.11b/g Global Parameters] ページを開きます。 [Short Preamble] チェックボックスがオフの場合、コントローラは SpectraLink 社の NetLink 電話用に最適化されています。 |
ステップ 1 | コントローラ CLI にログインします。 |
ステップ 2 |
show 802.11b コマンドを入力し、Short preamble mandatory パラメータを選択します。 短いプリアンブルが有効になっている場合は、以降の手順に進みます。 短いプリアンブルが有効な場合、次のように表示されます。 Short Preamble mandatory....................... Enabled 短いプリアンブルが無効になっている場合(つまり長いプリアンブルが有効な場合)、コントローラはすでに SpectraLink 社の NetLink 電話に対して最適化されているため、以降の手順を実行する必要はありません。 |
ステップ 3 | 次のコマンドを入力して、802.11b/g ネットワークを無効にします。 802.11a ネットワークでは、長いプリアンブルを有効化できません。 |
ステップ 4 | 次のコマンドを入力して、長いプリアンブルを有効にします。 |
ステップ 5 | 次のコマンドを入力して、802.11b/g ネットワークを再度有効にします。 |
ステップ 6 | reset system コマンドを入力し、コントローラをリブートします。 システムの変更を保存するためのプロンプトが表示されたら、y と入力します。 コントローラがリブートします。 |
ステップ 7 |
CLI にログインし直し、show 802.11b コマンドを入力して次のパラメータを表示して、コントローラが正しく設定されていることを確認します。 802.11b Network................................ Enabled Short Preamble mandatory....................... Disabled 上記のパラメータは、802.11b/g ネットワークが有効になっていて、短いプリアンブルが無効になっていることを示しています。 |
802.11 Enhanced Distributed Channel Access(EDCA)パラメータを設定して SpectraLink の電話をサポートするには、次の CLI コマンドを入力します。
config advanced edca-parameter {custom-voice | optimized-video-voice | optimized-voice | svp-voice | wmm-default}
(注) |
このコマンドをコントローラに接続されたすべてのアクセス ポイントに適用するには、このコマンドを入力したあと、802.11b/g ネットワークを無効にし、その後再び有効にしてください。 |
Cisco Identity Services Engine(ISE)は、次世代のコンテキストベース アクセス コントロール ソリューションで、Cisco Secure Access Control System(ACS)と Cisco Network Admission Control(NAC)の機能を 1 つの統合されたプラットフォームで提供します。
ISE は Cisco Unified Wireless Network のリリース 7.0.116.0 で導入されています。 ISE を使用して、配備されたネットワークで高度なセキュリティを実現できます。 ISE は、コントローラ上で設定できる認証サーバです。 RADIUS NAC 対応の WLAN 上のコントローラにクライアントがアソシエートされると、コントローラは ISE サーバに要求を転送します。
ISE サーバはデータベースでユーザを検証し、認証が正常に完了すると、URL と事前認証 ACL がクライアントに送信されます。 このときクライアントは Posture Required 状態になり、ISE サーバから返された URL にリダイレクトされます。
(注) |
ISE サーバから返された URL にキーワード「cwa」が含まれる場合、クライアントは、Central Web Authentication の状態になります。 |
クライアントの NAC エージェントによって、ポスチャ検証プロセスがトリガーされます。 ISE サーバによるポスチャ検証が正常に完了すると、クライアントは RUN 状態になります。
(注) |
RADIUS NAC による Flex ローカル スイッチングは、リリース 7.2.110.0 で追加されました。 これは、7.0 リリースおよび 7.2 リリースではサポートされていません。 RADIUS NAC 対応の WLAN 機能が動作するよう再設定するには、7.2.110.0 以降のリリースを 7.2 または 7.0 リリースにダウングレードする必要があります。 |
デバイス登録を行うと、RADIUS NAC を使用して WLAN の新しいデバイスの認証とプロビジョニングを行えるようになります。 デバイスを WLAN に登録すると、設定されている ACL に基づいてネットワークを使用できるようになります。
中央 Web 認証(CWA)の場合、Web 認証は ISE サーバで行われます。 ISE サーバの Web ポータルに、クライアント用のログイン ページが表示されます。 ISE サーバで資格情報が検証されると、クライアントがプロビジョニングされます。 CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。
ローカル Web 認証(LWA)の場合、コントローラが Web 認証ログイン ページを表示し、ここでユーザ名とパスワードが検証されます。 クライアントの資格情報が検証されると、制限付き ACL を使用する ISE サーバと URL がクライアントに送信されます。
CoA が適用されるまで、クライアントは POSTURE_REQD 状態のままです。 資格情報と ACL が ISE サーバから送信されます。
RADIUS NAC 対応 | Yes | Yes | Yes |
L2 なし | No | PSK、Static WEP、CKIP | No |
L3 なし | 該当なし | 内部/外部 | 該当なし |
MAC フィルタリング対応 | Yes | No | Yes |
ステップ 1 | [WLANs] タブを選択します。 |
ステップ 2 | ISE を有効にする WLAN の WLAN ID をクリックします。 |
ステップ 3 | [Advanced] タブをクリックします。 |
ステップ 4 | [NAC State] ドロップダウン リストから [Radius NAC] を選択します。 |
ステップ 5 | [Apply] をクリックします。 |
無線による管理機能を使用すると、ワイヤレス クライアントを使用してローカル コントローラを監視および設定できます。 この機能は、コントローラとの間のアップロードおよびダウンロード(転送)以外のすべての管理タスクに対して使用できます。
ステップ 1 | [Management] > [Mgmt Via Wireless] の順に選択して、[Management Via Wireless] ページを開きます。 |
ステップ 2 | [Enable Controller Management to be accessible from Wireless Clients] チェックボックスをオンにして無線による WLAN の管理を有効にするか、オフにしてこの機能を無効にします。 デフォルト値はオフです。 |
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、無線による管理インターフェイスが有効か無効かを検証します。 |
ステップ 2 | 次のコマンドを入力して CLI にログインし、ワイヤレス クライアントを使用して WLAN を管理できることを確認します。 telnet controller-ip-address command |
動的インターフェイス IP アドレスのいずれかを使用して、コントローラにアクセスできます。 有線コンピュータでは、WLC の動的インターフェイスを使用した CLI アクセスのみが可能ですが、ワイヤレス クライアントでは、動的インターフェイスを使用して CLI アクセスと GUI アクセスの両方が可能です。
動的インターフェイスによる管理機能が無効な場合、SSH プロトコルが有効であれば、デバイスは SSH 接続を開くことができます。 ただし、ユーザにログオン プロンプトは表示されません。 さらに、CPU ACL が設定されていない限り、動的インターフェイス VLAN から管理アドレスへのアクセスは引き続き可能です。
config network mgmt-via-dynamic-interface { enable | disable}
DHCP オプション 82 では、DHCP を使用してネットワーク アドレスを割り当てる場合のセキュリティが強化されます。 具体的には、コントローラが DHCP リレー エージェントとして動作して、信頼できないソースからの DHCP クライアント要求を阻止できるようにします。 DHCP 要求にオプション 82 情報を追加してから DHCP サーバに転送するように、コントローラを設定することができます。
アクセス ポイントは、クライアントからのすべての DHCP 要求をコントローラに転送します。 コントローラは、DHCP オプション 82 ペイロードを追加してから要求を DHCP サーバに転送します。 このオプションの設定方法によって、ペイロードには MAC アドレス、または MAC アドレスとアクセス ポイントの SSID が含まれます。
(注) |
すでにリレー エージェント オプションが含まれている DHCP パケットは、コントローラでドロップされます。 |
ステップ 1 | を選択して、[DHCP Parameters] ページを開きます。 |
ステップ 2 | [Enable DHCP Proxy] チェックボックスをオンにして、DHCP プロキシを有効にします。 |
ステップ 3 |
ドロップダウン リストから [DHCP Option 82 Remote ID field format] を選択して、DHCP オプション 82 ペイロードの形式を指定します。 使用可能なオプションの詳細については、コントローラのオンライン ヘルプを参照してください。 |
ステップ 4 | DHCP タイムアウト時間を入力します。 タイムアウト値はグローバルに適用できます。 |
ステップ 5 | [Apply] をクリックします。 |
ステップ 6 | [Save Configuration] をクリックします。 |
コントローラの CLI で、次のコマンドを入力して、WLAN が関連付けられている動的インターフェイスに対して DHCP オプション 82 を有効にします。
config interface dhcp dynamic-interface interface-name option-82 enable次のコマンドのいずれかを入力して、DHCP オプション 82 ペイロードの形式を設定します。
次のコマンドを入力して、WLAN が関連付けられている動的インターフェイスに対して DHCP オプション 82 を有効にします。
config interface dhcp dynamic-interface interface-name option-82 enable
show interface detailed dynamic-interface-nameコマンドを入力して、動的インターフェイスの DHCP オプション 82 のステータスを確認してください。
Interface Name................................... dynamic MAC Address...................................... e0:5f:b9:46:9f:af IP Address....................................... 9.4.46.13 IP Netmask....................................... 255.255.255.0 IP Gateway....................................... 9.4.46.1 External NAT IP State............................ Disabled External NAT IP Address.......................... 0.0.0.0 VLAN............................................. 46 Quarantine-vlan.................................. 0 NAS-Identifier................................... test Active Physical Port............................. LAG (13) Primary Physical Port............................ LAG (13) Backup Physical Port............................. Unconfigured DHCP Proxy Mode.................................. Global Primary DHCP Server.............................. 9.1.0.100 Secondary DHCP Server............................ Unconfigured DHCP Option 82................................... Disabled ACL.............................................. Unconfigured mDNS Profile Name................................ Unconfigured AP Manager....................................... No Guest Interface.................................. No L2 Multicast..................................... Enabled
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは Central Processing Unit(CPU; 中央処理装置)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。
または、Web 認証用に事前認証 ACL を作成することもできます。 事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。
IPv4 ACL および IPv6 ACL のどちらもサポートされています。 IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) |
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
ステップ 1 | を選択して、[Access Control Lists] ページを開きます。 | ||
ステップ 2 |
パケットがコントローラに設定された ACL のいずれかに一致するかどうかを確認する場合は、[Enable Counters]
チェックボックスをオンにして [Apply]
をクリックします。 それ以外の場合、このチェックボックスはオフ(デフォルト値)のままにしておきます。 この機能は、システムのトラブルシューティングを実行する際に役立ちます。
|
||
ステップ 3 | [New] をクリックして、新しい ACL を追加します。 [Access Control Lists > New] ページが表示されます。 | ||
ステップ 4 | [Access Control List Name] テキスト ボックスに、新しい ACL の名前を入力します。 最大 32 文字の英数字を入力できます。 | ||
ステップ 5 | ACL タイプを選択します。 IPv4 と IPv6 の 2 つの ACL のタイプがサポートされています。 | ||
ステップ 6 | [Apply] をクリックします。 [Access Control Lists] ページが再度表示されたら、新しい ACL の名前をクリックします。 | ||
ステップ 7 | [Access Control Lists > Edit] ページが表示されたら、[Add New Rule] をクリックします。 [Access Control Lists > Rules > New] ページが表示されます。 | ||
ステップ 8 |
この ACL のルールを次のように設定します。
|
||
ステップ 9 | [Save Configuration] をクリックして、変更を保存します。 | ||
ステップ 10 | さらに ACL を追加するにはこの手順を繰り返します。 |
ステップ 1 | [Controller] > [Interfaces] の順に選択します。 | ||
ステップ 2 | 目的のインターフェイスの名前をクリックします。 そのインターフェイスの [Interfaces > Edit] ページが表示されます。 | ||
ステップ 3 |
[ACL Name] ドロップダウン リストから必要な ACL を選択し、[Apply] をクリックします。 デフォルトは [None] です。
|
||
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | [Security] > [Access Control Lists] > [CPU Access Control Lists] の順に選択して、[CPU Access Control Lists] ページを開きます。 | ||||
ステップ 2 | [Enable CPU ACL] チェックボックスをオンにして、指定した ACL でコントローラの CPU へのトラフィックを制御できるようにするか、チェックボックスをオフにして CPU ACL の機能を無効にし、CPU にすでに適用されている ACL をすべて削除します。 デフォルト値はオフです。 | ||||
ステップ 3 |
[ACL Name] ドロップダウン リストから、コントローラの CPU へのトラフィックを制御する ACL を選択します。 デフォルト値は [None] で、CPU ACL 機能は無効にされています。 [CPU ACL Enable] チェックボックスをオンにして [None] を選択すると、ACL を選択する必要があることを示すエラー メッセージが表示されます。
|
||||
ステップ 4 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 5 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 | ||
ステップ 2 | 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。 | ||
ステップ 3 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。 | ||
ステップ 4 |
[Override Interface ACL] ドロップダウン リストから、この WLAN に適用する IPv4 または IPv6 ACL を選択します。 選択した ACL は、インターフェイスに設定されたすべての ACL を上書きします。 デフォルト値は [none] です。
|
||
ステップ 5 | [Apply] をクリックします。 | ||
ステップ 6 | [Save Configuration] をクリックします。 |
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 必要な WLAN の ID 番号をクリックして、[WLANs > Edit] ページを開きます。 |
ステップ 3 | [Security] タブおよび [Layer 3] タブを選択して、[WLANs > Edit]([Security] > [Layer 3])ページを開きます。 |
ステップ 4 | [Web Policy] チェックボックスをオンにします。 |
ステップ 5 | [Preauthentication ACL] ドロップダウン リストから目的の ACL を選択し、[Apply] をクリックします。 デフォルト値は [none] です。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
次のコマンドを入力して、コントローラ上に設定されているすべての ACL を表示します。 ACL Counter Status Enabled ------------------------------------- ACL Name Applied ------------------------- ----------- acl1 Yes acl2 Yes acl3 Yes |
||
ステップ 2 |
次のコマンドを入力して、特定の ACL の詳細情報を表示します。
show [ipv6] acl detailed
acl_name Source Destination Source Port Dest Port I Dir IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action Counter - --- ------------------ ------------------ ---- ----------- -------- ----- ------ ------- 1 Any 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Any 0-65535 0-65535 0 Deny 0 2 In 0.0.0.0/0.0.0.0 200.200.200.0/ 6 80-80 0-65535 Any Permit 0 255.255.255.0 DenyCounter : 0 パケットが ACL ルールと一致するたびに、[Counter] テキスト ボックスの値が増加します。[DenyCounter] テキスト ボックスの値は、パケットがいずれのルールとも一致しない場合に増加します。
|
||
ステップ 3 |
次のコマンドを入力して、コントローラの ACL カウンタを有効または無効にします。 config acl counter { start | stop}
|
||
ステップ 4 |
次のコマンドを入力して、新しい ACL を追加します。
config [ipv6] acl create acl_name acl_name パラメータには、最大 32 文字の英数字を入力できます。
|
||
ステップ 5 | 次のコマンドを入力して、ACL のルールを追加します。 config [ipv6] acl rule add acl_name rule_index | ||
ステップ 6 | config [ipv6] acl rule コマンドを入力して、ACL のルールを設定します。 | ||
ステップ 7 |
次のコマンドを入力して、設定を保存します。
|
ステップ 1 |
次のいずれかの操作を行います。
|
||||
ステップ 2 | 次のコマンドを入力して、変更を保存します。 save config |
Management Frame Protection(MFP; 管理フレーム保護)では、アクセス ポイントとクライアント間で送受信される 802.11 管理メッセージを保護および暗号化することにより、セキュリティが確保されます。 MFP は、インフラストラクチャとクライアント サポートの両方を実現します。
(注) |
ブロードキャスト フレームを使用した攻撃を防ぐため、CCXv5 をサポートするアクセス ポイントでは、ブロードキャスト クラス 3 管理フレーム(アソシエーション解除、認証解除、またはアクションなど)を送信しません。 CCXv5 クライアントおよびアクセス ポイントは、ブロードキャスト クラス 3 管理フレームを破棄する必要があります。 インフラストラクチャ MFP は、クライアント MFP 対応でないクライアントに送信された無効なユニキャスト フレームと、無効なクラス 1 およびクラス 2 管理フレームを引き続き検出および報告するため、クライアント MFP は、インフラストラクチャ MFP を置き換えるのではなく、補足するものであると言えます。 インフラストラクチャ MFP は、クライアント MFP によって保護されていない管理フレームにのみ適用されます。 インフラストラクチャ MFP は次の 3 つの主要なコンポーネントで構成されます。 |
(注) |
クライアント MFP は、インフラストラクチャ MFP と同じイベント報告メカニズムを使用します。 |
インフラストラクチャ MFP は、デフォルトで有効化されており、システム全体で無効化できます。 以前のソフトウェア リリースからアップグレードする場合、アクセス ポイント認可が有効になっているときは、これら 2 つの機能は相互に排他的であるため、インフラストラクチャ MFP はシステム全体で無効になります。 インフラストラクチャ MFP がグローバルに有効化されると、選択した WLAN に対してシグニチャの生成(MIC を送信フレームに追加する)を無効にでき、選択したアクセス ポイントに対して検証を無効にできます。
クライアント MFP は、WPA2 に対して設定された WLAN 上でデフォルトで有効にされています。 選択した WLAN 上で無効にすることも、必須にする(その場合、MFP をネゴシエートするクライアントのみがアソシエーションを許可されます)こともできます。
ステップ 1 | [Security] > [Wireless Protection Policies] > [AP Authentication/MFP] の順に選択して、[AP Authentication Policy] ページを開きます。 | ||
ステップ 2 | [Protection Type] ドロップダウン リストから [Management Frame Protection] を選択して、コントローラに対してインフラストラクチャ MFP をグローバルに有効にします。 | ||
ステップ 3 |
[Apply] をクリックして、変更を確定します。
|
||
ステップ 4 |
コントローラに対してインフラストラクチャ MFP をグローバルに有効にしたあと、次の手順を実行して、特定の WLAN にクライアント MFP を設定します。
|
||
ステップ 5 | [Save Configuration] をクリックして設定を保存します。 |
コントローラの現在のグローバル MFP の設定を表示するには、[Security] > [Wireless Protection Policies] > [Management Frame Protection] の順に選択します。 [Management Frame Protection Settings] ページが表示されます。
次のコマンドを入力して、コントローラに対してインフラストラクチャ MFP をグローバルに有効または無効にします。 config wps mfp infrastructure {enable | disable}
次のコマンドを入力して、特定の WLAN でクライアント MFP シグニチャを有効または無効にします。
config wlan mfp client {enable | disable} wlan_id [ required ]
クライアント MFP を有効にしてオプションの required パラメータを使用すると、MFP がネゴシエートされている場合のみ、クライアントはアソシエーションを許可されます。
次のコマンドを入力して、コントローラの現在の MFP の設定を表示します。
show wps mfp summary
次のコマンドを入力して、特定の WLAN の現在の MFP の設定を表示します。
show wlan wlan_id
次のコマンドを入力して、特定のクライアントに対してクライアント MFP が有効になっているかどうかを表示します。
次のコマンドを入力して、コントローラの MFP 統計情報を表示します。 show wps mfp statistics
(注) |
実際に攻撃が進行中でない限り、このレポートにデータは含まれません。 ここに示すさまざまなエラーの種類の例は、図示のみを目的としています。 この表は 5 分ごとにクリアされ、データはネットワーク管理ステーションに転送されます。 |
ステップ 1 | [Security] > [Wireless Protection Policies] > [Client Exclusion Policies] の順に選択して、[Client Exclusion Policies] ページを開きます。 |
ステップ 2 |
指定された条件について、コントローラがクライアントを除外するように設定するには、次のチェックボックスのいずれかをオンにします。 各除外ポリシーのデフォルトは有効です。
|
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | 次のコマンドを入力して、802.11 アソシエーションを 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion 802.11-assoc { enable | disable} |
ステップ 2 | 次のコマンドを入力して、802.11 認証を 5 回連続して失敗したあと、6 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 |
ステップ 3 | 次のコマンドを入力して、802.1X 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion 802.1x-auth { enable | disable} |
ステップ 4 | 次のコマンドを入力して、IP アドレスが別のデバイスにすでに割り当てられている場合に、コントローラがクライアントを除外する設定を有効または無効にします。 config wps client-exclusion ip-theft { enable | disable} |
ステップ 5 | 次のコマンドを入力して、Web 認証を 3 回連続して失敗したあと、4 回目の試行でコントローラがクライアントを除外する設定を有効または無効にします。 |
ステップ 6 | 次のコマンドを入力して、上記のすべての理由でコントローラがクライアントを除外する設定を有効または無効にします。 |
ステップ 7 |
次のコマンドを使用して、クライアント除外エントリを追加または削除します。 config exclusionlist { add MAC [ description] | delete MAC | description MAC [ description]} |
ステップ 8 | 次のコマンドを入力して、変更を保存します。 save config |
ステップ 9 |
次のコマンドを入力して、動的に除外されたクライアントのリストを表示します。 Dynamically Disabled Clients ---------------------------- MAC Address Exclusion Reason Time Remaining (in secs) ----------- ---------------- ------------------------ 00:40:96:b4:82:55 802.1X Failure 51 |
ステップ 10 |
次のコマンドを入力して、クライアント除外ポリシー構成の設定を表示します。 Auto-Immune Auto-Immune.................................... Disabled Client Exclusion Policy Excessive 802.11-association failures.......... Enabled Excessive 802.11-authentication failures....... Enabled Excessive 802.1x-authentication................ Enabled IP-theft....................................... Enabled Excessive Web authentication failure........... Enabled Signature Policy Signature Processing........................ Enabled |
ほとんどの無線 LAN システムの場合、各 WLAN に静的なポリシーがあり、SSID が設定されているすべてのクライアントに適用されます。 これは強力な方式ですが、クライアントに複数の Quality of Service(QoS)およびセキュリティ ポリシーを適用するには、そのクライアントに複数の SSID を設定する必要があるために、限界がありました。
これに対し、Cisco Wireless LAN ソリューションは Identity ネットワーキングをサポートしており、ネットワークが 1 つの SSID をアドバタイズできると同時に、ユーザ プロファイルに基づいて、個々のユーザに異なる QoS またはセキュリティ ポリシーを適用することができます。 Identity ネットワーキングを使用して制御できるポリシーは次のとおりです。
(注) |
VLAN 機能は、MAC フィルタリング、802.1X、および WPA のみをサポートします。 VLAN 機能では Web 認証または IPSec はサポートされません。 |
(注) |
この項で後述する他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。 |
オペレーティング システムのローカル MAC フィルタ データベースは、インターフェイス名を含むように拡張されました。これにより、クライアントを割り当てるインターフェイスをローカル MAC フィルタで指定できるようになりました。 別の RADIUS サーバも使用できますが、その RADIUS サーバは [Security] メニューを使用して定義する必要があります。
この項では、Identity ネットワーキングで使用される RADIUS 属性について説明します。
この属性は、スイッチング ファブリック内、および無線経由のモバイル クライアントのトラフィックに適用される QoS レベルを示しています。 この例は、QoS-Level 属性フォーマットの要約を示しています。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | QoS Level | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
この属性は、クライアントに適用される ACL 名を示します。 ACL-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ACL Name... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
この属性は、クライアントが関連付けられる VLAN インターフェイスを示します。 Interface-Name 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Interface Name... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
この属性は、特定のトンネル セッションのグループ ID を示し、Tunnel-Private-Group-ID 属性とも呼ばれます。
この属性は、トンネルの発信側が、特定の接続からグループを事前に判別できる場合は Access-Request パケットに含めることができ、このトンネル セッションを特定のプライベート グループに属するものとして処理する場合は Access-Accept パケットに含める必要があります。 プライベート グループは、トンネル セッションを特定のユーザのグループと関連付けるために使用できます。 たとえば、未登録の IP アドレスが特定のインターフェイスを通過するようにするルーティングを容易にするために使用できます。 Start と Stop のいずれかの値を持つ Acct-Status-Type 属性を含み、かつトンネル セッションに関連する Accounting-Request パケットには、プライベート グループを含める必要があります。
Tunnel-Private-Group-ID 属性形式の要約を次に示します。 テキスト ボックスは左から右に伝送されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Tag | String... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
(注) |
この項の他の RADIUS 属性(QoS-Level、ACL-Name、Interface-Name、または VLAN-Tag)のいずれかを返す場合、トンネル属性も返す必要があります。 |
RFC 2868 では、認証と許可に使用される RADIUS トンネル属性が定義されています。RFC2867 では、アカウンティングに使用されるトンネル属性が定義されています。 IEEE 802.1X Authenticator がトンネリングをサポートしている場合は、認証の結果としてサプリカントに対して強制的なトンネルを設定できます。
これは特に、認証の結果に基づいて IEEE8021Q で定義されている特定の VLAN にポートを配置できるようにする場合に適しています。 たとえば、この設定を使用すると、ワイヤレス ホストがキャンパス ネットワーク内を移動するときに同じ VLAN 上にとどまれるようになります。
RADIUS サーバは、一般的に、Access-Accept 内にトンネル属性を含めることによって目的の VLAN を示します。 ただし IEEE 802.1X Authenticator も、Access- Request 内にトンネル属性を含めることによって、サプリカントに割り当てる VLAN に関するヒントを示すことができます。
VLAN 割り当てのために、次のトンネル属性が使用されます。
VLAN ID は、1 ~ 4094(両端の値を含む)の 12 ビットの値です。 RFC 2868 で定義されているように、IEEE 802.1X で使用される Tunnel-Private-Group-ID は文字列型であるため、VLAN ID の整数値は文字列としてエンコードされます。
トンネル属性が送信されるときは、Tag テキスト ボックスに値が含まれている必要があります。 RFC 2868 の第 3.1 項には次のように明記されています。
WLAN の Allow AAA Override オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。 これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、QoS、および ACL を適用できます。
Steel-Belted RADIUS(SBR)、FreeRadius、または同等の RADIUS サーバを使用している場合、AAA Override 機能を有効化した後、クライアントが正しい QoS 値を取得できないことがあります。 ディクショナリ ファイルの編集を可能にするこれらのサーバについて、正しい QoS 値(Silver = 0、Gold = 1、Platinum = 2、Bronze = 3)を反映させてファイルを更新する必要があります。 RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。
(注) |
この問題は、Cisco Secure Access Control Server(ACS)には適用されません。 |
RADIUS サーバのディクショナリ ファイルを更新するには、次の手順を実行します。
################################################################################ # CiscoWLAN.dct- Cisco Wireless Lan Controllers # # (See README.DCT for more details on the format of this file) ################################################################################ # Dictionary - Cisco WLAN Controllers # # Start with the standard Radius specification attributes # @radius.dct # # Standard attributes supported by Airespace # # Define additional vendor specific attributes (VSAs) # MACRO Airespace-VSA(t,s) 26 [vid=14179 type1=%t% len1=+2 data=%s%] ATTRIBUTE WLAN-Id Airespace-VSA(1, integer) cr ATTRIBUTE Aire-QoS-Level Airespace-VSA(2, integer) r VALUE Aire-QoS-Level Bronze 3 VALUE Aire-QoS-Level Silver 0 VALUE Aire-QoS-Level Gold 1 VALUE Aire-QoS-Level Platinum 2 ATTRIBUTE DSCP Airespace-VSA(3, integer) r ATTRIBUTE 802.1P-Tag Airespace-VSA(4, integer) r ATTRIBUTE Interface-Name Airespace-VSA(5, string) r ATTRIBUTE ACL-Name Airespace-VSA(6, string) r # This should be last. ################################################################################ # CiscoWLAN.dct - Cisco WLC dictionary ##############################################################################
vendor-product = Cisco WLAN Controller dictionary = ciscowlan ignore-ports = no port-number-usage = per-port-type help-id =
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | 設定する WLAN の ID 番号をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Advanced] タブを選択して、[WLANs > Edit]([Advanced])ページを開きます。 |
ステップ 4 | [Allow AAA Override] チェックボックスをオンにして AAA Override を有効にするか、オフにしてこの機能を無効にします。 デフォルト値は [disabled] です。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 6 | [Save Configuration] をクリックして、変更を保存します。 |
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。 つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。 すると、ハッカーは一連の Clear To Send(CTS; クリア ツー センド)フレームを送信できるようになります。 アクセス ポイントになりすましてこの CTS フレームが送信され、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。 無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
不正なアクセス ポイントは安価で簡単に利用できることから、企業の従業員は、IT 部門に報告して同意を得ることなく、認可されていない不正なアクセス ポイントを既存の LAN に接続し、アドホック無線ネットワークを確立することがあります。 これらの不正アクセス ポイントは、企業のファイアウォールの内側にあるネットワーク ポートに接続可能であるため、重大なネットワーク セキュリティ侵犯となることがあります。 通常、従業員は不正なアクセス ポイントのセキュリティ設定を有効にしないので、権限のないユーザがこのアクセス ポイントを使って、ネットワーク トラフィックを傍受し、クライアント セッションをハイジャックすることは簡単です。 さらに警戒すべきことは、セキュリティで保護されていないアクセス ポイントの場所が無線ユーザにより頻繁に公開されるため、企業のセキュリティが侵害される可能性も増大します。
コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。 コントローラで不正なアクセス ポイントが検出されると、Rogue Location Discovery Protocol(RLDP; 不正ロケーション検出プロトコル)を使用して、不正なアクセス ポイントがネットワークに接続されているかどうかが判定されます。
コントローラは、すべてのアクセス ポイント上で、または monitor(リッスン専用)モードに設定されたアクセス ポイント上のみ、のいずれかで RLDP を使用できるように設定できます。 この後者のオプションでは、輻輳している RF 空間での不正なアクセス ポイントを簡単に自動検出できるようになります。そして、不要な干渉を生じさせたり、通常のデータ アクセス ポイント機能に影響を与えたりすることなく、モニタリングを行えるようになります。 すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラでは常に RLDP 動作に対してモニタ アクセス ポイントが選択されます。 ネットワーク上に不正があると RLDP で判断された場合は、検出された不正を手動で封じ込め処理を行うことも、自動的に封じ込め処理を行うこともできます。
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。 コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。 アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。 自動阻止の場合は、監視モードのアクセス ポイントだけを使用するようにコントローラを設定できます。
WCS ソフトウェア リリース 5.0 以降でも、ルール ベースの分類がサポートされています。 WCS では、コントローラ上で設定された分類ルールが使用されます。 次のイベント後に、コントローラから WCS にトラップが送信されます。
ステップ 1 | 必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただしコントローラ ソフトウェア リリース 6.0 以降では、[All APs > Details for]([Advanced])ページで [Rogue Detection] チェックボックスを選択または選択解除すると、個々のアクセス ポイントに対して不正検出を有効または無効にできます。 | ||
ステップ 2 | を選択して、[Rogue Policies] ページを開きます。 | ||
ステップ 3 | [Rogue Location Discovery Protocol] ドロップダウン リストから、次のオプションのいずれかを選択します。 | ||
ステップ 4 |
[Expiration Timeout for Rogue AP and Rogue Client Entries] テキスト ボックスに、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を入力します。 有効な範囲は 240 ~ 3600 秒で、デフォルト値は 1200 秒です。
|
||
ステップ 5 | 必要に応じて、[Validate Rogue Clients Against AAA] チェックボックスをオンにし、AAA サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントかどうかを検証します。 デフォルト値はオフです。 | ||
ステップ 6 | 必要に応じて、[Detect and Report Ad-Hoc Networks] チェックボックスをオンにして、アドホック不正の検出および報告を有効にします。 デフォルト値はオンです。 | ||
ステップ 7 | [Rogue Detection Report Interval] テキスト ボックスに、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。 | ||
ステップ 8 |
[Rogue Detection Minimum RSSI]
テキスト ボックスに、不正に必要な最小 RSSI 値を入力します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。 有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。
|
||
ステップ 9 | [Rogue Detection Transient Interval] テキスト ボックスに、不正が AP により最初にスキャンされた後、スキャンされる時間間隔を入力します。 連続的に不正がスキャンされた後、更新情報が定期的にコントローラへ送信されます。 これによって、非常に短い時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタリングされます。 有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。 | ||
ステップ 10 |
特定の不正なデバイスをコントローラで自動的に阻止するには、次のチェックボックスをオンにします。 それ以外の場合は、これらのチェックボックスをオフ(デフォルト値)のままにしておきます。
|
||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
必要なアクセス ポイントで不正検出が有効になっていることを確認します。 コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。 ただしコントローラ ソフトウェア リリース 6.0 以降では、次のコマンドを入力すると、個々のアクセス ポイントに対して不正の検出を有効または無効にできます。 config rogue detection { enable | disable} Cisco_AP command.
|
||||||||
ステップ 2 | 次のコマンドを入力して、RLDP を有効化、無効化、または開始します。 | ||||||||
ステップ 3 |
次のコマンドを入力して、不正なアクセス ポイントとクライアント エントリの期限が切れてリストから削除されるまでの秒数を指定します。
config rogue ap timeout
seconds seconds の有効な値の範囲は 240 ~ 3600 秒(両端の値を含む)で、デフォルト値は 1200 秒です。
|
||||||||
ステップ 4 | 次のコマンドを入力して、アドホック不正の検出および報告を有効または無効にします。 | ||||||||
ステップ 5 | 次のコマンドを入力して AAA サーバまたはローカル データベースを有効または無効にし、不正なクライアントが有効なクライアントかどうかを検証します。 | ||||||||
ステップ 6 |
次のコマンドを入力して、AP が不正検出レポートをコントローラに送信する間隔を秒単位で入力します。 config rogue detection monitor-ap report-interval time in sec time in sec パラメータの有効範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。
|
||||||||
ステップ 7 |
次のコマンドを入力して、不正に必要な最小 RSSI 値を指定します。これは、AP が不正を検出し、コントローラで不正エントリが作成されるために必要な値です。 config rogue detection min-rssi rssi in dBm rssi in dBm パラメータの有効範囲は –128 ~ 0 dBm で、デフォルト値は 0 dBm です。
|
||||||||
ステップ 8 |
次のコマンドを入力して、不正が初めてスキャンされた後、AP で不正スキャンを連続的に実行する間隔を入力します。 config rogue detection monitor-ap transient-rogue-interval time in sec time in sec パラメータの有効範囲は 120 ~ 1800 秒で、デフォルト値は 0 です。
|
||||||||
ステップ 9 |
特定の不正なデバイスをコントローラで自動的に阻止するには、次のコマンドを入力します。
|
||||||||
ステップ 10 | 次のコマンドを入力して、RLDP のスケジュールを設定します。 | ||||||||
ステップ 11 | 次のコマンドを入力して、変更を保存します。 |
コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。
デフォルトでは、いずれの分類ルールも有効になっていません。 したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。 ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。 ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。
(注) |
ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。 |
(注) |
1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。 |
コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。
Friendly |
|
Malicious | |
Unclassified |
|
コントローラ ソフトウェア リリース 5.0 以降にアップグレードした場合、不正なアクセス ポイントの分類と状態は次のように再設定されます。
前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。
Friendly(Internal、External、Alert) | Malicious(Alert) |
Friendly(Internal、External、Alert) | Unclassified(Alert) |
Friendly(Alert) | Friendly(Internal、External) |
Malicious(Alert、Threat) | Friendly(Internal、External) |
Malicious(Contained、Contained Pending) | Malicious(Alert) |
Unclassified(Alert、Threat) | Friendly(Internal、External) |
Unclassified(Contained、Contained Pending) | Unclassified(Alert) |
Unclassified(Alert) | Malicious(Alert) |
不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。 不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。
ステップ 1 |
を選択して、[Rogue Rules] ページを開きます。 すでに作成されているすべてのルールが優先順位に従って一覧表示されます。 各ルールの名前、タイプ、およびステータスが表示されます。
|
||
ステップ 2 | 次の手順を実行して、新しいルールを作成します。 | ||
ステップ 3 |
次の手順を実行して、ルールを編集します。
|
||
ステップ 4 | [Save Configuration] をクリックして、変更を保存します。 | ||
ステップ 5 | 不正分類ルールを適用する順序を変更する場合の手順は、次のとおりです。 | ||
ステップ 6 |
次の手順を実行して、任意の不正なアクセス ポイントを Friendly に分類し、危険性のない MAC アドレス リストに追加します。
|
注意 |
不正なデバイスを封じ込めることを選択すると、「There may be legal issues following this containment. Are you sure you want to continue?」という警告メッセージが表示されます。工業、科学、医療用(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に解放されているので、ライセンスなしで使用できます。 したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。 |
ステップ 1 | [Monitor] > [Rogues] の順に選択します。 | ||||
ステップ 2 |
次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。
[Friendly Rogue APs] ページ、[Malicious Rogue APs] ページ、および [Unclassified Rogue APs] ページには、不正なアクセス ポイントの MAC アドレスと SSID、チャネル番号、不正なアクセス ポイントに接続されたクライアントの数、不正なアクセス ポイントが検出された無線の数、および不正なアクセス ポイントの現在のステータスなどの情報が表示されます。
|
||||
ステップ 3 |
不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。 [Rogue AP Detail] ページが表示されます。 このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。 [Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。
|
||||
ステップ 4 |
このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。
|
||||
ステップ 5 |
[Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。
ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。 クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。 |
||||
ステップ 6 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 7 | [Save Configuration] をクリックして、変更を保存します。 | ||||
ステップ 8 | コントローラに接続された不正なクライアントを表示するには、[Rogue Clients] を選択します。 [Rogue Clients] ページが表示されます。 このページには、不正なクライアントの MAC アドレス、不正なクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID、不正なクライアントが検出された無線の数、不正なクライアントが最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。 | ||||
ステップ 9 | 不正なクライアントの詳細情報を取得するには、そのクライアントの MAC アドレスをクリックします。 [Rogue Client Detail] ページが表示されます。 このページには、不正なクライアントの MAC アドレス、このクライアントがアソシエートされているアクセス ポイントの MAC アドレス、不正なクライアントの SSID および IP アドレス、不正なクライアントが最初および最後に報告された日時、不正なクライアントの現在のステータスといった情報が表示されます。 | ||||
ステップ 10 | [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なクライアントに対するコントローラの応答方法を指定します。 | ||||
ステップ 11 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 12 | 必要に応じて [Ping] をクリックすると、このクライアントへのコントローラの接続をテストできます。 | ||||
ステップ 13 | [Save Configuration] をクリックして、変更を保存します。 | ||||
ステップ 14 |
コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues]
を選択します。 [Adhoc Rogues] ページが表示されます。 このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。 |
||||
ステップ 15 |
アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。 [Adhoc Rogue Detail] ページが表示されます。 このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。 |
||||
ステップ 16 | [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。 | ||||
ステップ 17 | [Maximum Number of APs to Contain the Rogue] ドロップダウン リストから、[1]、[2]、[3]、[4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。 ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。 | ||||
ステップ 18 | [Apply] をクリックして、変更を確定します。 | ||||
ステップ 19 | [Save Configuration] をクリックして、変更を保存します。 | ||||
ステップ 20 |
無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List]
を選択します。 [Rogue AP Ignore-List] ページが表示されます。 このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。 不正無視リストには、WCS ユーザが WCS マップに手動で追加した任意の自律アクセス ポイントのリストが含まれています。 コントローラでは、これらの自律アクセス ポイントが、WCS によって管理されていても不正と見なされます。 不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。 このリストは次のように更新されます。
|
ステップ 1 |
次のコマンドを入力して、ルールを作成します。
config rogue rule add ap priority
priority
classify {
friendly |
malicious}
rule_name 後からこのルールの優先順位を変更し、それに伴ってリスト内の他のルールの順番を変更する場合は、 config rogue rule priority priority rule_name コマンドを入力します。 後からこのルールの分類を変更する場合は、 config rogue rule classify { friendly | malicious} rule_name コマンドを入力します。 すべての不正分類ルール、または特定のルールを削除するには、{ config rogue rule delete all | rule_name} コマンドを入力します。 |
||||||
ステップ 2 |
次のコマンドを入力して、すべてのルールまたは特定のルールを無効にします。 config rogue rule disable { all | rule_name}
|
||||||
ステップ 3 |
次のコマンドを入力して、不正なアクセス ポイントが満たす必要があるルールに条件を追加します。 config rogue rule condition ap set condition_type condition_value rule_name |
||||||
ステップ 4 |
検出された不正なアクセス ポイントがルールに一致しているとみなされ、そのルールの分類タイプが適用されるためには、ルールで指定されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。 config rogue rule match { all | any} rule_name
|
||||||
ステップ 5 |
次のコマンドを入力して、すべてのルールまたは特定のルールを有効にします。
config rogue rule enable {
all |
rule_name}
|
||||||
ステップ 6 | 次のコマンドを入力して、新しい危険性のないアクセス ポイント エントリを危険性のない MAC アドレスのリストに追加したり、リストから既存の危険性のないアクセス ポイント エントリを削除したりします。 | ||||||
ステップ 7 | 次のコマンドを入力して、変更を保存します。 | ||||||
ステップ 8 |
次のコマンドを入力して、コントローラ上に設定されている不正分類ルールを表示します。
show rogue rule summary Priority Rule Name State Type Match Hit Count -------- ----------- -------- ------------ ------ --------- 1 Rule1 Disabled Friendly Any 0 2 Rule2 Enabled Malicious Any 339 3 Rule3 Disabled Friendly Any 0 |
||||||
ステップ 9 |
次のコマンドを入力して、特定の不正分類ルールの詳細情報を表示します。 show rogue rule detailed rule_name Priority......................................... 2 Rule Name........................................ Rule2 State............................................ Enabled Type............................................. Malicious Match Operation.................................. Any Hit Count........................................ 352 Total Conditions................................. 6 Condition 1 type......................................... Client-count value........................................ 10 Condition 2 type......................................... Duration value (seconds).............................. 2000 Condition 3 type......................................... Managed-ssid value........................................ Enabled Condition 4 type......................................... No-encryption value........................................ Enabled Condition 5 type......................................... Rssi value (dBm).................................. -50 Condition 6 type......................................... Ssid SSID Count................................... 1 SSID 1.................................... test |
次のコマンドを入力して、コントローラによって検出されたすべての不正なアクセス ポイントのリストを表示します。 show rogue ap summary
Rogue Location Discovery Protocol................ Enabled Rogue AP timeout................................. 1200 MAC Address Classification # APs # Clients Last Heard ----------------- ------------------ ----- --------- ----------------------- 00:0a:b8:7f:08:c0 Friendly 0 0 Not Heard 00:0b:85:01:30:3f Malicious 1 0 Fri Nov 30 11:30:59 2007 00:0b:85:63:70:6f Malicious 1 0 Fri Nov 30 11:20:14 2007 00:0b:85:63:cd:bf Malicious 1 0 Fri Nov 30 11:23:12 2007 ...
次のコマンドを入力して、コントローラによって検出された危険性のない不正なアクセス ポイントのリストを表示します。
show rogue ap friendly summary
Number of APs.................................... 1 MAC Address State # APs # Clients Last Heard ----------------- ------------------ ----- --------- --------------------------- 00:0a:b8:7f:08:c0 Internal 1 0 Tue Nov 27 13:52:04 2007
次のコマンドを入力して、コントローラによって検出された危険性のある不正なアクセス ポイントのリストを表示します。
show rogue ap malicious summary
Number of APs.................................... 264 MAC Address State # APs # Clients Last Heard ----------------- ------------------ ----- --------- ----------------------- 00:0b:85:01:30:3f Alert 1 0 Fri Nov 30 11:20:01 2007 00:0b:85:63:70:6f Alert 1 0 Fri Nov 30 11:20:14 2007 00:0b:85:63:cd:bf Alert 1 0 Fri Nov 30 11:23:12 2007 00:0b:85:63:cd:dd Alert 1 0 Fri Nov 30 11:27:03 2007 00:0b:85:63:cd:de Alert 1 0 Fri Nov 30 11:26:23 2007 00:0b:85:63:cd:df Alert 1 0 Fri Nov 30 11:26:50 2007 ...
次のコマンドを入力して、コントローラによって検出された未分類の不正なアクセス ポイントのリストを表示します。
show rogue ap unclassified summary
Number of APs.................................... 164 MAC Address State # APs # Clients Last Heard ----------------- ------------------ ----- --------- ----------------------- 00:0b:85:63:cd:bd Alert 1 0 Fri Nov 30 11:12:52 2007 00:0b:85:63:cd:e7 Alert 1 0 Fri Nov 30 11:29:01 2007 00:0b:85:63:ce:05 Alert 1 0 Fri Nov 30 11:26:23 2007 00:0b:85:63:ce:07 Alert 1 0 Fri Nov 30 11:26:23 2007 ...
次のコマンドを入力して、特定の不正なアクセス ポイントに関する詳細情報を表示します。
show rogue ap detailed ap_mac_address
Rogue BSSID...................................... 00:1d:70:59:95:9d Rogue Radio Type................................. 802.11a State............................................ Alert First Time Rogue was Reported.................... Tue Sep 21 09:57:08 2010 Last Time Rogue was Reported..................... Tue Sep 21 10:00:56 2010 Rogue Client IP address.......................... Not known Reported By AP 1 MAC Address.............................. 68:ef:bd:e1:fd:30 Name..................................... AP5475.d074.48e4 RSSI..................................... -80 dBm SNR...................................... 18 dB Channel.................................. 40 Last reported by this AP................. Tue Sep 21 10:00:56 2010
次のコマンドを入力して、特定の 802.11a/n 無線に関する不正レポート(各種チャネル幅で検出された不正なデバイスの数を示す)を表示します。
show ap auto-rf 802.11a Cisco_AP
Number Of Slots.................................. 2 AP Name.......................................... AP2 MAC Address...................................... 00:1b:d5:13:39:74 Radio Type..................................... RADIO_TYPE_80211a Noise Information Noise Profile................................ PASSED Channel 36................................... -80 dBm Channel 40................................... -78 dBm ... Interference Information Interference Profile......................... PASSED Channel 36................................... -81 dBm @ 8 % busy Channel 40................................... -66 dBm @ 4 % busy ... Rogue Histogram (20/40_ABOVE/40_BELOW) Channel 36................................... 21/ 1/ 0 Channel 40................................... 7/ 0/ 0 ...
次のコマンドを入力して、不正なアクセス ポイントにアソシエートされているすべての不正なクライアントのリストを表示します。
show rogue ap clients ap_mac_address
MAC Address State # APs Last Heard ----------------- ------------------ ----- ------------------------- 00:bb:cd:12:ab:ff Alert 1 Fri Nov 30 11:26:23 2007
次のコマンドを入力して、コントローラによって検出されたすべての不正なクライアントのリストを表示します。
Validate rogue clients against AAA............... Disabled MAC Address State # APs Last Heard ----------------- ------------------ ----- ----------------------- 00:0a:8a:7d:f5:f5 Alert 1 Mon Dec 3 21:56:36 2007 00:18:ba:78:c4:44 Alert 1 Mon Dec 3 21:59:36 2007 00:18:ba:78:c4:d1 Alert 1 Mon Dec 3 21:47:36 2007 00:18:ba:78:ca:f8 Alert 1 Mon Dec 3 22:02:36 2007 ...
次のコマンドを入力して、特定の不正なクライアントに関する詳細情報を表示します。
show rogue client detailed client_mac_address
Rogue BSSID...................................... 00:0b:85:23:ea:d1 State............................................ Alert First Time Rogue was Reported.................... Mon Dec 3 21:50:36 2007 Last Time Rogue was Reported..................... Mon Dec 3 21:50:36 2007 Rogue Client IP address.......................... Not known Reported By AP 1 MAC Address.............................. 00:15:c7:82:b6:b0 Name..................................... AP0016.47b2.31ea Radio Type............................... 802.11a RSSI..................................... -71 dBm SNR...................................... 23 dB Channel.................................. 149 Last reported by this AP.............. Mon Dec 3 21:50:36 2007
次のコマンドを入力して、コントローラによって検出されたすべてのアドホック不正のリストを表示します。
Detect and report Ad-Hoc Networks................ Enabled Client MAC Address Adhoc BSSID State # APs Last Heard ------------------ ------------------ ----------- ------- ------------------------ 00:bb:cd:12:ab:ff super Alert 1 Fri Nov 30 11:26:23 2007
次のコマンドを入力して、特定のアドホック不正に関する詳細情報を表示します。
show rogue adhoc detailed rogue_mac_address
Adhoc Rogue MAC address.......................... 02:61:ce:8e:a8:8c Adhoc Rogue BSSID................................ 02:61:ce:8e:a8:8c State............................................ Alert First Time Adhoc Rogue was Reported.............. Tue Dec 11 20:45:45 2007 Last Time Adhoc Rogue was Reported............... Tue Dec 11 20:45:45 2007 Reported By AP 1 MAC Address.............................. 00:14:1b:58:4a:e0 Name..................................... AP0014.1ced.2a60 Radio Type............................... 802.11b SSID..................................... rf4k3ap Channel.................................. 3 RSSI..................................... -56 dBm SNR...................................... 15 dB Encryption............................... Disabled ShortPreamble............................ Disabled WPA Support.............................. Disabled Last reported by this AP............... Tue Dec 11 20:45:45 2007
次のコマンドを入力して、無視するように設定されている不正なアクセス ポイントのリストを表示します。
MAC Address ------------------ 10:bb:17:cc:01:ef
(注) |
不正無視アクセス ポイント リストの詳細については、「不正なデバイスの表示および分類(GUI)」のステップ 20 を参照してください。 |
次のコマンドを入力して、不正なアクセス ポイントを Friendly に分類します。
config rogue ap classify friendly state { internal | external} ap_mac_address
internal は、コントローラがこの不正なアクセス ポイントを信頼することを表しています。
external は、コントローラがこの不正なアクセス ポイントの存在を認識することを表しています。
(注) |
不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Friendly クラスに移動することはできません。 |
次のコマンドを入力して、不正なアクセス ポイントに Malicious のマークを付けます。
config rogue ap classify malicious state { alert | contain} ap_mac_address
alert は、コントローラからシステム管理者に、更なる処理を行うよう即時に警告が転送されることを表しています。
contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを表しています。
(注) |
不正なアクセス ポイントの現在の状態が Contain である場合、そのアクセス ポイントを Malicious クラスに移動することはできません。 |
次のコマンドを入力して、不正なアクセス ポイントに Unclassified のマークを付けます。
config rogue ap classify unclassified state { alert | contain} ap_mac_address
(注) |
現在の状態が Contain の場合、不正なアクセス ポイントは Unclassified クラスに移動できません。 alert は、コントローラからシステム管理者に、更なる処理を行うよう即時に警告が転送されることを表しています。 contain は、コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになることを表しています。 |
次のコマンドのいずれかを入力して、不正なクライアントに対するコントローラの応答方法を指定します。
config rogue client alert client_mac_address:コントローラからシステム管理者に対し、さらなる処理を行うよう即時に警告が転送されます。
config rogue client contain client_mac_address:コントローラによって危険性のあるデバイスが阻止されます。これにより、そのデバイスの信号は、認証されたクライアントに干渉しなくなります。
次のコマンドのいずれかを入力して、アドホック不正に対するコントローラの応答方法を指定ます。
config rogue adhoc alert rogue_mac_address::コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。
config rogue adhoc contain rogue_mac_address:コントローラによって危険性のあるデバイスが阻止されます。これにより、そのデバイスの信号は、認証されたクライアントに干渉しなくなります。
config rogue adhoc external rogue_mac_address:コントローラによって、このアドホック不正の存在が認識されます。
Cisco TrustSec を使用すると、組織はアイデンティティベースのアクセス コントロールを通じて、人、場所、時を問わずネットワークとサービスをセキュリティで保護できます。 このソリューションでは、データの整合性および機密保持サービス、ポリシーベースの管理、中央集中型のモニタリング、トラブルシューティング、およびレポーティング サービスも提供されます。 TrustSec をカスタマイズされたプロフェッショナル サービスと組み合わせると、ソリューションの導入と管理を簡素化できます。CTS は、Cisco ボーダレス ネットワークの基盤となるセキュリティ コンポーネントです。
Cisco TrustSec のセキュリティ アーキテクチャは、信頼できるネットワーク デバイスのドメインを確立することによってセキュア ネットワークを構築します。 ドメイン内の各デバイスは、そのピアによって認証されます。 ドメイン内のデバイス間リンクでの通信は、暗号化、メッセージ整合性検査、データパス リプレイ防止メカニズムを組み合わせたセキュリティで保護されます。 Cisco TrustSec は、ネットワークに入るようにセキュリティ グループ(SG)がパケットを分類するために認証中に取得したデバイスおよびユーザ クレデンシャルを使用します。 このパケット分類は、Cisco TrustSec ネットワークへの進入時にパケットにタグを付けることで維持されます。これにより、パケットはデータ パス全体を通じて正しく識別され、セキュリティおよびその他のポリシー基準が適用されます。 このタグはセキュリティ グループ タグ(SGT)と呼ばれ、エンドポイント デバイスはこの SGT に基づいてトラフィックをフィルタリングできるので、ネットワークへのアクセス コントロール ポリシーの適用が可能になります。
Cisco TrustSec アーキテクチャのコンポーネントの 1 つが、セキュリティ グループベースのアクセス コントロールです。 セキュリティ グループ ベースのアクセス コントロール コンポーネントで、Cisco TrustSec ドメインのアクセス ポリシーは、トポロジとは無関係で、ネットワーク アドレスではなく送信元デバイスおよび宛先デバイスのロール(セキュリティ グループ番号で指定)に基づいています。 個々のパケットには、送信元のセキュリティ グループ番号のタグが付けられます。
シスコ デバイスは SGT 交換プロトコル(SXP)を使用して、Cisco TrustSec 向けのハードウェア サポートがないネットワーク デバイスに SGT を伝播します。 SXP は、すべてのスイッチで CTS ハードウェアがアップグレードされるのを防ぐためのソフトウェア ソリューションです。 WLC では、TrustSec アーキテクチャの一部として SXP がサポートされます。 SXP は、CTS 対応のスイッチに SGT 情報を送信します。SGT で示されたロール情報に従って、適切なロールベース アクセス コントロール リスト(RBACL)をアクティブにすることができます。 デフォルトでは、コントローラは常にスピーカー モードで動作します。 ネットワーク上で SXP を実装するには、出口のディストリビューション スイッチのみを CTS 対応にすればよく、他のすべてのスイッチは CTS 非対応でかまいません。
SXP は、任意のアクセス レイヤとディストリビューション スイッチ間、または 2 つのディストリビューション スイッチ間で動作します。 SXP は TCP をトランスポート層として使用します。 アクセス レイヤ スイッチ上でネットワークに join している任意のホスト(クライアント)に対する CTS-enabled 認証は、CTS 対応ハードウェアを備えたアクセス スイッチの場合と同様に実行されます。 アクセス レイヤ スイッチは CTS 対応ハードウェアではありません。 したがって、データ トラフィックがアクセス レイヤ スイッチを通過するとき、そのトラフィックの暗号化または暗号による認証は行われません。 SXP は、認証されたデバイス(つまりワイヤレス クライアント)の IP アドレスと、対応する SGT をディストリビューション スイッチに渡すために使用されます。 ディストリビューション スイッチが CTS 対応ハードウェアの場合は、そのディストリビューション スイッチがアクセス レイヤ スイッチに代わってパケットに SGT を挿入します。 ディストリビューション スイッチが CTS 対応ハードウェアでない場合は、ディストリビューション スイッチの SXP が、CTS ハードウェアを備えたすべてのディストリビューション スイッチに IP-SGT マッピングを渡します。 出口側では、ディストリビューション スイッチの出力 L3 インターフェイスで RBACL が適用されます。
Cisco TrustSec の詳細については、http://www.cisco.com/en/US/netsol/ns1051/index.html を参照してください。
ステップ 1 |
[SECURITY]
> [TrustSec SXP]
の順に選択して、[SXP Configuration] ページを開きます。 このページでは、次の SXP 設定の詳細が表示されます。
|
ステップ 2 | Cisco TrustSec SXP を有効にするには、[SXP State] ドロップダウン リストから [Enabled] を選択します。 |
ステップ 3 | SXP 接続に使用するデフォルト パスワードを入力します。 パスワードには 6 文字以上を含めることをお勧めします。 |
ステップ 4 | [Retry Period] ボックスに、Cisco TrustSec ソフトウェアが SXP 接続を再試行する間隔を秒単位で入力します。 |
ステップ 5 | [Apply] をクリックして、変更を確定します。 |
ステップ 1 | [SECURITY] > [TrustSec SXP] の順に選択し、[New] をクリックして [SXP Connection > New] ページを開きます。 |
ステップ 2 | [Peer IP Address] テキスト ボックスに、コントローラが接続するネクスト ホップ スイッチの IP アドレスを入力します。 |
ステップ 3 | [Apply] をクリックします。 |
次のコマンドを入力して、コントローラ上で SXP を有効または無効にします。
次のコマンドを入力して、SXP メッセージの MD5 認証のデフォルト パスワードを設定します。
次のコマンドを入力して、コントローラが接続するネクスト ホップ スイッチの IP アドレスを設定します。
次のコマンドを入力して、接続を試みる間隔を設定します。
config cts sxp retry period time-in-seconds
次のコマンドを入力して、SXP 接続を削除します。
次のコマンドを入力して、SXP の設定の概要を確認します。
SXP State........................................ Enable SXP Mode......................................... Speaker Default Password................................. **** Default Source IP................................ 209.165.200.224 Connection retry open period .................... 120
次のコマンドを入力して、設定された SXP 接続のリストを参照します。
Total num of SXP Connections..................... 1 SXP State........................................ Enable Peer IP Source IP Connection Status --------------- --------------- ----------------- 209.165.200.229 209.165.200.224 On
Cisco Intrusion Detection System/Intrusion Prevention System(CIDS/IPS)は、特定のクライアントに関わる攻撃がレイヤ 3 ~ レイヤ 7 で検出されたとき、これらのクライアントによるワイヤレス ネットワークへのアクセスをブロックするよう、コントローラに指示します。 このシステムは、ワーム、スパイウェア/アドウェア、ネットワーク ウイルス、およびアプリケーションの不正使用などの脅威の検出、分類、阻止を支援することにより、強力なネットワーク保護を提供します。 潜在的な攻撃を検出するには 2 つの方法があります。
ネットワークのさまざまなタイプの IP レベル攻撃を検出するように、IDS センサーを設定することができます。 センサーで攻撃が特定されたら、違反クライアントを回避(shun)するよう、コントローラに警告することができます。 新しく IDS センサーを追加したときは、コントローラをその IDS センサーに登録し、回避クライアントのリストをセンサーから取得できるようにします。
IDS センサーは、疑わしいクライアントを検出すると、コントローラにこのクライアントを回避するよう警告します。 回避エントリは、同じモビリティ グループ内のすべてのコントローラに配信されます。 回避すべきクライアントが現在、このモビリティ グループ内のコントローラに join している場合、アンカー コントローラはこのクライアントを動的除外リストに追加し、外部コントローラはクライアントを切り離します。 次回、このクライアントがコントローラに接続を試みた場合、アンカー コントローラはハンドオフを拒否し、外部コントローラにクライアントを除外することを通知します。
コントローラでは Cisco Prime Infrastructure を介して Cisco Wireless Intrusion Prevention System(wIPS)もサポートされています。 詳細については、「wIPS の設定」の項を参照してください。
ステップ 1 |
[Security] > [Advanced]
> [CIDs]
> [Sensors] の順に選択して、[CIDS Sensors List] ページを開きます。
|
||
ステップ 2 | IDS センサーをリストに追加するには、[New] をクリックします。 [CIDS Sensor Add] ページか表示されます。 | ||
ステップ 3 | コントローラでは最大 5 つの IDS センサーをサポートします。 [Index] ドロップダウン リストから数字(1 ~ 5)を選択し、コントローラで IDS センサーが検索される順序を決定します。 たとえば、1 を選択した場合には、コントローラは最初にこの IDS センサーを検索します。 | ||
ステップ 4 | [Server Address] テキスト ボックスに、IDS サーバの IP アドレスを入力します。 | ||
ステップ 5 |
[Port] テキスト ボックスに、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号を設定します。 センサーはデフォルトで 443 を使用して通信するので、このパラメータを 443 に設定することをお勧めします。 デフォルト値は 443 で、範囲は 1 ~ 65535 です。 |
||
ステップ 6 |
[Username] テキスト ボックスに、コントローラが IDS センサーの認証に使用するユーザ名を入力します。 例:
|
||
ステップ 7 | [Password] テキスト ボックスと [Confirm Password] テキスト ボックスに、コントローラが IDS センサーの認証に使用するパスワードを入力します。 | ||
ステップ 8 |
[Query Interval] テキスト ボックスに、コントローラが IDS サーバで IDS イベントをクエリーする間隔(秒単位)を入力します。 デフォルトは 60 秒で、範囲は 10 ~ 3600 秒です。 |
||
ステップ 9 | [State] チェックボックスをオンにしてコントローラをこの IDS センサーに登録するか、このチェックボックスをオフにして登録を解除します。 デフォルト値は [disabled] です。 | ||
ステップ 10 |
[Fingerprint] テキスト ボックスに、40 桁の 16 進数文字のセキュリティ キーを入力します。 このキーは、センサーの有効性の確認、およびセキュリティ攻撃の防止に使用されます。
|
||
ステップ 11 | [Apply] をクリックします。 [CIDS Sensors List] ページのセンサーのリストに新しい IDS センサーが表示されます。 | ||
ステップ 12 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
[Security] >
[Advanced] > [CIDS] > [Shunned Clients] の順に選択して、[CIDS Shun List] ページを開きます。 このページには、各回避クライアントの IP アドレスと MAC アドレス、IDS センサーの要求に応じてコントローラがクライアントのデータ パケットをブロックする期間、およびクライアントを検出した IDS センサーの IP アドレスが表示されます。 |
ステップ 2 | 必要に応じて [Re-sync] をクリックし、リストを削除およびリセットします。 |
ステップ 1 |
次のコマンドを入力して、IDS センサーを追加します。
config wps cids-sensor add index ids_ip_address username password。 index パラメータは、コントローラで IDS センサーが検索される順序を決定します。 コントローラでは最大 5 つの IDS センサーをサポートします。 数字(1 ~ 5)を入力してこのセンサーの優先順位を決定します。 たとえば、1 を入力した場合には、コントローラは最初にこの IDS センサーを検索します。
|
||
ステップ 2 |
(オプション)次のコマンドを入力して、コントローラが IDS センサーとの通信に使用する HTTPS ポートの番号を指定します。 config wps cids-sensor port index port port-number パラメータには、1 ~ 65535 の値を入力することができます。 デフォルト値は 443 です。 この手順は任意であり、デフォルト値の 443 を使用することをお勧めします。 デフォルトでは、センサーはこの値を使用して通信します。 |
||
ステップ 3 |
次のコマンドを入力して、コントローラが IDS センサーで IDS イベントをクエリーする間隔を指定します。 config wps cids-sensor interval index interval interval パラメータには、10 ~ 3600 秒の値を入力することができます。 デフォルト値は 60 秒です。 |
||
ステップ 4 |
次のコマンドを入力して、センサーの有効性の確認に使用する 40 桁の 16 進数文字から成るセキュリティ キーを入力します。 config wps cids-sensor fingerprint index sha1 fingerprint センサーのコンソール上で show tls fingerprint と入力すると、フィンガープリントの値を取得できます。
|
||
ステップ 5 | 次のコマンドを入力して、IDS センサーへのこのコントローラの登録を有効または無効にします。 config wps cids-sensor { enable | disable} index | ||
ステップ 6 |
次のコマンドを入力して、DoS 攻撃からの保護を有効または無効にします。 デフォルト値は [disabled] です。
|
||
ステップ 7 | 次のコマンドを入力して、設定を保存します。 save config | ||
ステップ 8 | 次のコマンドのいずれかを入力して、IDS センサーの設定を表示します。 | ||
ステップ 9 | 2 つ目のコマンドは、1 つ目のコマンドよりも詳細な情報を提供します。 | ||
ステップ 10 |
次のコマンドを入力して、自動免疫設定の情報を表示します。 Auto-Immune Auto-Immune.................................... Disabled Client Exclusion Policy Excessive 802.11-association failures.......... Enabled Excessive 802.11-authentication failures....... Enabled Excessive 802.1x-authentication................ Enabled IP-theft....................................... Enabled Excessive Web authentication failure........... Enabled Signature Policy Signature Processing........................... Enabled |
||
ステップ 11 |
次のコマンドを入力して、IDS センサー設定に関連するデバッグ情報を取得します。
debug wps cids
enable
|
ステップ 1 | 次のコマンドを入力して、回避すべきクライアントのリストを表示します。 show wps shun-list |
ステップ 2 | 次のコマンドを入力して、コントローラを、この回避リストに対応するモビリティ グループ内の他のコントローラに同期させます。 config wps shun-list re-sync |
コントローラ上で、IDS シグニチャ、または受信する 802.11 パケットにおけるさまざまなタイプの攻撃を識別するのに使用されるビット パターンのマッチング ルールを設定することができます。 シグニチャが有効化されると、コントローラに join されたアクセス ポイントでは、受信した 802.11 データまたは管理フレームに対してシグニチャ分析が行われ、整合性がない場合はコントローラに報告されます。 攻撃が検出されると、適切な緩和措置が開始されます。
[Standard Signatures] ページに示すように、シスコではコントローラ上で 17 の標準シグニチャをサポートしています。
これらのシグニチャは 6 つの主要なグループに分かれます。 初めの 4 つのグループには管理シグニチャが含まれており、後の 2 つのグループにはデータ シグニチャが含まれます。
NetStumbler シグニチャを使用してそのような攻撃が検出されると、アクセス ポイントは危険性のあるデバイスを特定してコントローラに警告を送ります。 NetStumbler シグニチャは次のとおりです。
コントローラ上にはデフォルトで標準シグニチャ ファイルが存在します。 このシグニチャ ファイルをコントローラからアップロードすることも、カスタム シグニチャ ファイルを作成してコントローラにダウンロードすることも、または標準シグニチャ ファイルを修正してカスタム シグニチャ ファイルを作成することもできます。
ステップ 1 | 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。 | ||
ステップ 2 |
Trivial File Transfer Protocol(TFTP)サーバが使用可能であることを確認します。 TFTP サーバをセットアップするときには、次のガイドラインに従ってください。
|
||
ステップ 3 | カスタム シグニチャ ファイル(*.sig)をダウンロードする場合は、ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。 | ||
ステップ 4 | [Commands] を選択して、[Download File to Controller] ページを開きます。 | ||
ステップ 5 | 次のいずれかの操作を行います。 | ||
ステップ 6 | [Transfer Mode] ドロップダウン リストから、[TFTP] または [FTP] を選択します。 | ||
ステップ 7 | [IP Address] テキスト ボックスに、TFTP または FTP サーバの IP アドレスを入力します。 | ||
ステップ 8 |
TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、[Maximum Retries] テキスト ボックスに、コントローラがシグニチャ ファイルのダウンロードを試行する最大回数を入力します。 指定できる範囲は 1 ~ 254 で、デフォルトは 10 です。 |
||
ステップ 9 |
TFTP サーバを使用してシグニチャ ファイルをダウンロードする場合は、シグニチャ ファイルのダウンロードの試行時にコントローラがタイムアウトするまでの時間(秒単位)を [Timeout] テキスト ボックスに入力します。 範囲は 1 ~ 254 秒で、デフォルトは 6 秒です。 |
||
ステップ 10 | [File Path] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルのパスを入力します。 デフォルト値は「/」です。 | ||
ステップ 11 |
[File Name] テキスト ボックスに、ダウンロードまたはアップロードするシグニチャ ファイルの名前を入力します。
|
||
ステップ 12 | FTP サーバを使用している場合は、次の手順に従います。 | ||
ステップ 13 | [Download] を選択してシグニチャ ファイルをコントローラにダウンロードするか、[Upload] を選択してコントローラからシグニチャ ファイルをアップロードします。 |
ステップ 1 |
または [Custom Signatures] の順に選択して、[Standard Signatures] ページまたは [Custom Signatures] ページを開きます。 [Standard Signatures] ページには、現在コントローラ上に存在するシスコ提供のシグニチャのリストが表示されます。 [Custom Signatures] ページには、現在コントローラ上に存在する、カスタマー提供のシグニチャのリストが表示されます。 このページには、各シグニチャについて次の情報が表示されます。 |
ステップ 2 |
次のいずれかの操作を行います。
|
ステップ 3 | [Apply] をクリックして、変更を確定します。 |
ステップ 4 |
目的とするシグニチャの優先順位番号をクリックして、個々のシグニチャを有効または無効にします。 [Standard Signature(または Custom Signature)> Detail] ページが表示されます。 このページには、[Standard Signatures] ページおよび [Custom Signatures] ページとほぼ同じ情報が表示されますが、次のような詳細も表示されます。 |
ステップ 5 | [Measurement Interval] テキスト ボックスに、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を入力します。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。 |
ステップ 6 | [Signature Frequency] テキスト ボックスに、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。 |
ステップ 7 | [Signature MAC Frequency] テキスト ボックスに、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を入力します。この値に達すると攻撃が検出されたと判断されます。 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。 |
ステップ 8 | [Quiet Time] テキスト ボックスに、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を入力します。 有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。 |
ステップ 9 | [State] チェックボックスをオンにしてこのシグニチャを有効にし、セキュリティ攻撃を検出するか、オフにしてこのシグニチャを無効にします。 デフォルト値が有効(オン)になっています。 |
ステップ 10 | [Apply] をクリックして、変更を確定します。 [Standard Signatures] ページまたは [Custom Signatures] ページに、シグニチャの更新された状態が反映されます。 |
ステップ 11 | [Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 | [Security] > [Wireless Protection Policies] > [Signature Events Summary] の順に選択して、[Signature Events Summary] ページを開きます。 |
ステップ 2 | 特定のシグニチャによって検出された攻撃の詳細を表示するには、そのシグニチャのシグニチャ タイプをクリックしします。 [Signature Events Detail] ページが表示されます。 |
ステップ 3 | 特定の攻撃に関する詳細を表示するには、その攻撃の [Detail link] をクリックします。 [Signature Events Track Detail] ページが表示されます。 |
ステップ 1 | 必要に応じて、独自のカスタム シグニチャ ファイルを作成します。 | ||
ステップ 2 | TFTP サーバが使用可能であることを確認します。 | ||
ステップ 3 | カスタム シグニチャ ファイル(*.sig)を TFTP サーバ上のデフォルト ディレクトリに移動します。 | ||
ステップ 4 | transfer {download | upload} mode tftp コマンドを入力して、ダウンロード モードまたはアップロード モードを指定します。 | ||
ステップ 5 | transfer {download | upload} datatype signature コマンドを入力して、ダウンロードまたはアップロードするファイルのタイプを指定します。 | ||
ステップ 6 |
transfer {download | upload} serverip tftp-server-ip-address コマンドを入力して、TFTP サーバの IP アドレスを指定します。
|
||
ステップ 7 | transfer {download | upload} path absolute-tftp-server-path-to-file コマンドを入力して、ダウンロードまたはアップロードのパスを指定します。 | ||
ステップ 8 |
transfer {download | upload} filename filename.sig コマンドを入力して、ダウンロードまたはアップロードするファイルを指定します。
|
||
ステップ 9 | transfer { download | upload} start コマンドを入力し、プロンプトに y と応答して現在の設定を確認し、ダウンロードまたはアップロードを開始します。 | ||
ステップ 10 |
次のコマンドを入力して、設定された間隔内でシグニチャ頻度がしきい値に達するまでの経過時間(秒数)を指定します。 config wps signature interval signature_id interval ここで、signature_id は、シグニチャを一意に識別するために使用する数字です。 有効な値の範囲は 1 ~ 3600 秒で、デフォルト値はシグニチャによって異なります。 |
||
ステップ 11 |
次のコマンドを入力して、個々のアクセス ポイント レベルで特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。 config wps signature frequencysignature_id frequency 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。 |
||
ステップ 12 |
次のコマンドを入力して、個々のアクセス ポイントでクライアント別に特定されるべき、1 間隔あたりの一致パケット数を指定します。この値に達すると攻撃が検出されたと判断されます。 config wps signature mac-frequency signature_id mac_frequency 有効な値の範囲は 1 間隔あたり 1 ~ 32,000 パケットで、デフォルト値はシグニチャによって異なります。 |
||
ステップ 13 |
次のコマンドを入力して、個々のアクセス ポイント レベルで攻撃が検出されない状態が続き、アラームを停止できるようになるまでの時間(秒単位)を指定します。 config wps signature quiet-time signature_id quiet_time 有効な値の範囲は 60 ~ 32,000 秒で、デフォルト値はシグニチャによって異なります。 |
||
ステップ 14 | 次のいずれかの操作を行います。 | ||
ステップ 15 | 次のコマンドを入力して、変更を保存します。 save config | ||
ステップ 16 |
必要に応じて、特定のシグニチャまたはすべてのシグニチャをデフォルト値にリセットできます。 そのためには、次のコマンドを入力します。
config wps signature reset {
signature_id |
all}
|
次のコマンドを入力して、コントローラで IDS シグニチャ処理が有効か無効かを確認します。
Auto-Immune Auto-Immune.................................... Disabled Client Exclusion Policy Excessive 802.11-association failures.......... Enabled Excessive 802.11-authentication failures....... Enabled Excessive 802.1x-authentication................ Enabled IP-theft....................................... Enabled Excessive Web authentication failure........... Enabled Signature Policy Signature Processing........................... Enabled
(注) |
IDS シグニチャ処理を無効にすると、個々のシグニチャに設定されている状態に関係なく、すべてのシグニチャが無効になります。 |
次のコマンドを入力して、コントローラにインストールされているすべての標準シグニチャとカスタム シグニチャの個々の要約を表示します。
Signature-ID..................................... 1 Precedence....................................... 1 Signature Name................................... Bcast deauth Type............................................. standard FrameType........................................ management State............................................ enabled Action........................................... report Tracking......................................... per Signature and Mac Signature Frequency.............................. 50 pkts/interval Signature Mac Frequency.......................... 30 pkts/interval Interval......................................... 1 sec Quiet Time....................................... 300 sec Description...................................... Broadcast Deauthentication Frame Patterns: 0(Header):0x00c0:0x00ff 4(Header):0x01:0x01
次のコマンドを入力して、有効なシグニチャによって検出された攻撃の数を表示します。
show wps signature events summary
Precedence Signature Name Type # Events ---------- ------------------ ----- ----------- 1 Bcast deauth Standard 2 2 NULL probe resp 1 Standard 1
次のコマンドを入力して、特定の標準シグニチャまたはカスタム シグニチャによって検出された攻撃の詳細を表示します。
show wps signature events {standard | custom} precedence# summary
Precedence....................................... 1 Signature Name................................... Bcast deauth Type............................................. Standard Number of active events....................... 2 Source MAC Addr Track Method Frequency No. APs Last Heard ----------------- ------------ --------- -------- ------------------------ 00:01:02:03:04:01 Per Signature 4 3 Tue Dec 6 00:17:44 2005 00:01:02:03:04:01 Per Mac 6 2 Tue Dec 6 00:30:04 2005
次のコマンドを入力して、アクセス ポイントによってシグニチャ別/チャネル別に追跡される攻撃の詳細を表示します。
show wps signature events {standard | custom} precedence# detailed per-signature source_mac
次のコマンドを入力して、アクセス ポイントによって個別クライアント ベース(MAC アドレス別)で追跡される攻撃の詳細を表示します。
show wps signature events {standard | custom} precedence# detailed per-mac source_mac
Source MAC....................................... 00:01:02:03:04:01 Precedence....................................... 1 Signature Name................................... Bcast deauth Type............................................. Standard Track............................................ Per Mac Frequency........................................ 6 Reported By AP 1 MAC Address.............................. 00:0b:85:01:4d:80 Name..................................... Test_AP_1 Radio Type............................... 802.11bg Channel.................................. 4 Last reported by this AP................. Tue Dec 6 00:17:49 2005 AP 2 MAC Address.............................. 00:0b:85:26:91:52 Name..................................... Test_AP_2 Radio Type............................... 802.11bg Channel.................................. 6 Last reported by this AP................. Tue Dec 6 00:30:04 2005
シスコの適応型 Wireless Intrusion Prevention System(wIPS)は、無線の脅威の検出およびパフォーマンスの管理のための高度な手法です。 この手法では、ネットワーク トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。 インフラストラクチャに完全に統合されたソリューションを採用すると、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワークインテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃をより正確に特定し事前に防止することができます。
シスコの適合型 wIPS には、Cisco 3300 シリーズ Mobility Services Engine(MSE)が必要です。MSE は、Cisco Aironet アクセス ポイントの継続的な監視によって収集された情報の処理を一元化します。 シスコの適応型 wIPS の機能と、MSE への Cisco Prime Infrastructure の統合により、wIPS サービスで wIPS ポリシーとアラームの設定、監視、およびレポートを行うことができます。
(注) |
お使いの wIPS がコントローラ、アクセス ポイント、および MSE で構成されている場合、これら 3 つのエンティティをすべて UTC タイム ゾーンに設定する必要があります。 |
シスコの適応型 wIPS はコントローラに設定されていません。 代わりに、プロファイル設定が Cisco Prime Infrastructure から wIPS サービスに転送され、wIPS サービスによってそのプロファイルがコントローラに転送されます。 プロファイルはコントローラのフラッシュメモリに格納され、アクセス ポイントがコントローラに join するとアクセス ポイントへ送信されます。 アクセス ポイントのアソシエートが解除され、別のコントローラへ join すると、アクセス ポイントは新しいコントローラから wIPS プロファイルを受信します。
wIPS 機能のサブセットを備えたローカル モードまたは FlexConnect モードのアクセス ポイントは、拡張ローカル モード(Enhanced Local Mode)アクセス ポイント、または単に ELM AP と呼ばれます。 アクセス ポイントが次のいずれかのモードであれば、そのアクセス ポイントを wIPS モードで動作するように設定できます。
wIPS ELM では、オフチャネルのアラームを検出する機能が制限されます。 アクセス ポイントは定期的にオフチャネルになり、短い期間内に動作していないチャネルを監視し、そのチャネルで攻撃を検出した場合はアラームをトリガーします。 ただし、オフチャネルのアラーム検出はベスト エフォートであり、攻撃を検出してアラームをトリガーするには時間がかかることがあります。これが原因となって ELM AP が断続的にアラームを検出し、確認できないためそれをクリアする場合があります。 上記のいずれかのモードのアクセス ポイントは、ポリシー プロファイルに基づくアラームをコントローラ経由で定期的に wIPS サービスに送信できます。 wIPS サービスはアラームを格納および処理して、SNMP トラップを生成します。 Cisco Prime Infrastructure は自身の IP アドレスをトラップの宛先として設定し、SNMP トラップを MSE から受信します。
次の表に SNMP トラップ制御とそれに対応するトラップを示します。 トラップ制御が有効な場合、そのトラップ制御のトラップもすべて有効です。
newRoot、topologyChange、stpInstanceNewRootTrap、stpInstanceTopologyChangeTrap |
||
bsnDot11EssCreated、bsnDot11EssDeleted、bsnConfigSaved、ciscoLwappScheduledResetNotif、ciscoLwappClearResetNotif、ciscoLwappResetFailedNotif、ciscoLwappSysInvalidXmlConfig |
||
bsnTooManyUnsuccessLoginAttempts、cLWAGuestUserLoggedIn、cLWAGuestUserLoggedOut |
||
bsnAdhocRogueAutoContained、bsnRogueApAutoContained、bsnTrustedApHasInvalidEncryption、bsnMaxRogueCountExceeded、bsnMaxRogueCountClear、bsnApMaxRogueCountExceeded、bsnApMaxRogueCountClear、bsnTrustedApHasInvalidRadioPolicy、bsnTrustedApHasInvalidSsid、bsnTrustedApIsMissing |
||
(注) |
上記以外のトラップにトラップ制御機能はありません。 それらのトラップはそれほど頻繁に生成されないため、トラップ制御は必要ありません。 したがって、コントローラで生成される上記以外のトラップをオフにすることはできません。 |
(注) |
上記のすべてのケースで、コントローラは単なる転送デバイスとして機能します。 |
ステップ 1 | [Wireless] > [Access Points] > [All APs] > アクセス ポイント名の順に選択します。 |
ステップ 2 | [AP Mode] パラメータを設定します。 wIPS 用のアクセス ポイントを設定するには、[AP Mode] ドロップダウン リストから次のモードのいずれかを選択します。 |
ステップ 3 | [AP Sub Mode] ドロップダウン リストから [wIPS] を選択して、[AP Sub Mode] を wIPS に設定します。 |
ステップ 4 | [Apply] をクリックします。 |
ステップ 1 |
次のコマンドを入力して、監視モード用のアクセス ポイントを設定します。
config ap mode {monitor | local | flexconnect}
Cisco_AP
|
||
ステップ 2 | アクセス ポイントがリブートされることを知らせるメッセージが表示された場合、処理を続行するには Y と入力します。 | ||
ステップ 3 |
次のコマンドを入力して、変更を保存します。 save config |
||
ステップ 4 | 次のコマンドを入力して、アクセス ポイント無線を無効にします。 config {802.11a | 802.11b} disable Cisco_AP | ||
ステップ 5 |
次のコマンドを入力して、アクセス ポイントで wIPS サブモードを設定します。
config ap mode
ap_mode
submode wips
Cisco_AP
|
||
ステップ 6 |
次のコマンドを入力して、wIPS に最適化されたチャネル スキャンをアクセス ポイントで有効にします。 config ap monitor-mode wips-optimized Cisco_AP アクセス ポイントは、250 ミリ秒の間、各チャネルをスキャンします。 監視設定に基づいてスキャンされるチャネルの一覧が取得されます。 次のオプションのいずれかを選択できます。
show advanced { 802.11a | 802.11b} monitor コマンドの出力の 802.11a または 802.11b Monitor Channels テキスト ボックスに、監視設定チャネル セットが表示されます。 Default 802.11b AP monitoring 802.11b Monitor Mode........................... enable 802.11b Monitor Channels....................... Country channels 802.11b AP Coverage Interval................... 180 seconds 802.11b AP Load Interval....................... 60 seconds 802.11b AP Noise Interval...................... 180 seconds 802.11b AP Signal Strength Interval............ 60 seconds |
||
ステップ 7 | 次のコマンドを入力して、アクセス ポイント無線を再度有効にします。 config { 802.11a | 802.11b} enable Cisco_AP | ||
ステップ 8 | 次のコマンドを入力して、変更を保存します。 save config |
(注) |
コントローラ GUI からアクセス ポイント サブモードを表示することもできます。 そのためには、[Wireless] > [Access Points] > [All APs] > アクセスポイント名 > [Advanced] タブを選択します。 アクセス ポイントが監視モードで、そのアクセス ポイントに wIPS サブモードが設定されている場合、[AP Sub Mode] テキスト ボックスに [wIPS] と表示されます。アクセス ポイントが監視モードではない場合、または、アクセス ポイントは監視モードであるが wIPS サブモードが設定されていない場合、[AP Sub Mode] テキスト ボックスには [None] と表示されます。 |
次のコマンドを入力して、アクセス ポイントの wIPS サブモードを表示します。 show ap config general Cisco_AP
Cisco AP Identifier.............................. 3 Cisco AP Name.................................... AP1131:46f2.98ac ... AP Mode ......................................... Monitor Public Safety ................................... Disabled Disabled AP SubMode ...................................... WIPS ...
次のコマンドを入力して、アクセス ポイントに設定された、wIPS に最適化されたチャネル スキャンを表示します。
AP Name Ethernet MAC Status Scanning Channel List ------------------ -------------------- ---------- ------------------------ AP1131:46f2.98ac 00:16:46:f2:98:ac wIPS 1, 6, NA, NA
次のコマンドを入力して、WCS からコントローラに転送される wIPS 設定を表示します。 show wps wips summary
Policy Name.............. Default Policy Version.......... 3
次のコマンドを入力して、コントローラで現在動作している wIPS の状態を表示します。 show wps wips statistics
Policy Assignment Requests............ 1 Policy Assignment Responses........... 1 Policy Update Requests................ 0 Policy Update Responses............... 0 Policy Delete Requests................ 0 Policy Delete Responses............... 0 Alarm Updates......................... 13572 Device Updates........................ 8376 Device Update Requests................ 0 Device Update Responses............... 0 Forensic Updates...................... 1001 Invalid WIPS Payloads................. 0 Invalid Messages Received............. 0 NMSP Transmitted Packets.............. 22950 NMSP Transmit Packets Dropped......... 0 NMSP Largest Packet................... 1377
Wi-Fi Direct 対応のデバイスは迅速な相互接続が可能で、印刷、同期、データ共有などのタスクを効率的に実行できます Wi-Fi Direct デバイスは、複数のピアツーピア(P2P)デバイスおよびインフラストラクチャ無線 LAN(WLAN)に同時にアソシエートしている場合があります。 コントローラを使用して、Wi-Fi Direct クライアント ポリシーを WLAN 単位で設定できます。その際、Wi-Fi デバイスとインフラストラクチャ WLAN のアソシエーションを許可または禁止するか、WLAN に対して Wi-Fi Direct クライアント ポリシーをすべて無効にすることができます。
Wi-Fi Direct クライアント ポリシーは、ローカル モードの AP が含まれる WLAN のみに適用できます。
ステップ 1 | [WLANs] を選択して、[WLANs] ページを開きます。 |
ステップ 2 | Wi-Fi Direct クライアント ポリシーを設定する WLAN の WLAN ID をクリックします。 [WLANs > Edit] ページが表示されます。 |
ステップ 3 | [Advanced] タブをクリックします。 |
ステップ 4 | [Wi-Fi Direct Clients Policy] ドロップダウン リストから、次のいずれかのオプションを選択します。 |
ステップ 5 | [Apply] をクリックします。 |
ステップ 1 |
次のコマンドを入力して、WLAN に Wi-Fi Direct クライアント ポリシーを設定します。 config wlan wifidirect { allow | disable | not-allow} wlan-id |
ステップ 2 | 次のコマンドを入力して、設定を保存します。 |
この機能を使用すると、ブラウザで手動 Web プロキシが有効になっているクライアントに対し、コントローラによる認証を強化することができます。 ユーザのブラウザで、ポート番号 8080 または 3128 を使用して手動プロキシが設定されている場合、クライアントが URL を要求すると、コントローラは応答の Web ページで、プロキシ設定が自動的に検出されるようにインターネットのプロキシ設定を変更するようユーザに要求します。これにより、ブラウザの手動プロキシ設定情報が失われることはなくなります。 ユーザはこの設定を有効にしたあと、Web 認証ポリシーを通じてネットワークにアクセスできます。 この機能がポート 8080 および 3128 に提供されるのは、それらのポートが Web プロキシ サーバで最も一般的に使用されているからです。
(注) |
Web 認証プロキシ リダイレクト ポートは、CPU ACL ではブロックされません。 Web 認証プロキシ設定の中で、ポート 8080、3128、および 1 つのランダムなポートをブロックするように CPU ACL が設定されていても、これらのポートはブロックされません。なぜなら、クライアントが webauth_req 状態でない限り、Web 認証ルールは CPU ACL ルールよりも優先されるからです。 |
Web ブラウザには、次の 3 種類のインターネット設定をユーザが指定できます。
手動プロキシ サーバ設定では、ブラウザはプロキシ サーバの IP アドレスとポートを使用します。 ブラウザでこの設定が有効になると、ワイヤレス クライアントは設定されたポートで宛先プロキシ サーバの IP と通信します。 Web 認証シナリオでは、コントローラはこのようなプロキシ ポートをリッスンしないので、クライアントはコントローラとの TCP 接続を確立できません。 ユーザは事実上、認証用のログイン ページを表示できず、ネットワークにアクセスすることはできません。
ワイヤレス クライアントが Web 認証された WLAN ネットワークに入った場合、そのクライアントは URL にアクセスしようとします。 クライアントのブラウザに手動プロキシが設定されていると、クライアントから発信されるすべての Web トラフィックは、ブラウザに設定されたプロキシ IP およびポートに送信されます。
(注) |
外部クライアントに対しては、コントローラはログイン ページを現状のまま(JavaScipt なしで)送信します。 |
(注) |
FIPS モードでセキュアな Web 認証を設定する場合は、ブラウザに Mozilla Firefox を使用することをお勧めします。 |
ステップ 1 | [Controller] > [General] の順に選択します。 |
ステップ 2 | [WebAuth Proxy Redirection Mode] メニューから [Enabled] を選択して、Web 認証プロキシを有効にします。 |
ステップ 3 |
[WebAuth Proxy Redirection Port] テキスト ボックスに、Web 認証プロキシのポート番号を入力します。 このテキスト ボックスでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。 |
ステップ 4 | [Apply] をクリックします。 |
次のコマンドを入力して、Web 認証プロキシ リダイレクションを有効にします。 config network web-auth proxy-redirect { enable | disable}
次のコマンドを入力して、Web 認証ポート番号を設定します。 config network web-auth port <port-number>
このパラメータでは、コントローラが Web 認証プロキシ リダイレクションを実行するためにリッスンするポート番号を指定します。 デフォルトでは、80、8080、および 3128 の 3 つのポートが想定されています。 これら以外の値に Web 認証リダイレクション ポートを設定した場合は、その値を指定してください。
Web 認証プロキシ設定の現在のステータスを表示するには、次のいずれかのコマンドを入力します。
コントローラでは、潜在的な脅威を知らせる役割を果たす 3 つの意図的な悪用に関するアラームをサポートしています。 これらはデフォルトで有効になっているため、コントローラ上での設定は不要です。