アカウントをお持ちの場合
  •   パーソナライズされたコンテンツ
  •   製品とサポート
ログイン

アカウントをお持ちでない場合

アカウントを作成

セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

セキュリティ コンフィギュレーション ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ)

Chapter Title

不正なアクセス ポイントの分類

検索結果

Updated:
2017年6月28日

章のタイトル: 不正なアクセス ポイントの分類

目次

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

不正なアクセス ポイントの分類について

コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。

デフォルトでは、いずれの分類ルールも有効になっていません。 したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。 ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。 ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。


(注)  

ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。


(注)  

1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。

コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。

  1. コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。 そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。

  2. 未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。

  3. 不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。 不正なアクセス ポイントがそれ以外に分類されており、Alert 状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。

  4. コントローラは、優先度の一番高いルールを適用します。 不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。

  5. 不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。

  6. コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。

  7. 不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。 その後、不正なアクセス ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。 不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。

  8. 必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。

表 1 分類マッピング

ルール ベースの分類タイプ

不正の状態

Friendly

  • Internal:未知(管理対象外)のアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。 たとえば、ラボ ネットワーク内のアクセス ポイントなどです。

  • External:未知(管理対象外)のアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。 たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

Malicious

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Threat:未知(管理対象外)のアクセス ポイントがネットワーク上に発見され、WLAN のセキュリティに脅威を与えています。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

  • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

未分類

  • Pending:最初の検出で、未知(管理対象外)のアクセス ポイントは 3 分間 Pending 状態に置かれます。 この間に、管理対象のアクセス ポイントでは、未知(管理対象外)のアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。

  • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

  • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

  • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

不正アクセス ポイントの分類と状態は以下のように設定されています。

  • Known から Friendly、Internal

  • Acknowledged から Friendly、External

  • Contained から Malicious、Contained

前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。

表 2 設定可能な分類タイプ/不正の状態の推移

遷移元

目的

Friendly(Internal、External、Alert) Malicious(Alert)
Friendly(Internal、External、Alert) Unclassified(Alert)
Friendly(Alert) Friendly(Internal、External)
Malicious(Alert、Threat) Friendly(Internal、External)
Malicious(Contained、Contained Pending) Malicious(Alert)
Unclassified(Alert、Threat) Friendly(Internal、External)
Unclassified(Contained、Contained Pending) Unclassified(Alert)
Unclassified(Alert) Malicious(Alert)

不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。 不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

不正なアクセス ポイントの分類の制限

いくつかの不正なルールがあります。 その内容は次のとおりです。

  • カスタム タイプの不正の分類は、不正ルールに関連付けられています。 このため、不正を手動で Custom として分類することはできません。 カスタム クラスの変更は不正ルールを使用する場合にのみ行えます。

  • 不正分類の変更に対して、ルールによって 30 分ごとに阻止用のトラップが送信されます。 カスタム分類の場合、最初のトラップはカスタム分類よりも前に存在していたため、そのトラップに重大度スコアは含まれません。 不正が分類されると、30 分後に生成される後続のトラップから重大度スコアが取得されます。

  • 不正ルールは、優先順位に従って、コントローラ内の新しい着信不正レポートごとに適用されます。

  • 不正がより高い優先度ルールを満たし、分類されると、同じレポートの優先順位リスト内で下位に下がることはありません。

  • 以前に分類された不正は、次の制限に従って、新しい不正レポートが作成されるたびに、再分類されます。

    • ルールによって Friendly に分類され、状態が ALERT に設定されている不正は、新しい不正レポートを受け取ると再分類が開始されます。

    • 不正が管理者によって Friendly に手動で分類されると、状態は INTERNAL になり、次に続く不正レポートで再分類されません。

    • 不正が Malicious に分類されると、その状態に関係なく、後続の不正レポートで再分類されません。

  • 一部の属性が新しい不正レポートで欠落している場合、複数の不正ルールによって、Friendly から Malicious に不正の状態が遷移する可能性があります。

  • どの不正ルールによっても、Malicious から他の分類に不正の状態が遷移することはありません。

不正分類ルールの設定(CLI)

手順の概要

    1.    configure terminal

    2.    wireless wps rogue rule rule-name priority priority

    3.    classify {friendly | malicious}

    4.    condition {client-count | duration | encryption | infrastructure | rssi | ssid}

    5.    match { all | any}

    6.    デフォルト

    7.    exit

    8.    シャットダウン

    9.    end

    10.    configure terminal

    11.    wireless wps rogue rule shutdown

    12.    end


手順の詳細
      コマンドまたはアクション 目的
    ステップ 1 configure terminal


    例: 
    Controller# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 wireless wps rogue rule rule-name priority priority


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)#
     

    ルールを作成またはイネーブルにします。 ルールを作成する場合、ルールのプライオリティを入力する必要があります。

    (注)      ルールを作成した後、ルールを編集する場合、ディセーブルになった不正ルールに対してのみプライオリティを変更できます。 有効にされた不正ルールのプライオリティは変更できません。 編集時の不正ルールのプライオリティ変更は任意です。
     
    ステップ 3 classify {friendly | malicious}


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# classify friendly
     

    ルールを分類します。

     
    ステップ 4 condition {client-count | duration | encryption | infrastructure | rssi | ssid}


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# condition client-count 5
     
    不正アクセス ポイントが満たす必要のあるルールに以下の条件を追加することを指定します。

    • client-count:不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、 condition_value パラメータに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

    • duration:不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、 condition_value パラメータに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

    • encryption:アドバタイズされた WLAN で暗号化がイネーブルになっていないことが必要です。

    • infrastructure:SSID がコントローラで認識される必要があります。

    • rssi:不正なアクセス ポイントには、最小の RSSI 値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、 condition_value パラメータに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

    • ssid:不正なアクセス ポイントには、特定の SSID が必要です。 コントローラによって管理されない SSID を追加する必要があります。 このオプションを選択する場合は、 condition_value パラメータに SSID を入力します。 SSID はユーザ設定の SSID リストに追加されます。

     
    ステップ 5 match { all | any}


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# match all
     

    検出された不正なアクセス ポイントがルールに一致していると見なされ、そのルールの分類タイプが適用されるためには、ルールで定義されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

     
    ステップ 6 デフォルト


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# default
     

    コマンドをデフォルトに設定するように指定します。

     
    ステップ 7 exit


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# exit
    Controller(config)#
     

    サブモードの終了を指定します。

     
    ステップ 8 シャットダウン


    例: 
    Controller(config)# wireless wps rogue rule rule_3 priority 3
    Controller(config-rule)# shutdown
     

    特定の不正ルールをディセーブルにすることを指定します。 たとえば、ルール rule_3 はディセーブルです。

     
    ステップ 9 end


    例:
    Controller(config)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     
    ステップ 10 configure terminal


    例: 
    Controller# configure terminal
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 11 wireless wps rogue rule shutdown


    例: 
    Controller(config)# wireless wps rogue rule shutdown
     

    すべての不正ルールをディセーブルにすることを指定します。

     
    ステップ 12 end


    例:
    Controller(config)# end
     

    特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

     

    不正分類ルールの設定(GUI)

      ステップ 1   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Rogue Rules] を選択して、[Rogue Rules] ページを開きます。

      すでに作成されているすべてのルールが優先順位に従って一覧表示されます。 各ルールの名前、タイプ、およびステータスが表示されます。

      (注)     

      ルールを削除するには、そのルールの青いドロップダウンの矢印の上にマウス カーソルを置いて、[Remove] をクリックします。

      ステップ 2   次の手順を実行して、新しいルールを作成します。
      1. [Add Rule] をクリックします。 [Add Rule] セクションがページ上部に表示されます。
      2. [Rule Name] テキスト ボックスに、新しいルールの名前を入力します。 名前にはスペースを含めないでください。
      3. [Rule Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを [Friendly] または [Malicious] として分類します。

        • Friendly

        • Malicious

      4. [Add] をクリックして既存のルール リストにこのルールを追加するか、[Cancel] をクリックしてこの新しいルールを破棄します。
      ステップ 3   次の手順を実行して、ルールを編集します。
      1. 編集するルールの名前をクリックします。 [Rogue Rule] > [Edit] ページが表示されます。
      2. [Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを分類します。

        • Friendly

        • Malicious

      3. [Match Operation] テキスト ボックスから、次のいずれかを選択します。

        [ All]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定されたすべての条件を満たしている場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。

        [ Any]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定された条件のいずれかを満たす場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。 これはデフォルト値です。

      4. このルールを有効にするには、[Enable Rule] チェックボックスをオンにします。 デフォルト値はオフです。
      5. この特定のルールをディセーブルにするには、[Enable Rule] チェックボックスをオフにします。
        (注)      GUI からすべての不正ルールを一度にディセーブルにすることはできませんが、wireless wps rogue rule shutdown コマンドを使用して CLI からすべての不正ルールをディセーブルにできます。
      6. [Add Condition] ドロップダウン リストで、不正なアクセス ポイントが満たす必要がある次の条件から 1 つまたは複数を選択し、[Add Condition] をクリックします。
        • [SSID] 不正なアクセス ポイントには、特定のユーザ設定 SSID が必要です。 このオプションを選択する場合は、[User Configured SSID] テキスト ボックスに SSID を入力し、[Add SSID] をクリックします。 ユーザ設定の SSID が追加され、リストされます。
          (注)      SSID を削除するには、SSID を強調表示して [Remove] をクリックします。 WLAN に適用された SSID は不正ルールには適用できません。
        • [ RSSI]:不正なアクセス ポイントには、最小の受信信号強度表示(RSSI)値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum RSSI] テキスト ボックスに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

        • [Duration] 不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、[Time Duration] テキスト ボックスに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

        • [Client Count] 不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum Number of Rogue Clients] テキスト ボックスに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

        • [No Encryption]:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。 不正なアクセス ポイントの暗号化が無効になっている場合、より多くのクライアントがそのアクセス ポイントに対してアソシエートを試行します。 このオプションに関して、これ以外の設定を行う必要はありません。

          (注)     

          Cisco Prime Infrastructure は、このオプションを「Open Authentication(オープンな認証)」と呼んでいます。

        • [Managed SSID]:不正なアクセス ポイントの管理対象 SSID(WLAN に設定された SSID)がコントローラで認識される必要があります。 このオプションに関して、これ以外の設定を行う必要はありません。
          (注)     

          SSID および管理対象 SSID の 2 つのリストは相互に排他的であるため、[SSID] および [Managed SSID] の条件を [All] 操作で使用することはできません。 [Match All] を使用してルールを定義し、これら 2 つの条件を設定した場合は、いずれかの条件が満たされないので、不正なアクセス ポイントが Friendly または Malicious に分類されることはありません。

          1 つのルールにつき最大 6 つの条件を追加できます。 条件を追加すると、[Conditions] セクションにその条件が表示されます。

          (注)     

          このルールから条件を削除するには、条件付近の [Remove] をクリックします。

        • [User configured SSID]:不正アクセス ポイントが特定のユーザ設定 SSID のサブ文字列を持つ必要があります。 コントローラは同じ発生パターン内でサブ文字列を検索し、サブ文字列が SSID の文字列全体で見つかった場合はその一致を返します。

      7. [Apply] をクリックします。
      ステップ 4   不正分類ルールを適用する優先順位を変更する場合の手順は、次のとおりです。

      1. [Change Priority] をクリックして、[Rogue Rules > Priority] ページにアクセスします。

        不正ルールが優先順位に従って [Change Rules Priority] テキスト ボックスに表示されます。

      2. 優先順位を変更する特定のルールをクリックし、[Up] をクリックしてリスト内の順位を上げるか、[Down] をクリックしてリスト内の順位を下げます。

        (注)     

        ディセーブルのルールだけの優先順位を変更することが可能です。 イネーブルのルールだけの優先順位を変更することはできません。

      3. [Apply] をクリックします。

      不正なデバイスの表示および分類(GUI)

        ステップ 1   [Monitor] > [Rogues] の順に選択します。
        ステップ 2   次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。

        • Friendly APs

        • Malicious APs

        • Unclassified APs

        対応する不正な AP ページが、不正アクセス ポイントの MAC アドレス、不正アクセス ポイントを検出した無線の数、不正アクセス ポイントに接続されたクライアント数、不正アクセス ポイントの現在のステータス、および最後のコンタクトに関する情報を提供します。

        ステップ 3   不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。 [Rogue AP Detail] ページが表示されます。

        このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。

        [Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。

        • [Friendly] ユーザ定義の Friendly ルールと一致した不明なアクセス ポイント、または既知の不正なアクセス ポイント。 危険性のないアクセス ポイントは阻止することができません。

        • [Malicious] ユーザ定義の Malicious ルールと一致した不明なアクセス ポイント、またはユーザが Friendly または Unclassified 分類タイプから手動で移動した不明なアクセス ポイント。

          (注)     

          アクセス ポイントが Malicious に分類されると、その後でそのアクセス ポイントにルールを適用することはできなくなります。また、別の分類タイプに移動することもできません。 危険性のあるアクセス ポイントを Unclassified 分類タイプに移動する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

        • [Unclassified] ユーザ定義の Friendly または Malicious ルールと一致しない不明なアクセス ポイント。 未分類のアクセス ポイントは阻止することができます。 また、このアクセス ポイントは、ユーザ定義のルールに従って自動的に、またはユーザが手動で、Friendly または Malicious 分類タイプに移動できます。

        ステップ 4   このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。
        (注)     

        不正なアクセス ポイントの現在の状態が [Contain] である場合、そのアクセス ポイントは移動できません。

        ステップ 5   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。

        • [Internal] コントローラはこの不正なアクセス ポイントを信頼します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

        • [External] コントローラはこの不正なアクセス ポイントの存在を認識します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

        • [Contain] コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

        • [Alert] コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

        ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。 クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。

        ステップ 6   [Apply] をクリックします。
        ステップ 7   [Save Configuration] をクリックします。
        ステップ 8   コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues] を選択します。 [Adhoc Rogues] ページが表示されます。

        このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。

        ステップ 9   アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。 [Adhoc Rogue Detail] ページが表示されます。

        このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。

        ステップ 10   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。

        • [Contain] コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

        • [Alert] コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

        • [Internal] コントローラはこの不正なアクセス ポイントを信頼します。

        • [External] コントローラはこの不正なアクセス ポイントの存在を認識します。

        ステップ 11   [Maximum Number of APs to Contain the Rogue] ドロップダウン リストから、[ 1]、[ 2]、[ 3]、[ 4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。 ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。
        ステップ 12   [Apply] をクリックします。
        ステップ 13   [Save Configuration] をクリックします。
        ステップ 14   無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List] を選択します。 [Rogue AP Ignore-List] ページが表示されます。

        このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。 不正無視リストには、ユーザが Cisco Prime Infrastructure マップに手動で追加した任意の自律アクセス ポイントのリストが含まれています。 コントローラでは、これらの自律アクセス ポイントが、Prime Infrastructure によって管理されていても不正と見なされます。 不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。 このリストは次のように更新されます。

        • コントローラは、不正レポートを受信すると、不明なアクセス ポイントが不正無視アクセス ポイント リストに存在するかどうかを確認します。

        • 不明なアクセス ポイントが不正無視リストに存在する場合、コントローラはこのアクセス ポイントを無視して他の不正なアクセス ポイントの処理を続けます。

        • 不明なアクセス ポイントが不正無視リストにない場合、コントローラは Prime Infrastructure にトラップを送信します。 Prime Infrastructure が自律アクセス ポイントにこのアクセス ポイントを検出した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストに追加するためのコマンドをコントローラに送信します。 このアクセス ポイントは、今後の不正レポートで無視されるようになります。

        • ユーザが Prime Infrastructure から自律アクセス ポイントを削除した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストから削除するコマンドをコントローラに送信します。

        例:不正なアクセス ポイントの分類

        次の例は、不正アクセス ポイントを Friendly として組織および表示できるルールを作成する方法を示しています。 
        Controller# configure terminal
Controller(config)# wireless wps rogue rule ap1 priority 1
Controller(config-rule)# classify friendly
Controller(config-rule)# end
        この例は、不正アクセス ポイントが満たす必要のある条件を適用する方法を示しています。 
        Controller# configure terminal
Controller(config)# wireless wps rogue rule ap1 priority 1
Controller(config-rule)# condition client-count 5
Controller(config-rule)# condition duration 1000
Controller(config-rule)# end

        不正なアクセス ポイントの分類に関する追加情報

        関連資料

        関連項目 マニュアル タイトル
        セキュリティ コマンド

        Security Command Reference Guide, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series)(セキュリティ コマンド リファレンス ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ))

        標準および RFC

        標準/RFC Title
        なし

        MIB

        MIB MIB のリンク
        本リリースでサポートするすべての MIB

        選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

        http:/​/​www.cisco.com/​go/​mibs

        テクニカル サポート

        説明 Link

        シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

        お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

        シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

        http:/​/​www.cisco.com/​support

        不正なアクセス ポイントの分類の機能履歴および情報

        リリース 機能情報
        Cisco IOS XE 3.3SE この機能が導入されました。

        機能情報の確認

        ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。

        プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http:/​/​www.cisco.com/​go/​cfn からアクセスします。 Cisco.com のアカウントは必要ありません。

        不正なアクセス ポイントの分類について

        コントローラ ソフトウェアでは、不正なアクセス ポイントを Friendly、Malicious、または Unclassified に分類して表示するルールを作成できます。

        デフォルトでは、いずれの分類ルールも有効になっていません。 したがって、すべての未知(管理対象外)のアクセス ポイントは Unclassified に分類されます。 ルールを作成し、その条件を設定して、ルールを有効にすると、未分類のアクセス ポイントは分類し直されます。 ルールを変更するたびに、Alert 状態にあるすべてのアクセス ポイント(Friendly、Malicious、および Unclassified)にそのルールが適用されます。


        (注)  

        ルール ベースの分類は、アドホック不正クライアントおよび不正クライアントには適用されません。


        (注)  

        1 台のコントローラにつき最大 64 の不正分類ルールを設定できます。

        コントローラは、管理対象のアクセス ポイントの 1 つから不正レポートを受信すると、次のように応答します。

        1. コントローラは未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれているか確認します。 そのリストに含まれている場合、コントローラはそのアクセス ポイントを Friendly として分類します。

        2. 未知(管理対象外)のアクセス ポイントが危険性のない MAC アドレスのリストに含まれていない場合、コントローラは、不正状態の分類ルール適用処理を開始します。

        3. 不正なアクセス ポイントが Malicious、Alert または Friendly、Internal または External にすでに分類されている場合は、コントローラはそのアクセス ポイントを自動的に分類しません。 不正なアクセス ポイントがそれ以外に分類されており、Alert 状態にある場合に限り、コントローラはそのアクセス ポイントを自動的に分類し直します。

        4. コントローラは、優先度の一番高いルールを適用します。 不正なアクセス ポイントがルールで指定された条件に一致すると、コントローラはそのアクセス ポイントをルールに設定された分類タイプに基づいて分類します。

        5. 不正なアクセス ポイントが設定されたルールのいずれにも一致しないと、コントローラはそのアクセス ポイントを Unclassified に分類します。

        6. コントローラは、すべての不正なアクセス ポイントに対して上記の手順を繰り返します。

        7. 不正なアクセス ポイントが社内ネットワーク上にあると RLDP で判断されると、ルールが設定されていない場合でも、コントローラは不正の状態を Threat とマークし、そのアクセス ポイントを自動的に Malicious に分類します。 その後、不正なアクセス ポイントに対して手動で封じ込め処理を行うことができますが(不正を自動的に封じ込めるよう RLDP が設定されていない限り)、その場合は不正の状態が Contained に変更されます。 不正なアクセス ポイントがネットワーク上にないと、コントローラによって不正の状態が Alert とマークされ、そのアクセス ポイントを手動で封じ込め処理を行うことができるようになります。

        8. 必要に応じて、各アクセス ポイントを本来とは異なる分類タイプや不正の状態に手動で変更することも可能です。

        表 1 分類マッピング

        ルール ベースの分類タイプ

        不正の状態

        Friendly

        • Internal:未知(管理対象外)のアクセス ポイントがネットワーク内に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、Internal に設定します。 たとえば、ラボ ネットワーク内のアクセス ポイントなどです。

        • External:未知(管理対象外)のアクセス ポイントがネットワーク外に存在し、WLAN のセキュリティに脅威を与えない場合、手動で Friendly、External に設定します。 たとえば、近隣のコーヒー ショップに属するアクセス ポイントなどです。

        • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

        Malicious

        • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

        • Threat:未知(管理対象外)のアクセス ポイントがネットワーク上に発見され、WLAN のセキュリティに脅威を与えています。

        • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

        • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

        未分類

        • Pending:最初の検出で、未知(管理対象外)のアクセス ポイントは 3 分間 Pending 状態に置かれます。 この間に、管理対象のアクセス ポイントでは、未知(管理対象外)のアクセス ポイントがネイバー アクセス ポイントであるかどうかが判定されます。

        • Alert:不明なアクセス ポイントがネイバー リストまたはユーザが設定した危険性のない MAC のリストに記載されていない場合、そのアクセス ポイントは Alert に移動されます。

        • Contained:未知(管理対象外)のアクセス ポイントが封じ込められています。

        • Contained Pending:未知(管理対象外)のアクセス ポイントが Contained とマークされましたが、リソースを使用できないため対処が遅れています。

        不正アクセス ポイントの分類と状態は以下のように設定されています。

        • Known から Friendly、Internal

        • Acknowledged から Friendly、External

        • Contained から Malicious、Contained

        前述のように、コントローラでは、ユーザ定義のルールに基づいて未知(管理対象外)のアクセス ポイントの分類タイプと不正の状態が自動的に変更されます。もしくは、未知(管理対象外)のアクセス ポイントを本来とは異なる分類タイプと不正の状態に手動で変更することができます。

        表 2 設定可能な分類タイプ/不正の状態の推移

        遷移元

        目的

        Friendly(Internal、External、Alert) Malicious(Alert)
        Friendly(Internal、External、Alert) Unclassified(Alert)
        Friendly(Alert) Friendly(Internal、External)
        Malicious(Alert、Threat) Friendly(Internal、External)
        Malicious(Contained、Contained Pending) Malicious(Alert)
        Unclassified(Alert、Threat) Friendly(Internal、External)
        Unclassified(Contained、Contained Pending) Unclassified(Alert)
        Unclassified(Alert) Malicious(Alert)

        不正の状態が Contained の場合、不正なアクセス ポイントの分類タイプを変更する前に、そのアクセス ポイントが封じ込められないようにする必要があります。 不正なアクセス ポイントを Malicious から Unclassified に変更する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

        不正なアクセス ポイントの分類の制限

        いくつかの不正なルールがあります。 その内容は次のとおりです。

        • カスタム タイプの不正の分類は、不正ルールに関連付けられています。 このため、不正を手動で Custom として分類することはできません。 カスタム クラスの変更は不正ルールを使用する場合にのみ行えます。

        • 不正分類の変更に対して、ルールによって 30 分ごとに阻止用のトラップが送信されます。 カスタム分類の場合、最初のトラップはカスタム分類よりも前に存在していたため、そのトラップに重大度スコアは含まれません。 不正が分類されると、30 分後に生成される後続のトラップから重大度スコアが取得されます。

        • 不正ルールは、優先順位に従って、コントローラ内の新しい着信不正レポートごとに適用されます。

        • 不正がより高い優先度ルールを満たし、分類されると、同じレポートの優先順位リスト内で下位に下がることはありません。

        • 以前に分類された不正は、次の制限に従って、新しい不正レポートが作成されるたびに、再分類されます。

          • ルールによって Friendly に分類され、状態が ALERT に設定されている不正は、新しい不正レポートを受け取ると再分類が開始されます。

          • 不正が管理者によって Friendly に手動で分類されると、状態は INTERNAL になり、次に続く不正レポートで再分類されません。

          • 不正が Malicious に分類されると、その状態に関係なく、後続の不正レポートで再分類されません。

        • 一部の属性が新しい不正レポートで欠落している場合、複数の不正ルールによって、Friendly から Malicious に不正の状態が遷移する可能性があります。

        • どの不正ルールによっても、Malicious から他の分類に不正の状態が遷移することはありません。

        不正分類ルールの設定(CLI)

        手順の概要

          1.    configure terminal

          2.    wireless wps rogue rule rule-name priority priority

          3.    classify {friendly | malicious}

          4.    condition {client-count | duration | encryption | infrastructure | rssi | ssid}

          5.    match { all | any}

          6.    デフォルト

          7.    exit

          8.    シャットダウン

          9.    end

          10.    configure terminal

          11.    wireless wps rogue rule shutdown

          12.    end


        手順の詳細
            コマンドまたはアクション 目的
          ステップ 1 configure terminal


          例: 
          Controller# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 wireless wps rogue rule rule-name priority priority


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)#
           

          ルールを作成またはイネーブルにします。 ルールを作成する場合、ルールのプライオリティを入力する必要があります。

          (注)      ルールを作成した後、ルールを編集する場合、ディセーブルになった不正ルールに対してのみプライオリティを変更できます。 有効にされた不正ルールのプライオリティは変更できません。 編集時の不正ルールのプライオリティ変更は任意です。
           
          ステップ 3 classify {friendly | malicious}


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# classify friendly
           

          ルールを分類します。

           
          ステップ 4 condition {client-count | duration | encryption | infrastructure | rssi | ssid}


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# condition client-count 5
           
          不正アクセス ポイントが満たす必要のあるルールに以下の条件を追加することを指定します。

          • client-count:不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、 condition_value パラメータに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

          • duration:不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、 condition_value パラメータに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

          • encryption:アドバタイズされた WLAN で暗号化がイネーブルになっていないことが必要です。

          • infrastructure:SSID がコントローラで認識される必要があります。

          • rssi:不正なアクセス ポイントには、最小の RSSI 値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、 condition_value パラメータに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

          • ssid:不正なアクセス ポイントには、特定の SSID が必要です。 コントローラによって管理されない SSID を追加する必要があります。 このオプションを選択する場合は、 condition_value パラメータに SSID を入力します。 SSID はユーザ設定の SSID リストに追加されます。

           
          ステップ 5 match { all | any}


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# match all
           

          検出された不正なアクセス ポイントがルールに一致していると見なされ、そのルールの分類タイプが適用されるためには、ルールで定義されているすべての条件を満たす必要があるか、一部の条件を満たす必要があるかを指定します。

           
          ステップ 6 デフォルト


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# default
           

          コマンドをデフォルトに設定するように指定します。

           
          ステップ 7 exit


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# exit
          Controller(config)#
           

          サブモードの終了を指定します。

           
          ステップ 8 シャットダウン


          例: 
          Controller(config)# wireless wps rogue rule rule_3 priority 3
          Controller(config-rule)# shutdown
           

          特定の不正ルールをディセーブルにすることを指定します。 たとえば、ルール rule_3 はディセーブルです。

           
          ステップ 9 end


          例:
          Controller(config)# end
           

          特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

           
          ステップ 10 configure terminal


          例: 
          Controller# configure terminal
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 11 wireless wps rogue rule shutdown


          例: 
          Controller(config)# wireless wps rogue rule shutdown
           

          すべての不正ルールをディセーブルにすることを指定します。

           
          ステップ 12 end


          例:
          Controller(config)# end
           

          特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

           

          不正分類ルールの設定(GUI)

            ステップ 1   [Security] > [Wireless Protection Policies] > [Rogue Policies] > [Rogue Rules] を選択して、[Rogue Rules] ページを開きます。

            すでに作成されているすべてのルールが優先順位に従って一覧表示されます。 各ルールの名前、タイプ、およびステータスが表示されます。

            (注)     

            ルールを削除するには、そのルールの青いドロップダウンの矢印の上にマウス カーソルを置いて、[Remove] をクリックします。

            ステップ 2   次の手順を実行して、新しいルールを作成します。
            1. [Add Rule] をクリックします。 [Add Rule] セクションがページ上部に表示されます。
            2. [Rule Name] テキスト ボックスに、新しいルールの名前を入力します。 名前にはスペースを含めないでください。
            3. [Rule Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを [Friendly] または [Malicious] として分類します。

              • Friendly

              • Malicious

            4. [Add] をクリックして既存のルール リストにこのルールを追加するか、[Cancel] をクリックしてこの新しいルールを破棄します。
            ステップ 3   次の手順を実行して、ルールを編集します。
            1. 編集するルールの名前をクリックします。 [Rogue Rule] > [Edit] ページが表示されます。
            2. [Type] ドロップダウン リストで、以下のオプションから選択してこのルールと一致する不正アクセス ポイントを分類します。

              • Friendly

              • Malicious

            3. [Match Operation] テキスト ボックスから、次のいずれかを選択します。

              [ All]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定されたすべての条件を満たしている場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。

              [ Any]:このルールが有効な場合、検出された不正なアクセス ポイントは、ルールで指定された条件のいずれかを満たす場合にルールと一致し、その不正に対してルールの分類タイプが適用されます。 これはデフォルト値です。

            4. このルールを有効にするには、[Enable Rule] チェックボックスをオンにします。 デフォルト値はオフです。
            5. この特定のルールをディセーブルにするには、[Enable Rule] チェックボックスをオフにします。
              (注)      GUI からすべての不正ルールを一度にディセーブルにすることはできませんが、wireless wps rogue rule shutdown コマンドを使用して CLI からすべての不正ルールをディセーブルにできます。
            6. [Add Condition] ドロップダウン リストで、不正なアクセス ポイントが満たす必要がある次の条件から 1 つまたは複数を選択し、[Add Condition] をクリックします。
              • [SSID] 不正なアクセス ポイントには、特定のユーザ設定 SSID が必要です。 このオプションを選択する場合は、[User Configured SSID] テキスト ボックスに SSID を入力し、[Add SSID] をクリックします。 ユーザ設定の SSID が追加され、リストされます。
                (注)      SSID を削除するには、SSID を強調表示して [Remove] をクリックします。 WLAN に適用された SSID は不正ルールには適用できません。
              • [ RSSI]:不正なアクセス ポイントには、最小の受信信号強度表示(RSSI)値が必要です。 たとえば、不正なアクセス ポイントが設定値より大きい RSSI を持つ場合、そのアクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum RSSI] テキスト ボックスに最小 RSSI 値を入力します。 有効な値の範囲は -95 ~ -50 dBm(両端の値を含む)で、デフォルト値は 0 dBm です。

              • [Duration] 不正なアクセス ポイントが最小期間検出される必要があります。 このオプションを選択する場合は、[Time Duration] テキスト ボックスに最小検出期間の値を入力します。 有効な値の範囲は 0 ~ 3600 秒(両端の値を含む)で、デフォルト値は 0 秒です。

              • [Client Count] 不正なアクセス ポイントに最小数のクライアントがアソシエートされている必要があります。 たとえば、不正なアクセス ポイントにアソシエートされたクライアントの数が設定値以上の場合、アクセス ポイントは Malicious に分類されます。 このオプションを選択する場合は、[Minimum Number of Rogue Clients] テキスト ボックスに、不正なアクセス ポイントにアソシエートされたクライアントの最小数を入力します。 有効な値の範囲は 1 ~ 10(両端の値を含む)で、デフォルト値は 0 です。

              • [No Encryption]:不正なアクセス ポイントのアドバタイズされた WLAN で暗号化が無効になっている必要があります。 不正なアクセス ポイントの暗号化が無効になっている場合、より多くのクライアントがそのアクセス ポイントに対してアソシエートを試行します。 このオプションに関して、これ以外の設定を行う必要はありません。

                (注)     

                Cisco Prime Infrastructure は、このオプションを「Open Authentication(オープンな認証)」と呼んでいます。

              • [Managed SSID]:不正なアクセス ポイントの管理対象 SSID(WLAN に設定された SSID)がコントローラで認識される必要があります。 このオプションに関して、これ以外の設定を行う必要はありません。
                (注)     

                SSID および管理対象 SSID の 2 つのリストは相互に排他的であるため、[SSID] および [Managed SSID] の条件を [All] 操作で使用することはできません。 [Match All] を使用してルールを定義し、これら 2 つの条件を設定した場合は、いずれかの条件が満たされないので、不正なアクセス ポイントが Friendly または Malicious に分類されることはありません。

                1 つのルールにつき最大 6 つの条件を追加できます。 条件を追加すると、[Conditions] セクションにその条件が表示されます。

                (注)     

                このルールから条件を削除するには、条件付近の [Remove] をクリックします。

              • [User configured SSID]:不正アクセス ポイントが特定のユーザ設定 SSID のサブ文字列を持つ必要があります。 コントローラは同じ発生パターン内でサブ文字列を検索し、サブ文字列が SSID の文字列全体で見つかった場合はその一致を返します。

            7. [Apply] をクリックします。
            ステップ 4   不正分類ルールを適用する優先順位を変更する場合の手順は、次のとおりです。

            1. [Change Priority] をクリックして、[Rogue Rules > Priority] ページにアクセスします。

              不正ルールが優先順位に従って [Change Rules Priority] テキスト ボックスに表示されます。

            2. 優先順位を変更する特定のルールをクリックし、[Up] をクリックしてリスト内の順位を上げるか、[Down] をクリックしてリスト内の順位を下げます。

              (注)     

              ディセーブルのルールだけの優先順位を変更することが可能です。 イネーブルのルールだけの優先順位を変更することはできません。

            3. [Apply] をクリックします。

            不正なデバイスの表示および分類(GUI)

              ステップ 1   [Monitor] > [Rogues] の順に選択します。
              ステップ 2   次のオプションを選択すると、コントローラで検出された各タイプの不正なアクセス ポイントを表示できます。

              • Friendly APs

              • Malicious APs

              • Unclassified APs

              対応する不正な AP ページが、不正アクセス ポイントの MAC アドレス、不正アクセス ポイントを検出した無線の数、不正アクセス ポイントに接続されたクライアント数、不正アクセス ポイントの現在のステータス、および最後のコンタクトに関する情報を提供します。

              ステップ 3   不正なアクセス ポイントの詳細を取得するには、アクセス ポイントの MAC アドレスをクリックします。 [Rogue AP Detail] ページが表示されます。

              このページには、不正なデバイスの MAC アドレス、不正なデバイスのタイプ(アクセス ポイントなど)、不正なデバイスが有線ネットワーク上にあるかどうか、不正なデバイスが最初および最後に報告された日時、デバイスの現在のステータスといった情報が表示されます。

              [Class Type] テキスト ボックスには、この不正なアクセス ポイントの現在の分類が表示されます。

              • [Friendly] ユーザ定義の Friendly ルールと一致した不明なアクセス ポイント、または既知の不正なアクセス ポイント。 危険性のないアクセス ポイントは阻止することができません。

              • [Malicious] ユーザ定義の Malicious ルールと一致した不明なアクセス ポイント、またはユーザが Friendly または Unclassified 分類タイプから手動で移動した不明なアクセス ポイント。

                (注)     

                アクセス ポイントが Malicious に分類されると、その後でそのアクセス ポイントにルールを適用することはできなくなります。また、別の分類タイプに移動することもできません。 危険性のあるアクセス ポイントを Unclassified 分類タイプに移動する場合は、そのアクセス ポイントを削除して、コントローラで分類し直せるようにする必要があります。

              • [Unclassified] ユーザ定義の Friendly または Malicious ルールと一致しない不明なアクセス ポイント。 未分類のアクセス ポイントは阻止することができます。 また、このアクセス ポイントは、ユーザ定義のルールに従って自動的に、またはユーザが手動で、Friendly または Malicious 分類タイプに移動できます。

              ステップ 4   このデバイスの分類を変更するには、[Class Type] ドロップダウン リストから別の分類を選択します。
              (注)     

              不正なアクセス ポイントの現在の状態が [Contain] である場合、そのアクセス ポイントは移動できません。

              ステップ 5   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、この不正なアクセス ポイントに対するコントローラの応答方法を指定します。

              • [Internal] コントローラはこの不正なアクセス ポイントを信頼します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

              • [External] コントローラはこの不正なアクセス ポイントの存在を認識します。 このオプションは、[Class Type] が [Friendly] に設定されている場合に使用できます。

              • [Contain] コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

              • [Alert] コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。 このオプションは、[Class Type] が [Malicious] または [Unclassified] に設定されている場合に使用できます。

              ページの下部には、この不正なアクセス ポイントが検出されたアクセス ポイントと、不正なアクセス ポイントにアソシエートされたすべてのクライアントの両方に関する情報が提供されます。 クライアントの詳細を表示するには、[Edit] をクリックして [Rogue Client Detail] ページを開きます。

              ステップ 6   [Apply] をクリックします。
              ステップ 7   [Save Configuration] をクリックします。
              ステップ 8   コントローラで検出されたアドホック不正を確認するには、[Adhoc Rogues] を選択します。 [Adhoc Rogues] ページが表示されます。

              このページには、MAC アドレス、BSSID、アドホック不正の SSID、アドホック不正が検出された無線の数、アドホック不正の現在のステータスといった情報が表示されます。

              ステップ 9   アドホック不正の詳細情報を取得するには、その不正の MAC アドレスをクリックします。 [Adhoc Rogue Detail] ページが表示されます。

              このページには、アドホック不正の MAC アドレスおよび BSSID、不正が最初および最後に報告された日時、不正の現在のステータスといった情報が表示されます。

              ステップ 10   [Update Status] ドロップダウン リストから次のオプションのいずれかを選択して、このアドホック不正に対するコントローラの応答方法を指定します。

              • [Contain] コントローラによって危険性のあるデバイスが阻止され、そのデバイスの信号が、認証されたクライアントに干渉しないようになります。

              • [Alert] コントローラからシステム管理者に、さらなる処理を行うよう即時に警告が転送されます。

              • [Internal] コントローラはこの不正なアクセス ポイントを信頼します。

              • [External] コントローラはこの不正なアクセス ポイントの存在を認識します。

              ステップ 11   [Maximum Number of APs to Contain the Rogue] ドロップダウン リストから、[ 1]、[ 2]、[ 3]、[ 4] のオプションのいずれかを選択して、このアドホック不正を阻止するために使用するアクセス ポイントの最大数を指定します。 ページの下部には、このアドホック不正が検出されたアクセス ポイントに関する情報が提供されます。
              ステップ 12   [Apply] をクリックします。
              ステップ 13   [Save Configuration] をクリックします。
              ステップ 14   無視するように設定されている任意のアクセス ポイントを表示するには、[Rogue AP Ignore-List] を選択します。 [Rogue AP Ignore-List] ページが表示されます。

              このページには、無視するように設定されている任意のアクセス ポイントの MAC アドレスが表示されます。 不正無視リストには、ユーザが Cisco Prime Infrastructure マップに手動で追加した任意の自律アクセス ポイントのリストが含まれています。 コントローラでは、これらの自律アクセス ポイントが、Prime Infrastructure によって管理されていても不正と見なされます。 不正無視リストを使用すると、コントローラでこれらのアクセス ポイントを無視できます。 このリストは次のように更新されます。

              • コントローラは、不正レポートを受信すると、不明なアクセス ポイントが不正無視アクセス ポイント リストに存在するかどうかを確認します。

              • 不明なアクセス ポイントが不正無視リストに存在する場合、コントローラはこのアクセス ポイントを無視して他の不正なアクセス ポイントの処理を続けます。

              • 不明なアクセス ポイントが不正無視リストにない場合、コントローラは Prime Infrastructure にトラップを送信します。 Prime Infrastructure が自律アクセス ポイントにこのアクセス ポイントを検出した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストに追加するためのコマンドをコントローラに送信します。 このアクセス ポイントは、今後の不正レポートで無視されるようになります。

              • ユーザが Prime Infrastructure から自律アクセス ポイントを削除した場合、Prime Infrastructure はこのアクセス ポイントを不正無視リストから削除するコマンドをコントローラに送信します。

              例:不正なアクセス ポイントの分類

              次の例は、不正アクセス ポイントを Friendly として組織および表示できるルールを作成する方法を示しています。 
              Controller# configure terminal
Controller(config)# wireless wps rogue rule ap1 priority 1
Controller(config-rule)# classify friendly
Controller(config-rule)# end
              この例は、不正アクセス ポイントが満たす必要のある条件を適用する方法を示しています。 
              Controller# configure terminal
Controller(config)# wireless wps rogue rule ap1 priority 1
Controller(config-rule)# condition client-count 5
Controller(config-rule)# condition duration 1000
Controller(config-rule)# end

              不正なアクセス ポイントの分類に関する追加情報

              関連資料

              関連項目 マニュアル タイトル
              セキュリティ コマンド

              Security Command Reference Guide, Cisco IOS XE Release 3SE (Cisco WLC 5700 Series)(セキュリティ コマンド リファレンス ガイド、Cisco IOS XE Release 3SE(Cisco WLC 5700 シリーズ))

              標準および RFC

              標準/RFC Title
              なし

              MIB

              MIB MIB のリンク
              本リリースでサポートするすべての MIB

              選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

              http:/​/​www.cisco.com/​go/​mibs

              テクニカル サポート

              説明 Link

              シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

              お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

              シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

              http:/​/​www.cisco.com/​support

              不正なアクセス ポイントの分類の機能履歴および情報

              リリース 機能情報
              Cisco IOS XE 3.3SE この機能が導入されました。

              このドキュメントは役に立ちましたか?

              Feedbackフィードバック

              お問い合わせ先

              関連するサポート コミュニティのディスカッション

              シスコについて
              シスコへのお問い合わせ
              採用情報