ネットワーク内のすべてのデバイスは、分散防御を通じてワイヤレス ネットワーク環境をセキュリティで保護するための役割を担います。

最新のセキュリティ規格である IEEE 802.11i を取り入れると、ワイヤレス ネットワークは多くの有線ネットワーク実装と同等か、それ以上に安全になります。ただし、ワイヤレス LAN(WLAN)は企業の物理的な境界を越えるため、不正なインフラストラクチャやクライアントに起因するワイヤレスの脅威が存在します。

幸い、これらの脅威は、Cisco Unified Wireless Network を使用して検出および防御することができます。運用環境への WLAN システムの導入を現時点で行わない場合は、Cisco Unified Wireless Network を監視専用モードで展開することで、ワイヤレスの脅威によって有線ネットワークの完全性が損なわれることを防止し、機密情報の消失、顧客信頼の失墜、規制違反の可能性を確実に排除できます。

シスコの統合セキュリティ ソリューションと組み合わせることで、Cisco Unified Wireless Network は、有線ネットワークをワイヤレスの脅威から保護し、無線 LAN 認定上の安全なプライベート通信を可能にする包括的ソリューションを提供します。

ワイヤレスの脅威を正確に検出および防御する最初のステップは、正規のワイヤレス インフラストラクチャとユーザがネットワークに適切に識別されるようにすることです。このステップが抜けていると、管理者は false positive の解決に多くの時間を費やすことになるため、IDS や IPS の価値が大幅に損なわれます。正規のユーザおよびインフラストラクチャが識別されると、Cisco Unified Wireless Network で、次のような一般的なワイヤレスの脅威から保護することができます。

  • 不正なアクセス ポイントとクライアント
  • アドホック ネットワーク
  • クライアントの誤アソシエーション
  • Denial-Of-Service(DoS; サービス拒絶)攻撃およびペネトレーション
  • 偵察プローブ

Cisco Unified Wireless Network でワイヤレスにおけるセキュリティの脅威を検出および防御するために使用できる各種の方法を以下に示します。

Radio Resource Management(RRM; 無線リソース管理)
Radio Resource Management(RRM; 無線リソース管理)は、周囲のエア スペースを継続的に監視できます。WLAN コントローラの RRM ソフトウェアは、ワイヤレス ネットワークのリアルタイム RF 管理を一貫して提供します。WLAN コントローラは、トラフィック負荷、干渉、および他のアクセス ポイントに関して、関連する Lightweight アクセス ポイントを監視します。

不正なアクセス ポイントとクライアントの識別
シスコの Lightweight アクセス ポイントは、すべての Wi-Fi アクティビティをスキャンします。管理対象アクセス ポイントが、Cisco Unified Wireless Network WLAN コントローラによって管理されない別のアクセス ポイントを検知した場合、そのアクセス ポイントは不正なアクセス ポイントと分類され、そのアクセス ポイントの場所が見取り図に即座に表示されます。これにより、管理者はクライアントとそのアクセス ポイントのアソシエーションを防ぐことによって侵入防御を開始できるようになります。これにより、不正なアクセス ポイントを物理的に取り除くまでの間、不正なクライアントからのトラフィックが企業ネットワークに到達しないようにします。

アドホック ネットワークのスキャン
Over-the-Air パケットを観察して解析することによって、接続がアドホックであることを示す特定のフレームの存在を確認します。アドホック ネットワークが検出されると、ネットワークでは、クライアントにアソシエーション解除フレームを送信してネットワーク接続を停止することで、アドホック ネットワークを防御します。

クライアントの誤アソシエーションの防御
Cisco Wireless Control System(WCS; ワイヤレス コントロール システム)は、クライアントが不正なアクセス ポイントに接続したことを検知してアラームを生成するため、管理者は対策を講じることができます。ただし、この種の脅威は、Cisco Security Agent ソフトウェアまたはサードパーティのクライアント ファイアウォールを使用することで排除できます。この方法は、ワイヤレス侵入検知システム(IDS)のみを使用した場合よりもはるかに優れた保護を提供します。また、この方法は、企業ベースのワイヤレス侵入防御システム(IPS)に依存するよりも効果的です。なぜなら、クライアントの誤アソシエーションは、ユーザが企業に在宅勤務者として接続するときに発生することがあるからです。

Denial-Of-Service(DoS; サービス拒絶)攻撃およびペネトレーション
Management Frame Protection(MFP; 管理フレーム保護)では、Day-Zero 攻撃に対する保護として、Cisco Unified Wireless Network の Advanced Security Services を通じて、スプーフされた管理フレームを 1 フレームだけでも検知できます。他のベンダーの IDS 実装では、通常は相当な数の管理フレームがスプーフされてからでないとアラートは生成されません。

偵察プローブの検出
ネットワーク名を検出する NetStumbler などの偵察プローブは、適切にセキュリティで保護されたワイヤレス LAN には脅威をもたらしません。ネットワーク名を知るだけではハッカーにとって何のメリットもありません。