WSSI用Aironet APモジュール導入ガイド
内容
概要
このドキュメントでは、Wireless Security and Spectrum Intelligence(WSSI)用 Cisco Aironet アクセス ポイント モジュールの一般的な構成および導入に関するガイドラインを提供します。 WSSI は、Cisco 3600 シリーズ AP などのモジュラ アクセスポイント(AP)に挿入できる追加モジュールです。
前提条件
要件
このドキュメントに特有の要件はありません。
使用するコンポーネント
Wireless Security and Spectrum Intelligence モジュールでは、次の最小コード バージョンが必要です。
-
ワイヤレス LAN コントローラ(WLC):バージョン 7.4.xx.xx 以降
-
アクセス ポイント(AP):バージョン 7.4.xx.xx 以降
-
Prime Infrastructure(PI):バージョン 1.3.xx.xx 以降
-
Mobility Services Engine(MSE)バージョン 7.4.xx.xx 以降
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
製品概要
Cisco Wireless Security and Spectrum Intelligence モジュールは、Cisco Aironet 3600 シリーズ AP の柔軟なモジュラ設計を利用することで、今までにない、常に有効なセキュリティ スキャンおよびスペクトラム インテリジェンスを提供します。これにより、無線周波数(RF)干渉を開始し、ワイヤレス ネットワークのカバレッジおよびパフォーマンスを改善できます。
-
aWIPS、CleanAir、Context Awareness、不正検出および無線リソース管理の 24 x 7 のフル スペクトラム モニタおよび不正緩和
-
24 x 7 のオンチャネル aWIPS 脅威の保護
-
セキュリティおよびスペクトラム カバレッジを 23 倍向上
-
専用モニタ モード AP と比較して 30 % 以上の CAPEX コスト削減
-
ゼロ タッチ構成
WSSI のフィールド アップグレード可能なモジュールは、無線を提供するクライアント/データからセキュリティ モニタ モジュールにすべてのモニタリングおよびセキュリティ サービスをオフロードする専用無線です。これにより、クライアント パフォーマンスを向上できるだけでなく、専用モニタ モード AP を使用する必要がなく、これらのデバイスをネットワークに接続するために必要なイーサネット インフラストラクチャも必要ないので、コストを削減できます。
また、3600 シリーズ AP および WSSI モジュールを使用することで、2.4-GHz および 5-GHz の両方の帯域で、すべてのチャネルの Wi-Fi クライアントに対して最新のセキュリティおよびスペクトラム分析機能を同時に提供できます。
導入されたモジュールは、すべてのチャネルを常にスキャンするので、業界最高クラスの安全性および堅牢性を誇るワイヤレス環境を提供します。
WSSI モードの利点
拡張ローカル モード(ELM):
-
ネットワーク コストおよび操作を軽減します。WSSI モジュールを 3600 シリーズに統合することで、最大 3 台のデバイスを交換できます。これにより、3 つの個別の機能を 1 つの多目的 3600 シリーズ AP に提供できます。
-
顧客は、通常は最大 3 つのイーサネット ケーブルと有線ネットワークへの 1 つのアクセス ポートを必要する有線ネットワークで、シングル イーサネット接続(ケーブルおよびポート)を利用できます。これにより、CAPEX を大幅に削減できます。
-
これらのすべての機能を 1 つの AP に統合することで、AP の数を大幅に削減し、ワイヤレス インフラストラクチャおよびネットワークにおける日常の管理およびモニタリングを簡素化できます。WSSI モジュールは、WLC および管理システムにおける追加無線で、特定の 3600 シリーズ AP 内で 802.11b/g/a/n クライアントデバイス(2.4 および 5 GHz)をサポートします。
-
ゼロ タッチ設定、インストール、起動、稼働。WSSI モジュールを起動および稼働するために必要な設定はなく、ワイヤレス ネットワークをすぐに監視し、セキュリティを提供できます。WSSI モジュールは、任意の 3600 シリーズ AP に追加され、セキュリティを提供します。AP が再稼働すると、モジュールは、AP の他の無線とともに初期化され、潜在的なセキュリティの脅威および干渉源をチェックするために、2.4 と 5 GHz の両方のすべてのチャネルのモニタリングをすぐに開始します。
-
適応型 wIPS は、すべてのチャネルで地上波攻撃、不正 AP およびアドホック接続による脅威を正確かつ効率的に検出します。また、継続的なモニタリングおよびプロアクティブな管理ための分類、通知、軽減および報告機能を提供します。Cisco Mobility Services Engine(MSE)とともに機能します。
ELM:
-
ベスト エフォート型のチャネル サポートにより、チャネル スキャン(2.4GHz および 5 GHz)で 7 x 24 の wIPS セキュリティ スキャンを追加します。
-
AP は、クライアントにサービスを提供し、AP の G2 シリーズで、チャネル(2.4GHz および 5GHz)での CleanAir スペクトラム分析を実現します。
モニタ モード:
-
モニタ モード AP(MMAP)は、モニタ モード専用で、すべてのチャネル(2.4GHz および 5GHz)で wIPS セキュリティ スキャンを追加できるオプションを使用できます。
-
AP の G2 シリーズでは、CleanAir スペクトラム分析をすべてのチャネル(2.4GHz および 5GHz)で利用できます。
-
MMAP は、クライアントにサービスを提供しません。
WSSI モジュールを使用した AP3600:ワイヤレス セキュリティおよびスペクトラムの拡張
-
CleanAir テクノロジーを使用して同時クライアント サービス、wIPS セキュリティ スキャンおよびスペクトラム分析を簡素化する業界初の AP。
-
2.4GHz および 5GHz 帯域のすべてのワイヤレス チャネルの 24 x 7 スキャンを可能にする独自のアンテナを持つ専用 2.4GHz および 5GHz 無線。
-
シングル インサーネット インフラストラクチャは、管理するデバイスを軽減、操作を簡素化し、AP3600 ワイヤレス インフラストラクチャおよびイーサネット有線インフラストラクチャの ROI を最適化します。
-
Cisco CleanAir テクノロジー:プロアクティブな高速スペクトル インテリジェンスにより、ワイヤレス干渉によるパフォーマンスの問題に対処します。ワイヤレス ネットワークの品質に大きく影響するデバイスのエネルギー パターン(シグニチャ)を検査および分類する業界初の最新 RF 分析テクノロジー。
-
無線リソース管理(RRM):簡素化した高度な RF 管理は、Cisco CleanAir テクノロジーから受け取った情報に基づいてワイヤレス ネットワーク環境に自動的に適応します。干渉源が見つかると、RRM は、干渉から離れたチャネルにクライアント デバイスを移行し、干渉源から離れるように送信電力を調整します。これにより、ユーザへの RF 品質が改善されます。
-
不正検出:バックドア ネットワーク アクセスおよびワイヤレス クライアントへのアクセスを検出および報告します。
-
ロケーションおよびコンテキスト アウェアネス:リアルタイムのアウェアネスおよびワイヤレス エンドポイントの追跡機能を提供します。
これらの機能を使用することで、Cisco Wireless Security and Spectrum Intelligence モジュールは、Cisco 3600 シリーズ AP とともに、最高クラスの安全性と堅牢性を誇るエンタープライズ クラス ワイヤレス ネットワークを企業ユーザおよびデータに提供します。
WSSIモジュールを使用したオンチャネルとオフチャネル
ローカル モード AP は、オンチャネルで CleanAir 干渉源および wIPs 攻撃者をスキャンします。つまり、AP は、サービスを提供するチャネルだけをスキャンします。チャネル 1 にサービスを提供する 2.4GHz 無線とチャネル 64 にサービスを提供する 5GHz 無線でのローカル モード AP は、チャネル 1 および 64 のみ保護します。
MMAP は、オフチャネルで CleanAir 干渉源および wIPs 攻撃者をスキャンします。つまり、AP はすべてのチャネルをスキャンします。2.4GHz 無線は、すべての 2.4GHz チャネルをスキャンし、5GHz チャネルは、すべての 5GHz チャネルをスキャンします。
Cisco 3600 シリーズ AP は、オンチャネルおよびオフチャネルの組み合わせを使用します。2.4GHz および 5GHz 無線は、オンチャネル スキャンを実行し、WSSI モジュールは、2.4GHz および 5GHz チャネルに対して交互にオフチャネル スキャンを実行します。
WSSI モジュールの推奨される展開密度
従来のモニタ AP 導入では、5 つのローカル モード AP に対して 1 つの MMAP を使用することをお勧めします。最適なカバレッジは、ネットワーク設計およびエキスパート ガイダンスにより異なります。WSSI モジュールでは、MMAP でのカバレッジ パリティを提供する機能に基づいて、導入の推奨事項は異なります。
CleanAir では、5 つのローカルまたは Flexconnect AP ごとに 1 つの WSSI モジュールを導入することをお勧めします。この 1:5 の導入は、CleanAir 対応 MMAP と同じパフォーマンスを提供しますが、AP はクライアントにサービスを提供できます。これは、CleanAir を実行する WSSI モジュールの推奨導入です。
wIPS 保護では、5 つのローカルまたは Flexconnect AP ごとに 2 つの WSSI モジュールを導入することをお勧めします。オフチャネル攻撃の wIPS 検出時間は、MMAP の約 2 倍です。そのため、2:5 導入は、wIPS 検出パリティを提供する必要があります。これは、wIPS 保護を実行する WSSI モジュールの推奨導入です。
WSSI モジュールを使用した Cisco 3600 AP は、オンチャネルおよびオフチャネルの両方のスキャンを使用して、業界をリードするソリューションを提供し、クライアントにサービスを提供します。
WSSI モジュールの取り付け
AP3600 WSSI モジュールの設定
WSSI モジュールに必要な設定はありません。モジュールは、0x4(受信のみ)0 Tx アンテナ x 4 Rx を使用して、両方の帯域のすべてのチャネルを自動的にスキャンします。
WSSI モジュールは、ローカル モードまたは FlexConnect モードのいずれかで構成された AP3600 のみでアクティブになります。WSSI モジュールは、その他のすべてのモードでディセーブルになります。
WSSI モジュールの電力要件
WSSI モジュールがインストールされた AP3600 は、15.4 ワット(802.3af)を超えます。 AP では、(802.3at - PoE+)、Enhanced PoE、ローカル AC 電源または Cisco PoE インジェクタ(AIR-PWRINJ4)のいずれかが必要です。
注:
-
Enhanced PoE は、Cisco が開発した 802.3at PoE+ のフォアランナーです。最大電力は 20W です。
-
PoE+ は最大 30W の電力を提供できます。
WSSI モジュールの無線リソース管理
WSSI モジュールは、2.4GHz と 5GHz の両方の帯域ですべての RRM 測定を実行します。これらの測定は、[Monitor] > [Access Points] > [802.11a/n] > [AP_NAME] > [Details] または [Monitor] > [Access Points] > [802.11b/g/n] > [AP_NAME] > [Details] のいずれかで WLC GUI に表示されます。
WSSI モジュールの CleanAir
WSSI モジュールは、MMAP と同じ精度で CleanAir 干渉源を検出します。Cisco は、WSSI モジュールを 1:5 の密度で、つまり 5 AP ごとに WSSI モジュールを 1 つ導入することをお勧めします。これは、MMAP の推奨密度と同じです。
WSSI モジュールがサブモードなしでイネーブルにされている場合、モジュールは、2.4GHz 帯域と 5GHz 帯域の両方をスキャンします。モジュールは、各チャネルで 1.2 秒間維持し、CleanAir 干渉源をスキャンします。
CleanAir は、2.4GHz のみ、5GHz のみ、および 2.4GHz と 5GHz の両方でイネーブルにできます。これは、WLC CLI または GUI のいずれかから選択できます。次に、CleanAir を WLC CLI で設定する例を示します。
(Cisco Controller) >config 802.11-abgn cleanair enable APNAME 2.4GHz (Cisco Controller) >config 802.11-abgn cleanair enable APNAME 5GHz
同じ設定を GUI の [Wireless] > [Dual-Band Radios] > [Configure] で適用できます。次に例を示します。
CleanAir 干渉源が WSSI モジュールにより検出されたか確認するには、AP コンソールから show cleanair interferers コマンドを実行します。
SJC14-21A-AP-DUNGENESS-X# show cleanair interferers
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
ISI=0, -74 dBm, duty=100
c=00180000 sig(4)=1057CA80
on/report/seen 22/22/22 secs ago
同じ設定を GUI の [Wireless] > [Dual-Band Radios] > [Configure] で適用できます。以下が一例です。
CleanAir 干渉源は、WLC GUI で報告されます。干渉源は、帯域ごとに表示されます。つまり、5GHz 帯域の WSSI モジュールで検出された干渉源は、[Monitor] > [802.11a/n] > [Interference Devices] で表示されます。
CleanAir 干渉源が WSSI モジュールにより検出されたか確認するには、AP コンソールから show cleanair interferers を実行します。
SJC14-21A-AP-DUNGENESS-X# show cleanair interferers
CleanAir: slot 0 band 2.4 number of devices 0:
CleanAir: slot 1 band 5.0 number of devices 0:
CleanAir: slot 2 band 2.4 number of devices 0:
CleanAir: slot 2 band 5.0 number of devices 1:
IDR: 24(3159) Video Camera
ISI=0, -74 dBm, duty=100
c=00180000 sig(4)=1057CA80
on/report/seen 22/22/22 secs ago
WSSI モジュールの wIPS
WSSI モジュールは、MMAP と同じ精度で wIPS 攻撃者を検出します。wIPS では、AP の 2:5 の比率で WSSI モジュールを導入することをお勧めします。つまり、5 つの AP ごとに、そのうち 2 つの AP に WSSI モジュールを導入する必要があります。
構成できる wIPS モードは 2 つあります。
-
wIPS サブモード:wIPS 攻撃検出をイネーブルにして、すべてのチャネルを 1.2 秒間スキャンします。このモードでは、AP は、wIPS 検出のほかにすべての RRM レポートをキャプチャできます。
-
拡張 wIPS モード:wIPS 攻撃検出をイネーブルにして、すべてのチャネルを 250ms スキャンします。チャネル維持時間が短いほど、セキュリティ モジュールは、攻撃者をより素早く検出できます。
[Prime Infrastructure (PI)] ページから、[Configure] > [Acesss Points] > [AP_NAME] に移動します。WSSI モジュールは、wIPS サブモードまたは wIPS サブモード + 拡張 wIPS エンジン サポートのいずれかに設定できます。これは、AP 構成テンプレートの一部としてプッシュできます。
wIPS 攻撃者は、[Home] > [Security] タブから [Prime Infrastructure] で表示されます。
PI はネットワークレベル ビューを表示しますが、AP コンソールから show capwap am alarm ALARM_NUM コマンドを実行することで、WSSI モジュールで AP3600 の攻撃を表示できます。
たとえば、アラーム 52 は、Denial of Service、認証フラッドです。攻撃が WSSI モジュールで検出されたか確認するには、show capwap am alarm 52 コマンドを実行します。
SJC14-21A-AP-DUNGENESS-X# show capw am alarm 52 capwap_am_show_alarm = 52 <A id='47C30C9E'> <AT>52</AT> <FT>2012/10/01 21:04:22</FT> <LT>2012/10/01 21:04:49</LT> <DT>2012/10/01 18:49:08</DT> <SM>00:40:96:B5:85:8D-a</SM> <SNT>2</SNT> <DM>00:22:55:F2:80:9F-a</DM> <DNT>1</DNT> <CH>11</CH> <FID>0</FID> pAlarm.bPendingUpload = 0
WSSI モジュールの不正検出
WSSI モジュールは、MMAP と同じ精度で不正 AP を検出します。不正 AP のリストは、WLC および PI の両方で表示されます。
これは、WLC GUI から未分類不正 AP のリストです。不正 AP は、[Monitor] > [Rogues] の WLC GUI に表示できます。
AP コンソールを使用した WSSI モジュールが不正 AP を検出したか確認できます。コンソールから、show capwap rm rogue ap d2 all コマンドを入力します。すべての不正 AP が WSSI モジュール無線で表示されます。
SJC14-21A-AP-DUNGENESS-X# show capwap rm rogue ap dot11radio2 all ****************** CURRENT ROGUE APS **************** ROGUE AP: 0 BSSID = 64:D9:89:42:24:3E, channel = 149 SSID = alpha_phone heard 7 seconds ago authFailedCount=0 NumOfPkts = 2, wep = 1, SP = 0, adHoc = 0, wpa = 1, 11g = 0, 11n=2 antenna 1 pkts 2 avgRssi -81 avgSnr 13 ****************** MASTER ROGUE APS **************** ROGUE AP: 0 BSSID = C4:3D:C7:8A:EE:90, channel = 1 SSID = NETGEAR_11ng heard 7 seconds ago authFailedCount=0 isBeingContained = 0 seen at 0 seconds for 0 times and valid = 1 NumOfPkts = 16108, wep = 0, SP = 1, adHoc = 0, wpa = 0, 11g = 1, 11n=2 antenna 1 pkts 16108 avgRssi -73 avgSnr 12 ROGUE AP: 1 BSSID = EC:44:76:81:C0:02, channel = 1 SSID = alpha_byod heard 151 seconds ago authFailedCount=0 isBeingContained = 0 seen at 0 seconds for 0 times and valid = 1 NumOfPkts = 413, wep = 1, SP = 1, adHoc = 0, wpa = 1, 11g = 1, 11n=2 antenna 1 pkts 413 avgRssi -84 avgSnr 5
WSSI モジュールを使用した不正抑止
WSSI モジュールは、0x4 モジュール(受信アンテナのみ)です。つまり、不正抑止は、2.4GHz または 5GHz 無線で実行されます。不正 AP を自動的に含めるように WSSI を設定するには、[Security] > [Wireless Protection Policies] > [Rogue Policies] > [General] の WLC GUI で、[Auto Containment only for Monitor mode APs] がディセーブルにされていることを確認する必要があります(次のスクリーンショットを参照)。 他のすべてのチェックボックスはオンにする必要があります。
WSSI モジュールの Context Aware-Location
Cisco MSE に接続されている場合、WSSI モジュールは、MMAP と同じ精度でコンテキスト アウェア ロケーション データを提供します。
WSSI モジュールのライセンス
WSSI モジュールは、wIPS モニタ モード ライセンスを使用します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Jan-2013 |
初版 |
フィードバック