Cisco Advanced Wireless Intrusion Prevention System(aWIPS)は、ワイヤレス侵入の脅威を検出して軽減するメカニズムです。ワイヤレスの脅威検出およびパフォーマンスの管理のための高度な手法を使用します。APは脅威を検出し、アラームを生成します。この手法では、ネットワーク
トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。
インフラストラクチャに完全に統合されたソリューションを採用して、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワーク インテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃を正確に特定し事前に防止することができます。
-
認証フラッド:多数のクライアントステーションを偽装(MAC アドレススプーフィング)して AP に認証要求を送信し、AP のクライアント ステート テーブル(アソシエーションテーブル)のフラッディングを引き起こします。ターゲット AP では、個々の認証要求を受け取るたびにアソシエーションテーブルに状態
1 のクライアント項目が作成されます。オープンシステム認証が使用されている AP は、認証成功フレームを戻し、クライアントを状態 2 にします。共有キー認証(SHA)が AP に使用されている場合、AP は攻撃者の模倣クライアントに認証チャレンジを送信しますが、これは応答せず、AP
はクライアントを状態 1 に保ちます。これらのシナリオのいずれにおいても、AP には、状態 1 または状態 2 のいずれかの状態にある複数のクライアントが含まれ、AP アソシエーションテーブルがいっぱいになります。テーブルが上限に達すると、正規のクライアントがこの
AP に対して認証およびアソシエートできなくなります。
-
アソシエーションフラッド:AP に大量のスプーフィングされたクライアント アソシエーションを送り付け、AP のリソース(特にクライアント アソシエーション テーブル)を枯渇させます。攻撃者はこの脆弱性を利用して大量のクライアントをエミュレートし、多数のクライアントを作成して、ターゲット
AP のクライアント アソシエーション テーブルのフラッディングを発生させます。クライアント アソシエーション テーブルがオーバーフローすると、正規のクライアントをアソシエートできなくなります。
-
CTS フラッド:特定のデバイスが同じ無線周波数(RF)メディアを共有するワイヤレスデバイスにバルク Clear To Send(CTS)制御パケットを送信し、CTS フラッドが停止するまでワイヤレスデバイスによる RF メディアの使用をブロックします。
-
RTS フラッド:特定のデバイスが AP にバルク RTS 制御パケットを送信してワイヤレス帯域幅をブロックし、その AP 上のクライアントのパフォーマンス障害を引き起こします。
-
ブロードキャストプローブ:特定のデバイスがブロードキャストプローブ要求を使用して、管理対象 AP をフラッディングしようとします。
-
ディスアソシエーション フラッド:AP からクライアントへのディスアソシエーション フレームをスプーフィングして AP を状態 2(未アソシエートまたは未認証)にします。クライアントアダプタ実装では、この攻撃はこのクライアントに対してワイヤレスサービスを妨害する点で効果的かつ即効性があります。通常、クライアント
ステーションは攻撃者が新たなディスアソシエーション フレームを送り付けるまで、サービスを回復するために再アソシエートと再認証を行います。攻撃者は繰り返しディスアソシエーション フレームをスプーフし、クライアントを使用不能な状態にします。
-
ディスアソシエーション ブロードキャスト:特定のデバイスが関連付け解除ブロードキャストをトリガーして、すべてのクライアントを切断しようとすることです。
この攻撃では、AP からブロードキャストアドレス(すべてのクライアント)へのディスアソシエーション フレームをスプーフィングして AP のクライアントを状態 2(未アソシエートまたは未認証)にします。現在のクライアントアダプタの実装では、この形式の攻撃は、複数のクライアントに対するワイヤレスサービスを即座に中断します。通常、クライアント
ステーションは攻撃者が新たなディスアソシエーション フレームを送り付けるまで、サービスを回復するために再アソシエートと再認証を行います。攻撃者は繰り返しディスアソシエーション フレームをスプーフし、すべてのクライアントを使用不能な状態にします。
-
認証解除フラッド:AP からクライアント ユニキャスト アドレスへの認証解除フレームをスプーフィングして AP のクライアントを状態 1(未アソシエートまたは未認証)にします。現在のクライアントアダプタの実装では、この形式の攻撃はクライアントに対するワイヤレスサービスを即座に中断します。通常、クライアント
ステーションは攻撃者が新たな認証解除フレームを送り付けるまで、サービスを回復するために再アソシエートと再認証を行います。攻撃者は繰り返し認証解除フレームをスプーフし、すべてのクライアントを使用不能な状態にします。
-
認証解除ブロードキャスト:この DoS 攻撃では、AP からブロードキャストアドレスへの認証解除フレームをスプーフィングして AP のすべてのクライアントを状態 1(未アソシエートまたは未認証)にします。クライアントアダプタの実装では、この形式の攻撃は、複数のクライアントに対するワイヤレスサービスを即座に中断します。通常、クライアント
ステーションは攻撃者が新たな認証解除フレームを送り付けるまで、サービスを回復するために再アソシエートと再認証を行います。
-
EAPOL ログオフフラッド:特定のデバイスが、LAN 上で動作する拡張可能な認証プロトコル(EAPOL)ログオフパケットを送信しようとすることです。このパケットが WPA および WPA2 認証で使用され、サービス妨害が引き起こされます。
EAPOL ログオフフレームは認証されないため、攻撃者はこのフレームをスプーフィングし、ユーザを AP からログオフさせることができます。これにより DoS 攻撃が成立します。クライアントが AP からログオフしたことは、クライアントが WLAN
経由で通信を試行するまでは明らかではありません。通常この妨害が検出されると、クライアントはワイヤレス接続を回復するため自動的に再アソシエートと認証を行います。攻撃者は、スプーフィングされた EAPOL-Logoff フレームを継続的に送信できます。
-
AirDrop セッション:AirDrop セッション攻撃は、Apple 社の機能である AirDrop がファイル共有のためのピアツーピアリンクの設定に使用されている場合に発生します。この結果、WLAN 環境で未承認のピアツーピアネットワークが動的に作成されるため、セキュリティリスクが生じる可能性があります。
-
認証失敗フラッド:認証失敗フラッド攻撃は、特定のデバイスが、有効なクライアントからスプーフィングされた無効な認証要求で AP をフラッディングしようとすると発生し、接続解除につながります。
-
ビーコンフラッド:攻撃者が、有効な AP とステーション間の新しいアソシエーションを妨げることで、企業のインフラストラクチャ全体のワイヤレスアクティビティを阻害できる DoS 攻撃の形式。ビーコン フラッド攻撃では、ネットワークをアクティブに探しているステーションは、異なる
MAC アドレスと SSID を使用して生成されたビーコンでネットワークから攻撃されます。このフラッドによって、有効なクライアントは企業 AP によって送信されるビーコンを検出できなくなり、DoS 攻撃を受けることになります。
-
ブロック ACK フラッド:攻撃者が 802.11n AP を妨害し、特定の有効な企業クライアントからフレームを受信できないようにする DoS 攻撃の形式。802.11n 規格の導入に伴い、クライアントがフレームの大きなブロックをセグメントに分割することなく、同時に送信することができるトランザクションメカニズムが導入されました。この交換を開始するために、クライアントは
Add Block Add Acknowledgment(ADDBA)要求を AP に送信します。この要求には、送信されているブロックのサイズを AP に通知するためのシーケンス番号が含まれています。AP は指定されているシーケンス内のすべてのフレームを受け入れ(範囲外のフレームはすべてドロップし)、トランザクションが完了したら
BlockACK メッセージをクライアントに送信します。
-
EAPOL-Start V1 フラッド:攻撃者は AP の内部リソースを使い果たすために EAPOL-Start フレームを大量に送り付け、AP をダウンさせようとします。
-
ファジングビーコン:無効な、予期しない、またはランダムなデータがビーコンに取り込まれます。その変更されたフレームが空中にリプレイされます。このプロセスは接続先デバイスに、ドライバのクラッシュ、オペレーティングシステムのクラッシュ、スタックベースのオーバーフローなど予想外の動作を引き起こす場合があり、影響を受けたシステムで任意コードを実行できる状態にします。
-
ファジングプローブ要求:無効な、予期しない、またはランダムなデータがプローブ要求に導入されます。その変更されたフレームが空中にリプレイされます。
-
ファジングプローブ応答:無効な、予期しない、またはランダムなデータがプローブ応答に導入されます。その変更されたフレームが空中にリプレイされます。
-
無効な MAC OUI フレーム:有効な OUI を持たないスプーフィングされた MAC アドレスが使用されます。
-
不正な形式の関連付け要求:攻撃者が不正な形式の関連付け要求を送信します。その結果、DoS 攻撃につながる AP のバグがトリガーされる可能性があります。
-
不正な形式の認証:攻撃者が不正な形式の認証フレームを送信し、ある場合は、一部のドライバの脆弱性が公開されます。
-
プローブ応答フラッド:攻撃者がステーションを有効な企業 AP に関連付けられないようにする DoS の形式。一般的なワイヤレストランザクションでは、ステーションは AP と関連付けする場合、AP のネットワークに関する情報を取得するためにプローブ要求を送信します。その後、ステーションは
AP からのプローブ応答フレームを待ちます。攻撃者は、無効なプローブ応答を環境に大量に送り付けることで、このプロセスを悪用し、ステーションが有効な AP からの応答を受信できないようにできます。結果として、そのステーションはワイヤレスネットワークに接続できなくなり、DoS
攻撃が開始されます。
-
PS ポールフラッド:潜在的なハッカーによってワイヤレスクライアントのMACアドレスがスプーフィングされ、PS-Poll フレームのフラッドが送信されます。その後、AP からバッファされたデータフレームがワイヤレスクライアントに送信され、クライアントが省電力モードになっているために、データフレームが欠落することがあります。
-
再関連付け要求フラッド:AP に大量のエミュレートおよびスプーフィングされたクライアント再関連付けを送り付け、AP のリソース(特にクライアント関連付けテーブル)を枯渇させる DoS 攻撃の形式。クライアント関連付けテーブルがオーバーフローすると、正規のクライアントを関連付けできなくなり、DoS
攻撃が成立します。
-
ターゲットの認証解除:脅威のコンテキストを強化するために、攻撃の送信元と接続先の両方で可視化されます。
-
CTS 仮想キャリア検知攻撃:802.11n AP の MAC アドレスが変更されたときの DoS 攻撃の形式。これにより、正規のユーザーへのチャネルアクセスを妨げることで、CTS フレームタイプの値をかなり長期間にすることができます。
-
RTS 仮想キャリア検知攻撃:802.11n AP の MAC アドレスが変更されたときの DoS 攻撃の形式。これにより、正規のユーザーへのチャネルアクセスを妨げることで、送信要求(RTS)フレームタイプの値をかなり長期間にすることができます。