802.1X
802.1X は、802.11i のセキュリティ ワークグループによって採用された、ポートベースのアクセス コントロール用 IEEE フレームワークです。このフレームワークは、WLAN ネットワークに認証されたアクセスを提供します。
- 802.11 アソシエーション プロセスは、AP の各 WLAN クライアントに対する「仮想」ポートを作成します。
- この AP により、802.1X ベースのトラフィックを除くすべてのデータ フレームがブロックされます。
- 802.1X フレームは EAP 認証パケットを伝送します。EAP 認証パケットはそこから AP によって AAA サーバに渡されます。
- EAP 認証に成功すると、AAA サーバは AP に EAP 成功メッセージを送信します。その後 AP によって、WLAN クライアントから仮想ポートへデータ トラフィックが渡されることが許可されます。
- 仮想ポートを開く前に、WLAN クライアントと AP の間にデータ リンク暗号化が確立されます。これは、クライアントを認証するように設定されたポートに他の WLAN クライアントがアクセスできないようにするためです。
Identity PSK
Identity PSK(IPSK)機能は、ますます増加するインターネット接続デバイスをサポートし、802.1X セキュリティ プロトコルはサポートしません。これらのデバイスは、WSA PSK プロトコルを使用してネットワークに接続できます。IPSK 機能を使用すると、ネットワーク上の個々のデバイスまたはデバイス グループを一意の事前共有キーで簡単かつ安全に接続できます。
認証および暗号化
Cisco Wireless Security Suite は、必須または既存の認証、プライバシー、およびクライアント インフラストラクチャを基礎とするセキュリティのアプローチのオプションを提供します。Cisco Wireless Security Suite では、ELM 機能を含む WPA、WPA2、WEP Extension および wIPS をサポートします。
次のオプションを使用できます。
- 次の EAP 方式を使用した 802.1X に基づく認証:
– Cisco LEAP、すなわち Secure Tunneling(EAP-FAST)を介した EAP-Flexible Authentication
– PEAP-Generic Token Card(PEAP-GTC)
– PEAP-Microsoft Challenge Authentication Protocol Version 2(PEAP-MSCHAPv2)
– EAP-Transport Layer Security(EAP-TLS)
– EAP-Subscriber Identity Module(EAP-SIM)
– AES-CCMP Encryption WPA2
– TKIP 暗号化拡張機能:キー ハッシング(パケットごとのキーイング)、メッセージ整合性チェック(MIC)、および WPA/WPA2 または WEP TKIP Cisco Key Integrity Protocol(CKIP)によるブロードキャスト キー ローテーション
非 802.1X 認証用の Identity PSK
Identity PSK は、WPA-PSK の手軽さと RADIUS 統合を組み合わせたもので、802.1X サプリカントをサポートしていない多くのデバイスにとって理想的な代替手段です。また、同じ WLAN 内のさまざまなクライアントに対して一意の事前共有キーを有効にする簡単な方法でもあります。柔軟性に優れているため、追加された AAA オーバーライド機能によりポリシーの配布を強化することもできます。
- WPA-PSK および Mac:RADIUS によってクライアントの MAC が認証され、パスフレーズが VSA の一部として WLC に送信されます。
Extensible Authentication Protocol(EAP)
Extensible Authentication Protocol(EAP)は、トランスポート プロトコルから認証プロトコルを分離する必要があることを規定する IETF RFC です。これにより、802.1X や UDP、RADIUS などのトランスポート プロトコルによって EAP プロトコルを伝送できるようになります。認証プロトコル自体は変わりません。基本の EAP プロトコルには次の 4 種類のパケット タイプが含まれます。
- EAP 要求:要求パケットがオーセンティケータによってサプリカントに送信されます。各要求には type フィールドがあり、要求されている内容を示します。これには、使用されるサプリカント アイデンティティや EAP タイプなどが含まれます。シーケンス番号により、オーセンティケータおよびピアは、各 EAP 要求に対応する EAP 応答を一致できます。
- EAP 応答:応答パケットがサプリカントによってオーセンティケータに送信された後、シーケンス番号を使用して最初の EAP 要求と照合します。EAP 応答のタイプは通常 EAP 要求と一致しますが、応答が否定応答(NAK)の場合は除きます。
- EAP 成功:認証の成功が発生すると、成功パケットがオーセンティケータからサプリカントへ送信されます。
- EAP 失敗:認証の失敗が発生すると、失敗パケットがオーセンティケータからサプリカントへ送信されます。
EAP を 802.11i 準拠のシステムで使用すると、AP は EAP パススルー モードで動作します。パススルー モードではコード ID と長さフィールドを検査し、その後受信した EAP パケットをクライアント サプリカントから AAA に転送します。AAA サーバからオーセンティケータによって受信された EAP パケットが、サプリカントに転送されます。図 4-2 では、EAP プロトコルのフローの例を示します。
図 4-2 EAP プロトコルのフロー
認証
要件に応じて、安全な無線の展開には PEAP や EAP-TLS、EAP-FAST などのさまざまな認証プロトコルが使用されます。プロトコルに関係なく、無線の展開には 802.1X、EAP および RADIUS が基本的な伝送手段として必ず使用されます。
これらのプロトコルにより、WLAN クライアントの認証の成功に基づいたネットワーク アクセス コントロールが可能になります。その逆も同様です。このソリューションでは、RADIUS プロトコルによって伝送されるポリシーを介した承認のほか、RADIUS アカウンティングも提供します。
認証の実行に使用する EAP の種類については、以降で詳しく説明します。EAP プロトコルの選択に影響する主な要因は、現在使用されている認証システム(AAA)です。理想的には、安全な WLAN を展開するために新しい認証システムを導入する必要はありませんが、すでに使用されている認証システムを活用する必要があります。
サプリカント
市場で入手可能なさまざまな EAP サプリカントには、使用可能な認証ソリューションと顧客の要望の多様性が反映されています。
表 4-1 では、一般的な EAP サプリカントの概要を示します。
- EAP-FAST:EAP-Flexible Authentication via Secured Tunnel。PEAP で使用されているものと類似したトンネルを使用しますが、公開キー インフラストラクチャ(PKI)を使用する必要はありません。
- PEAP MSCHAPv2:Protected EAP MSCHAPv2。Transport Layer Security(TLS)トンネル(SSL の IETF 標準)を使用して、WLAN クライアントと認証サーバ間でのカプセル化された MSCHAPv2 の交換を保護します。
- PEAP GTC:Protected EAP Generic Token Card(GTC)。TLS トンネルを使用して、汎用トークン カードの交換(ワンタイム パスワードや LDAP 認証など)を保護します。
- EAP-TLS:EAP Transport Layer Security。PKI を使用して、WLAN ネットワークと WLAN クライアントの両方を認証します。クライアント証明書および認証サーバの証明書が必要となります。
表 4-1 一般的なサプリカントの比較
|
|
|
|
|
シングル サインオン(MSFT AD のみ) |
〇 |
〇 |
〇 |
〇 |
ログイン スクリプト(MSFT AD のみ) |
〇 |
〇 |
一部 |
〇 |
パスワード変更(MSFT AD) |
〇 |
〇 |
〇 |
該当なし |
Microsoft AD データベース サポート |
〇 |
〇 |
〇 |
〇 |
ACS ローカル データベース サポート |
〇 |
〇 |
〇 |
〇 |
LDAP データベース サポート |
〇 |
× |
〇 |
〇 |
OTP 認証サポート |
〇 |
× |
〇 |
非対応 |
RADIUS サーバ証明書は必要か |
× |
〇 |
〇 |
〇 |
クライアント証明書は必要か |
× |
× |
× |
〇 |
匿名 |
〇 |
〇 |
〇 |
非対応 |
オーセンティケータ
WLC は、802.1X ベースのサプリカントと RADIUS 認証サーバ間で交換される EAP メッセージのリレーとして機能するオーセンティケータです。認証が正常に完了した場合、WLC は次のものを獲得します。
- EAP 成功メッセージを含む RADIUS パケット
- EAP 認証中に認証サーバで生成される暗号化キー
- 通信ポリシーの RADIUS ベンダー固有の属性(VSA)
図 4-3 では、全体的な認証アーキテクチャ内のオーセンティケータの論理的ロケーションを示します。オーセンティケータは、802.1X プロトコルを使用してネットワーク アクセスを制御し、サプリカントと認証サーバの間で EAP メッセージをリレーします。
図 4-3 オーセンティケータのロケーション
EAP の交換の手順は次のとおりです。
- パケット 1 が、AP によってクライアントに送信されます。このときクライアントの識別情報が要求されます。これにより、EAP 交換が開始されます。
- パケット 2 には、RADIUS サーバに転送されるクライアント ID が含まれています。パケット 2 内のクライアント ID に基づいて、EAP 認証を継続するかどうかを RADIUS サーバが判断します。
- パケット 3 には、認証のための EAP 方式として PEAP を使用する RADIUS サーバ要求が含まれます。実際の要求は、RADIUS サーバで設定された EAP の種類によって異なります。クライアントが PEAP 要求を拒否すると、RADIUS サーバは別の種類の EAP を提示できます。
- パケット 4 ~ 8 は、PEAP の TLS トンネル セットアップです。
- パケット 9 ~ 16 は、PEAP 内の認証交換です。
- パケット 17 は、認証が成功したことをサプリカントとオーセンティケータに通知する EAP メッセージです。また、パケット 17 は暗号キーと認証情報を RADIUS VSA の形式でオーセンティケータに伝送します。
Identity PSK を使用するオーセンティケータ
- クライアントがアクセス ポイントによってブロードキャストされた SSID にアソシエーション要求を送信すると、ワイヤレス LAN コントローラはそのクライアントの特定の MAC アドレスを含む RADIUS 要求パケットを形成し、RADIUS サーバに中継します。
- RADIUS サーバは、認証を実行し(クライアントが許可されるかどうかを確認し)、ACCESS-ACCEPT または ACCESS-REJECT のいずれかの応答を WLC に送信します。
- ダイナミック PSK をサポートするため、認証サーバは認証応答を送信するだけでなく、この特定のクライアント用のパスフレーズも提供します。このパスフレーズは PSK の計算にも使用されます。
- RADIUS サーバは、ユーザ名、VLAN、QoS など、このクライアントに固有の追加パラメータも応答に含めることができます。1 人のユーザが複数のデバイスを所有している場合は、すべてのデバイスで同じパスフレーズを使用できます。
- WLC は、パスフレーズ/PSK 計算を受け取ると、次の図(図 4-x)に示すように、4 ウェイ ハンドシェイク プロセスを使用して PTK を生成します。
認証サーバ
Cisco Secure Unified Wireless Network ソリューションで使用される認証サーバは、Cisco Access Control Server(ACS)および Cisco Identity Services Engine(ISE)です。ACS は、Windows サーバにインストールされるソフトウェアまたはアプライアンスとして使用できます。ISE は、VM サーバにインストールされるソフトウェアとして使用できます。あるいは、特定の WLAN インフラストラクチャ デバイス内に認証サーバの役割を実装することもできます。たとえば、IOS AP 上のローカル認証サービス、WLC 内のローカル EAP 認証のサポート、必要な EAP タイプをサポートする任意の AAA サーバに組み込まれた AAA サービスなどです。
図 4-4 では、RADIUS トンネルを介して EAP 認証を実行する、全体的な無線認証アーキテクチャ内の認証サーバの論理的ロケーションを示しています。
図 4-4 認証サーバのロケーション
EAP 認証が正常に完了すると、認証サーバからオーセンティケータに EAP 成功メッセージが送信されます。このメッセージは、EAP 認証プロセスが正常に行われたことをオーセンティケータに通知し、その結果として WLAN クライアントと AP の間の暗号化されたストリームを作成する際の基礎として使用される Pairwise Master Key(PMK)をオーセンティケータに渡します。
暗号化
暗号化は、ローカル RF ブロードキャスト ネットワーク上にプライバシーを提供する WLAN セキュリティの必須コンポーネントです。新しく展開を行う際は、TKIP(WPA/WPA2)または AES 暗号化を使用する必要があります。
WPA および WPA2 では、暗号キーはフォーウェイ ハンドシェイク中に取得されます。フォーウェイ ハンドシェイクについてはこのセクションで後ほど説明します。
TKIP の暗号化
802.11i で指定されたエンタープライズ レベルの暗号化メカニズムは Wi-Fi Alliance による WPA/WPA2 および wIPS、すなわち Temporal Key Integrity Protocol(TKIP)、および Advanced Encryption Standard(AES)として認証されます。TKIP は認定された暗号化方式です。802.11 WEP 暗号化方式に関連した元の欠点に対応することによって、レガシーの WLAN 機器をサポートしています。TKIP ではこれを行うために、元の RC4 コア暗号化アルゴリズムを利用します。
WLAN クライアント デバイスのハードウェア更新サイクルから、数年間は TKIP および AES が一般的な暗号化となりそうです。AES 暗号化によって、より幅広い IT 業界の標準やベスト プラクティスに沿った WLAN 暗号化規格がもたらされるため、AES 暗号化が望ましい方式です。図 4-5 では、基本的な TKIP のフロー チャートを表示します。
図 4-5 TKIP フロー チャート
TKIP の主な 2 種類の機能は、MAC Service Data Unit(MSDU)の RC4 暗号化を使用するパケットごとのキーと、暗号化されたパケット内にメッセージ完全性チェック(MIC)を生成することです。パケットごとのキーは、送信アドレス、フレームの初期化ベクトル(IV)、および暗号キーのハッシュです。IV はそれぞれのフレーム送信に従って変化するため、RC4 暗号化に使用されるキーはフレームごとに固有のものです。
MIC は、ユーザ データと MIC キーを組み合わせるために Michael アルゴリズムを使用して生成されるものです。Michael アルゴリズムにはトレードオフがあり、演算のオーバーヘッドが少なくパフォーマンスは良いものの、アクティブな攻撃にさらされやすくなる可能性があります。この問題に対処するため、WPA には、一時的な WLAN クライアントの切断や新しいキーのネゴシエーションを 60 秒間許可しないなどの攻撃を防御するための対策が含まれます。しかし、この動作自体が一種の DoS 攻撃になる場合もあります。多くの WLAN 展開では、このような対策機能を無効にすることもできます。
Wi-Fi® デバイスからの TKIP の削除
Wi-Fi Alliance および 802.11 WPA によると、Temporal Key Integrity Protocol(TKIP)を使用するワイヤレス ネットワークでは、ユーザまたは企業の Wi-Fi® ネットワークを保護するために十分なセキュリティが提供されません。TKIP は、一部の暗号攻撃に対して既知の脆弱性がある古いセキュリティ テクノロジーです。TKIP は、一部の暗号攻撃に対して既知の脆弱性がある古いセキュリティ テクノロジーです。TKIP および WEP では基盤となる暗号が同じため、結果的に多くの類似する攻撃に弱くなります。TKIP は、2004 年に WEP を実装したデバイス向けに設計された過渡期のメカニズムで、AES はサポートしていません。TKIP の既知の脆弱性により、TKIP を使用するネットワークは攻撃の影響を受けやすくなります。
推奨事項:
- ネットワーク管理者は、WPA2 をサポートしている機器を購入または導入する必要があります。
- ネットワーク管理者は、WPA2 のみを使用するように AP を設定する必要があります。
- 機器ベンダーは、内部調査で市場の需要がなくなったと示されたら、カスタマー ベースに対しては TKIP を使用しないよう助言し、製品内の機能を削除することによって、TKIP サポートから積極的に移行していく必要があります。
Wi-Fi Alliance は、機器ベンダーに対して短期間で TKIP の使用を減らし、市場の需要がなくなったら最終的にはすべての Wi-Fi デバイスから TKIP を削除することを推奨しています。少なくとも、ベンダーは、プライマリ デバイス インターフェイスから TKIP および「TKIP のみ」モードの設定を削除する必要があります。セカンダリ設定インターフェイス経由で「TKIP のみ」の設定モードにアクセスすることは可能です。セカンダリ インターフェイスにアクセスするには、レガシー デバイスを使用する展開のみに TKIP の使用を制限するためのメカニズムが必要です。その他の展開では、通常、プライマリ設定インターフェイスを使用します。
移行の例外:
ベンダーは、プライマリ デバイス インターフェイスから TKIP および「TKIP のみ」モードの設定を削除する必要があります。セカンダリ設定インターフェイス経由で「TKIP のみ」の設定モードにアクセスすることは可能です(CLI)。
詳細については、『 Technical Note - Removal of TKIP from Wi-Fi Devices 』を参照してください。
シスコは、Wi-Fi Alliance が推奨するように、CLI モードからのみ TKIP を設定するための一連のコマンドを開発しました。
(Cisco Controller) >config wlan security wpa wpa1 ciphers tkip <en/dis> <wlan#>
(Cisco Controller) >test wlan standalone-tkip <enable/disable> <wlan#>>
GUI インターフェイスから同じ設定が試行されると、画面に次のように表示されます。
AES の暗号化
図 4-6 では、基本的な AES カウンタ モード/CBC MAC Protocol(CCMP)のフロー チャートを示します。CCMP は、カウンタ モードが機密性を提供し、CBC MAC がメッセージの完全性を提供する AES 暗号化モードの 1 つです。
図 4-6 WPA2 AES CCMP
CCMP の手順では、追加の認証データ(AAD)は MAC ヘッダーから取り出され、CCM 暗号化プロセスに含まれます。これにより、フレームの暗号化されていない部分の変更からフレームを保護します。
リプレイ攻撃を防御するため、シーケンスト パケット番号(PN)は CCMP ヘッダーに含まれています。CCM 暗号化プロセスで順番に使用される nonce を生成するため、PN および MAC ヘッダーの一部が使用されます。
フォーウェイ ハンドシェイク
フォーウェイ ハンドシェイクは、無線データ フレームを暗号化するための暗号化キーを取得するために使用される方式です。図 4-7 では、暗号化キーを生成するために使用されるフレーム交換を図示します。これらのキーを一時キーと呼びます。
暗号化キーは、EAP 認証中に相互に取得される PMK から取得されます。この PMK は EAP Success メッセージのオーセンティケータに送信されますが、サプリカントには転送されません。これは、サプリカントがコピーした PMK 自体で生成するためです。
1. オーセンティケータは、オーセンティケータの nonce(ANonce)を含む EAPOL キー フレームを送信します。ANonce はオーセンティケータによって生成される乱数です。
サプリカントは、ANonce とサプリカントの nonce(SNonce)から PTK を取得します。SNonce は、クライアント/サプリカントによって生成される乱数です。
2. サプリカントは、SNonce、(再)アソシエーション要求フレームの RSN 情報要素、および MIC を含む EAPOL キー フレームを送信します。
オーセンティケータは、ANonce および SNonce から PTK を取得し、EAPOL キー フレーム内の MIC を検証します。
3. オーセンティケータは、ANonce、ビーコンまたはプローブ応答メッセージの RSN 情報要素、一時キーをインストールするかどうかを判断する MIC、およびカプセル化されたグループ一時キー(GTK)であるマルチキャスト暗号キーを含む EAPOL キー フレームを送信します。
4. サプリカントは EAPOL キー フレームを送信し、これらの一時キーが組み込まれたことを確認します。
図 4-7 フォーウェイ ハンドシェイク
Cisco Unified Wireless Network のセキュリティ機能
ネイティブの 802.11 セキュリティ機能が、物理的なセキュリティや CAPWAP アーキテクチャの展開の容易さと組み合わさることで、WLAN の導入全体のセキュリティの向上に役立ちます。CAPWAP プロトコルに固有のセキュリティ上の利点に加えて、Cisco Unified Wireless Network ソリューションには次のようなセキュリティ機能もあります。
- 強化された WLAN セキュリティ オプション
- ACL およびファイアウォール機能
- Dynamic Host Configuration Protocol(DHCP)および Address Resolution Protocol(ARP)の保護
- ピアツーピア ブロック
- ワイヤレス侵入防御システム(wIPS)
– クライアント除外
– 不正 AP 検出
- 管理フレーム保護
- 動的 RF 管理
- アーキテクチャの統合
- IDS 統合
強化された WLAN セキュリティ オプション
Cisco Unified Wireless Network ソリューションでは、複数の WLAN セキュリティ オプションを同時にサポートします。たとえば、1 つの WLC 上に複数の WLAN を作成し、それぞれの WLAN に、オープンなゲスト WLAN ネットワークやレガシー プラットフォーム用の WEP のネットワークから WPA や WPA2 セキュリティ設定の組み合わせまで対応可能な独自の WLAN セキュリティを設定することができます。
それぞれの WLAN SSID は、WLC 上の同じ、または異なる dot1q インターフェイスにマッピングすることも、モビリティ アンカー(オート アンカー モビリティ)接続を介して別のコントローラにトンネリングされた Ethernet over IP(EoIP)にマッピングすることもできます。
WLAN クライアントが 802.1X を介して認証する場合、dot1q VLAN の割り当ては、認証成功時に WLC に渡される RADIUS 属性を使用して制御されます。
図 4-11、図 4-12、および図 4-13 では、Unified Wireless Network WLAN 設定画面のサブセットを示します。表示される主な設定項目は次の 4 つです。
- WLAN SSID
- WLAN がマッピングされている WLC インターフェイス
- レイヤ 2 セキュリティ方式(図 4-12)
- レイヤ 3 セキュリティ方式(図 4-13)
図 4-11 WLAN の [General] タブ
図 4-12 WLAN の [Layer 2 Security] タブ
図 4-13 WLAN の LAN セキュリティの [Layer 3]
Local EAP Authentication
WLC ソフトウェアは、外部 RADIUS サーバが使用可能でない場合や使用不可になった場合に使用できる、ローカル EAP 認証機能を提供します。ローカル認証への切り替えが設定されるまでの遅延は、図 4-14 で示したとおりに設定します。RADIUS サーバの可用性が復旧されると、WLC は自動的にローカル認証から RADIUS サーバ認証へ再び切り替えます。
図 4-14 ローカル認証のタイムアウト
WLC 上でローカルでサポートされる EAP の種類は、LEAP、EAP-FAST、EAP-TLS および PEAP です。
図 4-15 では、ローカル EAP のプロファイルを選択できるウィンドウを示します。
図 4-15 ローカル EAP のプロファイル
WLC ではローカル データベースを使用してデータ認証を行うことができます。また、LDAP ディレクトリにアクセスして EAP-FAST または EAP-TLS 認証に関するデータを提供することもできます。ユーザ クレデンシャル データベースのプライオリティ(LDAP かローカルか)は、図 4-16 で示すとおりに設定可能です。
図 4-16 ローカル EAP のプライオリティ
ACL およびファイアウォール機能
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。コントローラで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用 WLAN、あるいは CPU 宛てのすべてのトラフィックを制御するコントローラ CPU に適用できます。
または、Web 認証用に事前認証 ACL を作成することもできます。事前認証 ACL を使用すると、認証が完了する前に、特定の種類のトラフィックを許可することができます。
IPv4 ACL および IPv6 ACL のどちらもサポートされています。IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。
- IPv4 および IPv6 の両方に最大 64 の ACL を定義し、各 ACL に最大 64 のルール(またはフィルタ)を適用できます。各ルールには、ルールの処理に影響を与えるパラメータがあります。パケットが 1 つのルールの全パラメータと一致した場合、そのルールに設定された処理がそのパケットに適用されます。
- Cisco 5500 シリーズ コントローラ、Cisco 3504 シリーズ ワイヤレス コントローラ、および 8500 シリーズ ワイヤレス コントローラに CPU ACL を適用する場合は、Web 認証のために仮想 IP アドレスへのトラフィックを許可する必要があります。
- すべての ACL で、最後のルールとして暗黙の「deny all」ルールが適用されます。パケットがどのルールとも一致しない場合、コントローラによってドロップされます。
- Cisco 5500 シリーズ コントローラまたはコントローラ ネットワーク モジュールとともに外部の Web サーバを使用している場合は、WLAN 上で外部 Web サーバに対する事前認証 ACL を設定する必要があります。
- インターフェイスまたは WLAN に ACL を適用すると、1 Gbps ファイル サーバからのダウンロードの際にワイヤレス スループットが低下します。スループットを改善するには、インターフェイスまたは WLAN から ACL を削除するか、ポリシー レート制限制約機能を持つ隣接有線デバイスに ACL を移動するか、1 Gbps ではなく 100 Mbps を使用してファイル サーバを接続します。
- 有線ネットワークから受信した無線クライアントに向かうマルチキャスト トラフィックは WLC ACL では処理されません。ワイヤレス クライアントから送信された有線ネットワークまたは同じコントローラ上の他のワイヤレス クライアント宛のマルチキャスト トラフィックは、WLC ACL によって処理されます。
- ACL はコントローラ上で直接設定されるか、テンプレート経由で設定されます。ACL 名は固有の名前でなければなりません。
- クライアント(AAA によって上書きされる ACL)ごと、もしくはインターフェイスまたは WLAN で ACL を設定できます。AAA によって上書きされる ACL の優先度が最も高くなります。ただし、適用する各インターフェイス、WLAN、またはクライアントごとの ACL の設定は、お互いを上書きできます。
- ピアツーピア ブロッキングが有効になると、トラフィックは ACL で許可されてもピア間でブロックされます。
- 認証トラフィックは、DNS ベースの ACL が AP に対してローカルであっても、この機能がサポートされるように Cisco WLC を経由する必要があります。
- ACL を作成する場合は、CLI または GUI から 2 つのアクション(ACL または ACL ルールの作成と、ACL または ACL ルールの適用)を連続して行うことが推奨されます。
図 4-17 では、[ACL Configuration] ページを示します。ACL では、発信元アドレスと送信先アドレスの範囲、プロトコル、送信元ポートと宛先ポート、DSCP、および ACL が適用される方向を指定できます。ACL は、さまざまな規則の順序で作成できます。
図 4-17 [ACL Configuration] ページ
図 4-18 [Flex Connect ACL] の図
レイヤ 2 アクセス コントロール リスト
パケットに関連付けられた EtherType に基づいてレイヤ 2 アクセス コントロール リスト(ACL)のルールを設定できます。中央スイッチングの WLAN に PPPoE クライアントのみをサポートさせる必要がある場合は、この機能を使用してレイヤ 2 ACL ルールを WLAN に適用し、クライアントが認証され他のパケットがドロップされてから PPPoE パケットのみを許可することができます。同様に、WLAN に IPv4 クライアントまたは IPv6 クライアントのみをサポートさせる必要がある場合は、レイヤ 2 ACL ルールを WLAN に適用し、クライアントが認証され他のパケットがドロップされてから IPv4 または IPv6 パケットのみを許可することができます。ローカルにスイッチされる WLAN の場合、WLAN または FlexConnect AP のいずれかに同じレイヤ 2 ACL を適用できます。AP 固有のレイヤ 2 ACL は FlexConnect AP にのみ設定できます。これは、ローカルにスイッチされる WLAN にのみ適用されます。FlexConnect AP に適用されるレイヤ 2 ACL は WLAN に適用されるレイヤ 2 ACL よりも優先されます。
図 4-19 WLC での設定に使用できるレイヤ 2 ACL の図
DNS ベースのアクセス コントロール リスト
DNS ベースの ACL は、Apple および Android デバイスなどのクライアント デバイスに使用されます。これらのデバイスを使用する場合、デバイスがアクセス権を持つ範囲を特定するために Cisco WLC に事前認証 ACL を設定できます。
Cisco WLC で DNS ベースの ACL を有効にするには、ACL の許可された URL を設定する必要があります。URL は、ACL で事前設定しておく必要があります。
DNS ベースの ACL によって、登録フェーズ中のクライアントは、設定された URL への接続を許可されます。
Cisco WLC は ACL 名で設定され、事前認証 ACL が適用されるように AAA サーバによって返されます。ACL 名が AAA サーバによって返されると、ACL は Web リダイレクト用にクライアントに適用されます。
クライアント認証フェーズでは、ISE サーバが事前認証 ACL (url-redirect acl)を返します。DNS スヌーピングは、登録が完了してクライアントが SUPPLICANT PROVISIONING 状態になるまで、各クライアントの AP で実行されます。URL で設定された ACL が Cisco WLC で受信されると、CAPWAP ペイロードは AP に送信され、クライアントの DNS スヌーピングが有効になり URL がスヌーピングされます。
適切な URL スヌーピングにより、AP は DNS 応答の解決済みドメイン名の IP アドレスを学習します。ドメイン名が設定された URL に一致すると、DNS 応答が IP アドレスについて解析され、IP アドレスは CAPWAP ペイロードとして Cisco WLC に送信されます。Cisco WLC によって IP アドレスの許可リストに IP アドレスが追加されるため、クライアントは設定された URL にアクセスできます。
DNS ベースのアクセス コントロール リストでの制限
- 最大 10 の URL をアクセス コントロール リストに許可できます。
- Cisco WLC では、1 つのクライアントに対して 20 の IP アドレスが許可されています。
- ローカル認証は FlexConnect AP でサポートされていません。
- DNS ベースの ACL は、ローカル スイッチングを使用した FlexConnect AP ではサポートされません。
- DNS ベースの ACL は、Cisco 1130 および 1240 シリーズのアクセス ポイントでサポートされていません。
- 認証トラフィックは、DNS ベースの ACL が AP に対してローカルであっても、この機能がサポートされるように Cisco WLC を経由する必要があります。
- クライアントがアンカーされている場合は、それが自動アンカーであろうとローミング後のアンカーであろうと、DNS ベースの ACL は機能しません。
- DNS ベースの ACL は、SSID 上で RADIUS NAC(中央 Web 認証またはポスチャ)が実行される場合にのみ動作します。DNS ベースの ACL は、ローカル Web 認証や、RADIUS NAC の場合に使用されるリダイレクト ACL 以外の形式の ACL とは併用できません。
図 4-20 WLC で設定可能な DNS ベースの ACL の図
URL フィルタリングまたは ACL
URL フィルタリングは、リリース 8.3 で導入され、リリース 8.4 で機能が強化されました。URL フィルタリング機能により、Web サイトへのアクセスを制限することでネットワーク帯域幅の使用が最適化されます。この機能では、DNS スヌーピングを使用して、DNS サーバからワイヤレス クライアントに送信される DNS 応答をスヌープします。URL フィルタリングは、HTTP や HTTPS を含むすべてのプロトコルについて URL を制限する ACL ベースの実装です。URL フィルタリングの ACL は、すべての URL に対して、許可/拒否アクションに関連付けられる一連の URL として定義されます。ACL タイプは、ホワイトリストまたはブラックリストのどちらかとなります。ホワイトリスト ルールとブラックリスト ルールの混在はサポートされていません。アクセス URL が設定でブロックされた場合にブロックされたページをクライアントにリダイレクトするために使用される外部サーバの IP アドレスが設定されます。
WLC はクライアントへの DNS 応答をスヌープし、URL が設定(ACL ルール)で許可される場合は、DNS 応答がクライアントに送信されます。URL が設定(ACL ルール)によって許可されていない場合、解決済み IP は外部サーバの IP(後ほど設定します)で上書きされてクライアントに返されます。この外部サーバはブロックページをクライアントにリダイレクトします。DNS 応答が ACL にヒットしたときに、ある特定の ACL で許可された DNS 応答と拒否された DNS 応答を計数するカウンタが表示されます。
URL フィルタリングの設定
URL フィルタリングは、ローカル ポリシーによって WLAN、インターフェイス、または個々のクライアント セッションに割り当てられている ACL およびルールを使用して、許可または拒否する URL を決定します。次の手順では、2 つの一般的なシナリオに基づいて、URL に基づく ACL ルールを作成する方法を示します。
- シナリオ 1:特定の URL へのアクセスを拒否するためのルールが定義されているリスト タイプ「Blacklist」を使用した ACL。これは、一般的に「ブラックリスト」と呼ばれます。
- シナリオ 2:特定の URL へのアクセスのみを許可するためのルールが定義されているリスト タイプ「Whiitelist」を使用した ACL。これは一般的にホワイトリスト化と呼ばれます。
アクセス コントロール リストの適用
URL ACL は、ローカル ポリシーを使用して動的にクライアントに割り当てることも、WLAN やインターフェイスに直接割り当てることもできます。
- ローカル ポリシー - URL ACL は、ローカル ポリシーが割り当てられているすべてのクライアントに適用されます。ローカル ポリシーを使用して割り当てられた URL ACL は優先順位が最も高く、WLAN やインターフェイスに割り当てられている URL ACL をオーバーライドします。
- WLAN - URL ACL は、対象の WLAN に関連付けられたすべてのクライアントに適用されます(クライアントにローカル ポリシー経由で URL ACL が割り当てられている場合を除く)。WLAN に割り当てられた URL ACL は、インターフェイスに割り当てられた URL ACL をオーバーライドします。
- インターフェイス:URL ACL は、特定のインターフェイスに転送されるすべてのトラフィックに適用されます。
プラットフォームのサポート
1. この機能は、3504(リリース 8.5 以降)、5520、および 8540 でサポートされます。5508、8510、vWLC、2504、および ME ではサポートされません。
2. ローカル モードと [Flex central switching] でのみサポートされます。
考慮事項
1. ワイルドカード サポート(「*.domain.com」など)
2. 最大 10 件
3. ワイルドカード 1 つ当たりサブドメイン 5 つ
4. URL フィルタリングには次のものが含まれます。
1. URL 100 件のサポート
a. サブ URL(www.domain.com と www.domain.com/resources など)はサポート対象外
2. URL は最大 32 文字までサポート
3. この機能は AVC に依存しません。DNS スヌーピングのみに基づいて動作します
4. URL フィルタリング ACL 名を返す RADIUS サーバはサポートされていません
5. リバース DNS はサポートされていません。ダイレクト IP による(DNS を介さない)クライアント アクセスは許可されません
6. IPv6 はサポートされません。
設定手順
1. ACL をホワイトリストまたはブラックリストとして設定し、ドメインへのアクセスを許可または拒否する
2. 外部サーバの IP アドレスを設定する
3. 作成した URL ACL を次のいずれかに関連付ける
a. インターフェイス
b. WLAN
c. ローカル ポリシー(最優先)
4. これで、すべてのプロトコルについて閲覧が特定のドメインに制限されます。
URL フィルタリングと ACL の設定に関する詳細については、次の URL にある導入ガイドを参照してください。
https ://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-4/b_URL_ACL_Enhanced_Deployment_Guide.html
ドメイン フィルタリングの設定手順
ドメイン フィルタリングは、WLC でデフォルトによりグローバルに無効になっており、NBAR2 エンジンで HTTP ベースの URL を検査してフィルタリングする前に有効にする必要があります。
ドメイン フィルタリングでは、WLAN、インターフェイス、または個々のクライアントにローカル ポリシー経由で割り当てられた ACL を使用して、許可または拒否する HTTP ベースの URL を判断します。以下の手順では、2 つの一般的なシナリオについて、URL ベースの ACL とルールを作成する方法を示します。
- シナリオ 1:特定の HTTP URL へのアクセスを拒否する ACL とルールを定義する。これは一般的にブラックリスト化と呼ばれます。
- シナリオ 2:特定の HTTP URL へのアクセスのみを許可する ACL とルールを定義する。これは一般的にホワイトリスト化と呼ばれます。
URL ACL は、ローカル ポリシーを使用してクライアントに動的に割り当てるか、WLAN またはインターフェイスに直接割り当てることができます。
– ローカル ポリシー - URL ACL は、ローカル ポリシーが割り当てられているすべてのクライアントに適用されます。ローカル ポリシーを使用して割り当てられた URL ACL は優先順位が最も高く、割り当てられている URL ACL をオーバーライドします。
– WLAN - URL ACL は、対象の WLAN に関連付けられたすべてのクライアントに適用されます(クライアントにローカル ポリシー経由で URL ACL が割り当てられている場合を除く)。WLAN に割り当てられた URL ACL は、
– WLC の URL ACL を WLAN、インターフェイス、ローカル ポリシーに割り当てる手順をオーバーライドします。
完全な展開シナリオと設定手順については、次のリンクにあるドメイン フィルタリング導入ガイドを参照してください。
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_domain_filtering.html
Umbrella(正式名称:Open DNS)フィルタリング
リリース 8.4 で導入された Cisco Umbrella は、マルウェアや侵害からデバイスをリアルタイムで保護するためのインサイトを提供する、クラウド提供型のネットワーク セキュリティ サービスです。進化を続けるビッグデータ手法やデータ マイニング手法を活用し、攻撃をプロアクティブに予測するとともに、カテゴリ ベースのフィルタリングも行います。
この機能の動作に関連する用語は次のとおりです。
API トークン :Cisco Umbrella Portal から発行され、デバイス登録にのみ使用されます。
デバイス ID :固有デバイス識別子です。ポリシーは ID ごとに適用されます。
EDNS は、タグ付けされた DNS パケットを伝送する DNS の拡張機能です。
FQDN は完全修飾ドメイン名です。
DNS 要求は常に Web 要求に先行します。ワイヤレス LAN コントローラは、クライアントからの DNS 要求を傍受し、クラウド(208.67.222.222、208.67.220.220)の Cisco Umbrella にクエリをリダイレクトします。Cisco Umbrella サーバは DNS クエリを実行し、ID ごとに事前設定済みのセキュリティ フィルタリング ルールを適用してドメインを悪意のあるドメイン(ブロックされたページがクライアントに返されます)または安全なドメイン(解決された IP アドレスがクライアントに返されます)としてマークします。
Cisco Umbrella の全般的なワークフロー
1. WLC の Cisco Umbrella サーバへの登録は 1 回限りのプロセスで、セキュアな HTTPS トンネルを介して行われます。
2. Cisco Umbrella ダッシュボードからデバイス(WLC)登録用の API トークンを取得します。
3. ワイヤレス LAN コントローラ上でトークンを適用します。これにより、デバイスが Cisco Umbrella アカウントに登録されます。次に、WLC に Cisco Umbrella プロファイルを作成します。プロファイルは ID として Cisco Umbrella に自動的にプッシュされ、ポリシーは ID ごとに適用されます。
4. ワイヤレス クライアントから Cisco Umbrella サーバにトラフィックが流れます。
5. ワイヤレス クライアントが WLC に DNS 要求を送信します。
6. WLC が DNS パケットをスヌープし、DNS パケットに Cisco Umbrella プロファイルのタグを付けます。プロファイルは、Cisco Umbrella にもあるパケットの ID です。
7. この EDNS パケットは、名前解決のために Cisco Umbrella サーバにリダイレクトされます。
8. Cisco Umbrella は、ID に応じてこの EDNS パケットにポリシーを適用し、組織のコンプライアンスを確保するためにカテゴリ ベースのフィルタリング ルールを提供します。
9. ルールに応じて、クエリされた DNS 要求に対する応答としてブロックされたページまたは解決された IP アドレスをクライアントに返します。
OpenDNS のサポート
- サポートされる WLC プラットフォームは、3504(リリース 8.5 以降)、5508、5520、7500、8510、および 8540 です。
- ME、2500、および vWLC はサポートされません
- サポートされる AP モードは、ローカル モードとフレックス セントラル スイッチングです。
- WLC で 10 個の OpenDNS プロファイルを設定可能
- ゲスト(外部 - アンカー)シナリオでは、プロファイルはアンカー WLC で適用されます。
OpenDNS の制限事項
- Web プロキシ経由のクライアントは、サーバ アドレスを解決するために DNS クエリを送信しません。
- アプリケーションまたはホストは、DNS にドメインを問い合わせる代わりに IP アドレスを直接使用します。
Cisco Umbrella ワイヤレス LAN コントローラの統合の設定
ステップ 1 Cisco Umbrella のプロビジョニングでは、Cisco Umbrella クラウドにユーザ アカウントを作成します。
サブスクリプションはアカウントごとで、Cisco Umbrella には 14 日間の無料トライアル ライセンスが付属しています。
永久ライセンスは、CiscoOne Advanced Subscription に含まれています。
ステップ 2 次に、ワイヤレス コントローラで GUI または CLI を使用して Cisco Umbrella を有効にします。
ステップ 3 WLC がセキュアな HTTPS トンネルを介してクラウド アカウントに登録します。
ステップ 4 WLC でプロファイル(ID)を設定します。プロファイルは、WLAN AP グループにマッピングするか、ローカル ポリシーに組み込むことができます。
ステップ 5 WLC が Cisco Umbrella クラウドに DNS パケットをリダイレクトします。
ステップ 6 Cisco Umbrella のセキュリティ ポリシーは ID ごとに適用されます。
ワイヤレス コントローラでの Cisco Umbrella の設定手順では、Cisco Umbrella の有効化、API トークンの設定、プロファイルの作成と WLAN、AP グループ、またはローカル ポリシーへのマッピングを行います。
ポリシーの優先順位は高いものから順に次のとおりです。
a. ローカル ポリシー
b. AP Group
c. WLAN
Cisco Umbrella プロファイルをローカル ポリシーにマッピングすると、属性(ユーザ ロール、デバイス タイプなど)の動的な評価に基づいてきめ細かい差別化されたユーザ ブラウジング エクスペリエンスを提供できます。
完全な展開シナリオと設定手順については、次のリンクにある『Umbrella Integration Guide』を参照してください。 https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-4/b_cisco_umbrella_wlan_integration_guide.html
DHCP および ARP 保護
WLC は、WLAN クライアントの DHCP 要求のリレー エージェントとして動作します。その際、WLC は DHCP インフラストラクチャを保護するために、いくつかのチェックを実行します。最も重要なチェックは、DHCP 要求に含まれている MAC アドレスが、要求を送信する WLAN クライアントの MAC アドレスに一致することを確認することです。これにより、WLC 自体のインターフェイスに対する 1 つの DHCP 要求(IP アドレス)に WLAN クライアントを制限し、それによって DHCP 枯渇攻撃を防御します。WLC は、デフォルトでは WLAN クライアントからのブロードキャスト メッセージを WLAN に再転送しないため、WLAN クライアントが DHCP サーバとして動作したり、誤った DHCP 情報をスプーフィングしたりすることが防止されます。
WLC は MAC アドレスと IP アドレスの関係を維持することで、WLAN クライアントの ARP プロキシとして機能します。これにより、重複した IP アドレスおよび ARP スプーフィング攻撃を WLC がブロックできるようになります。WLC は、WLAN クライアント間の直接的な ARP 通信を許可しません。これにより、WLAN クライアント デバイス宛ての ARP スプーフィング攻撃も防止できます。
ピアツーピア ブロック
WLC は、同じ WLAN のクライアント同士の通信をブロックするように設定できます。ルータを介して通信するように強制することで、同じサブネットのクライアント同士で見込まれる攻撃を防止します。
図 4-21 は、WLC 上でのピアツーピア ブロックの設定画面です。
(注) これは WLC のグローバル設定ではなく、以降のリリースで特定の WLAN に適用されます。
図 4-21 ピアツーピア ブロック
無線 IDS
WLC は、接続されたすべての AP から取得した情報を使用して WLAN の IDS 分析を行い、WLC のほか WCS に対して検出された攻撃も報告します。無線 IDS 分析は、有線ネットワーク IDS システムで実行できる分析を補完するものです。WLC の組み込みの無線 IDS 機能では、有線ネットワーク IDS システムから見ることのできない、または使用できない 802.11 および WLC 固有の情報を分析します。
WLC によって使用される無線 IDS シグニチャ ファイルは WLC ソフトウェア リリースに含まれています。ただし、別のシグニチャ ファイルを使用して個別に更新することが可能です。カスタム シグニチャは、[Custom Signatures] ウィンドウに表示されます。
図 4-22 は、WLC の [Standard Signatures] ウィンドウです。
図 4-22 標準の WLAN IDS シグニチャ
Cisco Adaptive Wireless Intrusion Prevention System
シスコの適応型 Wireless Intrusion Prevention System(wIPS)は、無線の脅威の検出およびパフォーマンスの管理のための高度な手法です。この手法では、ネットワーク トラフィック分析、ネットワーク デバイス/トポロジに関する情報、シグニチャベースの技法、および異常検出を組み合わせることにより、非常に正確で全面的な無線の脅威防御を実現できます。インフラストラクチャに完全に統合されたソリューションを採用すると、有線ネットワークと無線ネットワークの両方で無線トラフィックを継続的に監視し、ネットワークインテリジェンスを使用してさまざまなソースからの攻撃を分析することにより、損害または漏洩が発生する前に、攻撃をより正確に特定し事前に防止することができます。
Cisco Adaptive wIPS には、Cisco Mobility Services Engine(MSE)が必要です。MSE は、Cisco Aironet アクセス ポイントの継続的なモニタリングによって収集された情報の処理を一元化します。シスコの適応型 wIPS の機能と、MSE への Cisco Prime Infrastructure の統合により、wIPS サービスで wIPS ポリシーとアラームの設定、監視、およびレポートを行うことができます。
シスコの適応型 wIPS はコントローラに設定されていません。代わりに、プロファイル設定が Cisco Prime Infrastructure から wIPS サービスに転送され、wIPS サービスによってそのプロファイルがコントローラに転送されます。プロファイルはコントローラのフラッシュメモリに格納され、アクセス ポイントがコントローラに join するとアクセス ポイントへ送信されます。アクセス ポイントのアソシエートが解除され、別のコントローラへ join すると、アクセス ポイントは新しいコントローラから wIPS プロファイルを受信します。wIPS 機能のサブセットを備えたローカル モードまたは FlexConnect モードのアクセス ポイントは、拡張ローカル モード アクセス ポイント、または ELM AP と呼ばれます。アクセス ポイントが次のいずれかのモードであれば、そのアクセス ポイントを wIPS モードで動作するように設定できます。
ワイヤレス IPS 通信プロトコル
各システム コンポーネント間の通信を行うため、多くのプロトコルが使われています。
- CAPWAP(Control and Provisioning of Wireless Access Points):このプロトコルは、アクセス ポイントとコントローラ間の通信に使用されます。これは、アラーム情報をコントローラに行き来させ、設定情報をアクセス ポイントに適用する双方向トンネルを提供します。CAPWAP 制御メッセージは DTLS で暗号化され、CAPWAP データには DTLS による暗号化のオプションがあります。
- NMSP(Network Mobility Services Protocol):このプロトコルは、ワイヤレス LAN コントローラと Mobility Services Engine 間の通信に使用されます。ワイヤレス IPS 構成の場合、このプロトコルは、アラーム情報をコントローラから MSE へ集約し、ワイヤレス IPS 設定情報をコントローラに適用する経路を提供します。このプロトコルは暗号化されます。
– コントローラ TCP ポート:16113
- SOAP/XML(Simple Object Access Protocol):このプロトコルは MSE と PI 間の通信方式です。このプロトコルは、MSE で実行するワイヤレス IPS サービスに設定パラメータを配布するために使用します。
– oMSE TCP ポート:443
- SNMP(Simple Network Management Protocol):このプロトコルは、Mobility Services Engine から Prime Infrastructure に wIPS アラーム情報を転送するために使用されます。さらに、ワイヤレス LAN コントローラから Prime Infrastructure に不正アクセス ポイント情報を伝えるためにも使われます。
wIPS 導入モード
7.4 リリース以降、Cisco Adaptive Wireless IPS には wIPS モード アクセス ポイントの 3 つのオプションがあります。wIPS モード アクセス ポイントの違いを詳細に理解するために、各モードについて説明します。
wIPS を使用するローカル モード
wIPS を使用するローカル モードには「on-channel」の wIPS 検出があり、クライアントにサービスを提供しているチャネルで攻撃者を検出できます。他のすべてのチャネルでは、ELM がベスト エフォート型の wIPS 検出を提供します。
これは、すべてのフレームの無線が短時間「off-channel」になることを意味します。「off-channel」でも、チャネルのスキャン中に攻撃が発生すると攻撃は検出されます。
AP3600 の wIPS を使用するローカル モードの例では、2.4 GHz の無線がチャネル 6 で動作しています。AP は継続的にチャネル 6 をモニタし、チャネル 6 の攻撃はすべて検出および報告されます。攻撃者がチャネル 11 を攻撃すると、AP が「off-channel」のチャネル 11 のスキャン中でも攻撃が検出されます。
ELM の機能は次のとおりです。
- チャネル スキャン(2.4 GHz および 5 GHz)に 24 時間 365 日の wIPS セキュリティ スキャンを追加し、ベスト エフォート型のオフチャネル サポートを提供します。
- アクセス ポイントはクライアントに追加サービスを提供し、G2 シリーズのアクセス ポイントではチャネル(2.4 GHz および 5 GHz)に対する CleanAir スペクトラム解析も実行します。
- データを提供するローカルおよび FlexConnect AP での Adaptive wIPS スキャン。
- 個別のオーバーレイ ネットワークを必要としない保護。
- ワイヤレス LAN の PCI コンプライアンスをサポートします。
- フル 802.11 および 802.11 以外の攻撃を検出します。
- 調査およびレポート機能を追加します。
- 統合または専用 MM AP を柔軟に設定できます。
- AP での事前処理によってデータ バックホールを最小化します(つまり、非常に低い帯域幅のリンクでも機能します)。
- データ提供への影響を縮小します。
モニタ モード
モニタ モードでは、「off-channel」の wIPS 検出を行います。アクセス ポイントは長時間各チャネルを一時停止することによって、すべてのチャネルの攻撃を検出できます。2.4 GHz 無線はすべての 2.4 GHz チャネルをスキャンし、5 GHz チャネルはすべての 5 GHz チャネルをスキャンします。追加のアクセス ポイントをクライアント アクセスのためにインストールする必要があります。
モニタ モード機能の一部は次のとおりです。
- モニタ モード アクセス ポイント(MMAP)はモニタ モード専用であり、すべてのチャネル(2.4 GHz および 5 GHz)に wIPS セキュリティ スキャンを追加することもできます。
- G2 シリーズのアクセス ポイントは、すべてのチャネル(2.4 GHz および 5 GHz)で CleanAir スペクトラム解析を実行できます。
- MMAP はクライアントにサービスを提供しません。
モニタ専用モードと ELM
図 4-23 では、wIPS モニタ モードの標準的な展開と ELM 機能を持つ AP の比較を示します。両方のモードの一般的な対象範囲は次のようになっています。
- wIPS のモニタ専用モードの AP(図 4-23 では赤色で表示)は、一般的に 15,000 ~ 35,000 平方フィートを対象範囲とします。
- ELM 機能を持つ AP(図 4-23 では黄色で表示)は、一般的に 3,000 ~ 5,000 平方フィートを対象範囲とします。
図 4-23 モニタ モードと ELM の比較
従来の wIPS 展開の場合、5 つのローカル モード AP ごとに 1 つのモニタ モード AP という比率を推奨します。これは、最適なカバレッジ範囲を実現するネットワーク設計や専門知識により異なる場合があります。ELM により、既存のすべての AP で ELM ソフトウェア機能を有効にするだけで、パフォーマンスを維持しつつ、モニタ モード wIPS 操作をローカル データ サービス モード AP に効果的に追加できます。
ワイヤレス セキュリティ モジュール(WSM)搭載の AP 3600/3700:ワイヤレス セキュリティとスペクトルの進化形
WSM モジュール(AIR-RM300M=)を搭載した Cisco 3600/3700 シリーズ アクセス ポイントは、「オンチャネル」と「オフチャネル」の組み合わせを使用します。つまり、AP3600/3700 の 2.4 GHz および 5 GHz が、クライアントにサービスを提供しているチャネルをスキャンする一方で、WSM モジュールがモニタ モードで動作し、すべてのチャネルをスキャンします。
WSM モジュールには次のような機能があります。
- クライアントへのサービス提供、wIPS セキュリティ スキャン、および CleanAir テクノロジーを使用したスペクトラム解析を同時に実行できる業界初のアクセス ポイントです。
- 独自のアンテナで 2.4 GHz および 5 GHz の専用無線を提供し、2.4 GHz および 5 GHz 帯域のすべての無線チャネルに対する 24 時間 365 日のスキャンを実行できます。
- 単一のイーサネット インフラストラクチャが実現することで、管理するデバイス数の削減で運用は簡素化され、AP3600 ワイヤレス インフラストラクチャおよびイーサネット有線インフラストラクチャへの投資回収率を最適化します。
シスコの第 1 世代ワイヤレス セキュリティ モジュール(AIR-RM3000M=)は、20 MHz チャネルに対する無線攻撃のみスキャンできます。11ac レートでの攻撃は検出できません。シスコは、11ac レートに対する攻撃を検出し、MSE にレポートできる高度なセキュリティを備えた新しいモジュール(AIR-RM3010L-x-K9=)を導入しました。
次の比較表は、2 つのセキュリティ モジュールの違いを示しています。製品番号が異なっており、WSM は 20 MHz チャネルのみスキャンできますが、ASM は 20/40/80 MHz をスキャンできます。どちらも 3600 および 3700 AP に搭載される、フィールド アップグレード可能なモジュールです。第 2 世代モジュールは、ロケーションを正確に特定するためのハイパー ロケーション アンテナ アレイを搭載しており、アンテナ アレイから独立して動作できます。
2800、3800、および 1560 AP での WIPS モニタリング
フレキシブル ラジオ アサインメントでは、統合無線の動作ロールを手動で設定することも、利用可能な RF 環境に基づいて AP でインテリジェントに決定することもできます。AP は、ワイヤレス セキュリティ モニタリングおよび 5 GHz ロールで動作できます。このロールでは、一方の無線が 5 GHz クライアントにサービスを提供し、もう一方の無線が 2.4 GHz と 5 GHz の両方をスキャンして wIPS 攻撃者、CleanAir 干渉源、および不正なデバイスを検出します。
無線がそのサービス チャネル上にある場合は「オンチャネル」と見なされ、他のチャネルをスキャンしている場合は「オフチャネル」と見なされます。AP に WIPS スキャンを設定できる展開シナリオは 3 つあります。
ELM がグローバル モードで FRA 無線がクライアント サービス モード :ベストエフォートのオフチャネル サポートを提供します。
wIPS を使用するローカル モードには「on-channel」の wIPS 検出があり、クライアントにサービスを提供しているチャネルで攻撃者を検出できます。他のすべてのチャネルでは、ELM がベスト エフォート型の wIPS 検出を提供します。ベストエフォートでの検出では、フレームごとに無線が短時間「オフチャネル」になります。「オフチャネル」の場合、そのチャネルをスキャン中に攻撃が行われると、攻撃が検出されます。ELM クライアント サービス モードの FRA 無線は、引き続きクライアントにサービスを提供できます。
ELM がグローバル モードで FRA 無線がモニター モード:
ELM モードでは、無線スロット 1(5 GHz)に対するベストエフォートのスキャンが実施されます。一方、FRA 無線のモニタ モードでは、専用の wIPS 検出が「オフチャネル」で実施されます。つまり、アクセス ポイントが各チャネルに長時間留まり、すべてのチャネルに対する攻撃を検出します。モニタ モードの FRA 無線はクライアントにサービスを提供できません。
モニタ モードの AP :すべてのチャネル(2.4 GHz および 5 GHz)に対して専用の wIPS セキュリティ スキャンを実施し、無線攻撃を検出します。
1800 AP プラットフォーム(1810、1815、1850、および 1830)での WIPS モニタリング
同様に、1810、1815、1850、および 1830 を含む 1800 Wave 2 アクセス ポイントをネットワークに展開し、wIPS 攻撃者、CleanAir 干渉源、および不正なデバイスを無線でスキャンできます。AP プラットフォームでは、wIPS スキャンはローカル モードでのみサポートされます。モニタ モードではサポートされません。
on-channel および off-channel のパフォーマンス
AP がチャネルにアクセスしたときに、攻撃を検出および分類するためにそのチャネルに留まる時間を、一時停止時間と呼びます。ELM の主機能は、データ、音声およびビデオ クライアント、サービスのパフォーマンスに影響を与えることなく、on-channel 攻撃で効果的に機能します。これに対し、ローカル モードでは、攻撃を検出および分類するための最低限の一時停止時間を提供する off-channel スキャンは場合によって変化します。
たとえば、音声クライアントが AP に関連付けられている場合、無線リソース管理(RRM)により、サービスが影響を受けないことを保証するため、音声クライアントがアソシエート解除されるまでスキャンが延期されます。この例では、off-channel 中の ELM による検出はベスト エフォート型と見なされます。すべてのチャネル、カントリー チャネルまたは DCA チャネルで近隣の ELM AP で動作することで効果が増します。したがって、保護範囲を最大化するために、ローカル モードのすべての AP で ELM を有効にすることが推奨されます。すべてのチャネルでフルタイムの専用スキャニングが必要な場合、シスコではモニタ モードの AP を展開することを推奨します。
通常、ローカル モードとモニタ モードの AP の相違点は以下のとおりです。
- ローカル モード AP:WLAN クライアントにタイム スライシング off-channel スキャニングを提供し、各チャネルで 50 ミリ秒間リスニングして、設定によりすべてのチャネル、カントリー チャネルまたは DCA チャネルのスキャニングを実行します。
- モニタ モード AP:WLAN クライアントにサービスを提供せず、スキャニングだけを行い、各チャネルで 1.2 秒間リスニングして、すべてのチャネルをスキャンします。
次の図で、無線の動作について説明します。無線がサービス チャネル上にあるときは「on-channel」、無線が他のチャネルをスキャンしているときは「off-channel」と見なされます。
ローカル モードの AP はほとんど「on-channel」で、「off-channel」の攻撃者を検出することは困難です。モニタ モードの AP は常時「off-channel」ですが、クライアントにサービスを提供することはできません。WSM モジュールは両方を最適に組み合わせます。
WAN リンクをまたぐ ELM
シスコは、低帯域幅 WAN リンクでの ELM AP の展開など、困難なトポロジにおける機能の最適化に努めてきました。ELM 機能は、AP での攻撃シグニチャの判別のための事前処理を行い、低速リンクで機能するように最適化されています。シスコは、WAN 経由の ELM のパフォーマンスを検証する基準をテストおよび測定することを推奨します。
CleanAir 統合
Cisco CleanAir テクノロジーは、ワイヤレス干渉の影響を緩和して 802.11n ネットワークに対しパフォーマンスの保護を提供する、セルフ ヒーリングと自己最適化が可能なスペクトラム対応の無線ネットワークです。
ELM 機能は、モニタ モード AP の展開と同様のパフォーマンスとメリットにより CleanAir 操作を補完し、次のような既存の CleanAir スペクトラム対応のメリットをもたらします。
- 専用シリコン レベル RF インテリジェンス
- スペクトラム対応、セルフ ヒーリング、自己最適化
- 非標準のチャネル脅威および干渉の検出と緩和
- Bluetooth、マイクロ波、コードレス電話などの非 Wi-Fi 検出
- RF ジャマーなどの RF 層 DOS 攻撃の検出と特定
ELM wIPS アラーム フロー
攻撃は、信頼できる AP で発生した場合にのみ該当します。ELM AP は攻撃を検出した後、管理システム Cisco Prime に攻撃を通知し、関連付けて、報告します。アラーム フローの一般的なプロセスは次のとおりです。
1. 攻撃が、信頼できる AP に対して発生します。
2. ELM 機能を持つ AP の検出が CAPWAP を介して WLC に通知されます。
3. NMSP を介して MSE に透過的に渡されます。
4. MSE 上の wIPS データベースにログインし、SNMP トラップを介して、管理システム Cisco Prime に送信します。
5. 管理システム Cisco Prime に表示されます。
Cisco Adaptive wIPS アラーム
コントローラは、潜在的な脅威の通知として動作する 5 つの Cisco 適応型 wIPS アラームをサポートします。Cisco Prime Infrastructure を使用して、ご使用のネットワーク トポロジに基づいてこれらのアラームを有効にする必要があります。詳細については、『 Cisco Prime Infrastructure User Guide 』を参照してください。
- VPN で保護されていないデバイス:すべてのコントローラのトラフィックが VPN 接続を介してルーティングされるように、ワイヤレス クライアントとアクセス ポイントがセキュアな VPN を介して通信していない場合に、コントローラはアラームを生成します。
- WPA ディクショナリ攻撃:WPA のセキュリティ キー上でディクショナリ攻撃が発生した場合、コントローラはアラームを生成します。攻撃は、クライアントとアクセス ポイント間の最初のハンドシェイク メッセージの前に検出されます。
- 検出された WiFi ダイレクト セッション:クライアントの WiFi ダイレクト セッションが Wifi ダイレクトで検出された場合にコントローラはアラームを生成し、エンタープライズの脆弱性が回避されます。
- RSN インフォメーション エレメント Out-of-Bound サービス拒否:RSN インフォメーション エレメントの容量が大きくて、アクセス ポイントのクラッシュが生じた場合、コントローラはアラームを生成します。
- DS パラメータ セット DoS:コントローラは、複数のチャネルが重複している間にクライアントのチャネルで混乱が生じた場合にアラームを生成します。
Adaptive wIPS システムは、通信のリニア チェーンに従って、エアウェーブのスキャンから取得した攻撃情報を Prime Infrastructure のコンソールに伝播します。
図 4-24 脅威検出のアラーム フロー
1. Cisco 適応型ワイヤレス IPS システムでアラームをトリガーさせるためには、正規のアクセス ポイントまたはクライアントに対して攻撃が仕掛けられる必要があります。正規のアクセス ポイントおよびクライアントは、同じ「RF グループ」名をブロードキャストする「信頼する」デバイスによって、Cisco Unified Wireless Network 内で自動的に検出されます。この設定では、ローカルモード アクセス ポイントとそれらに関連付けられたクライアントのリストが動的に管理されます。SSID グループ機能を使用して、SSID によってデバイスを信頼するようにシステムを設定することもできます。WLAN インフラストラクチャに害を及ぼすと見なされた攻撃だけが残りのシステムに伝播されます。
2. ワイヤレス IPS モード アクセス ポイント エンジンによって攻撃が識別されると、アラームの更新がワイヤレス LAN コントローラに送信され、CAPWAP 制御トンネル内にカプセル化されます。
3. ワイヤレス LAN コントローラは、アラームの更新をアクセス ポイントから、Mobility Services Engine を実行するワイヤレス IPS サービスに透過的に転送します。この通信に使用されるプロトコルは NMSP です。
4. Mobility Services Engine 上のワイヤレス IPS サービスによって受け取られたアラームの更新は、アーカイブと攻撃追跡のためにアラーム データベースに追加されます。SNMP トラップが攻撃情報を格納する Prime Infrastructure に転送されます。同じ攻撃を参照する複数のアラーム更新が受け取られた(たとえば、複数のアクセス ポイントで同じ攻撃が認識された)場合、1 つの SNMP トラップだけが Prime Infrastructure に送信されます。
5. アラーム情報を含む SNMP トラップは Prime Infrastructure によって受信され、表示されます。
導入に関する考慮事項:必要なコンポーネント
Cisco 適応型ワイヤレス IPS システムの基本システム コンポーネントを次の通りです。
- wIPS モニタ モードのアクセス ポイント、wIPS またはワイヤレス セキュリティ モジュールを使用するローカル モードのアクセス ポイント
- ワイヤレス LAN コントローラ
- ワイヤレス IPS サービスを実行する Mobility Services Engine
- Prime Infrastructure
適応型ワイヤレス IPS システムに必要な最小コード バージョン:
- Cisco Mobility Services Engine ソフトウェア リリース 5.2.xxx 以降で使用可能
- Cisco Prime Infrastructure バージョン 1.3 が必要
- Cisco Wireless LAN Controller で 7.2.xxx 以降が必要
- リリース 7.2 以降のワイヤレス IPS 機能には、モニタ モードの(つまり、クライアントにサービスを提供しない)アクセス ポイントが必要
- リリース 7.2.xxx 以降のワイヤレス IPS 機能には、wIPS を使用するローカル モードの(つまり、クライアントにサービスを提供しない)アクセス ポイントが必要
ワイヤレス セキュリティ モジュール(WSM)に必要な最小コード バージョン:
- ワイヤレス LAN コントローラ:バージョン 7.4.XX 以降
- Cisco Prime Infrastructure:バージョン 1.3.XX 以降
- Mobility Services Engine:バージョン 7.4.XX 以降
必要な wIPS アクセス ポイント数
Adaptive wIPS システムを構成する前に、アクセス ポイントのセルの通信範囲が、フレームが受信され、復号化される実際の範囲より小さいことを考慮することが重要です。この相違の理由は、アクセス ポイントの通信範囲が、最弱リンク(一般的な構成では WLAN クライアント)によって制限されるためです。WLAN クライアントの出力がアクセス ポイントの最大出力より本質的に低いため、セルの範囲はクライアントの能力に制限されます。さらに、アクセス ポイントを全出力以下で実行し、ワイヤレス ネットワークに RF 冗長性とロード バランシングを組み込むことをお勧めします。これらの先述の事項とシスコのアクセス ポイントの優れたレシーバ感度の組み合わせによって、Adaptive wIPS システムは、広範囲の監視を行いながら、クライアントがサービスするインフラストラクチャより少ないアクセス ポイント密度で構成できます。
上の図で示すように、ワイヤレス IPS の構成は、大半の攻撃で障害の発生に使われる 802.11 管理および制御フレームの検知に基づきます。これは、24 Mbps から 54 Mbps の高いスループット データ レートを提供するために調査されるデータ アクセス ポイントと異なります。
特定の環境に必要なワイヤレス IPS アクセス ポイント数を正確に決定するために、多数の要因があります。目的とする構成のセキュリティ要件と環境条件はそれぞれ異なるため、すべての構成のニーズに対処する確実なルールはありませんが、いくつかの一般的なガイドラインを考慮する必要があります。
必要な wIPS アクセス ポイント数に影響する主な要因を次に示します。
アクセス ポイント密度の推奨事項
アクセス ポイント カバレッジの占有面積は周波数と環境に基づいて測定できますが、新しい wIPS モードを使用する場合は他の要素も wIPS アクセス ポイント密度の推奨事項に関係します。すべてのアクセス ポイント モードで同じ距離をモニタできますが、次の理由から、異なる密度で各モードを展開することを推奨します。
wIPS を使用するローカル モードのアクセス ポイントは、クライアントへのサービス提供を対象としています。wIPS を使用するローカル モードを展開する場合、すべてのアクセス ポイントを wIPS を使用するローカル モードにすることを推奨します。
モニタ モードのアクセス ポイントの場合、ローカル モードとモニタ モードのアクセスポイントの比率を 1:5 にすることを推奨します。
最後に、WSM モジュールには、2.4 GHz および 5 GHz 帯域の両方ですべてのチャネルをモニタする単一の無線があります。無線はスキャンするチャネルを追加するため、検出時間を短縮するために WSM モジュールを 2:5 の密度で展開することを推奨します。
Cisco Unified Wireless Network に統合された wIPS
統合 wIPS 構成は、非 wIPS モードのアクセス ポイントと wIPS モードのアクセス ポイントを同じコントローラ上で混合させ、同じ Prime Infrastructure によって管理するシステム設計です。ローカル モード、FlexConnect モード、wIPS を使用するローカル モード、モニタ モード、および WSM モジュールを備えた 3600 シリーズ アクセス ポイントを組み合わせることができます。wIPS 保護およびデータのオーバーレイによって、コントローラや Prime Infrastructure を含む多くのコンポーネントが共有されるため、インフラストラクチャ コストの重複が削減されます。
フォレンジック
Cisco Adaptive wIPS システムは、詳しい調査とトラブルシューティングの目的で、攻撃フォレンジックをキャプチャする機能を提供します。基本レベルで、フォレンジック機能は、一連のワイヤレス フレームをログに記録し、抽出する機能を持つ切り替えベースのパケット キャプチャ ファシリティです。この機能は、PI の wIPS プロファイル設定内から攻撃単位で有効にします。
この機能をイネーブルにすると、エアウェーブに特定の攻撃アラームが見られたら、フォレンジック機能がトリガーされます。元のアラームをトリガーした wIPS モード AP のバッファ内に格納されたパケットに基づいて、フォレンジック ファイルが作成されます。このファイルは CAPWAP によってワイヤレス LAN コントローラに転送され、次に NMSP によって、Mobility Services Engine で実行するワイヤレス IPS サービスに転送されます。このファイルは、ユーザがフォレンジックに設定したディスク容量制限に達するまで、MSE のフォレンジック アーカイブに保存されます。デフォルトでこの制限は 20 GB で、この制限に達すると、最も古いフォレンジック ファイルが削除されます。フォレンジック ファイルには、フォレンジック ファイルへのハイパーリンクを含むアラームを Prime Infrastructure で開くことでアクセスできます。このファイルは、「CAP」ファイル形式で保存されており、WildPacket's Omnipeek、AirMagnet Wi-Fi Analyzer、Wireshark、またはこの形式をサポートしているその他のパケット キャプチャ プログラムを使用してアクセスできます。詳細については、 Wireshark を参照してください。
クライアント除外
ワイヤレス IDS 以外に、WLC では追加の手順で WLAN インフラストラクチャと WLAN クライアントを保護することができます。WLC は、動作が脅威または不適切と見なされる WLAN クライアントを除外するポリシーを実行できます。図 4-25 では、現在サポートされている次のクライアント除外ポリシーを含む [Exclusion Policies] ウィンドウを示します。
- Excessive 802.11 association failures:可能性のある不正なクライアントまたは DoS 攻撃
- Excessive 802.11 authentication failures:可能性のある不正なクライアントまたは DoS 攻撃
- Excessive 802.1X authentication failures:可能性のある不正なクライアントまたは DoS 攻撃
- Maximum 802.1X - AAA Failure Attempts(1 ~ 10)
- IP theft or IP reuse:可能性のある不正なクライアントまたは DoS 攻撃
- Excessive web authentication failures:可能性のある DoS またはパスワード クラッキング攻撃
図 4-25 クライアント除外ポリシー
不正なデバイスおよびポリシーの管理
不正なアクセス ポイントは、正規のクライアントをハイジャックし、プレーンテキストまたは他の DoS 攻撃や man-in-the-middle 攻撃を使用して無線 LAN の運用を妨害する可能性があります。つまり、ハッカーは、不正なアクセス ポイントを使用することで、ユーザ名やパスワードなどの機密情報を入手することができます。すると、ハッカーは一連のクリア ツー センド(CTS)フレームを送信できるようになります。アクセス ポイントになりすまして、特定のクライアントには送信を許可し、他のすべてのクライアントには待機するように指示が送られると、正規のクライアントは、ネットワーク リソースに接続できなくなってしまいます。無線 LAN サービス プロバイダーは、空間からの不正なアクセス ポイントの締め出しに強い関心を持っています。
Rogue Location Discovery Protocol
Cisco Rogue Location Discovery Protocol(RLDP)は、不正 AP で認証が設定されていない(オープン認証)場合に使用される積極的なアプローチです。このモード(デフォルトでは無効になっています)では、不正なチャネルに移動してクライアントとして不正 AP に接続するようアクティブな AP に指示します。この間に、アクティブ AP は、接続されたすべてのクライアントに認証解除メッセージを送信してから、無線インターフェイスをシャットダウンします。次に、クライアントとして不正 AP にアソシエートします。その後で、AP は、不正 AP から IP アドレスの取得を試み、ローカル AP と不正接続情報を含む User Datagram Protocol(UDP)パケット(ポート 6352)を不正 AP を介してコントローラに転送します。コントローラがこのパケットを受信すると、RLDP 機能によって有線ネットワーク上で不正 AP が検出されたことをネットワーク管理者に知らせるアラームが設定されます。RLDP の不正 AP の検出精度は 100 % です。オープン AP と NAT AP を検出します。
不正なデバイスの検出
コントローラは、すべての近隣のアクセス ポイントを継続的に監視し、不正なアクセス ポイントおよびクライアントに関する情報を自動的に検出して収集します。コントローラは不正なアクセス ポイントを検出すると、Rogue Location Discovery Protocol(RLDP)を使用し、不正検出モードのアクセス ポイントが接続されて、不正がネットワークに接続されているかどうかを特定します。
コントローラは、オープン認証および設定された不正デバイスで RLDP を開始します。RLDP が Flexconnect またはローカル モードのアクセス ポイントを使用すると、クライアントはその時点で接続を解除されます。RLDP のサイクルが終了すると、クライアントはアクセス ポイントに再接続します。不正なアクセス ポイントが検出された時点で(自動設定)、RLDP のプロセスが開始されます。
すべてのアクセス ポイント、または監視(リッスン専用)モードに設定されたアクセス ポイントでのみ RLDP を使用するようにコントローラを設定できます。後者のオプションでは、混雑した無線周波数(RF)空間での自動不正アクセス ポイント検出が実現され、不要な干渉を生じさせたり、正規のデータ アクセス ポイント機能に影響を与えずにモニタリングを実行できます。すべてのアクセス ポイントで RLDP を使用するようにコントローラを設定した場合、モニタ アクセス ポイントとローカル(データ)アクセス ポイントの両方が近くにあると、コントローラは常に RLDP 動作に対してモニタ アクセス ポイントを選択します。ネットワーク上に不正があると RLDP が判断した場合、検出された不正を手動または自動で阻止することを選択できます。
RLDP は、オープン認証に設定されている不正なアクセス ポイントの存在をネットワーク上で一度だけ(デフォルト設定の再試行回数)検出します。
図 4-26 RLDP 設定の図
不正なアクセス ポイントは、自動または手動で Contained 状態に変更されます。コントローラは、不正の阻止に最も効果的なアクセス ポイントを選択し、そのアクセス ポイントに情報を提供します。アクセス ポイントは、無線あたりの不正阻止数のリストを保存します。自動阻止の場合は、モニタ モードのアクセス ポイントだけを使用するようにコントローラを設定できます。
不正検出ポリシーのパラメータ
該当するアクセス ポイントで不正検出が有効になっていることを確認します。コントローラに join されたすべてのアクセス ポイントに対し、不正の検出がデフォルトで有効にされます(OfficeExtend アクセス ポイントを除く)。
1. [Rogue Detection Security Level] のオプションは次のとおりです。
- [Low] : 小規模な導入向けの基本不正検出。
- [High] : 中規模な展開向けの自動阻止を備えた基本不正検出。
- [Critical] : 機密性の高い展開向けの自動阻止と RLDP を備えた基本不正検出。
- [Custom] : 自動 RLDP の場合、セキュリティ レベルを [Custom] モードにする必要があります。[Custom] モードの場合でも RLDP のスケジューリングはありません。
2. [Rogue Location Discovery Protocol] AP のオプションは次のとおりです。
- [Disable] : すべてのアクセス ポイントで RLDP を無効にします。これはデフォルト値です。
- [All APs] : すべてのアクセス ポイントで RLDP を有効にします。
- [Monitor Mode APs] : モニタ モードのアクセス ポイントでのみ RLDP を有効にします。
3. [Rogue Client Validation] : AAA、MSE サーバまたはローカル データベースを使用して、不正なクライアントが有効なクライアントであるかどうかを検証し、[Validate Rogue Client] を選択します。
MSE は、不正クライアントが有効で認識されたクライアントであるかどうかに関する情報を返します。コントローラは、不正クライアントを阻止するか、脅威と見なすことができます。
4. [Detect and Report Ad-Hoc Networks] : 必要に応じて、アドホック不正検出および報告を選択します。
5. [Rogue Detection Report Interval] : AP からコントローラに不正検出レポートを送信する間隔を秒数で入力します。有効な範囲は 10 ~ 300 秒で、デフォルト値は 10 秒です。
6. [Rogue Detection Minimum RSSI] : AP が不正を検出し、不正エントリがコントローラで作成されるために必要な受信信号強度インジケータ(RSSI)の最小値を入力します。有効な範囲は -128 ~ 0 dBm で、デフォルト値は 0 dBm です。この機能は、すべての AP モードに適用できます。RSSI 値が非常に低い不正が多数あると、不正の分析に有用な情報を得られないことがあります。したがって、AP が不正を検出する最小 RSSI 値を指定することで、このオプションを使用して不正をフィルタリングすることができます。
7. [Rogue Detection Transient Interval] : 不正が AP により最初にスキャンされた後、スキャンされる時間間隔。連続的に不正がスキャンされると、更新情報が定期的にコントローラへ送信されます。したがって、非常に短い時間だけアクティブで、その後は活動を停止する一時的な不正が AP によってフィルタリングされます。有効な範囲は 120 ~ 1800 秒で、デフォルト値は 0 秒です。不正検出の一時的間隔は、監視モードの AP にのみ適用されます。
この機能には次の利点があります。
- AP からコントローラへの不正 AP レポートが短くなる。
- 一時的不正エントリをコントローラで回避できる。
- 一時的不正への不要なメモリ割り当てを回避できる。
8. [Rogue Client Threshold] : しきい値。値が 0 の場合、rogue client threshold パラメータは無効になります。
9. [Rogue Containment Automatic Rate Selection] : このオプションを使用して、ターゲットの不正に最良のレートを使用するためにレートを最適化できます。AP は不正 RSSI に基づいて最良のレートを選択します。
10. [Containment] : コントローラに自動的に特定の不正デバイスを阻止させる場合は、次のパラメータを有効にします。
- [Auto Containment Level] : 自動阻止レベルを設定します。デフォルトで、自動阻止レベルは 1 に設定されています。[Auto] を選択すると、コントローラは有効な阻止を必要とする AP を動的に選択します。
- [Auto Containment only for Monitor mode APs] : モニタ モード アクセス ポイントに自動阻止を設定します。
- [Auto Containment on FlexConnect Standalone] : 自動阻止に対する FlexConnect スタンドアロン モードのアクセス ポイント。
- AP が接続 FlexConnect モードのときに自動阻止を設定した場合、自動阻止は続行されます。スタンドアロン AP がコントローラに再アソシエートされると、自動阻止が停止し、以降のアクションは AP が関連付けられているコントローラの設定によって決まります。FlexConnect AP のアドホック SSID および管理対象 SSID で自動阻止を設定することもできます。
- [Rogue on Wire] : 有線ネットワークで検出される不正の自動阻止を設定します。
- [Using Our SSID] : ネットワークの SSID をアドバタイズする不正の自動阻止を設定します。このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
- [Valid Client on Rogue AP] : 該当する不正が関連付けられても、警告が生成されるだけです。このパラメータをオフにしておくと、該当する不正が検出されても警告が生成されるだけです。
- [AdHoc Rogue AP] : このパラメータをオフにしておくと、該当するパラメータがオフでも、該当するネットワークが検出されても、警告が生成されるだけです。
注意
Auto Contain パラメータのいずれかを選択して [Apply]
をクリックすると、
「
この機能を使用すると法的責任を問われる場合があります。続行しますか?(Using this feature may have legal consequences. Do you want to continue?)」というメッセージが表示されます。
産業科学医療(ISM)帯域の 2.4 GHz および 5 GHz の周波数は一般に公開されており、ライセンスを受けずに使用できます。したがって、相手側のネットワーク上のデバイスを阻止すると、法的責任を問われる場合があります。
図 4-27 は、不正ポリシー設定のオプション、RLDP セキュリティ レベルおよび AP での有効化を示しています。また、AAA または MSE に対する検証設定も示しています。
図 4-27 不正ポリシーの設定
Rogue AP
図 4-28 で示したとおり、Cisco Unified Wireless Network ソリューションは不正 AP に完全なソリューションを提供します。このソリューションが提供する機能は次のとおりです。
- Air/RF の検出:ビーコンと 802.11 プローブの応答を検出またはスニッフィングすることによる不正なデバイスを検出すること。
- 不正 AP の検索:検出された RF 特性および管理された RF ネットワークの既知の特性を使用して、不正なデバイスを見つけること。
- 有線の検出:有線ネットワークに不正デバイスを関連付けたり追跡したりするためのメカニズム。
- 不正 AP の分離:不正 AP へのクライアント接続を防ぐメカニズム。
図 4-28 Unified Wireless Network での不正 AP 検出
Air/RF 検出
2 台の AP の RF 検出の導入モデルは次のとおりです。
これらの導入モデルはいずれも RF の検出をサポートするため、不正 AP に限定されませんが、アドホック クライアントや不正なクライアント(不正 AP のユーザ)が検出されたときにも情報を把握できます。モニタ モード用に設定された AP は RF チャネルのスキャン専用であり、クライアント アソシエーションやデータ伝送はサポートしません。
不正 AP を検索すると、AP は 50 ミリ秒間オフチャネルになって、不正なクライアントをリッスンし、ノイズやチャネルの干渉をモニタします。スキャンされたチャネルは 802.11a および 802.11b/g のグローバル WLAN ネットワーク パラメータで設定されます。
検出された不正と思われるクライアントやアクセス ポイントは、次の情報を収集するためにコントローラに送信されます。
- 不正 AP の MAC アドレス
- 不正 AP 名
- 不正に接続されたクライアントの MAC アドレス
- WPA、WEP または WEP2 でフレームが保護されているかどうか
- プリアンブル
- SNR
- 受信信号強度表示(RSSI)
- スイッチポート トレース
WLC が信頼済み AP から別のレポートを受け取るか、2 回目の検出サイクルが完了するまで、不正と思われるクライアントやアクセス ポイントは不正に分類されません。信頼済み AP は不正と思われるクライアントや AP のチャネルに移動して、不正なクライアントや AP、ノイズ、干渉をモニタします。同じクライアントや AP がもう一度検出されると、WLC 上で不正として分類されます。
いったん不正デバイスとして分類されると、WLC はこの不正 AP がローカル ネットワークに接続されているか、または単にネイバー AP であるかを確認します。いずれの場合でも、管理対象の Cisco Unified Wireless Network 外部の AP は不正として見なされます。
モニタ モードでは、信頼済み AP はユーザ トラフィックを伝送しないため、チャネルのスキャン専用です。顧客が特定のサービス エリアの WLAN をサポートしたくないが、そのエリアで 不正 AP および不正なクライアントをモニタしたい場合に、最も一般的に使用されるのがモニタ モードです。
場所
Cisco Prime Infrastructure のロケーション機能を使用して、不正 AP のおおよその場所を示す間取り図を提示することができます。間取り図にはすべての正規の AP の場所が表示され、不正 AP の場所がドクロのアイコンで強調表示されます。Cisco Unified Wireless Network のロケーション機能の詳細については、『 Cisco Wireless Location Appliance 』を参照してください。
有線の検出
AP の数が少ない支社や、間取り図情報が利用可能でないなど、不正な AP の場所を示す Cisco Prime Infrastructure の機能が有効でない場合があります。このような場合、Cisco Unified Wireless Network ソリューションでは 2 種類の有線ベースの検出オプションを使用できます。
- Rogue Detector AP
- Rogue Location Discovery Protocol(RLDP)
AP が Rogue Detector として設定されている場合、その AP の無線はオフになり、AP の役割は有線ネットワークをリッスンして不正 AP に関連付けられたクライアント、すなわち 不正なクライアント の MAC アドレスを検出することになります。Rogue Detector は、不正なクライアントの MAC アドレスを含む ARP パケットをリッスンします。そのような ARP が検出されると、AP はその旨を WLC に報告し、Cisco Unified Wireless Network と同じネットワークに不正 AP が接続されているかどうかを検証します。
ARP 情報をとらえる可能性を最大まで上げるため、Rogue AP Detector は Switched Port Analyzer(SPAN)ポートを使用しているすべての使用可能なブロードキャスト ドメインに接続されます。一般的なネットワークに存在するさまざまな集約ブロードキャスト ドメインを把握するために、複数の Rogue AP Detector を展開することができます。
不正なクライアントが無線ルータ(共通のホーム WLAN デバイス)の背後にある場合、ARP 要求は有線ネットワークで認識されないため、Rogue Detector AP に代わる手段が必要となります。また、モニタすべきブロードキャスト ドメインが大量にあるような一部の展開(メイン キャンパス ネットワークなど)については、Rogue Detector AP が実用的でない場合もあります。
このような状況では RLDP オプションが役立ちます。この場合、不正 AP が検出されると、標準の AP はその不正 AP にクライアントとしてアソシエートし、コントローラにテスト パケットを送信しようとします。このとき、AP は標準 AP としての動作を停止して、一時的にクライアント モードに移行する必要があります。この動作によって、不正 AP がネットワーク上に実際に存在していることが確認され、その不正 AP のネットワーク上の論理的な場所を示す IP アドレス情報が提示されます。支社内のロケーション情報を取得する難しさと、マルチテナントの建物内で不正 AP が検出される可能性を組み合わせて考えると、Rogue AP Detector と RLDP はロケーション ベースの不正 AP 検出を強化する便利なツールです。
スイッチ ポート トレース
Cisco Prime Infrastructure では、コントローラから情報を取得することによって、不正アクセス ポイントを検出できます。不正アクセス ポイント表には、 ネイバー リスト にないフレームから検出された BSSID アドレスが記載されています。ネイバー リストには、確認済み AP または ネイバー の既知の BSSID アドレスが含まれます。指定された期間の終わりに、不正アクセス ポイント表の内容が、CAPWAP Rogue AP Report メッセージでコントローラに送信されます。この方法では、Cisco Prime Infrastructure はコントローラから受け取った情報を単純に収集します。さらに、有線の不正アクセス ポイントのスイッチ ポートの自動または手動スイッチ ポート トレース(SPT)も組み込むことができます。自動 SPT は、大規模なワイヤレス ネットワークに適しています。
不正 AP が Cisco Prime Infrastructure に報告されると、自動 SPT が自動的に起動します。自動 SPT は、不正 AP の有線のロケーションの関連付けを基礎とする、より高速なスキャン方法です。トレースを実行し、回線上で検出された不正アクセス ポイントを封じ込められるようにするために、Cisco Prime Infrastructure を使用して、自動 SPT および自動封じ込めの基準を設定できます。
不正 AP を自動的に封じ込める必要があることを複数のコントローラが報告した場合、Cisco Prime Infrastructure は最も強い RSSI を報告したコントローラを検出し、そのコントローラに封じ込め要求を送信します。
不正 AP の封じ込め
不正 AP に接続されたクライアント、または不正なアドホックに接続されたクライアントは、近隣の AP から 802.11 認証解除パケットを送信することによって封じ込めることができます。近隣の WLAN 内にある正規の AP にこの作業を行うことは違法であるため、当該の AP が本当に不正 AP であることを確認する手順を行ってから作業する必要があります。不正 AP の自動封じ込め機能がソリューションから削除されたのは、これが理由です。
企業の WLAN にも不正 AP クライアントが存在するかどうかを判断するには、クライアントの MAC アドレスと、802.1X 認証中に AAA によって収集された MAC アドレスを比較します。これにより、改ざんされた可能性のある WLAN クライアントやセキュリティ ポリシーに従っていないユーザの識別が可能になります。
Management Frame Protection
802.11 の課題の 1 つは、暗号化や Message Integrity Check のない平文で管理フレームが送信され、そのためにスプーフィング攻撃に対して脆弱であるということです。WLAN 管理フレームのスプーフィングが WLAN ネットワークの攻撃に使用される可能性があります。この問題に対処するため、シスコでは 802.11 管理フレームに Message Integrity Check(MIC)を挿入するためのデジタル署名メカニズムを作成しました。これにより、WLAN の展開の正規のメンバーを識別できるほか、不正なインフラストラクチャ デバイスや、有効な MIC の不足によりスプーフィングされたフレームを識別できます。
Management Frame Protection(MFP)で使用される MIC は、メッセージの簡単な CRC ハッシュだけではなく、デジタル署名のコンポーネントも含みます。MFP の MIC コンポーネントによってフレームが改ざんされていないことが確認され、デジタル署名コンポーネントによって MIC が WLAN ドメインの正規メンバーによって生成されたことが確認されます。MFP で使用されるデジタル署名キーはモビリティ グループのすべてのコントローラ間で共有されます。したがって、異なるモビリティ グループのキーがそれぞれ異なるため、すべての WLAN 管理フレームはそのモビリティ グループ内の WLC によって検証できます(図 4-29)。
図 4-29 Management Frame Protection
現在はインフラストラクチャ側とクライアント MFP の両方が可能ですが、クライアント MFP の場合は、Cisco Compatible Extensions v5 WLAN クライアントが、無効なフレームを検出および拒否する前にモビリティ グループの MFP キーを学習する必要があります。
MFP には次のような利点があります。
- WLAN ネットワーク インフラストラクチャによって生成された 802.11 管理フレームを認証する。
- 不正 AP や中間者攻撃の一部として検出されないように有効な AP MAC または SSID をスプーフィングする悪意のある不正の検出を可能にする。
- ソリューションの不正 AP と WLAN IDS シグニチャ検出の効率を上げる。
- Cisco Compatible Extensions v5 を使用するクライアント デバイスの保護を提供する。
- スタンドアロン AP でサポートされる。
MFP を有効にするには 2 つの手順が必要です。まず WLC の [Security] タブで MFP を有効にし(図 4-30)、モビリティ グループ内の WLAN で MFP を有効にします(図 4-26)。
図 4-30 コントローラでの MFP の有効化
リリース 8.4 の WLC 上の Cisco TrustSec(CTS)
Cisco TrustSec(CTS)アーキテクチャを使用すると、各エンティティがそのネイバーによって認証および信頼され、データの機密性、信頼性、および整合性の保護に役立つセキュアな通信リンクが確立される、エンドツーエンドのセキュア ネットワークを構築できます。また CTS では、ネットワーク全体での一貫性のある統合された一連のポリシーの作成が促進されます。以下の項では、AireOS WLC の CTS インフラストラクチャのサポートに関連する具体的な側面について説明します。
実装
TrustSec ドメインに接続するエンド ポイントはすべて、ISE によってロール、デバイス タイプ(その他のクライアント属性)などのエンド ユーザ ID に基づいて分類され、SGT(セキュリティ グループ タグ)と呼ばれる一意のタグに関連付けられます。このタグは、認証成功時にクライアント認証を要求したデバイスと共有されます。これにより、クライアント ID 属性に基づいてクライアントをグループ化し、アクセス コントロール エンティティ(ACE)の数を大幅に削減できます。SGACL を使用する主な利点は、アクセス ACE の統合とこれらの従来のアクセス リストのメンテナンスに付随する運用コストの削減です。
TrustSec ソリューションは、TrustSec ドメイン内の 3 つの異なるフェーズにわたって実現されます。
a. クライアント分類 :クライアントは、入口で中央集中型ポリシー データベース(ISE)によって分類され、ロールなどのクライアント ID 属性に基づいて一意の SGT が割り当てられます。
b. 伝達 :IP と SGT のバインディングは、SXPv4 またはインライン タギング手法を使用して伝達されます。
c. SGACL ポリシーの適用 :AP は、セントラル/ローカル スイッチング(セントラル認証)のエンフォースメント ポイントになります。
AP 上の SXPv4
WLC は、引き続き SXPv2 スピーカー モードをサポートし、IP と SGT のバインディングをネイバー デバイスに伝達します。SXPv4 はサポートされません。AP は、SXPv4 リスナー モードとスピーカー モードをサポートします。
CTS PAC プロビジョニングおよびデバイス登録
CTS ネットワークに参加しているすべてのデバイスは、認証され、信頼される必要があります。認証プロセスを促進するために、CTS ネットワークに接続された新しいデバイスは、デバイス内で CTS のデバイスの認証に特に必要であるクレデンシャルと、一般的な CTS 環境情報を取得するための登録プロセスを経なければなりません。
WLC のデバイス登録は、ISE サーバによる PAC プロビジョニングの一部として、WLC によって開始されます。WLC は、EAP-FAST が開始し、PAC を取得します。これには、LOCAL-EAP EAP-FAST PAC プロビジョニングのインフラストラクチャが使用されます。取得した PAC はデバイス ID に一意にマッピングされます。デバイス ID を変更すると、以前のデバイス ID に関連付けられた PAC データが PAC ストアから削除されます。PAC のプロビジョニングに使用する RADIUS サーバ インスタンスが有効になると、PAC プロビジョニングがトリガーされます。
高可用性(HA)設定の場合、PAC はスタンバイ ボックスに同期されます。
環境データ
CTS 環境データとは、デバイスが CTS 関連機能を実行するための一連の情報または属性を指します。
セキュアな RADIUS アクセスリクエストが送信されて、デバイスが Cisco TrustSec ドメインに初めて参加するときに、デバイス(AirOS WLC)は認証サーバから環境データを取得します。認証サーバは、環境有効期間終了タイムアウト属性などの属性とともに RADIUS Access-Accept を返します。これは、Cisco TrustSec デバイスがその環境データを更新する必要がある頻度を制御する時間間隔になります。
インライン タギング
インライン タギング機能は、コントローラまたはアクセス ポイントが送信元 SGT(S-STG)を理解するために使用するトランスポート メカニズムです。次の 2 つのタイプが対象になります。
- セントラル スイッチング:中央でスイッチングされるパケットの場合、WLC は、WLC 上のワイヤレス クライアントから送信されたすべてのパケットに対し、Cisco メタ データ(CMD)タグを付けることによってインライン タギングを実行します。DS から受信するパケットに対するインライン タギングでは、WLC はさらに、パケットからヘッダーを除去し、AP が S-SGT タグを学習できるように CAPWAP を介してパケットを AP に送信します。SGACL は AP で適用されます。
- ローカル スイッチング:ローカルにスイッチングされるパケットの場合、AP は、AP 上のクライアントから送信されたパケットに対してインライン タギングを実行します。トラフィックを受信すると、AP はローカルにスイッチングされるパケットと中央でスイッチングされるパケットの両方を処理し、パケットの S-SGT タグを使用して SGACL ポリシーを適用します。
WLC でワイヤレス TrustSec が有効になっている場合は、オプションで SXP を有効にしてスイッチとタグを交換するように設定することもできます。また、SXP スピーカー モードとインライン タギングの両方のモードがサポートされます。ただし、AP で SXP とワイヤレス TrustSec の両方を同時に有効にすることはできません。
ワーク フロー
WLC は、ISE から SGACL ポリシーのダウンロードする前に、EAP-FAST TLS トンネルを介して PAC(Protected Access Credential)プロビジョニングを開始する必要があります。これは、認証されたクライアントの SGT タグに基づいて必要な SGACL をダウンロードするために使用されます。現在、ISE では、すべての既知の送信元 SGT(S-SGT)からの任意の宛先 SGT(D-SGT)について、SGACL ポリシーのダウンロードがサポートされます。ワイヤレス クライアントが ISE によって認証されると、WLC はクライアントに関連付けられている SGT を受け取ります。WLC はクライアント SGT を D-SGT として処理し、接続先の SGACL ポリシー名を ISE からダウンロードします。返されるポリシー名は、特定のクライアント D-SGT と対になったすべての有効かつ既知の S-SGT になります。D-SGT に関連付けられているこれらのポリシーは、WLC にキャッシュされ、クライアントがアソシエートしている AP にプッシュされます。
クライアントは、入り口で中央集中型ポリシー データベース(ISE)によって分類され、ポリシー ルールに従ってクライアント ID に基づいて一意の S-SGT が割り当てられます。出口側では、SGACL がダウンロードされ、D-SGT に関連付けられたポリシーが適用されます。
1. ローカルおよびセントラル スイッチ トラフィックに対する SGACL は、WLC でなく AP で適用されます。
2. ローカル認証を行うフレックス モード AP では、エンフォースメント ポイントは AP になります。
WLC 8.4 上の ワイヤレス TrustSec サポート
表 4-2
|
|
SGT インライン タギング、SG-ACL 適用 |
AP 17xx、27xx、37xx、18xx、28xx、38xx WLC 3504、5520、8540 |
SXPv2 |
AP 17xx、27xx、37xx、18xx、28xx、38xx WLC 3504、5520、8540 |
SXPv4 |
AP 17xx、27xx、37xx、18xx、28xx、38xx、WLCs 3504、5520、および 8540 |
管理システムのセキュリティ機能
不正 AP 検出に対するロケーション機能のサポート以外に、管理システム Cisco Prime には Unified Wireless Network セキュリティに関する 2 つの機能があります。1 つは WLC 設定の確認管理、もう 1 つはアラームおよびレポート発行インターフェイスです。
設定の確認
管理システム Cisco Prime には設定の監査レポートをオンデマンドまたは定期的に発行する機能があります。このレポートでは、WLC および登録済みのアクセスポイントの現在稼働している完全な設定と、管理システム Cisco Prime データベースに保存されている既知の有効な設定を比較します。現在稼働している設定と保存されているデータベース設定の間にある例外が明記され、画面のレポートを介してネットワーク管理者に通知されます()。
アラームおよびレポート
WLC から直接生成され、エンタープライズ ネットワーク管理システム Cisco Prime に送信できるアラームのほか、管理システムではアラーム通知の送信も可能です。さまざまなコンポーネントによって送信されるアラームのタイプとは別に、アラーム通知方法の主な違いは、WLC が Simple Network Management Protocol(SNMP)のトラップを使用してアラーム(NMS システムでしか解釈できない)を送信する一方で、管理システム Cisco Prime は SMTP 電子メールを使用して管理者にアラーム メッセージを送信することです。
管理システム Cisco Prime ではリアルタイムのレポートと定期的なレポートが提供されます。これらのレポートはエクスポートや電子メールによる送信が可能です。管理システム Cisco Prime から提供されるレポートの内容は次のとおりです。
- アクセス ポイント
- 監査
- クライアント
- インベントリ
- Mesh
- パフォーマンス
- セキュリティ