[index] AT-UWC リファレンスマニュアル 3.3

WLAN > Intrusion Detection > Detected Clients


  - Detected Client Summary(検出クライアントの情報)
   - Detected Client Status(検出クライアントの詳細情報)
   - Rogue Classification(WIDSによるローグクライアントの分類)
   - Pre-Auth History(検出クライアントの事前認証履歴)
   - Triangulation(検出クライアントのトライアングレーション)
   - Roam History(クライアントのローミング履歴)
  - Pre-Authentication History Summary(事前認証のサマリー情報)
  - Roam History Summary(検出クライアントのローミング履歴概要)


 

Detected Client Summary(検出クライアントの情報)

無線クライアントがネットワークに接続したりデータを送信すると、本システムはそのクライアントの存在を検出します。検出されたクライアントをDetected Clientと呼びます。この画面では、アクセスポイントに認証接続しているクライアントや、既に切断済みのクライアントについて、情報を表示します。
クラスターコントローラーにおいては、クラスター内のすべてのDetected Clientの情報が表示されます。
各Detected ClientのMACアドレスをクリックすると詳細情報が表示されます。

表 1
項目名
説明
MAC Address クライアントのMACアドレス。
OUI 無線クライアント(の無線LANアダプター)の製造メーカー名を表示します。
Client Name 必要に応じ、Known Clientデータベースにクライアント名がある場合にはこれを表示します。
Client Status クライアントの状態を表示します。以下のいずれかが表示されます。
・Authenticated - 認証済みです。
・Detected - 認証されていませんが、セキュリティー上の脅威はありません。
・Black-Listed - MAC認証(Black List)によってアクセス拒否されています。
・Rogue - セキュリティー上の脅威となるローグクライアントです。
Age 「Detected Client」データベースで更新されてからの経過時間を表示します。
Create Time 「Detected Client」データベースに最初に追加されてからの経過時間を表示します。

表 2:コマンドボタン
項目名
説明
Delete リストから選択クライアントを削除します。クライアントが再び検出されると、リストに追加されます。
Delete All すべての未認証クライアントを「Detected Client」データベースから消去します。その後クライアントが再度検出されると、改めてデータベースに追加されます。
Acknowledge All Rogues すべてのローグクライアントの分類状態がいったん初期値に戻ります。その後、脅威検出アルゴリズムが再度脅威として分類したクライアントは、再び「Rogue」としてリストに表示されます。
Refresh 最新の情報で画面を更新します。

 

Detected Client Status(検出クライアントの詳細情報)

この画面では、Detected Clientの詳細情報を表示します。他のクライアント情報を表示するには、WLAN > Intrusion Detection > Detected Clients 画面の「Detected Client Summary」タブに戻り、クライアントのMACアドレスをクリックします。

表 3
項目名
説明
MAC address クライアントのMACアドレス。
Client Status クライアントの状態を表示します。以下のいずれかが表示されます。
・Authenticated - 認証済みです。ローグではありません。
・ Detected - 認証されていませんが、ローグとは見なされず、Known Clientデータベースにも登録がありません。
・ Known - Known Clientデータベースに登録されていますが未認証です。
・ Black-Listed - MAC認証(Black List)によってアクセスを拒否されました。
・ Rogue - 脅威検出アルゴリズムによりローグと判定されました。
Authentication Status 認証済みであるかどうかを表示します。(Client StatusがRogueであってもまだ認証済み状態ということもありえます。)
Threat Detection 脅威検出テストのいずれかがこのクライアントに対して実行されたかどうかを表示します。テストが無効設定になっていればローグと判定されることはありませんが、その場合でも、このフィールドを手がかりに、なぜテストが実行されたかを調査することができます。
Threat Mitigation Status 「脅威緩和(mitigation)」機能が実行されているかを表示します。
Time Since Entry Last Updated 「Detected Client」データベースで更新されてからの経過時間を表示します。
Time Since Entry Create 「Detected Client」データベースに最初に追加されてからの経過時間を表示します。
Client Name Known Clientデータベースにクライアント名がある場合にはこれを表示します。
RSSI 認証済みクライアントについて、接続先APが報告した最新のRSSI値を1-100%のパーセンテージで報告します。
Signal 認証済みクライアントについて、接続先APが報告した最新の信号強度をdBmで報告します。この値は-127から128 dBmになります。
Noise 認証済みクライアントについて、接続先APが報告した最新のチャンネルノイズをdBmで報告します。この値は-127から128 dBmになります。
Probe Req Recorded Probe Requests Threshold Intervalの設定に基づき、現インターバル中に受信したIEEE 802.11 Probe要求の現在数を表示します。
Probe Collection Interval WIDS SecurityのProbe Requests Threshold Intervalの設定に基づき、現インターバルの経過時間。
Highest Probes Detected Probe Requests Threshold Intervalの設定時間に受信したプローブ要求数のうち、過去最大の個数。
Channel クライアントからのフレームを受信した管理下のアクセスポイントのチャンネル。実際にクライアントが使用しているチャンネルとは異なることがあります。
OUI Description 無線クライアントのアダプターの製造メーカーを表示します。
Auth Msgs Recorded Authentication Requests Threshold Intervalの設定に基づき、現インターバル中に受信したIEEE 802.11 Authenticationメッセージの現在数を表示します。
Auth Collection Interval WIDS SecurityのAuthentication Requests Threshold Intervalの設定に基づき、現インターバルの経過時間。
Highest Auth Msgs Authentication Requests Threshold Intervalの設定時間に受信したAuthenticationメッセージ数のうち、過去最大の個数。
De-Auth Msgs Recorded De-Authentication Requests Threshold Intervalの設定に基づき、現インターバル中に受信したIEEE 802.11 De-Authenticationメッセージの現在数を表示します。
De-Auth Collection Interval WIDS SecurityのDe-Authentication Requests Threshold Intervalの設定に基づき、現インターバルの経過時間。
Highest De-Auth Msgs De-Authentication Requests Threshold Intervalの設定時間に受信したDe-Authenticationメッセージ数のうち、過去最大の個数。
Authentication Failures クライアントが802.1X認証に失敗した回数を表示します。
Probes Detected 前回のRFスキャンで検出したプローブ数を表示します。
Broadcast BSSID Probes 前回のRFスキャンで検出したブロードキャストBSSIDに対するプローブ数を表示します。
Broadcast SSID Probes 前回のRFスキャンで検出したブロードキャストSSIDに対するプローブ数を表示します。
Specific BSSID Probes 前回のRFスキャンで検出した特定のBSSIDに対するプローブ数を表示します。
Specific SSID Probes 前回のRFスキャンで検出した特定のSSIDに対するプローブ数を表示します。
Last Directed Probe BSSID RFスキャンで最後に検出した非ブロードキャストBSSIDを表示します。MACアドレスです。
Last Directed Probe SSID RFスキャンで最後に検出した非ブロードキャストSSIDを表示します。
Threat Mitigation Sent 「脅威緩和(mitigation)」機能が実行されているかを表示します。

表 4:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。
Acknowledge Rogue Detected Clientデータベースにおけるクライアントのローグ分類がいったん初期状態に戻ります。その後、脅威検出アルゴリズムにより再度脅威として分類されると、再び「Rogue」としてリストに表示されます。

 

Rogue Classification(WIDSによるローグクライアントの分類)

Wireless Intrusion Detection System(WIDS)は、無線ネットワークへの侵入の検出を支援し、ネットワーク保護の操作を自動的に実行することができます。無線コントローラーには、様々な脅威検出テストの有効/無効、および脅威検出に使用するしきい値を設定することができます。「WIDS Client Rogue Classification」画面では、これらのテスト結果に関する情報を提供します。クライアントがローグであるとして分類されると、アクセスポイントをエラーとするように分類を行ったテストについて情報を表示します。
ネットワークに検出された他のクライアントに関する情報を参照するためには、WLAN > Intrusion Detection > Detected Clients 画面の「Detected Client Summary」タブに戻り、異なるクライアントのMACアドレスをクリックします。
以下のテーブルは、検出したクライアントに実行されるセキュリティーテストに関する情報を表示します。

表 5
項目名
説明
MAC Address 検出されたアクセスポイントのMACアドレス。
Test Description 実行されたテストを表示します。以下のテストがあります。
・Client not in Known Client Database(クライアントはKnown Clients Databaseに表示されない)
・Client exceeds configured rate for auth msgs(クライアントは802.11の認証要求の送信用の設定レートを超えている)
・Client exceeds configured rate for probe msgs(クライアントはプローブ要求の送信用の設定レートを超えている)
・Client exceeds configured rate for de-auth msgs(クライアントは認証解除要求の送信用の設定レートを超えている)
・Client exceeds max failing authentications(クライアントはプローブ要求の送信用の設定レートを超えている)
・Known Client authenticated with unknown AP(Known(既知)のクライアントはUnknown(未知)のアクセスポイントで認証された)
・Client OUI not in the OUI Database(OUIデータベースにクライアントのOUIがない)
Condition Detected テストの結果が正しいかどうかを表示します。
Reporting MAC Address テスト結果を報告したアクセスポイントのMACアドレスを表示します。
Radio 報告されたアクセスポイントのどの物理無線電波がテスト結果の原因となったかを表示します。
Test Config このテストがローグを報告するように設定されているかどうかを表示します。ローグとして確実に結果を報告するために、各テストをグローバルに有効または無効にします。
Test Result このテストが、デバイスをローグであると報告したかどうかを表示します。デバイスはこのモードで動作を許可されているため、いくつかの場合、テストは「有効である」という肯定的な結果を報告し、ローグとしてレポートしないかも知れません。
Time Since First Report このテストが最初にこの条件を検出した時期を示すタイムスタンプ。
Time Since Last Report このテストが最後にこの条件を検出した時期を示すタイムスタンプ。

表 6:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。

 

Pre-Auth History(検出クライアントの事前認証履歴)

WPA2の事前認証機能を利用すると、無線クライアントはセッション再接続や再認証を行うことなく、範囲内の他のアクセスポイントにローミングすることができます。事前認証機能を利用するには、必要な設定(SSID、MAC認証、セキュリティー方式、RADIUSキーなど)が各APで一致している必要があります。APはクライアントの事前認証要求をキャプチャして無線コントローラーに送信します。
本画面では、クライアントが送信した事前認証要求の情報を表示します。

表 7
項目名
説明
MAC Address クライアントのMACアドレスを表示します。
AP MAC Address クライアントが事前認証を行ったAPのMACアドレスを表示します。
Radio Interface Number アクセスポイントの無線インターフェース番号(Radio1 / 2)を表示します。
VAP MAC Address クライアントがローミングしたVAPのMACアドレスを表示します。
SSID VAPがサービスしているSSIDを表示します。
Age この履歴が追加されてからの経過時間を表示します。
User Name 802.1X認証で使用されたクライアントのユーザー名を表示します。
Pre-Authentication Status 事前認証の結果を表示します。Success(成功)またはFailure(失敗)が表示されます。

表 8:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。

 

Triangulation(検出クライアントのトライアングレーション)

Triangulation機能を使用することで、無線クライアントのおおよその場所を推定することができます。クライアントを検出したアクセスポイントが、6台まで表示されます(通常のRFスキャンにより検出したアクセスポイントと、Sentryモードで検出したアクセスポイントが各3台まで)。アクセスポイントは無線ごとに通常モードとSentryモードの設定を分けることができますので、1台のクライアントが2度表示されることもありえます。クライアントを検出したアクセスポイントが3台に満たない場合には、リストの表示は2台以下になります。

表 9
項目名
説明
Detected Client MAC Address クライアントのMACアドレスを表示します。
Sentry クライアントを検出したAPのRFスキャンモードを表示します。
・Non-Sentry - 通常モードです。従ってこのAPは、クライアントとの間で接続や通信を行うことができます。
・Sentry - Sentryモードです。このモードに設定されたAPは迅速にデバイスを検出し、セキュリティー脅威を分析することができます。
MAC Address クライアントを検出したアクセスポイントのMACアドレスを表示します。
Radio アクセスポイントの無線インターフェース番号(Radio 1/2)を表示します。
RSSI RSSIをパーセンテージ(0-100 %)で表示します。0の値は機器を検出していないことを示します。
Signal Strength RSSIをdBmで表示します。値の範囲は-127 dBm〜127 dBmですが、通常は-95 dBm〜-10 dBmの範囲に入ります。
Noise Level APが報告したノイズレベルを表示します。
Age アクセスポイントが検出してからの経過時間を表示します。

表 10:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。

 

Roam History(クライアントのローミング履歴)

本システムは無線クライアントのローミング(AP間移動)を記録しています。各クライアントについて、10件までのローミング記録が保持されます。この画面では、クライアントがローミングしたアクセスポイントについての情報を表示します。
クライアントリストは古いものから表示されます。リストがいっぱいになると、最も古いものが削除され、残りが一段上に移動します。
以下のテーブルでは画面の各フィールドを説明します。

表 11
項目名
説明
MAC Address クライアントのMACアドレスを表示します。
AP MAC Address クライアントが接続したアクセスポイントのMACアドレスを表示します。クライアントがローミングし認証されたアクセスポイントが、最新の10台まで表示されます。
Radio Interface Number アクセスポイントの無線インターフェース番号(Radio 1/2)を表示します
VAP MAC Address クライアントがローミングしたVAPのMACアドレスを表示します。
SSID VAPがサービスしているSSIDを表示します。
New Authentication この履歴が、新規/再接続とローミングのどちらであるかを表示します。
Age 履歴が記録されてからの経過時間を表示します。

表 12:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。
Purge History Roam Historyのエントリーを削除します。

 

Pre-Authentication History Summary(事前認証のサマリー情報)

WPA2の事前認証機能を利用すると、無線クライアントはセッション再接続や再認証を行うことなく、範囲内の他のアクセスポイントにローミングすることができます。事前認証機能を利用するには、必要な設定(SSID、MAC認証、セキュリティー方式、RADIUSキーなど)が各アクセスポイントで一致している必要があります。アクセスポイントはクライアントの事前認証要求をキャプチャして無線コントローラーに送信します。
本画面では、事前認証要求を送信したクライアントと、それを受信したアクセスポイントを表示します。
以下のテーブルは本画面の各フィールドを説明します。

表 13
項目名
説明
MAC Address クライアントのMACアドレスを表示します。
AP MAC Address クライアントが接続したアクセスポイントのMACアドレスを表示します。クライアントがローミングし認証されたアクセスポイントが、最新の10台まで表示されます。

表 14:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。

 

Roam History Summary(検出クライアントのローミング履歴概要)

本システムは無線クライアントのローミング(AP間移動)を記録しています。各クライアントについて、10件までのローミング記録が保持されます。この画面では、クライアントがローミングしたAPについての情報を表示します。
以下の表は本画面の各フィールドを説明します。

表 15
項目名
説明
Detected Client クライアントのMACアドレスを表示します。
Roam History クライアントが接続したアクセスポイントのMACアドレスを表示します。クライアントがローミングし認証されたアクセスポイントが、最新の10台まで表示されます。

表 16:コマンドボタン
項目名
説明
Refresh 最新の情報で画面を更新します。
Purge History Roam Historyのエントリーを削除します。



(C) 2011 - 2016 アライドテレシスホールディングス株式会社

PN: 613-001751 Rev.G