[index] AT-UWC リファレンスマニュアル 2.0
- AP Configuration(WIDS AP設定) - Client Configuration(WIDSクライアント設定)
| AP Configuration(WIDS AP設定) |
Note - 脅威分類アルゴリズムの設定は、無線コントローラーのグローバル設定項目の一部です。クラスター内の他の無線コントローラーに対して、手動で設定のプッシュを行い、設定を同期させてください。脅威検出テストの大部分は「管理下APでないにも関わらず管理下のSSIDを送信している機器」の検出を目的としています。こうした機器がネットワークに存在するということは、すなわち何らかの設定ミスがあるか、または悪意のある誰かがパスワードなどのセキュリティー情報収集を目的として設置した通称「ハニーポット」の危険があるからです。
| Administrator configured rogue AP | Source MACアドレスがValid APデータベースに登録されており、「Rogue」と設定されているなら、そのAPはローグです。 |
| Managed SSID from an unknown AP | 無線コントローラー管理下のSSIDを送信しているUnknown APであるなら、そのAPをローグと判定するテストです。このようなAPは悪意のある誰かがセキュリティー情報収集などを目的として設置した機器である可能性があります。 無線コントローラークラスターを複数ミックスして運用しているような大規模ネットワークでは、このテストは無効に設定するか、またはSSIDをクラスターごとに分けた方がよいでしょう。そうしないと、片方のクラスターで運用しているSSIDが、他方のクラスターでローグ判定されるということが起こりえます。 |
| Managed SSID from a fake managed AP | 無線コントローラー管理下のSSIDを送信している偽装APを検出するテストです。悪意のある誰かが設置した、管理下APのMACアドレスに偽装した機器を検出します。正当な管理下APは、ビーコンのベンダーフィールドに特殊な値を持っています。この値を持たない管理下APは偽装と判定します。 |
| AP without an SSID | SSIDはビーコンにおいてオプションフィールドとなっています。悪意のある誰かは、検出を逃れるためにSSID隠蔽設定して機器を設置しているかもしれません。このようなAPでも無線クライアントからのプローブ要求には応答しますので、クライアントは正当な管理下APと間違えて、不正APに接続してしまいます。 このテストでは、SSID隠蔽されているビーコンを検出します。無線コントローラーで設定した無線プロファイルのいずれかでSSID隠蔽が有効になっている場合は、このテストは自動的に無効設定となります。なお、SSID隠蔽設定はお勧めしません。SSIDを隠蔽しても実質的にセキュリティーはあまり向上しませんし、このテストを実行できなくなる副作用があります。 |
| Fake managed AP on an invalid channel | 正しくないチャンネルで動作している偽装APを検出するテストです。受信ビーコンのソースMACアドレスが正当な管理下APのものであるが、チャンネルはその管理下APが動作しているはずのないものであれば、それは偽装APと判定します。 |
| Managed SSID detected with incorrect security | RFスキャンによって、管理下APは他のAPからのビーコンを検査し、そのセキュリティー方式がオープン、WEP、WPAのいずれであるか識別します。 ビーコンに含まれているSSIDは無線コントローラー管理下のものであるが、使用されているセキュリティー方式が一致しないのであれば、それはローグと判定します。 |
| Invalid SSID from a managed AP | 管理下APが未知のSSIDを送信していることを検出するテストです。RFスキャンで受信したビーコンのSSIDを、送信した管理下APに割り当てられているプロファイルと比較して検査します。一致しない場合はローグと判定します。 |
| AP is operating on an illegal channel | 法定外のチャンネルで動作している機器を検出するテストです。 (注)このテストにはSentryモードのAPが必要です。 |
| Standalone AP with unexpected configuration | Valid APデータベースでStandaloneとされているAPについて、無線コントローラーはそのAPが設定通りに動作しているかチェックします。 このテストが検出できるのは、誤設定はもちろん、潜在的な侵入脅威でもあります。以下の設定がチェックされます。 ・チャンネル ・SSID ・セキュリティー方式 ・WDSモード ・有線ネットワークでの接続 |
| Unexpected WDS device detected on network | 管理者がManagedまたはUnknownと設定したが、WDSモードで動作しているAPを検出するテストです。そのような機器はローグと判定します。 |
| Unmanaged AP detected on wired network | このAPが有線側ネットワークに接続されているかを検出するテストです。UnknownであるAPがこのテストでFailすると、Rogueに分類されます。有線側に送信した検査用フレームを無線側で観察します。不正APの動作に依存しますので必ず検出できるとは限りません。 (注)このテストにはSentryモードのAPが必要です。 |
| Rogue Detected Trap Interval | SNMPトラップでローグAPの存在を通知する間隔を設定します。0に設定するとトラップは送信されません。 |
| Wired Network Detection Interval | 有線側に検査用フレームを送信する間隔を設定します。0に設定すると送信されません。 |
| AP De-Authentication Attack | AP Deauth Attackの有効/無効を設定します。 ローグに対してIEEE 802.11 Deauthメッセージを送信することで、ネットワークを防御する機能です。この機能は無線コントローラー全体で1か所の設定となります。この機能を有効にする前に、正当なAPがローグに分類されていないことを確認してください。デフォルトは無効です。 |
Note - 「Unmanaged AP detected on wired network」を設定しても、wired networkに存在するローグアクセスポイントを「wired networkに存在していない」とレポートすることがあります。
Note - 「AP without an SSID」(SSIDを持たないアクセスポイントをRogueと判定する)が「Enable」のとき、APプロファイルに関連づけられたWireless Network設定の「Hide SSID」を有効にしても(SSIDを隠蔽するように設定)、自動的に「AP without an SSID」の機能が無効となりません。そのためすべてのSSIDを持たないアクセスポイントをRogueと判定します。
Note - 「Deauth Attack」は無線クライアントによっては効果がないことがあります。
| Submit | 入力した値を無線コントローラーに適用します。再起動後も設定した値を保持したい場合、Save All Applied Changes 画面の「Save」ボタンをクリックしてください。 |
| Refresh | 最新の情報で画面を更新します。 |
| Client Configuration(WIDSクライアント設定) |
Note - 脅威分類アルゴリズムの設定は、無線コントローラーのグローバル設定項目の一部です。クラスター内の他の無線コントローラーに対して、手動で設定のプッシュを行い、設定を同期させてください。802.11接続/認証シーケンスの中で、クライアントは802.11マネージメントフレームを送信します。WIDS機能では以下のタイプのマネージメントメッセージを検査します。
| Known Client Database Test | Known Clientデータベースに登録があり、アクセス拒否と設定されているクライアントを検出するテストです。アクションが個別にGrantとされているか、あるいはグローバルアクションがWhite Listと設定されているかをチェックします。 クライアントが個別にDenyと設定されているか、またはグローバルアクションがBlack Listに設定されているなら、このテストでFailとなります。 |
| Configured Authentication Rate Test | 802.11 Authenticationメッセージの最大送信レートを超過していないかのテストです。 |
| Configured Probe Requests Rate Test | プローブ要求の最大送信レートを超過していないかのテストです。 |
| Configured De-Authentication Requests Rate Test | De-Authenticationメッセージの最大送信レートを超過していないかのテストです。 |
| Maximum Authentication Failures Test | 認証失敗の最大回数を超過していないかのテストです。 |
| Authentication with Unknown AP Test | Known Clientデータベースに登録があるクライアントがUnknown APに接続していることをチェックするテストです。 |
| Client Threat Mitigation | 有効に設定すると、Known Clientデータベースに登録されたクライアントがUnknown APに接続したとき、クライアントにDeAuthメッセージを送信します。Authentication with Unknown AP Testが有効に設定されている必要があります。 |
| Known Client Database Lookup Method | Known Clientデータベースの参照方法を設定します。ローカルデータベースか外部RADIUSサーバーかを指定します。 |
| Known Client Database Radius Server Name | Known Clientデータベースを外部RADIUSに参照する場合は、RADIUSサーバー名をここで設定します。 |
| Rogue Detected Trap Interval | SNMPトラップでローグの存在を通知する間隔を設定します。0にするとトラップは送信されません。 |
| De-Authentication Requests Threshold Interval | De-Authenticationメッセージの回数をカウントする期間を設定します。 |
| De-Authentication Requests Threshold Value | 設定された期間内のDe-Authenticationメッセージの最大受信数です。 |
| Authentication Requests Threshold Interval | Authenticationメッセージの回数をカウントする期間を設定します。 |
| Authentication Requests Threshold Value | 設定された期間内の最大Authenticationメッセージ受信数です。 |
| Probe Requests Threshold Interval | プローブ要求の回数をカウントする期間を設定します。 |
| Probe Requests Threshold Value | 設定された期間内の最大プローブ要求受信数です。 |
| Authentication Failure Threshold Value | 802.1X認証失敗の最大許容数です。 |
| Submit | 入力した値を無線コントローラーに適用します。再起動後も設定した値を保持したい場合、Save All Applied Changes 画面の「Save」ボタンをクリックしてください。 |
| Refresh | 最新の情報で画面を更新します。 |
Copyright (C) 2011-13 アライドテレシスホールディングス株式会社
PN: 613-001751 Rev.B