[index]
AT-UWC リファレンスマニュアル 2.0
機能の概要 > 侵入の検出
- 無線電波のスキャン
- 脅威の分類
- 脅威の緩和
WIDS(Wireless Intrusion Detection System)は、管理されていない、すなわち好ましからざる「ローグ」な無線機器から、管理者が無線ネットワークを守るのを支援するために設計された機能のセットです。管理者は、次の機能を実行するように無線コントローラーを設定できます。
- 無線電波のスキャン(無線機器の検出)
- 脅威の分類
- 脅威の緩和(mitigation)
無線電波をスキャンするために、アクセスポイントを次の2つのモードに設定することができます。
- normal operational mode
通常のアクセスポイントのサービスの合間に無線機器のスキャンを実行します。
その国で許可されているIEEE 802.11のチャンネルをスキャンします。
スキャン時間は、60秒ごとにチャンネルを変えながら10ミリ秒間受信します(デフォルト)。
- sentry mode
通常のアクセスポイントのサービスを提供しません。ビーコンを送信せず、無線クライアントからのリクエストを精査するための応答もしません。無線機器の検出だけのために動作します。
J52、非TELECの5GHz(212、216など)を含むIEEE 802.11のすべてのチャンネルをスキャンします。
スキャン時間は、1秒間受信しては次のチャンネルに移動します。
アクセスポイントをsentry modeに設定するには次の手順を実行します。
- WLAN > Advanced Configuration > AP Profiles 画面で、APプロファイルを作成し「RF Scan Sentry」にチェックを入れます。チェックを入れると、sentry modeになります。
- WLAN > Basic Setup 画面の「Valid AP」タブを使用し、アクセスポイントにこのAPプロファイルを適用します。
- WLAN > AP Management > Reset 画面で該当のアクセスポイントをリセットします。アクセスポイントにAPプロファイルがダウンロードされ、アクセスポイントは再起動します。
クラスターが構成されている場合は、クラスターコントローラーによるスキャンの結果が集約されます。
間隔はクラスターが管理しているアクセスポイントの数に依存します。最小の間隔は30秒、通常の間隔は数分です。
検出された無線機器(アクセスポイントと無線クライアント)は、次のように分類されます。
- アクセスポイント
- Managed
- Standalone
- Rogue
- Unknown
- 無線クライアント
- Authenticated
- Detected
- Black-Listed
- Rogue
管理者が「ローグ」無線機器に対して適切な行動をとれるように、これらの分類はクラスターコントローラーのWeb設定画面に一覧されます。
Note
- 「Unmanaged AP detected on wired network」を設定しても、wired networkに存在するローグアクセスポイントを「wired networkに存在していない」とレポートすることがあります。
sentry modeのアクセスポイントは、近くにいる不明なアクセスポイントが同じサブネットに接続しているのかどうかを知るために、マルチキャストパケットをイーサネットポートから送信してそのパケットが無線ネットワークで受信できるか確かめます。
管理者はローグ無線機器に対して「Deauth Attack」を実行するように、システムを設定することができます。無線コントローラーは、ローグとしてマークされている無線機器の各々に対してdeauth attacksを実行するようアクセスポイントに命じます。アクセスポイントは周期的にIEEE 802.11「de-authentication」マネージメントフレームをそのような機器に送信し、ネットワークからその機器が切断されるようにします。
Note
- 「Deauth Attack」は無線クライアントによっては効果がないことがあります。
この機能の意図は、恒久的な脅威の軽減や除去ではありません。これは、管理者がローグ無線機器の場所を特定し隔離するまでの一時的な措置となるように設計されています。
Copyright (C) 2011-13 アライドテレシスホールディングス株式会社
PN: 613-001751 Rev.C