[index] AT-UWC リファレンスマニュアル 2.1
- AP Configuration(WIDS AP設定) - Client Configuration(WIDSクライアント設定)
| AP Configuration(WIDS AP設定) |
Note - この設定は、無線コントローラーのグローバル設定項目の一部です。脅威検出テストの大部分は「管理下APでないにも関わらず管理下のSSIDを送信している機器」の検出を目的としています。こうした機器がネットワークに存在するということは、すなわち何らかの設定ミスがあるか、または悪意を持つ誰かがパスワードなどのセキュリティー情報収集を目的として設置した通称「ハニーポット」の危険があるからです。
WLAN > Advanced Configuration > Peer Controller 画面の「Configuration Enable/Disable」タブの「Global」を「Enable」にして「Submit」ボタンをクリックください。ピアコントローラー(クラスター内の他の無線コントローラー)の設定が同期します。
ピアコントローラーの「AP Configuration」タブの設定は、現在のクラスターコントローラーがフェイルして、ピアコントローラーがクラスターコントローラーに昇格したときに使用されます。
| Administrator configured rogue AP | Source MACアドレスがValid APデータベースに登録されており、「Rogue」と設定されているなら、そのAPはローグです。 |
| Managed SSID from an unknown AP | 無線コントローラー管理下のSSIDを送信しているUnknown APであるなら、そのAPをローグと判定するテストです。このようなAPは悪意を持つ誰かがセキュリティー情報収集などを目的として設置した機器である可能性があります。 無線コントローラークラスターを複数ミックスして運用しているような大規模ネットワークでは、このテストは無効に設定するか、またはSSIDをクラスターごとに分けた方がよいでしょう。そうしないと、片方のクラスターで運用しているSSIDが、他方のクラスターでローグ判定されるということが起こりえます。 |
| Managed SSID from a fake managed AP | 無線コントローラー管理下のSSIDを送信している偽装APを検出するテストです。悪意を持つ誰かが設置した、管理下APのMACアドレスに偽装した機器を検出します。正当な管理下APは、ビーコンのベンダーフィールドに特殊な値を持っています。この値を持たない管理下APは偽装と判定します。 |
| AP without an SSID | SSIDが隠蔽されているビーコンを検出するテストです。 SSIDはビーコンフレームのオプションフィールドです。悪意を持つ誰かが、検出を逃れるためにSSIDを隠蔽したAPを設置しているかも知れません。このようなAPでもクライアントからのプローブ要求に応答するので、クライアントは正当な管理下APと間違えて、この不正なAPに接続してしまいます。 (注)このテストが「Enable」(デフォルト)のとき、管理下APの「Hide SSID」を「Enable」(SSID隠蔽)にしないでください。管理下APのSSIDを隠蔽すると、無線コントローラーはそのAPをローグと判定します。 「Hide SSID」は、WLAN > Advanced Configuration > Networks 画面の各の無線ネットワーク設定にあります。「Hide SSID」のデフォルトは「Disable」です。 |
| Fake managed AP on an invalid channel | 正しくないチャンネルで動作している偽装APを検出するテストです。受信ビーコンのソースMACアドレスが正当な管理下APのものであるが、チャンネルはその管理下APが動作しているはずのないものであれば、それは偽装APと判定します。 |
| Managed SSID detected with incorrect security | RFスキャンによって、管理下APは他のAPからのビーコンを検査し、そのセキュリティー方式がオープン、WEP、WPAのいずれであるか識別します。 ビーコンに含まれているSSIDは無線コントローラー管理下のものであるが、使用されているセキュリティー方式が一致しないのであれば、それはローグと判定します。 |
| Invalid SSID from a managed AP | 管理下APが未知のSSIDを送信していることを検出するテストです。 RFスキャンで受信したビーコンのSSIDを、送信した管理下APに割り当てられているプロファイルと比較して検査します。一致しない場合はローグと判定します。 (注)このテストが「Enable」(デフォルト)のとき、管理下APの「Hide SSID」を「Enable」(SSID隠蔽)にしないでください。管理下APのSSIDを隠蔽すると、無線コントローラーはそのAPをローグと判定します。 「Hide SSID」は、WLAN > Advanced Configuration > Networks 画面の各の無線ネットワーク設定にあります。「Hide SSID」のデフォルトは「Disable」です。 |
| AP is operating on an illegal channel | 法定外のチャンネルで動作している機器を検出するテストです。 (注)このテストにはSentryモードのAPが必要です。 |
| Standalone AP with unexpected configuration | Valid APデータベースでStandaloneとされているAPについて、無線コントローラーはそのAPが設定通りに動作しているかチェックします。 このテストが検出できるのは、誤設定はもちろん、潜在的な侵入脅威でもあります。以下の設定がチェックされます。 ・チャンネル ・SSID ・セキュリティー方式 ・WDSモード ・有線ネットワークでの接続 |
| Unexpected WDS device detected on network | 管理者がManagedまたはUnknownと設定したが、WDSモードで動作しているAPを検出するテストです。そのような機器はローグと判定します。 |
| Unmanaged AP detected on wired network | このAPが有線側ネットワークに接続されているかを検出するテストです。UnknownであるAPがこのテストでFailすると、Rogueに分類されます。有線側に送信した検査用フレームを無線側で観察します。不正APの動作に依存しますので必ず検出できるとは限りません。 (注)このテストにはSentryモードのAPが必要です。 |
| Rogue Detected Trap Interval | SNMPトラップでローグAPの存在を通知する間隔を設定します。0に設定するとトラップは送信されません。 |
| Wired Network Detection Interval | 有線側に検査用フレームを送信する間隔を設定します。0に設定すると送信されません。 |
| AP De-Authentication Attack | AP Deauth Attackの有効/無効を設定します。 ローグに対してIEEE 802.11 Deauthメッセージを送信することで、ネットワークを防御する機能です。この機能は無線コントローラー全体で1か所の設定となります。この機能を有効にする前に、正当なAPがローグに分類されていないことを確認してください。デフォルトは無効です。 |
Note - 「Unmanaged AP detected on wired network」を設定しても、wired networkに存在するローグアクセスポイントを「wired networkに存在していない」とレポートすることがあります。
Note - 「Deauth Attack」は無線クライアントによっては効果がないことがあります。
| Submit | 入力した値を無線コントローラーに適用します。再起動後も設定した値を保持したい場合、Save All Applied Changes 画面の「Save」ボタンをクリックしてください。 |
| Refresh | 最新の情報で画面を更新します。 |
| Client Configuration(WIDSクライアント設定) |
Note - 脅威分類アルゴリズムの設定は、無線コントローラーのグローバル設定項目の一部です。クラスター内の他の無線コントローラーに対して、手動で設定のプッシュを行い、設定を同期させてください。802.11接続/認証シーケンスの中で、クライアントは802.11マネージメントフレームを送信します。WIDS機能では以下のタイプのマネージメントメッセージを検査します。
| Known Client Database Test | Known Clientデータベースに登録があり、アクセス拒否と設定されているクライアントを検出するテストです。アクションが個別にGrantとされているか、あるいはグローバルアクションがWhite Listと設定されているかをチェックします。 クライアントが個別にDenyと設定されているか、またはグローバルアクションがBlack Listに設定されているなら、このテストでFailとなります。 |
| Configured Authentication Rate Test | 802.11 Authenticationメッセージの最大送信レートを超過していないかのテストです。 |
| Configured Probe Requests Rate Test | プローブ要求の最大送信レートを超過していないかのテストです。 |
| Configured De-Authentication Requests Rate Test | De-Authenticationメッセージの最大送信レートを超過していないかのテストです。 |
| Maximum Authentication Failures Test | 認証失敗の最大回数を超過していないかのテストです。 |
| Authentication with Unknown AP Test | Known Clientデータベースに登録があるクライアントがUnknown APに接続していることをチェックするテストです。 |
| Client Threat Mitigation | 有効に設定すると、Known Clientデータベースに登録されたクライアントがUnknown APに接続したとき、クライアントにDeAuthメッセージを送信します。Authentication with Unknown AP Testが有効に設定されている必要があります。 |
| Known Client Database Lookup Method | Known Clientデータベースの参照方法を設定します。ローカルデータベースか外部RADIUSサーバーかを指定します。 |
| Known Client Database Radius Server Name | Known Clientデータベースを外部RADIUSに参照する場合は、RADIUSサーバー名をここで設定します。 |
| Rogue Detected Trap Interval | SNMPトラップでローグの存在を通知する間隔を設定します。0にするとトラップは送信されません。 |
| De-Authentication Requests Threshold Interval | De-Authenticationメッセージの回数をカウントする期間を設定します。 |
| De-Authentication Requests Threshold Value | 設定された期間内のDe-Authenticationメッセージの最大受信数です。 |
| Authentication Requests Threshold Interval | Authenticationメッセージの回数をカウントする期間を設定します。 |
| Authentication Requests Threshold Value | 設定された期間内の最大Authenticationメッセージ受信数です。 |
| Probe Requests Threshold Interval | プローブ要求の回数をカウントする期間を設定します。 |
| Probe Requests Threshold Value | 設定された期間内の最大プローブ要求受信数です。 |
| Authentication Failure Threshold Value | 802.1X認証失敗の最大許容数です。 |
| Submit | 入力した値を無線コントローラーに適用します。再起動後も設定した値を保持したい場合、Save All Applied Changes 画面の「Save」ボタンをクリックしてください。 |
| Refresh | 最新の情報で画面を更新します。 |
Copyright (C) 2011-14 アライドテレシスホールディングス株式会社
PN: 613-001751 Rev.D