Skip to main content

 

Cisco Meraki Documentation

Air Marshal (WIPS)

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年10月07日付けで翻訳したものです。
最新の情報は原文をご確認ください。 

Meraki Learning Hub の無料オンライン トレーニング コースでさらに学びましょう:

Cisco の SSO でサインインするか、無料アカウントを作成してトレーニングを開始してください。

エンタープライズ環境における無線セキュリティの脅威

安全な WiFi アクセスは、エンタープライズ ネットワーキングの重要な要素になっています。WiFi によるインターネット アクセスは、金融、リテール、分散型エンタープライズなどの業種で企業コミュニケーションに不可欠です。WiFi の広範な普及と多様なユースケース(例:POS 通信、社内アクセス、倉庫在庫、資産トラッキング、ターゲット広告向けの WiFi サービス)により、無線媒体で送信される情報量は急増しています。無線で送信されるデータには、個人情報や金融データなどの機微な情報が含まれる割合が高まっています。残念ながら、無線の爆発的な成長に伴い、クライアント デバイスやアクセスポイント(AP)のなりすましによって無線ネットワークを侵害できるオープンソースのハッキング ツールが広く入手可能になってしまいました。

 

現代の WiFi 環境における一般的な脅威の例

ネットワークのなりすまし: 家庭用のアクセスポイントを購入して SSID をコピーすることで、クライアントにその SSID が利用可能であると「思い込ませ」、情報のやり取りを盗み見することが可能です。

リテール環境における SSID スプーフィングの例を示す画像

 

有線ネットワークの侵害: 何も知らない従業員や学生が家庭用アクセスポイントを有線インフラに接続し、LAN をハッカーにさらしてしまうことで発生します。

企業環境における誤って発生した有線 LAN の侵害の例を示す画像

 

エンタープライズ ネットワークを適切に保護するには、WIPS(Wireless Intrusion Prevention System)が強力な無線侵入スキャン機能を備え、不正な AP や無線ハッカーを含むさまざまな種類の無線脅威の検出と分類を可能にする必要があります。さらに、WIPS は直感的な自動封じ込め ポリシーを構成可能で、不正な デバイスに対して事前対応を行えることが望ましいです。脅威が検出されると、WIPS プラットフォームは、定義済みの条件に一致する AP のインテリジェントな自動無効化や、電波空間内の脅威の種類に応じた段階的なメール アラートの生成など、強力なポリシーを実行します。

 

Cisco Meraki の Air Marshal モードを使用すると、ネットワーク管理者はこれらの要件を満たし、電波空間を無線攻撃から完全に保護する業界最先端の WIPS プラットフォームを提供する、水漏れのないネットワーク アーキテクチャを設計できます。本ドキュメントの残りの部分では、無線脅威とそれらに対処するために必要なセキュリティ対策について詳しく説明し、最後に Meraki の Air Marshal WIPS プラットフォームの設定と構成プロセスをまとめ、可能な限り最高のセキュリティ保護を実現する方法を紹介します。

無線脅威

周囲の無線電波空間を理解することで、予防的かつ是正的な有効な対策を取り、他の無線ネットワークからの干渉がない安全な無線環境を確保できます。現代のエンタープライズ環境には、安価な家庭用 802.11 機器への容易なアクセスに加え、デバイスのシミュレーションやスプーフィング、トラフィック フラッドの生成に使用可能なオープンソースのハッキング ツールにより、さまざまな脅威が存在します。Cisco をはじめとする主要なエンタープライズ WLAN プロバイダは、これらの脅威を検出・対処するための WIPS 機能を標準搭載しています。

脅威の分類

潜在的な無線脅威の可視化と分類は、無線ネットワークおよびネットワーク インフラ全体のセキュリティを確保するための重要な第一歩です。一度分類されれば、確定した脅威に対しては対処を行い、無害なアラートは解除できます。Cisco Meraki Air Marshal は、ネットワークの可視性と保護を最大化するため、脅威を次のカテゴリに自動分類します。

不正な SSID

LAN 上で検出された不正な SSID:不正な アクセスポイントがブロードキャストしており、有線 LAN 上で検出された SSID。これは有線ネットワークが侵害されている可能性を示唆します。

注:スキャン用ラジオを搭載した MR の場合、スキャン用ラジオが検出した不正なおよびその他の SSID が DFS チャネル上にあるときは、Air Marshal による封じ込めは行われません。これは、規制により、DFS チャネルで送信する前にチャネルが空いていることを判断するための時間を十分に確保する必要があり、その時間が非常に長く、MR が効果的にスペクトラムをスキャンできなくなるためです。その結果、スキャン用ラジオによって封じ込めできるのは、非 DFS チャネル上の SSID のみです。

ただし、MR のクライアント サービング ラジオが不正なまたはその他の SSID と一致する DFS チャネルで動作している場合、設定に応じて Air Marshal はその DFS チャネル上でそれらの SSID を封じ込めます。

その他の SSID

干渉 SSID:ブロードキャストしており、RF 干渉を引き起こす可能性がある無線ネットワーク。また、本来は自社ネットワークに接続すべきクライアントの誤接続を誘発する可能性があります。

アドホック SSID:最新のスマートフォンやモバイル デバイスは、WiFi ネットワークに接続した後に SSID を再ブロードキャストすることができ、事実上ワイヤレス ブリッジとして動作します。アドホック モードのデバイスはクライアント AP に接続し、無線ハッカーへのゲートウェイを作り出すことがあります。

なりすまし(スプーフィング)

なりすましは、AP が自社 AP の SSID(場合によっては MAC アドレスも)をなりすますことです。AP スプーフィングは、誰かが意図的に自社ネットワークを偽装していることを意味し、最高レベルの重大度として扱うべきです。

悪意のあるブロードキャスト

DoS(サービス拒否)攻撃は、クライアントに対して過剰な数のブロードキャスト メッセージを送信し、正規の AP への接続を妨害しようとする試みです。DoS 攻撃は、悪意のあるクライアント、AP、あるいは企業ネットワークを脅威とみなし対処を試みる他の WIPS システムから発生することがあります。

 

パケット フラッド

クライアントや AP が、AP に対して過剰な数のパケットを送信している状態です。パケットは、ビーコン、認証、アソシエーション フレームなど複数のカテゴリに基づいて監視・分類されます。短時間にいずれかのカテゴリのパケットが過剰に観測された場合、Air Marshal はパケット フラッドとしてマークします。

 

 

封じ込め(コンテインメント)

Cisco Meraki アクセスポイントは、ネットワークの無線脅威の軽減に役立つ強力な Air Marshal テクノロジーを備えています。アクセスポイントは、ネットワークを危険にさらす可能性のある不正な アクセスポイントを封じ込める機能を提供します。本ナレッジ ベース記事では以下を扱います。

  • Air Marshal 封じ込めの概要。

  • 封じ込めの構成。

  • 封じ込めの種類。

Air Marshal 封じ込めの概要

不正な アクセスポイントは、識別後に封じ込めできます。不正な AP が封じ込めされると、クライアントはその不正な AP に接続できなくなります。さらに、すでに接続しているクライアントも不正な AP との接続が切断されます。

注:6 GHz の封じ込めは機能しません。6 GHz は保護管理フレーム(PMF)を使用するため、電波上でクライアントを封じ込めることはできません。

Cisco Meraki の AP は、不正な AP の MAC アドレス(不正な無線ネットワークの BSSID)を装ったデアソシエーション パケットを送信することで封じ込めを実現します。デアソシエーション パケットにより、不正な AP に接続しているクライアントは切断されます。クライアントが不正な ネットワークへの接続を試みた場合も、Air Marshal によって即座に切断されます。下図は、Cisco Meraki の AP が不正な SSID に対して封じ込めを実行している様子を示しています。

Air Marshal によるコンテインメントの動作を示す画像

Air Marshal 封じ込めの動作

規制ドメイン外での不正な AP 検出

ハードウェア

この拡張機能は、MR28 および MR78 を除く、MR31.x を実行しているすべての Wi‑Fi 6 以上の AP に適用されます。

概要

MR31.1 のリリース以前は、アクセスポイントは指定された規制ドメイン内の不正 AP しか監視できませんでした。これは世界中に多数の支社を持つ大規模エンタープライズ ネットワークにとって懸念事項でした。例えばスペインでは、AP は UNII‑3 チャネルをサポートしません。悪意のある攻撃者が UNII‑3 のいずれかのチャネルで不正な AP を設置し、ユーザーを SSID に接続させて認証情報を盗む可能性があります。

MR31.1 のリリースにより、Air Marshal の不正な検出のサポートは AP の規制ドメイン外にも拡張されました。

構成

この機能はデフォルトで無効です。有効化するには、Meraki サポートにお問い合わせください。

注:これは検出アラートおよび非封じ込め機能のための拡張です。
拡張は検出とアラート目的で規制ドメイン外のチャネルをスキャンすることに厳密に限定されており、不正な AP の封じ込めは規制ドメイン内のチャネルでのみ実施されます。

Meraki の Air Marshal WIDS/WIPS プラットフォームの構成

デュアルラジオの Meraki AP は、クライアントにサービスを提供しながら随時ワイヤレス スキャンを実行します。これは、クライアントを提供しているチャネルをスキャンすることを意味します。1 日に 1 回までの頻度で、あらかじめ指定した時間間隔で「必須」スキャンを実行するようにスケジュールすることも可能です。デュアルラジオ AP は、専用の Air Marshal モードに設定することができ、その場合はクライアントにはサービスを提供せず、2.4GHz と 5GHz の両方の周波数でスキャンを行います。多くの Meraki アクセスポイントには 3 台目のラジオが搭載されており、恒久的な Air Marshal スキャン用に事前構成されています。これらの AP は専用の Air Marshal 構成を必要とせず、リアルタイムで脅威をスキャンして是正します。

 

デュアルラジオの Meraki アクセスポイントの場合: Access Points ページで対象の AP を選択し、Air Marshal スキャン セクションで対象の AP をクリックして「On」を選択するか、AP に 'AirMarshal' タグを適用することで、Air Marshal モードを有効化できます。これにより、この AP を専用の WIPS スキャナとして指定できます。この Air Marshal AP はクライアントへのサービス提供を行わなくなり、周囲の環境を脅威についてスキャンする専用センサーとして動作し、その結果は WIPS ページにリアルタイムで表示されます。

ハイブリッド スキャナと専用スキャナに関する注意: クライアント提供モードで動作する 2 本のラジオを持つ AP は、電波空間を随時スキャンするのみです。これは、クライアント提供チャネルはリアルタイムにスキャンし、全チャネルの横断スキャンは 1 日 1 回、またはクライアント提供を行っていないときに実施することを意味します。多くの WLAN ベンダーは、セキュリティ重視の環境において、リアルタイムのセキュリティ アラートと保護を確保するため、(クライアント提供を行わない)専用スキャン センサーの導入を推奨しています。一部のベンダーは「タイムスライシング」を提供し、クライアント提供を行いながらチャネル横断スキャンを可能にしますが、VoIP のようなレイテンシに敏感なアプリケーションのパフォーマンスを犠牲にするため、業界では一般的に推奨されていません。このため、Meraki では高性能でリアルタイムなスキャンのために、専用スキャン ラジオを備えた AP の活用を推奨します。

Air Marshal の新しい UI と構成オプションを示す図

 

Air Marshal 構成ページ

デフォルトの LAN 封じ込め

管理者は、クライアントが不正な SSID に接続できるようにするかどうかを指定できます。クライアントが不正なSSIDにデフォルトで接続できるようにすることを選択した場合、ユーザーは LAN 上で検出されブロードキャストしている非認可アクセスポイントに自由に接続できるようになります。一部の環境では、適切な業務運用のためにこの柔軟性が必要な場合があります。管理者は、SSID のブロックリスト ルールを使用して、よりきめ細かいセキュリティ ポリシーを適用できます。

 

管理者がデフォルトでクライアントが不正なSSIDに接続するのをブロックすることを選択した場合、有線 LAN 上で検出された非 Meraki AP によってブロードキャストされている SSID への接続を試みるデバイスは、自動的に封じ込めされます。これは無線ネットワークに対する最高レベルのセキュリティを提供します。

“デフォルトでクライアントはローグ SSID に接続できるようにしますか?” の構成オプションを示す図

不正な SSID の自動封じ込めの構成

SSID ブロックリスト

デフォルトでクライアントの不正な SSID への接続を許可する場合、管理者は特定の SSID または BSSID をブロックする追加ルールを指定できます。これらのポリシーは、完全一致の語句、MAC アドレス(BSSID)、キーワード、ワイルドカードで一致させることができます(下図参照)。また、ブロックリスト テーブルのルールに一致する SSID が検出されると、メールおよび syslog アラートも生成されます。

警告: SSID ブロックリスト ポリシーを構成する際は注意してください。これらのポリシーは、LAN 上で検出された SSID にも、近隣の WiFi 展開からの LAN 外の SSID にも適用されます。近隣ネットワークに対する封じ込めの実施には法的な問題が生じる可能性があり、チャネル利用率の増加を招いて自組織の AP に接続するクライアントに影響を与えるなど、自身のネットワークに悪影響を及ぼす場合があります。封じ込めを開始する前に、不正な デバイスが自社ネットワーク内にあり、セキュリティ リスクをもたらしていることを必ず確認してください。
AP が構成された SSID をどのようにブロックするかについては、上記のセクション Overview of Air Marshal Containment を参照してください。

 

SSID ブロックリストの構成例

図 A: SSID ブロックリスト ポリシーの適用

SSID ブロックリスト、SSID 許可リスト、SSID アラートの各テーブルで使用できるワイルドカード文字は次のとおりです。

* - 任意の長さの文字列。
? - 任意の 1 文字。

SSID 許可リスト

同様に、デフォルトで封じ込めによって不正な SSID へのクライアント接続をブロックしたい場合、管理者は Air Marshal ルールを使用して、クライアントの接続を許可する特定の SSID または BSSID を l許可リスト に追加できます。これらのルールに一致する不正なまたはその他の SSID は、アラートを生成しません。

SSID 許可リスト(Allow List)の構成例

図 B: SSID 許可リスト ポリシーの適用

SSID アラート

最後に、ルールに一致する SSID が検出された場合にアラートを送信するように構成することもできます。アラートは、ネットワーク全体 > 設定 > アラート ページで指定したメール、および ネットワーク全体 > 設定 > 一般 ページで指定した Syslog に送信されます。

SSID アラートの構成例

図 C: SSID アラート ポリシー

SSID アラート内で構成された SSID/BSSID が検出され、syslog サーバーが構成されている場合、syslog メッセージは event type として device_alerting を使用します。

"airmarshall_events type=device_alerting"

セキュリティ ポリシーの手動適用

AP によって不正な SSID またはその他の SSID が識別された場合、その SSID に対してセキュリティ ポリシーを手動で適用できます。SSSID に手動でセキュリティ ポリシーを適用する手順は以下のとおりです。

  1. ワイヤレス > 監視 > Air Marshal に移動します。

  2. 不正な SSID タブまたは その他の SSIDタブで、ポリシーを適用したい SSID を見つけます。

  3. 図 E のとおり、SSID の左側のチェックボックスを選択します。

  4. 「編集」を選択し、図 F のとおり 許可リストに追加、封じ込め、封じ込め解除 のいずれかを指定します。

  5. ポリシーを SSID 単位で適用するか、BSSID 単位で適用するかを指定します。SSID を選択すると、設定 タブの該当する SSID ブロックリスト、許可リスト、またはアラート テーブルに「完全一致」のポリシー エントリが追加されます。BSSID を選択すると、該当する SSID ブロックリスト、許可リスト、またはアラート テーブルに「MAC アドレスと一致」のポリシー エントリが追加されます。

Rogue SSIDs の一覧から WiFiLab SSID を選択した例

図 D. SSID 左側のチェックボックスを選択

選択した SSID に対して Allow List、Contain、Alert、Uncontain を指定する方法

図 E. 選択した SSID に 許可リスト、封じ込め、アラート、封じ込め解除 のいずれを適用するか指定

同一ダッシュボード組織内の異なるネットワークにまたがる AP は、封じ込めが有効化されない限り、不正なや干渉としてフラグ付けされません。これらを制限するには、正確な一致、MAC アドレス、キーワード、またはワイルドカード ルールを用いた SSID の封じ込めを実施できます。さらに、「デフォルトでクライアントが不正なSSIDに接続するのをブロックする」を有効化すると、AP は自動的に制限されます。

例えば、同一ダッシュボード組織内の「Network A」と「Network B」を考えます。Network A の AP が Network B の AP を封じ込めると、Network A のダッシュボードには、ワイヤレス > Air Marshal > 不正な SSID に Network B に属する封じ込め対象 SSID のエントリが表示されます。

封じ込めの種類とステータス

Uncontained

現在封じ込めされていない不正なまたはその他の無線ネットワークです。脅威を評価した上で、SSID をブロックリストに追加するか、許可リストに追加するかを検討します。LAN 封じ込めが有効な場合、許可リストに追加されていない Uncontained の SSID は、LAN 上で不正な SSID として再分類されると封じ込めされる可能性があります。または、SSID や BSSID に一致するブロックリスト ルールが追加された場合も同様です。Uncontained の SSID は、単に検出されたのみで、管理上の判断がまだ下されていない状態を意味します。

Contained

現在、お使いの Cisco Meraki AP が封じ込めている不正な無線ネットワークです。クライアントが不正な無線ネットワークへの接続を試みると、前述のデアソシエーション処理によって切断されます。

Partially contained

不正な アクセスポイントの一部が異なるチャネルで動作しているため、完全には封じ込めできない不正な無線ネットワークです。これは、非 Air Marshal AP がチャネル スキャン中に別チャネルの不正なを検知した場合に発生することがあります。専用の第 3 の Air Marshal スキャン ラジオを備えた AP をより多く展開することで、この問題の軽減に役立ちます。

Allow Listed

SSID 許可リスト テーブルのルール、または手動で許可リストに追加された無線ネットワークで、いかなる状況でも封じ込めされません。インフラの正規の一部であると判断した無線ネットワークを許可リストに追加することができます。許可リストに追加されたネットワークは、封じ込めの対象外です。

Uncontained Other

スキャン中に検出されたものの、ネットワークに対する脅威とは判断されていない無線ネットワークです。

不正な SSID

Rogue SSID の一覧

Air Marshal モードのアクセスポイント、または専用スキャン ラジオを備えたアクセスポイントが SSID のビーコン フレームを検出すると、それは「不正な SSID」または「その他の SSID」として分類されます。SSID がローカルで発信されているかどうかを判断するために、ローカル デバイスの MAC アドレスと、ブロードキャストされている SSID の BSSID を照合します。任意のベンダーの無線アクセスポイントがビーコン パケットを生成するとき、仮想的な物理アドレスである BSSID を使用します。この動作の詳細はこちらを参照してください。

注:Air Marshal ページに表示される「Hidden SSID」は、特定の BSSID に対するビーコンやプローブ レスポンスに SSID 名が含まれていない状態を指します。通常のネットワーク運用においては無視して問題ないことが多く、目立った RF 干渉を引き起こす可能性は低いです。管理者は、Hidden 行を選択し、ルールを適用する Broadcast MAC を選択することで、検出された Hidden SSID に寄与している BSSID に対しても、同様に 許可リスト、Contain、Alert、Uncontain のルールを指定できます。

特定の 不正な SSID に関する追加情報は、対象の 不正な SSID の行を選択することで確認できます。不正な SSID の RSSI は、どの AP が最も強い信号でその 不正な SSID を「聞いている」かが分かるよう、マップまたはフロアプラン上に表示されます。あわせて、その SSID が検出された時刻、検出チャネル、ブロードキャスト MAC(BSSID)、製造元、および Rogue と特定された理由も表示されます。


Rogue SSID の詳細表示

 

ブロードキャストされている SSID を検出した際、LAN 上の既知の MAC アドレスと比較を行います。一致の判定基準は以下のとおりです。

  • 有線側の MAC とブロードキャストされた BSSID の MAC で、MAC の 3 バイト目と 4 バイト目(左端を 0 バイト目、右端を 5 バイト目とする)が一致していること。
  • かつ、残りのバイトが 5 ビット以下の差であること(ただし、5 バイト目の下位 4 ビット[右端の 4 ビット]はマスクされます)。この場合、不正な SSID として分類されます。

 

この比較は、MAC アドレスを 2 進表記にして Xor(排他的論理和)を取ることで行われます。以下は、有線側の MAC と SSID のブロードキャスト MAC を比較した例です。この例は Air Marshal によって検出されたものです。

ブロードキャスト MAC と有線 MAC の比較

MAC アドレスを 2 進数で表すと、異なるビットが非常に少ないことが分かります。Xor を実行すると、2 つの MAC アドレスの間で有意な差が 3 ビットしかないことが分かります。

MAC を 2 進数にした場合の XOR の例

注: 特定の SSID をブロードキャストしている BSSID は相互に関連付けられます。Air Marshal の封じ込めは主に SSID を対象にします。したがって、1 つの BSSID が上記のチェックに一致した場合、その SSID に関連付けられている他の BSSID もフラグ付けされます。以下の例では、すべての BSSID が SSID と一致する要件を満たしているわけではないことが分かります。

ローグ SSID に対する複数のブロードキャスト MAC を示すスクリーンショット
 

Meraki AP が上流のトランク ポートに接続され、すべての VLAN が許可されている場合、Air Marshal はすべての VLAN で不正なを検出します。

不正な SSID の特定機能により、管理者はローカル ネットワーク上で動作する不正アクセスポイントを防止するための備えを強化できます。検出後、管理者は Air Marshal を使用して SSID を封じ込めたり、収集した情報を用いて問題のデバイスを特定してネットワークから除去したりすることができます。

Air Marshal を用いた脅威対処

一般的な無線セキュリティ脅威の詳細な調査に基づき、Meraki の Air Marshal プラットフォームが開発されました。これにより、アクセスポイントはクライアントにサービスを提供しながらも、専用ラジオ上で WIPS センサーとして動作できます。Air Marshal は、セキュリティ アラートと脅威是正のメカニズムを備えた WIPS プラットフォームです。以下の機能を含みます。

監視とアラート

ネットワークごとのすべての脅威を堅牢かつ直感的に表示し、管理者の設定に基づく自動アラートを提供します。

不正な アクセスポイントの監視

802.11ac Meraki AP は専用のスキャン用ラジオを使用して、2.4 GHz と 5 GHz のすべてのチャネルを横断的にスキャンし、近隣の不正な アクセスポイントの一覧を作成します。加えて、Meraki AP の有線ポート上のトラフィックを検査することで有線 LAN 上の AP を追跡し、有線 LAN 上に存在する可能性のある不正な アクセスポイントの一覧を構築する仕組みもあります。SSID ブロックリスト テーブルや SSID アラート テーブルで構成されたルールに一致する SSID が検出されると、メール アラートおよび syslog メッセージがトリガーされます。

 

メール アラートは、ネットワーク全体 > 設定 > アラート ページに移動し、不正な アクセスポイントが検出された際にメールを送信するよう指定することで構成できます。

Network-wide の Alerts 設定で「A rogue access point is detected」が選択されているスクリーンショット

Syslog アラートは、ネットワーク全体 > 設定 > 一般 ページに移動して syslog サーバーの IP、ポートを構成し、「air marshal」イベントを指定することで構成できます。

Syslog レポート構成を示すスクリーンショット

最後に、スキャン結果は Dashboard API の GET 呼び出し get-network-wireless-air-marshal を使用して取得できます。

是正メカニズム

Air Marshal のアクセスポイントは、デフォルトまたは Air Marshal ルールの構成により、不正な アクセスポイントを自動的に「封じ込め」し、不正な アクセスポイントに関するアラートを送信できます。これにより、管理者は不正な アクセスポイントを物理的に除去するための行動を取ることが可能になります。

封じ込めとは何ですか?

「封じ込め」は一般的なメカニズムで、Air Marshal AP が不正な アクセスポイントをなりすまし(スプーフィング)して、その効果を無効化するものです。Air Marshal は多数の 802.11 パケットを生成し、不正な アクセスポイントの BSSID を送信元 MAC アドレスとして使用します。Air Marshal AP は、不正なへのアソシエーションを試みるクライアントの送信元 MAC を用いてパケットを生成する、より高度な封じ込め手法も提供します。これにより「双方向」スプーフィングが可能になり、不正な アクセスポイントの確実なシャットダウンが実現します。

 

封じ込め中に WIPS が生成するパケットの種類:

  1. 802.11 ブロードキャストの Deauthentication(認証解除)パケット。source = 不正な アクセスポイント、destination = ブロードキャスト。
  2. 802.11 Deauthentication(認証解除)メッセージ。source = 不正な アクセスポイント、destination MAC = クライアント。
  3. 802.11 Deauthentication(認証解除)および Disassociate(接続解除)メッセージ。source = クライアント、destination = 不正な アクセスポイント。

 

#3 により、省電力機能を備えた高度な 802.11 クライアントであっても、バッテリー節約のため「スリープ」しているときに不正な アクセスポイントからの認証解除メッセージを無視する可能性があっても、不正なに接続できなくなります。

ローグ AP の「コンテインメント」の説明を示すスクリーンショット

 

パケット キャプチャにおけるコンテインメント手法を示す画像

 

PCI コンプライアンス

無線脅威を理解し、是正することは、WLAN ネットワークでクレジット カード データを処理する小売業者に要求される標準である PCI DSS(Payment Card Industry Data Security Standard)でも求められています。PCI DSS における WIPS 要件の例は以下のとおりです。

セクション 9.1.3 物理セキュリティ:

既知の無線デバイスへの物理アクセスを制限します。

セクション 10.5.4 無線ログ:

WIPS を使用して、無線アクセスを 1 年間中央でアーカイブします。

セクション 11.1 四半期ごとの無線スキャン:

カード データ保持環境(CDE)を持つすべてのサイトをスキャンします。CDE に既知の WLAN AP が存在するかどうかは問いません。サイトのサンプリングは許可されません。大規模組織では、四半期ごとにすべてのサイトで手動スキャンやウォークアラウンドの無線セキュリティ監査を行うことは不可能なため、WIPS の使用が推奨されます。

セクション 11.4 アラートの監視:

WIPS の自動アラートを有効にし、不正な デバイスや CDE への不正な無線接続を担当者へ即座に通知します。

セクション 12.9 脅威の排除:

WIPS からのアラートを監視して対応するためのインシデント レスポンス計画を準備します。不正なや不正な無線接続をブロックするため、WIPS の自動封じ込め メカニズムを有効にします。

WIPS レスポンス計画の作成

アラートを構成し、Meraki の Air Marshal ビューを活用してこれらの脅威を過去およびリアルタイムで監視することで、強制可能な堅牢なセキュリティ計画を構築できます。完全なセキュリティ手法の例は次のとおりです。

  1. 自社のセキュリティ ポリシーに則った WIPS 計画を作成します。
    • 必須スキャンの間隔を構成する、または AP を Air Marshal モードで動作させるよう指定します。
    • 不正な SSID に対する自動封じ込め ポリシーを構成します。
    • WIPS アラートを構成します。
  2. Air Marshal の予防的監視
    • 毎週または四半期ごとに Air Marshal ページを確認し、既知の不正なは「許可リスト」に、危険な不正なは封じ込めします。
    • SSID ブロックリスト、許可リスト、アラート ルールを最新に保ちます。
    • API を通じて Air Marshal のスキャン結果を取り込み、データ ウェアハウスや監査記録に活用します。
    • 脅威となる可能性のある不正なを封じ込めます。
  3. Air Marshal アラートの受動的監視
    • アラートを受け取り、適切に対応します(封じ込めの設定、不正なの特定と封じ込めなど)。

Air Marshal AP の物理展開

WIPS スキャン用のフルタイム Air Marshal に指定された AP は、壁面設置や PoE の使用など、クライアント提供 AP とまったく同じ方法で展開できます。

 

Air Marshal AP は通常の AP よりも広い有効半径を持ち、持続的なクライアント接続に必要なビットレートよりも低いビットレートで不正なを検出・封じ込めできます。不正な アクセスポイントの検知・是正に対する Air Marshal AP のセンシング半径は、クライアント提供のカバレッジ半径の約 2 倍であり、したがって WIPS スキャンの総カバレッジ エリアはクライアント提供エリアの約 4 倍になります。フル WIPS カバレッジを計画する際、Air Marshal AP とクライアント提供 AP のおおよその比率は 1:4 であり、展開パラメータや必要な WIPS カバレッジ密度に応じて 1:3 から 1:5 の範囲で変動する可能性があります。

通常の AP と比較した Air Marshal AP のカバレッジを示すスクリーンショット

結論

今日の環境における無線セキュリティ脅威の全体像を理解し、包括的なレスポンス計画を策定することで、ネットワーク管理者は重要なネットワーク資産の深刻な侵害(企業に属するセキュアなネットワーク デバイスへのアクセスなど)を未然に防ぐことができます。最高水準の WIPS プラットフォームは、直感的なレポートと監視に加え、自動アラートとセキュリティ適用を可能にする堅牢なツール群を提供できるべきです。

 

Meraki の Air Marshal システムは、リアルタイムの検出、是正、アラート機能を備え、不正な アクセスポイントを高度な封じ込め メカニズムで封じ込めるための事前対応ポリシーの定義が可能です。Meraki の無線製品ラインアップには、Air Marshal モードでフルタイム センサーに切り替えられるデュアル ラジオ AP と、専用のスキャン ラジオを備え永久的に Air Marshal スキャナーとして動作する 3 ラジオ AP の両方が含まれます。Meraki のアクセスポイントと直感的なウェブベースの Dashboard インターフェースを活用することで、ネットワーク管理者は堅牢な WIPS ポリシー計画を作成し、エンタープライズ グレードのセキュリティを提供する堅牢な WLAN 環境を容易に展開できます。