Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Meraki MRシリーズデバイスのスプラッシュページ機能(キャプティブポータルとも呼ばれる)の設定オプションを使用すると、管理者は、ネットワークに接続しているクライアントにトラフィックポリシーが適用されない802.11 WLANを設定できます。
管理者がスプラッシュページアクセス制御を使用してWLANを設定し、キャプティブポータルの強度がサインオン前に非HTTPトラフィックを許可するように設定されている場合、安全でない設定が判別されます。
この設定の目的は、ワイヤレスクライアントがスプラッシュページと対話する前に接続を提供することですが、トラフィックポリシーはサインオンが完了した後にのみ適用されます。悪意のあるユーザは、この安全でない設定を利用して、該当するWLAN内のトラフィックを制限するように設定されたファイアウォールルール、コンテンツフィルタリング、トラフィックシェーピングなどのネットワークポリシーを回避する可能性があります。
Cisco Merakiは、Cisco Meraki MRソフトウェアまたはスプラッシュページ機能の脆弱性とは見なしません。これは設定の問題と見なされます。
より強固なネットワークセキュリティを確保するため、Cisco Merakiでは、このアドバイザリの「推奨事項」セクションのガイダンスに従って適切な設定変更を行うことを推奨しています。
注:このオプションは、2020年12月4日以降にCisco Meraki Cloud Management Interface(ダッシュボードとも呼ばれる)を使用して作成されたWLANでは、デフォルトで無効になっています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-config-Ab3Da
脆弱性のある製品
この問題がCisco Meraki MRシリーズデバイスの公開時に影響を受けたのは、デバイスにアクセス制御にスプラッシュページを使用するWLANが設定されており、かつキャプティブポータルの強度がサインオン前に非HTTPトラフィックを許可するように設定されている場合です。
デバイスが影響を受けるかどうかを確認する
デバイスがこのアドバイザリに記載されている問題の影響を受けるかどうかを確認するには、次の手順に従います。
手順1:スプラッシュページが設定されているかどうかを確認します
- [Dashboard] にログインします。
- Combinedビューで、Wireless > Configure > Access controlの順に選択します。
- SSIDドロップダウンメニューから適切なWLANを選択します。
- Splash Pageセクションを見つけて展開します。
スプラッシュページタイプがなし(ダイレクトアクセス)以外の値に設定されている場合、WLANはアクセス制御にスプラッシュページを使用するように設定されています。ステップ 2 に進みます。
スプラッシュページタイプがなし(ダイレクトアクセス)に設定されている場合、または高度なスプラッシュ設定セクションが展開できない場合、WLANはアクセス制御にスプラッシュページを使用するように設定されていないため、このアドバイザリで説明されている問題の影響を受けません。
ステップ2:キャプティブポータルの強度設定を決定する
- Splash PageセクションでAdvanced splash settingsをクリックし、Configurationセクションを展開します。
- キャプティブポータルの強度ドロップダウンメニューを見つけます。
キャプティブポータルの強度がAllow non-HTTP traffic prior to sign-onに設定されている場合、WLANはこのアドバイザリで説明されている安全でない設定オプションを使用して設定されています。
キャプティブポータルの強度がBlock all access until sign-on is completeに設定されている場合、WLANは安全でない設定オプションで設定されないため、このアドバイザリで説明されている問題の影響を受けません。
Cisco Meraki MRデバイスでは、使用中のWLANごとに個別のスプラッシュページを設定できます。各スプラッシュページには、キャプティブポータルの特定の強度設定があります。Cisco Merakiは、このアドバイザリの「推奨事項」セクションに記載されているように、デバイスで有効になっている各WLANの設定を確認することをお勧めします。
詳細
この情報アドバイザリの対象読者は、アクセスコントロールにスプラッシュページを使用してWLANネットワークを導入したお客様です。
Cisco Merakiスプラッシュページは、Webベースのアクセス制御機能です。フルネットワークアクセスを取得する前に、HTMLページを表示して操作する必要があります。クライアントがスプラッシュページと対話する前に持っているネットワークアクセスの範囲は、キャプティブポータルの強度設定によって制限されます。キャプティブポータルの強度がAllow non-HTTP traffic prior to sign-onに設定されている場合、ワイヤレスクライアントがスプラッシュページと対話する前に、ネットワーク接続がワイヤレスクライアントに提供されます。ただし、TCPポート80が宛先であるトラフィックは例外です。
Cisco Meraki MRシリーズデバイスでは、キャプティブポータルの強度設定は、スプラッシュページが設定されている場合、設定されたトラフィックシェーピング、コンテンツフィルタリング、およびファイアウォールルールよりも優先されます。ユーザ定義のWLANトラフィックポリシーは、サインオンの完了後に適用されます。
Cisco Merakiスプラッシュページの詳細については、「スプラッシュページ」を参照してください。
推奨事項
Cisco Merakiでは、使用中の各WLANの設定を確認することを推奨しています。スプラッシュページによってアクセスが制御されるWLAN展開では、Cisco Merakiはキャプティブポータルの強度をサインオンが完了するまですべてのアクセスをブロックするように設定することを推奨します。
より安全な設定を採用するには、次の手順を実行します。
- [Dashboard] にログインします。
- Combinedビューで、Wireless > Configure > Access controlの順に選択します。
- SSIDドロップダウンメニューから適切なWLANを選択します。
- スプラッシュページセクションを探します。
- Advanced splash settingsをクリックして、Configurationセクションを展開します。
- Captive portal strengthドロップダウンメニューで、Block all access until sign-on is complete if is not selectedを選択します。
高度なスプラッシュ設定セクションを拡張できない場合、WLANはアクセス制御にスプラッシュページを使用するように設定されていないため、このアドバイザリで説明されている問題の影響を受けません。
キャプティブポータルの強度がBlock all access until sign-on is completeに設定されている場合、そのWLANはこのアドバイザリで説明されている問題の影響を受けません。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2022 年 9 月 7 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。