Cisco 適応型ワイヤレス侵入防御システムコンフィギュレーションガイドリリース 7.2.103.0

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco 適応型ワイヤレス侵入防御システムコンフィギュレーションガイドリリース 7.2.103.0

Chapter Title

wIPS およびプロファイルの設定

PDF - Complete Book (4.27 MB) PDF - This Chapter (563.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月12日

wIPS およびプロファイルの設定

この章では、wIPS プロファイルおよび wIPS を操作するために併せて設定する必要がある項目の設定方法について説明します。

この章は、次の内容で構成されています。

• 「ガイドラインと制限事項」

• 「前提条件」

• 「wIPS 設定およびプロファイル管理について」

ガイドラインと制限事項

• モビリティサービスエンジンは 1 つの NCS からのみ設定できます。

• ご使用の wIPS がコントローラ、アクセスポイント、および MSE で構成されている場合、これら 3 つのエンティティをすべて UTC タイムゾーンに設定する必要があります。

• コントローラは 1 つの設定プロファイルに関連付けられます。そのコントローラに接続されている wIPS モードアクセスポイントはすべて同じ wIPS 設定を共有します。

前提条件

wIPS プロファイルを設定する前に、次の手順を実行する必要があります。

1. モビリティサービスエンジンをインストールします（まだネットワーク内で動作していない場合）。次の URL にある『 Cisco 3350 Mobility Services Engine Getting Started Guide 』または『 Cisco 3310 Mobility Services Engine Getting Started Guide 』を参照してください。

http://www.cisco.com/en/US/products/ps9742/prod_installation_guides_list.html

2. モビリティサービスエンジンを NCS に追加します（まだ追加されていない場合）。

3. wIPS モニタモードで動作するようにアクセスポイントを設定します。「wIPS モニタモードのアクセスポイントの設定」を参照してください。

4. wIPS プロファイルを設定します。「wIPS プロファイルの設定」を参照してください。

wIPS 設定およびプロファイル管理について

wIPS プロファイルの設定は、プロファイルの表示と変更に使用される NCS から始まるチェーン階層を進みます。実際のプロファイルは、MSE で実行するワイヤレス IPS サービス内に保存されます。

プロファイルは、モビリティサービスエンジン上の wIPS サービスから、特定のコントローラに伝播され、次に、その各コントローラに関連付けられている wIPS モードアクセスポイントに透過的にこのプロファイルが伝達されます。（図 8-1 を参照）。

図 8-1 wIPS プロファイルの設定および更新

NCS で wIPS プロファイルへの設定変更が行われ、一連のモビリティサービスエンジンおよびコントローラに適用される場合、次のようになります。

1. NCS で設定プロファイルが変更され、バージョン情報が更新されます。

2. XML ベースのプロファイルがモビリティサービスエンジンで実行する wIPS エンジンに適用されます。この更新は、SOAP/XML プロトコルを介して行われます。

3. モビリティサービスエンジン上の wIPS は、NMSP を使用して設定プロファイルを適用することによって、そのプロファイルに関連付けられている各コントローラを更新します。

4. コントローラは更新された wIPS プロファイルを受け取り、それを NVRAM に保存し（以前のすべてのバージョンのプロファイルを置き換える）、CAPWAP 制御メッセージを使用して、更新されたプロファイルをそれに関連付けられた wIPS アクセスポイントに伝播します。

5. wIPS モードアクセスポイントはコントローラから更新されたプロファイルを受け取り、その wIPS ソフトウェアエンジンに変更を適用します。

この項では、次のトピックを扱います。

• 「ガイドラインと制限事項」

• 「wIPS モニタモードのアクセスポイントの設定」

• 「wIPS プロファイルの設定」

ガイドラインと制限事項

• wIPS モニタモードをサポートしているのは、Cisco Aironet 1130、1140、1240、1250、3502E、および 3502I シリーズのアクセスポイントだけです。

• wIPS サブモードがサポートされるのは、アクセスポイントモードがモニタ、ローカル、または HREAP の場合だけです。ただし、1130 および 1240 アクセスポイントの場合、wIPS はモニタモードだけでサポートされます。

wIPS モニタモードのアクセスポイントの設定

wIPS モニタモードで動作するようにアクセスポイントを設定するには、次の手順に従います。

ステップ 1

[Configure] > [Access Points] の順に選択します。

ステップ 2 [802.11a] または [802.11b/g] 無線リンクをクリックします（図 8-2 を参照）。

図 8-2 [Configure] > [Access Points] > [Radio]

ステップ 3 [Access Point] ページで、[Admin Status] チェックボックスをオフにして無線を無効にします。

図 8-3 [Access Points] > [Radio]

ステップ 4 [Save] をクリックします。

（注） wIPS モニタモードに設定されるアクセスポイント上の各無線について、これらの手順を繰り返します。

ステップ 5 無線が無効になると、[Configure] > [Access Points] の順に選択し、無効にした無線のアクセスポイントの名前をクリックします。

ステップ 6 アクセスポイントのダイアログボックスで、[AP Mode] ドロップダウンリストから [Monitor] を選択します（図 8-4 を参照）。

図 8-4 [Configure] > [Access Points] > アクセスポイントの詳細

ステップ 7 [Enhanced WIPS Engine] の [Enabled] チェックボックスをオンにします。

ステップ 8 [Monitor Mode Optimization] ドロップダウンリストから [WIPS] を選択します。

ステップ 9 [Save] をクリックします。

ステップ 10 アクセスポイントをリブートするように求められたら、[OK] をクリックします。

ステップ 11 アクセスポイント無線を再度有効にするには、[Configure] > [Access Points] の順に選択します。

ステップ 12 該当するアクセスポイント無線をクリックします（図 8-5 を参照）。

図 8-5 [Configure] > [Access Points] > [Radio]

ステップ 13 [Radio Detail] ページで、[Admin Status] の [Enabled] チェックボックスをオンにします。

ステップ 14 [Save] をクリックします。

wIPS モニタモードに設定した各アクセスポイントおよびその各無線について、この手順を繰り返します。

wIPS プロファイルの設定

デフォルトで、モビリティサービスエンジンと対応する wIPS アクセスポイントは NCS からデフォルトの wIPS プロファイルを継承します。このプロファイルは、デフォルトで有効にされている大部分の攻撃アラームによってあらかじめ調整されており、wIPS アクセスポイントと同じ RF グループ内のアクセスポイントに対する攻撃を監視します。このように、システムは WLAN インフラストラクチャと wIPS アクセスポイントの両方が同じコントローラ上に混合されている統合ソリューションを利用する構成モデルに対する攻撃を監視するようにあらかじめ設定されています。

（注）次の設定手順の一部はオーバーレイだけとしてマークされており、Autonomous や完全に個別のコントローラベースの WLAN などの既存の WLAN インフラストラクチャを監視するように適応型 wIPS ソリューションを導入している場合にだけ実行されます。

wIPS プロファイルを設定するには、次の手順に従います。

ステップ 1

[Configure] > [wIPS Profiles] を選択します。

[wIPS Profiles] ページが表示されます（図 8-6 を参照）。

図 8-6 [wIPS Profiles] > プロファイルリスト

ステップ 2 [Select a command] ドロップダウンリストから、[Add Profile] を選択し、 [Go] をクリックします。

ステップ 3 [Profile Parameters] ダイアログボックスで、[Copy From] ドロップダウンリストからプロファイルテンプレートを選択します。

（注）適応型 wIPS には一連のプロファイルテンプレートがあらかじめ定義されており、お客様はそれらをベースとして使用して、独自のカスタムプロファイルを作成できます。各プロファイルは、そのプロファイルで有効な特定のアラームと同様に、特定の業務または用途に合わせて作成されています。

（注）デフォルトプロファイルは編集できません。

（注）プロファイルをコントローラに適用するために NMSP セッションがアクティブなことを確認します。

ステップ 4 プロファイルを選択し、プロファイル名を入力したら、[Save and Edit] をクリックします。

ステップ 5 （任意）[SSID Group List] ページで SSID を設定します。

デフォルトで、ローカルワイヤレス LAN インフラストラクチャ（同じ RF グループ名を持つ AP によって定義された）に対して仕掛けられた攻撃が監視されます。オーバーレイ構成モデルで構成する場合など、他のネットワークに対する攻撃を監視させる必要がある場合は、SSID グループ機能を使用する必要があります。

（注）この手順が必要ない場合は、単に [Next] をクリックします。

a. [MyWLAN] チェックボックスをオンにし、ドロップダウンリストから [Edit Group] を選択して、[Go] をクリックします。

b. 監視する SSID を入力します。

c. SSID 名を入力し（複数の名前を入力する場合は 1 つのスペースで区切る）、 [Save] をクリックします。

SSID が正常に追加されたことを確認する [SSID Groups] ページが表示されます。

d. [Next] をクリックします。

[Select Policy] および [Policy Rules] 概要ペインが表示されます。

（注） [Select Policy] ペインで、検出および報告対象の攻撃を有効または無効にすることができます。アラームのしきい値を編集し、フォレンジックを有効にすることもできます。

ステップ 6 検出および報告対象の攻撃を有効または無効にするには、[Select Policy] ペインでその攻撃タイプの横にあるチェックボックスをオンにします。

ステップ 7 プロファイルを編集するには、攻撃タイプの名前（DoS：アソシエーションフラッドなど）をクリックします。

その攻撃タイプの設定ペインが、ポリシールールの説明の上の右側のペインに表示されます。

ステップ 8 ポリシールールを変更するには、次の手順に従います。

a. [Policy Rules] ペインで、ポリシールールの横にあるチェックボックスをオンにし、[Edit] をクリックします。

[Policy Rule Configuration] ダイアログボックスが表示されます（図 8-7 を参照）。

図 8-7 [Policy Rule Configuration] ダイアログボックス

b. アラームの重大度を選択します。

c. このアラームのパケットをキャプチャする場合は、[Forensic] チェックボックスをオンにします。

d. 必要に応じて、アクティブなアソシエーションの数を変更します。（この値はアラームタイプによって異なります）。

e. 攻撃を監視する WLAN インフラストラクチャのタイプ（[SSID] または [Device Group]）を選択します。

1. [SSID] を選択した場合は、ステップ 9 に進みます。

2. [Device Group] を選択した場合は、ステップ 10 に進みます。

（注） [Device Group]（[Type]）および [Internal] はデフォルトです。Internal は、同じ RF グループ内のすべてのアクセスポイントを示します。タイプに [SSID] を選択すると、オーバーレイ構成に一般的な個別ネットワークを監視できます。

ステップ 9 （任意）オーバーレイ構成に限り、SSID のポリシールールを追加するには、以下の手順に従います。

a. ポリシールールを追加するには、[Add] をクリックします（図 8-8 を参照）。

図 8-8 ポリシールールの追加

b. [Policy Rule Configuration] ダイアログボックスで、[SSID Group] リストから [MyWLAN] を選択します（図 8-9 を参照）。

（注）タイプに SSID がすでに選択されています。

図 8-9 SSID の [Policy Rule Configuration] ダイアログボックス

c. すべての変更が完了したら、[Save] をクリックします。

d. 各ポリシールールを変更します。すべての変更が完了したら、ステップ 10 に進みます。（図 8-10 を参照）。

（注） SSID によって別の WLAN インフラストラクチャを監視するようにシステムを設定する場合、監視するすべてのポリシールールごとに変更する必要があります。個別の各アラームに、システムで以前に作成した SSID グループに対する攻撃を監視するように定義したポリシールールを作成する必要があります。

図 8-10 SSID モニタリングに関するポリシールールの編集