日本語フォーラム

Reply
Highlighted
Aruba Employee
Posts: 29
Registered: ‎03-19-2013

簡単にできるテザリングAP対策の無線LAN

Windows XPに続き、テザリングAP対策についてご案内します。

 

よくある不正AP対策とテザリングAP対策の違いは、
テザリングAPが本当にテザリング用途のAPなのか、
単なるお隣の会社さんのAPなのか、単純には見分けがつかない点です。

 

不正AP対策は、テザリングAPに比べると分かりやすく、
「社内LANに有線接続している管理外のAP」にアクセスしている端末に対して、Deauthを投げたり、Tarpitなどの対策を実施するだけです。

 

でも、色々とIT管理者さんとお話すると、テザリングAP対策ができないので、
社内端末の無線LAN自体を禁止していることも、まだまだあるようです。

だったら、テザリングAP対策もきちんとして、

社内で無線LANを思う存分使っちゃいましょう!

 

ArubaのテザリングAP対策の方法は、

管理下にあるAruba APに接続した端末(=Valid STA)が、
管理外のAPに接続しようとすることを妨害します。

 

この機能を"Protect Valid STA" と呼んだりしています。

blk-tethering-3.PNG

 

設定も非常にシンプルで、AOSの場合はこんな感じでOKです。

1. Protect Valid STAをunauthorized-device-profileで有効にする
ids unauthorized-device-profile "blk-tethering"
    protect-valid-sta

2. ids profile にStep 1のProfileを適用する
ids profile "secure-wifi"
    unauthorized-device-profile "blk-tethering"

3. AP GroupにStep 2のids profileを適用する
ap-group "air_monitor"
    ids-profile "secure-wifi"

 

この機能の注意点としては、

  • AirMonitor APの設置が推奨(AirMonitorが無ければ、サービスChannelを使ったテザリングAPにしか有効にならない)
  • RFProtectライセンスが必要 

でも、IAPならライセンスも不要で簡単にできちゃいます。。。:robotsad:

IAP-blk-tethering.PNG

 

 

Aruba Wi-Fiで快適セキュアな社内Wi-Fiを構築しましょう!:smileyvery-happy:

Occasional Contributor II
Posts: 13
Registered: ‎04-24-2010

Re: 簡単にできるテザリングAP対策の無線LAN

最近のAOSでは この設定を行おうとすると

Warning: The Federal Communications Commission ("FCC") and some third parties have alleged that, under certain circumstances, use of containment functionality violates 47 U.S.C. Section 333 and/or other FCC rules, regulations or policies. Before using any containment functionality, you should determine whether your intended use is allowed under the applicable rules, regulations and policies. Aruba shall not be liable for any claims, sanctions, or other direct, indirect, special, consequential or incidental damages related to your use of containment functionality.

のメッセージが表示されるようになりました。

法に触れる可能性があるのでちゃんと認識する必要があるよ、Arubaは責任負いませんからね、

と理解します。

Deauthを発行する機能に関してCiscoはNGだと判断しているという噂も聞いたりしています。

そもそもで恐縮ですが日本国内において Deauthを発行する機能は法に触れる(違法)のでしょうか

また このメッセージが表示されるようになった背景も合わせて教えてもらえると助かります。

 

※protect-valid-staはとても有効な機能だと思ってます。ちまたではSecurityとかコンプライアンスとかの言葉が花盛りですが こちらの機能がもっと拡がらないかなぁ、、、。と思います。そのためにも、、、、。 

 

NKGW

 

Aruba Employee
Posts: 29
Registered: ‎03-19-2013

Re: 簡単にできるテザリングAP対策の無線LAN

返答が遅くなり申し訳ございません。

 

ご認識の通り、本機能はお客様の責任範囲でご利用頂くことになります。

Deauth自体が問題な訳ではなく、Deauthを不特定者に対して送信することが問題となります。

例えば、ゲストアクセスを利用していたゲストが、ポケットWi-Fiに切替えた場合、

その端末をValid StationとしてポケットWi-Fiへアクセスさせることを防止するのは、

問題になる可能性があります。

 

ゲストアクセスや、ポケットWi-Fi、テザリングAP等が多くなってきたため、

本機能を不用意に利用することによるトラブルを避けるためにメッセージを表示させています。

 

以上、よろしくお願いします。

 

Search Airheads
Showing results for 
Search instead for 
Did you mean: