L2Blockerで許可登録しているはずのMerakiアクセスポイントが管理通信できなくなる事象
こんにちは。ネットワークソリューション特集 編集部です。
今回は、L2Blockerで許可登録しているはずのMerakiアクセスポイントが管理通信できなくなる事象についてご紹介します。
L2Blockerとは
- L2Blockerとは
アプライアンス型のセキュリティシステムで不正な機器を検知・遮断する製品。既存LANにセンサーを接続するだけで構築可能。
(VLAN単位に1つのセンサー、またTagVLANに対応したモデルもあり)
- L2Blocker動作
- 端末からのARPリクエストを検知し端末やゲートウェイのMACアドレスを確認、登録(情報収集モード)
(個別にIPアドレスを許可登録することも可能) - ブロックモードに変更後、不正端末がLANに接続され、その端末からのARPリクエストを検知した場合
ブロックパケット(偽装ARP)を送信、対象端末のARPテーブルを書き換え通信を遮断
- 端末からのARPリクエストを検知し端末やゲートウェイのMACアドレスを確認、登録(情報収集モード)
事象
L2BlockerにてMerakiアクセスポイントを許可登録をしたもののクラウドとの管理通信が遮断される事象が発生
事象は1セグメントで管理通信、ユーザ通信が混在していた。
想定原因
不正端末(私用スマートフォンなどの未登録端末)が無線接続した際に発生するものと考えられる
①不正端末がゲートウェイへの通信を試み、L2Blockerが不正端末を検出し偽装ARPを発信
②Meraki AP が偽装ARPを中継する際にARPテーブルに登録してしまう(ユニキャストのARPも学習するのも仕様?)
③Meraki AP の管理アドレスからMerakiクラウドへアクセスする際、自身ARPテーブルに登録された偽装ARPの内容が使用され通信不可となる
※しばらくするとアクセスできる(Merakiクラウド上のステータスが正常状態)のでARPテーブルがクリアされ、かつAP配下に不正端末が居ない状態であれば問題ないのではないかと推測
回避策
- ゲートウェイ宛のStatic ARPを設定する
(※Meraki APでは不可のため、L2などの中継機器で同様の事象が発生した場合に有効)
- Meraki APの管理アドレスと運用するデータ用セグメントを分けてL2Blocker監視対象外とする
まとめ
- 不正機器遮断装置全般で起こる可能性がある
- Static ARPで対応するか管理セグメントを分ける
今回はL2Blockerで許可登録しているはずのMerakiアクセスポイントが管理通信できなくなる事象についてご紹介しました。
