Meraki

Community

Air marshal 構成時の注意点について

ラベル:
Seiryu
Meraki Employee
Meraki Employee
2 週間前
2 週間前

Air Marshalの機能概要と利点

無線のセキュリティ機能、Air Marshal は不正アクセス ポイントからMerakiのネットワーク保護します。

この機能概要については下記のMeraki ブログで詳細な説明とともに紹介されています。

 

不正アクセス ポイント | Meraki ブログ
https://meraki.cisco.com/blog/2017/09/rogue-access-point/

 

不正な AP を識別するために、すべてのMRは専用の「リスニング」無線を利用して RF を継続的に監視します。

このリスニング無線はMRに実装されているユーザ通信向けのアンテナではなくモニター専用のアンテナを持つモデルで実装されています。
※MR20等のモデルはモニター専用のアンテナが実装されていません

 

不正なSSIDの定義

不正アクセス ポイントをMerakiネットワークのMRと同じLAN 上に存在すると認識され、そのAPが ブロードキャストしているSSID を不正なSSIDとして定義しています。

 

封じ込めの動作

Air Marshal は「コンテインメント」と呼ばれる技術を使用します。

Meraki AP に不正な SSID が含まれている場合、次の 3 つのフレーム タイプが使用されます。

 

ブロードキャスト 802.11 認証解除フレーム:

AP が不正な AP になりすまし、不正なAPに接続された Meraki AP の範囲内にあるすべてのクライアントに BSSID から切断するように指示します

ターゲットを絞った 802.11 認証解除フレーム:

この場合もAP が不正な AP になりすまし、 Meraki AP は不正な SSID の BSSID の MAC を偽装し、それに関連付けられているクライアントの MAC アドレスに 802.11 認証解除を送信します。

相互にターゲットを絞った 802.11 認証解除および関連付け解除フレーム:

Meraki AP が不正な SSID に接続されていたすべてのクライアントの MAC アドレスを偽装し、各クライアントの認証解除フレームを不正なアクセス ポイントの BSSID に送信することが含まれます。


つまり、MRは不正なSSIDに接続したクライアントと、不正なSSIDをブロードキャストするAPの双方になりすましてDeauthenticationパケットを送信し接続後間も無く切断をさせます。

 

実際にMeraki MRの封じ込めをされた際のユーザエクスペンスとしては、

無線SSIDを選択し接続→接続成功→直後に切断 となり、何度接続してもこれを繰り返すことになります。

自動再接続が有効な場合は延々とこれを繰り返します。

 

 

Air Marshalの検知対象と除外対象

検知対象は不正なSSIDであり、定義は上記で記載されている通りです。

他ベンダーのAPが同一LAN上に存在した場合には、不正なSSIDとして検知されることが期待されます。

 

MerakiMRは同じネットワーク内のMRは検知しませんが、同じオーガナイゼーション内の別ネットワークのMRを不正なSSIDとして検知し封じ込めをしてしまう場合があります。

※ダッシュボード上ではこの検知結果が表示されません

 

下記の図のように同じサブネットで、異なるMerakiダッシュボードネットワークで管理している場合が該当します。

MRは同じネットワーク内のMRのMACアドレス情報をAir Marshalの検知範囲から除外するホワイトリストとして保持していますが、

他のダッシュボードネットワークのMRについては保持していません。

 

これにより、同じサブネットで管理されている別のダッシュボードネットワークのMRが不正なSSIDの定義に一致するため、これを封じ込めてしまうという状態に陥ります。

※繰り返しますが、ダッシュボード上ではこの検知結果が表示されません

 

スクリーンショット 2025-03-07 13.34.04.png

MR1とMR2はMR3を不正なSSIDとして検知し、MR3はMR1とMR2を不正なSSIDとして検知し、互いに封じ込めを行なってしまいます。

 

 

Meraki MR同士で封じ込め事象の回避策

上記のため、同じサブネットが異なるダッシュボードネットワークで使用されている場合、MR同士でAirMarshalの封じ込めを行ってしまいますので、ダッシュボードボードネットワークを跨ぐ場合にはAirMarshalのSSIDをSSID Allow listに追加いただくか、

ダッシュボードネットワークごとにサブネットを分ける必要があります。

 

ファームウェア管理のベストプラクティス 

同一サブネットの一部のMRのみファームウェアの検証エリアを設ける場合があります。
これはファームウェア管理のベストプラクティスで紹介されているファームウェア検証のモデルケースであります。

 

この場合、同じサブネット内のゲストエリアのMRを検証エリア用のネットワークとして設けてファームウェア検証を行うケースがありますが、この状態でAirMarshalを有効にしますと、上記のため社内エリア用のMRとゲストエリア用のMRが封じ込めし合うことになります。
ゲストエリア用にゲストサブネットを設けていただくなど、上記の回避策を講じていただく必要があります。

 

スクリーンショット 2025-03-07 13.09.10.png



「DIRECT-(文字列)」という名前が付いたSSIDが大量に表示されることがある

Windowsなどでは近距離共有機能に無線を使用する場合があります。

「DIRECT-(文字列)」という名前が付いたSSIDでブロードキャストされることがあります。

 

該当のWindowsPCが有線LAN/無線LANに接続している状態でこのSSIDをブロードキャストすると、不正なSSIDの定義に一致するためにAirMarshalによって検知されることがあります。

このSSIDはWindowsのワイヤレス サブディスプレイ機能が有効な場合に、
プロジェクション用に「Microsoft Wi-Fi Direct Virtual Adapter」がWindowsに追加されることでこのSSIDが送信されるようです。

スクリーンショット 2025-03-19 17.19.12.png

PC の「Windows の設定」を開き、システム>この PC へのプロジェクション ページから「常にオフ」に設定することで無効にすることができます。


参考URLリンク


不正アクセス ポイント | Meraki ブログ
https://meraki.cisco.com/blog/2017/09/rogue-access-point/

エアマーシャル - Cisco Meraki ドキュメント
https://documentation.meraki.com/MR/Monitoring_and_Reporting/Air_Marshal

 

購読
Welcome to the Meraki Community!
To start contributing, simply sign in with your Cisco ID. If you don't yet have a Cisco ID, you can sign up.
ラベル
© 2025 Cisco Systems, Inc.