第42回 無線LAN環境におけるセキュリティ対策
無線LAN == 危険
この公式は常に当てはまります。
公理と言ってもいいくらい。
その理由は、電波が外に漏れ出すから。
のぞき放題なのです。
侵入し放題なのです。
そこで。
有線LANでは「まあいいやん、そこまでせんでも」というところまでやらねばなりません。
大変です。でもここで手を抜いてはいくらFWを林立(乱立)させようと無意味です。
なんせ、裏口から入られるわけですから。
玄関いくか頑丈にしても無駄。
というわけで、がんばりましょう。無線LANセキュリティ。
現在主な無線LANの規格は次の三つです。
IEEE 802.11b 2.4GHz帯 最大11Mbps
IEEE 802.11a 5.2GHz帯 最大54Mbps
IEEE 802.11g 2.4GHz帯 最大54Mbps
11bは古いタイプで、昔からあります。その昔は最大2Mbpsでした。
11aと11gは帯域と若干の電波特性が違うだけなのでここでは同列に扱います。
最近のはこのみっつどれでも使えるのも多いしね。
ESSID
通信端末をグループ化するためのID。
アクセスポイント(AP)に設定されたこのIDを指定して接続する。
昔のは(今もか?)このIDをAPがばらまいてました。
電波に乗せて。
なので、好きなの選んで、接続。というのがでいていた古き良き時代もありました。
現在は、APの存在自体知られるのは危険(攻撃対象を知らせることになるので)なので、
ばらまくのは止めることが多いです。(ビーコン信号ゆうそうです。)
これは、11bの時代からありました。
MACアドレスによるフィルタリング
パソコン(通信機器・装置・部品)固有MACアドレスをあらかじめAPに登録しておいて、
非登録のMACアドレスからの接続は拒否するもの。
MACアドレスは偽装できるし、何よりも管理がめんどう。
これを完璧に管理するのは至難の業です。
台数が増えると指数関数的に管理者のストレスは増えていくでしょう。
WEP
無線LANに実装されている暗号化方式。
昔からあるやつです。
致命的な脆弱性があり、この暗号は解読可能です。
若干手間と時間がかかりますが。
その気になれば、その辺の素人でも(ぼくでも)できます。
11a,g(正確には11i)が出るまでは、以上のようなセキュリティ状態でした。
危険です。
なので、心あるネットワーク管理者は無線LAN禁止してたりしてました。
だって、どんなに手間かけても完璧に守る術がないし、
AP全部にFWを設置するわけにもいかんのです。
なので、一律禁止。
EAPによるユーザ認証機能の追加
そもそも。無線LANにはユーザ認証(ユーザID/パスワードをつかった認証)がなかった。
そこで、IEEE 802.1xという規格が作られた。
今では家庭用のを除けば大概ついてる。
このユーザ認証は、パソコン上のソフトで行う。
OSログインと連動するのもあったはずなので、かなり便利(安全)になった。
けど、設定が面倒。無線LANだからね。
つながらないのが、ESSIDなのか、ID/PASSなのか、電波障害なのかわからんのです。
素直につながらない場合は、かなり苦労することになります。
TKIP(てぃーきっぷ・てきっぷ)
WEPがあまりにもタコなので、新しいのを作りました。
詳細は述べませんが、WEPと違いまだ暗号は破られていません。
無線LAN == 危険
この公式は常に当てはまります。
公理と言ってもいいくらい。
その理由は、電波が外に漏れ出すから。
のぞき放題なのです。
侵入し放題なのです。
そこで。
有線LANでは「まあいいやん、そこまでせんでも」というところまでやらねばなりません。
大変です。でもここで手を抜いてはいくらFWを林立(乱立)させようと無意味です。
なんせ、裏口から入られるわけですから。
玄関いくか頑丈にしても無駄。
というわけで、がんばりましょう。無線LANセキュリティ。
現在主な無線LANの規格は次の三つです。
IEEE 802.11b 2.4GHz帯 最大11Mbps
IEEE 802.11a 5.2GHz帯 最大54Mbps
IEEE 802.11g 2.4GHz帯 最大54Mbps
11bは古いタイプで、昔からあります。その昔は最大2Mbpsでした。
11aと11gは帯域と若干の電波特性が違うだけなのでここでは同列に扱います。
最近のはこのみっつどれでも使えるのも多いしね。
ESSID
通信端末をグループ化するためのID。
アクセスポイント(AP)に設定されたこのIDを指定して接続する。
昔のは(今もか?)このIDをAPがばらまいてました。
電波に乗せて。
なので、好きなの選んで、接続。というのがでいていた古き良き時代もありました。
現在は、APの存在自体知られるのは危険(攻撃対象を知らせることになるので)なので、
ばらまくのは止めることが多いです。(ビーコン信号ゆうそうです。)
これは、11bの時代からありました。
MACアドレスによるフィルタリング
パソコン(通信機器・装置・部品)固有MACアドレスをあらかじめAPに登録しておいて、
非登録のMACアドレスからの接続は拒否するもの。
MACアドレスは偽装できるし、何よりも管理がめんどう。
これを完璧に管理するのは至難の業です。
台数が増えると指数関数的に管理者のストレスは増えていくでしょう。
WEP
無線LANに実装されている暗号化方式。
昔からあるやつです。
致命的な脆弱性があり、この暗号は解読可能です。
若干手間と時間がかかりますが。
その気になれば、その辺の素人でも(ぼくでも)できます。
11a,g(正確には11i)が出るまでは、以上のようなセキュリティ状態でした。
危険です。
なので、心あるネットワーク管理者は無線LAN禁止してたりしてました。
だって、どんなに手間かけても完璧に守る術がないし、
AP全部にFWを設置するわけにもいかんのです。
なので、一律禁止。
EAPによるユーザ認証機能の追加
そもそも。無線LANにはユーザ認証(ユーザID/パスワードをつかった認証)がなかった。
そこで、IEEE 802.1xという規格が作られた。
今では家庭用のを除けば大概ついてる。
このユーザ認証は、パソコン上のソフトで行う。
OSログインと連動するのもあったはずなので、かなり便利(安全)になった。
けど、設定が面倒。無線LANだからね。
つながらないのが、ESSIDなのか、ID/PASSなのか、電波障害なのかわからんのです。
素直につながらない場合は、かなり苦労することになります。
TKIP(てぃーきっぷ・てきっぷ)
WEPがあまりにもタコなので、新しいのを作りました。
詳細は述べませんが、WEPと違いまだ暗号は破られていません。
※コメント投稿者のブログIDはブログ作成者のみに通知されます