情報技術の四方山話

ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

Wi-FiのWPA2/KRACKs脆弱性への対処

2017-10-17 10:45:18 | 情報セキュリティ
匠技術研究所

Wi-FiのWPA2/KRACKs脆弱性への対処


いつもアクセスありがとうございます。匠技術研究所の谷山 亮治です。
KRACK/Key Reinstallation Attacksの情報が公開されています。

Key Reinstallation Attacks(En)

無線LANの暗号化の仕組みWPA2に脆弱性"KRACK"が見つかりました。
WPA2はWi-Fiの無線区間を暗号化する仕組みとして、広く使われています。
この脆弱性KRACKはMathy Vanhoef
氏が発見し、ベンダーに連絡し、その内容を上記ホームページで公開しました。詳細は先のリンクにあります。

企業ネットワークセキュリティ対策の視点では、不正接続可能な範囲が無線LANにも広がるという理解で対処することになります。

1.Wi-Fiの暗号化設定はWPA2で維持する
直ちに情報が漏洩しているわけではありません。
KRACKsの実装ができる場合のみ不正な接続が可能になり、情報漏洩の危険性が高まります。
Wi-Fiアクセスポイントのメーカーが自社製品で影響があるかどうか情報が公開されるはずです。
必要に応じてWi-Fiアクセスポイントのファームウエアの更新を行います。

尚、WEPは既に暗号強度が低く脆弱性が明らかなので、KRACKs対策でWEPの利用は不可です。

2.不正接続からLAN上の機器を守るためにログイン管理を再点検する
ネットワークにつながっているサーバー、業務ソフトなどのログインパスワードの有無を確認し、不正接続者がいても、容易に内部資源にアクセスできないようにします。もっとも、これは企業ネットワークセキュリティでは当然のことです。

3.本当に隠したい情報はSSLなど、他の暗号化を併用する
本当に隠したい情報は、無線区間の有無に影響のないSSLやIPsecなどで暗号化します。この通信はKRACKsの影響を受けません。このことも、企業ネットワークセキュリティでは当然のことです。

4.登録以外のMACアドレスの通信はできないようにする
堅牢性の高いネットワークでは実施されている、MACアドレスを事前登録し、そのMACアドレス以外は通信できなくします。この方法はKRACKsに限らず不正接続を排除することが可能です。

ジャンル:
セキュリティー
コメント (2)   この記事についてブログを書く
« Ubuntu 17.10のリリース予定日 | トップ | Linux/ssh鍵認証ログインで接... »
最近の画像もっと見る

2 コメント

コメント日が  古い順  |   新しい順
Mac address フィルタリングは無意味 (Pon)
2017-10-31 07:30:10
Mac address は暗号化せずに端末から発信されるので、それを傍受して利用できるのでフィルタリングは無意味です。
MACフィルターの有効性 (谷山 亮治)
2018-03-26 07:55:10
コメントありがとうございます。匠技術研究所の谷山です。

無線LANでのMACフィルターについては、以下の通り有効性もあります。「完全性」を求めるのであればMACアドレスフィルタが完全性を備えないことは事実です。無線LANに限らず、通信のセキュリティの維持は、多重に施した防御策で対応するしかないので、その一部として捉えた有効性です。

◎APに登録されたMACアドレスのみ接続できる
無線LANの物理識別子はMACアドレスです。企業ネットワークの場合は、登録済みのMACアドレスのみ利用できる無線LAN網のほうが第三者の侵入を防ぎやすくなります。特にPSKではSSIDとパスワードが漏れた場合、接続を拒否する方法はMACアドレスフィルタのみになります。

通常の利用者はSSIDとパスワードに頼るので、そこに着目すれば、未知の接続を軽減する処置として有効性があります。

△Wi-Fi APに接続可能なMACアドレスは調べがつく
もちろんMACアドレスは無線APと端末間の通信、及び同一IPセグメント内の通信で使われるので、MACアドレスは「見えるもの」です。
そのためMACアドレスを詐称してWi-Fi接続する攻撃に備えて、上位層の接続認証で未知の接続者を排除する必要があります。

MACアドレスを詐称する技術を悪意で利用する者は、繋がった後「どこで、情報を取得するか」を考えますよね。最近の無線LAN実装では、無線区間で隣の通信が丸見えになることはないようにするので、APの内側でデータを取得する方法が必要になり、さらに頑張る必要があります。悪意の利用者がどこで諦めるかです。

ネットワーク、サーバー運用者側でできることは、PSKでのWi-Fi接続の場合は、パスワードを定期的に変更する、保護すべきネットワーク及びサーバーで適切な接続認証を実施し、認証を多段にするなどです。

結局は「どこまで頑張るか」ですね。利便性を損なわない形で、セキュリティを高めるには、用途別にネットワークを分離する、多段防御と接続状況の監視を行う、という当たり前の話に落ち着きます。

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

情報セキュリティ」カテゴリの最新記事

関連するみんなの記事