読者です 読者をやめる 読者になる 読者になる

無線LAN関係

やったことがあるか否かで正答率がえらく変わる午後問題。
論述式なだけに答えを知っていると演習にならないw
 
そんな中、今日最も出来が悪かったのが無線LAN技術の問題。
セキュアドで運用上の弱点を問われたことはあったが技術的なファクターを問われるのは初めて。何となく「テクニカル」っぽい問題なだけにちゃんと復習してみる。
 

無線LANのセキュリティ対策

この辺の概論は得意なので割愛。
まとめると無線LANにおけるセキュリティは、「部外者が使えない」かつ「盗聴できない」ならOKということ。
そしてそれを実現するための技術には
・ESS-ID
MACアドレス
・WEP
・WPA
IEEE802.1X
などがある。

問題はこれらの技術的弱点をいかに理解し、運用面でいかにカバーするかということ。
というわけでまずそれぞれの弱点から。
 

無線LANにおけるセキュリティ技術の概要と問題点

ESSID

Extended Service Set Identifier。
無線LANを識別するための識別子的な存在。ワークグループと似た感じがする。
もともとは混信を避けるために生まれた識別子で、アクセスポイントを区別するためのモノがネットワークを区別するためのモノに拡張された。(故にExtended.まとめてSSIDと呼ばれることも多い)
このESSIDが一致しなければ無線LANには接続できない。故にアクセス制限目的でも利用できる。とはいえ元々混信防止が目的だったため、あまり強力な制限能力はない。
具体的には(きっとこの辺が出題範囲)

  • ANY設定にするとどこにでもつなげる。

これはワイルドカードの " * " みたいなもの。クライアントがこれを設定すれば、ESSIDに依存せずつなげるネットワークにつないでくれる。つまりESSID無意味。
ただし、アクセスポイント側でany設定のクライアントを拒否することは出来るので、フリーのHotSpotなど特殊な目的で開放しているアクセスポイント以外はANY設定を拒否すべき。

  • フレームを取得すれば簡単に取得できる

Network Stumblerというツールを使ったことのある方ならご存じだと思うが、ESSIDはクライアント側で簡単に取得できる。
というのも、アクセスポイントはESSIDを記述したフレームを定期的に発信しているため、このフレームを取得すればモロばれなのである。
設定によりこのフレーム発信を止められるアクセスポイントもあるが、基本的にESSIDは隠されていない情報と考えた方が良い。
 
というわけでESSIDはほとんど気休め程度に考えておく方が良い。他のアクセス制限対策を必ず併用すること。
言い換えると、これだけしか設定されていないどこぞの"YBB-USER"や"Default"などといったアクセスポイントは通りを歩いてる長髪で脂ぎったお兄さん(かなり偏見)に簡単に悪用されてしまう。気をつけよう。
 

MACアドレス制限

比較的ポピュラーかつ有用な制限手法。
ハードウェアに固有で記録されたMACアドレスを利用してアクセス制限を実行する手法。多くの場合は無線LANカードのMACアドレスをあらかじめアクセスポイントに登録しておき、登録済みのユーザーにのみ利用を許可する手法が採られる。
正規の利用者は特に意識しなくてもOKな上、最初に設定を済ませればあとはほとんど放置して大丈夫なのでやっておいて損はない。
とはいえ当然弱点もある。
技術的な側面では

MACアドレスはドライバをちょっといじれば書き換えられる。(そしてそんなツールも存在する)また、無線で行き来するパケットを拾えば許可されているMACアドレスは取得できる。故にこの許可されたアドレスに書き換えてやればつなげてしまう。この攻撃手法にMACアドレス制限だけで対応するのは難しい。

続いて運用面では

  • 盗難に対して無力 ということ

まあ多くの技術は盗難や端末を直接操作されたら無力なのだが、こいつの場合無線LANカード一枚持ち出されたらそれで事足りてしまうため、(ノートPC盗まれるとかよりも)やや発覚しにくい特性がある。まあ、運用面で情報資産をしっかり管理しろって話です。それ以上でも以下でもない。こいつに限った話ではないが。
(とはいえ午後問題で盗難発生時の対策が問われる可能性はあるので考えておいて損はないかと。)

ということで、やっぱり別の制限手法が必要になってくる・・・ということですね。ああなんかさっきと同じ結論で芸がない・・・。

WEP

Wired Equivalent Privacy
無線通信における暗号化技術。名前の通り有線並のクオリティで安全性を保とうとした。暗号化アルゴリズムRC4
秘密鍵の長さは64bitまたは128bit(ただし、それぞれ24bitのIV:InitializationVectorが付加されるのでユーザーが設定する鍵長は40or104bit)
IEEE802.11bが規定する標準の暗号化方式だが既に数々の脆弱性が存在し、既に現実的な時間での解読が実現されてしまっている。
技術的な脆弱性は長くなるので今回は割愛。
運用上の弱点は以下の通り。

  • 設定を変えない限り常に同じ暗号鍵

全てのアクセスポイント、全てのクライアントが唯一の同じ鍵を利用する。
つまり変えない限り同じ鍵。解析されても管理者が変えない限り同じ鍵のまま。

  • 暗号鍵の変更が困難。

変える際には"全て"を"ほぼ同じタイミング"で変える必要がある。
理由は簡単。唯一の鍵を全員で利用しているから。つまり鍵をAからBに変える場合、アクセスポイントがBになったら、鍵がAのままになっているクライアントは無線LANを利用できなくなる。また逆に、鍵をBに変えたクライアントは、鍵がAのままになったアクセスポイントを利用できない。つまり移行期間を満足に取るのが技術上とても困難な訳だ。故に稼働しているシステムで鍵を変えるとしたら、一時的なシステムの停止を余儀なくされてしまう。
 

WPA

Wi-Fi Protected Access
WEPが上記の通り暗号化技術として役に立たなくなりつつあるために策定された新たな体系。注意すべきはWPA自体は暗号化技術ではなく、既存の技術をより効果的に活用するための"体系"であるということ。
具体的には、ユーザ認証機能を備え、暗号鍵の更新技術「TKIP(Temporal Key Integrity Protocol)」を採用。
本来はIEEE802.11iにおける標準規格として策定が進められている規格で、現行の11aや11bに対応可能な部分だけを抜き出して適用している。

IEEE802.1X

まるでIEEE802.11a,11b,11gなどの総称かのように感じるが、実際には別の規格。
アクセスポイント毎にユーザーを認証する技術で、この認証の可否によりフレームの通過・遮断を決める。ちなみに無線LANアクセスポイントに限った話ではなく、有線LANのスイッチなどでも採用されている。認証には専用のクライアントソフトと認証サーバーが必要となる。認証サーバーはRADIUSに準拠する。
認証にはPPPを拡張したEAPというプロトコルが用いられている。EAPではMD5,TLS,S/Keyなどがサポートされているが、具体的な方式はベンダによって幾種類かあり、EAP-TLS,EAP-TTLS,PEAP,LEAP,EAP-MD5,EAP-RADIUSなどが存在する。
ぶっちゃけ覚えていられないので"EAPほにゃららはIEEE802.1X"と覚えることにする。