たまに無線LANアクセスポイントの設定をしなければならないのだが、その度にいろいろ調べるのも面倒なので、
無線LANのセキュリティ機能についてここにまとめてみる。


○アクセスポイントの不正利用(侵入)を防ぐ機能
アクセスポイントを不正に使われないようにするための機能。
家庭内LANでファイルを共有している場合、そのファイルを読み取られたりすることがあるので、アクセスポイントを無防備にさらすのは危険。たとえファイルを共有してなくても、アクセスポイントをサーバー攻撃や不正アクセス等の踏み台にされれば加害者の疑いをかけられるかもしれない。
特にどうしてもWEPしか利用できない機器(NDSなど)をつなぐなら、これらの設定を活用し、かつ後述の隔離機能を有効にするとよい。

・ANY接続拒否
ANY接続とは最も電波の強い(≒近くの)アクセスポイントに自動で接続する機能。公衆無線LANで使われる。
ANY接続拒否機能はこれを受け付けない。つまりその接続先に設定してあるSSIDと合致するSSIDを指定しないと子機は接続できない。

・SSID隠蔽(SSIDステルス)
SSIDを周囲に知らせる信号を停止する機能。
これを有効にするとアクセスポイントの存在を隠すことができる。
この機能はパフォーマンス面でデメリットがあり、セキュリティ面でもメリットとデメリットがあるのでお勧めできない。
参考→ http://blogs.technet.com/b/networking/archive/2008/02/08/non-broadcast-wireless-ssids-why-hidden-wireless-networks-are-a-bad-idea.aspx

・MACアドレスフィルタリング
無線・有線問わず全てのLAN機器は固有のID(MACアドレス)をもっており、IPよりも下位のレイヤーではこのアドレスを使って通信している。
あらかじめアクセスポイントにアクセスできる機器のMACアドレスを指定しておいて、指定外のMACアドレスを持つ機器からは接続できないようにする機能。
データリンク層をいじくればMACアドレスの成りすましが可能なため、この機能では大きな効果は得られない。

これらの機能はイタズラ防止程度にしかならず、クラッカーには通用しない。
本格的にアクセスポイントの不正利用を防ぎたいのであれば以下の暗号化方式とIEEE 802.1XなどのEAPを併用するとよい。
(一般家庭レベルでは802.1x認証の運用は難しいので、WPA2のパーソナルモードを用いる。)


○暗号化のための規格
もともとは電波通信を秘匿するためのものだが、たいていのアクセスポイントでは不正利用防止(ユーザー認証)の役目も持っている。
(WPA、WPA2ではユーザー認証機能が標準で有効)
あくまでも親機と子機の間の通信の暗号化機能であって、親機から有線回線に流れる信号は暗号化されないので注意。
有線回線での通信内容の暗号化はIPsecやSSLなどの上位層のプロトコルで行う。

・WEP(Wired Equicalent Privacy)
暗号化方式はRC4
(使用するキーは40, 128 (,152, 256)ビット、実際の暗号化鍵ビット長は初期化ベクタ24ビットを引いた長さ。)
Windows98が主流だったころから使われている規格で、コンピュータの性能と暗号解読技術が発達した今となっては無意味な暗号化でしかない。
もしメリットを挙げるなら、法的な抑止力があるってことぐらいだろうか。
(電波の傍受は違法ではないが、傍受したうえで暗号の解読を行うと違法)
暗号化していないよりはマシってこと。不正利用(いたずら)防止にもある程度は有効。

・WPA(WiFi Protected Access)
あくまでもWEPとの互換をとるためのWPA2とのつなぎであり、暗号化方式もWEPと同じRC4を利用する。
WEPからの改善点は、
*TKIP(一時鍵を一定時間ごとに変更、かつ子機ごとに異なる一時鍵を使用)を採用
*パケット改ざん・成りすましの検出機構(Michael)をサポート
*暗号化鍵の初期化ベクタを48ビットに拡大。
ハードウェアレベルで暗号化に対応するWPA2(AES-CCMP)と比べ、互換性維持のためにソフトウェアで対応するWPA(TKIP)はパフォーマンスが落ちやすい。

・WPA2(IEEE 802.11i)
WPAからの改善点は
*暗号化方式として新たにAES(AES-CCMP) 128, 192, 256ビットをサポート、というか必須。つまりWPA2-TKIPなるものは存在しない。
*パケット改ざん検出機構の改良 (Michaelに代わってAES-CCMをサポート。)
現在の最新の規格で、2006年3月以降にwifi認証に合格した機器なら必ず対応している。

さらにWPA,WPA2にはいろんなユーザー認証方式があり、主に次の2つに分けられる。
・WPA-PSK(WPA2-PSK)
パーソナルモード(PSKモード)ともいう。
WEPと同じく共通鍵暗号方式を用いる。つまり、あらかじめアクセスポイントに設定したパスワードを接続(と暗号化鍵)に用いる。
一般家庭で使うのはこちら。

・WPA-EAP(WPA2-EAP)
エンタープライズモード(EAPモード)ともいう。
一人、または信頼をおける少人数の者同士だけで利用するなら共通鍵暗号方式が向いているが、企業などの組織内ではパスワード漏洩や内部犯などのリスクがあり、大人数で共通鍵を用いるのはよくない。
そこで公開鍵暗号方式を用いてユーザー認証を行い、またその情報を利用してユーザー毎に別々の暗号鍵(マスターキー)を割り当てられるようにしたのがエンタープライズモード。
(もともとあった802.1x(ユーザー認証)規格と暗号化規格を一緒にまとめて強化した感じ?)
エンタープライズモードでは複数の認証方式がWPA(WPA2)規格で認められており、その一部を挙げると、
PEAP : クライアントにユーザーIDとそのユーザー用のパスワードの入力を求める方式。認証セッションの通信内容は認証サーバー側の電子証明書を用いて公開鍵暗号方式で秘匿する。
TLS : サーバー・クライアントの双方で用意した電子証明書を使用する方式、などがある。。
↓セッション確立までの手続きについて図で説明したサイトを見つけたので、興味がある方は読んでほしい。
http://layer3.wordpress.com/2009/08/16/eap-authentication-protocols/

アクセスポイントとは別に認証サーバーと電子証明書の用意・運用が必要なので、一般家庭に導入するには資金面でも技術面でも敷居が高すぎる。


○その他付加機能など
上記以外の機能やベンダー固有のセキュリティ機能など。

・WPS(WiFi Protected Setup)
アクセスポイント側のボタンと子機側のボタンを同時に押すことで、自動でSSIDと暗号キーの設定を行う機能。
あくまで初心者のために暗号化の設定を簡単に行えるようにした機能であって、セキュリティ機能ではない。
暗号化規格は親機・子機両方で対応する中での最も安全な暗号化方式が選ばれる。
子機側にWPSボタンがない場合は親機や子機に付属するクライアントマネージャというツールを使う。OS標準の無線LAN接続機能としてはWindows Vista以降でRegisterモードのみサポート。
比較的新しい規格なので子機が対応していないことが多い。またWPSを使用しているアクセスポイントにWPSに対応していない機器を接続するのが難しい(WPSはSSIDと暗号キーをランダムに決めるため。)


以下は一部のBuffalo製親機の固有の機能
・マルチセキュリティ
複数のSSIDを使ってWPA、WPA2、WEPを同時に使用できるようにする機能。
WPAに対応しない古い機器からはWEP用のSSIDに接続してWEP暗号化を利用、新しい機器からはWPA2用のSSIDに接続してWPA2暗号化方式を利用。ということが可能になる。
この機能を利用する場合、後述のとおり第三者にWEPでネットワークに侵入される恐れがあるので、WEP用アクセスポイントに対して隔離機能も有効にしておく必要がある。

・隔離機能
子機同士の通信や子機と有線LANに接続されている機器との通信を禁止する機能。
子機はインターネット側との通信だけが可能になる。
WEPなどの弱い暗号化方式ではすぐに暗号キーがばれてしまい、第三者の接続を簡単に許してしまう。
もしLAN内でファイルを共有しているのなら、第三者にその共有ファイルを盗まれたりウイルスを送りつけられたりするかもしれない。
そこで子機とLANを切り離しておくことで子機からLAN内の他の機器へのアクセスを防ぎ、これを阻止することができる。

子機⇔(親機)⇔子機:× 子機⇔有線LANポート:× 子機⇔Internetポート:○

・プライバシーセパレータ
子機同士の通信を禁止する機能(アドホック通信を禁止するわけではない)

子機⇔(親機)⇔子機:× 子機⇔有線LANポート:○ 子機⇔Internetポート:○




○関連
・無線LANアクセスポイントへの接続方法 [Win7,Ubuntu]
http://lsair.html.xdomain.jp/a/e/g13_111_lan_ap_win7.html

comments powered by Disqus

※コメント欄が表示されない場合はdisqusについてJavascriptが有効であることを確認して下さい.

(C) 2008-2017 akm. This blog theme is based on sakmug. Hosted by Xdomain