[connect24h:4592] Re: 無線 LAN のセキュリティについて

[ohmizu yuichi <yu1o@xxxxxxx>]

おおみずです。
こんにちは。

Tom Tanakaさんが02.8.13 0:46 PMに書きました：
>田中です。
>
>先々週のDEF CON10でも802.11xのセキュリティ問題等が挙げられてい
>ましたが、

DEF CON10の内容はよく知らないのですが、無線LANには、802.11xという
規格はありません。
802.11か、802.1xかどちらかではないでしょうか？


>有効範囲内にいる全受信者に無差別にデータを送信するという
>無線LAN接続の本質には、セキュリティ上の大きな問題があると考えられ
>ます。特にWEP自体はPPPを基に設計されており、Brute Forceなどの
>パスワード攻撃に弱いと言われています。
>

えーと、WEPはPPPをもとに設計されたものではありません。全然違う
しくみです。

40bitだとBrute Forceの攻撃に弱いのは事実ですが、WEPの問題点は他にも
脆弱性を抱えているということですね。
RC4のアルゴリズムに起因する問題とか、WEPキーを知らなくてもデータを
解読できてしまう可能性があるとかですね。

詳しくはこちらを（会員登録が必要ですが）

解説●無線LANにセキュリティの落とし穴（上）
http://itpro.nikkeibp.co.jp/members/NOS/ITARTICLE/20020711/1/
解説●無線LANにセキュリティの落とし穴（下）
http://itpro.nikkeibp.co.jp/members/NOS/ITARTICLE/20020711/2/


でもそれ以前の最大の問題点は、WEPなど現段階でできる最低限の設定
をしないで使っている人が多いということですネ。


>DEF CON10では、このセキュリティ上の問題のソリューションの一つとして
>VPNによる通信を推奨していました。アクセスポイントとLAN内にVPNトンネル
>を作成することにより、よりセキュアな通信が可能になるということです。
>

APとLAN内ではなく、端末とLAN間でVPNトンネルをはるべきだと思います。
APと有線LANの間のVPNでは、AP配下のAP・端末間の区間の無線LANのセキュ
リティが保たれません。


さて。無線LANでVPNを使えば安全だ、という人がいますが、私は必ずしも
そうとは思いません。無線LANのVPNにも脆弱性あるように私には見えます。

それから無線LANでVPNを使うには適切構成をしないといけなくて、そこを
間違えるとVPNをいくらはってもセキュリティが高まらないことになります。

私の感じる脆弱性なんですが。WEPであれば、APと端末の間で無線LANの
リンクが確立した時点で暗号化がされています。
ところが無線LAN上でのVPNとなると無線LANのリンクをはって、その後で
VPNのセッションをはることになります。そしてそのセッションの操作は、
エンドユーザーの手に任されています。これでいいのか不安です。

無線LANのリンクは端末起動と同時にはられます。端末起動後ただちに
VPNのセッションを開始してくれればいいのですが、全てのユーザーが
そうするとは思えません。たぶん個人によってはかなりの時間差が生じる
でしょう。そこを突いた攻撃がありうるのでは？と思います。

セキュリティのかなめの部分を人間系の操作に任せているというのは、
それは大きな脆弱性のような気がするんですが、どうなんでしょう。
（あるいはVPNの専門家はそのような点は問題にしないのでしょうか？）


また、VPNを導入する場合は、有線と無線のセグメントをわけて、中間点
にVPNゲートウェイを設置するような構成をとらないと意味がないです。
有線の環境に単純に無線LAN APをぶらさげているようなところでは使え
ません。

この構成をとると、APが多数設置してある環境では、VPNゲートウェイも
性能のいいものが必要です。ところが従来製品はインターネット接続の
環境での利用を前提としているため、LAN内の使用に耐えうる製品となると、
かなりお高いものになってしまうのが難点です。

また、無線端末同士がVPNはらないで通信できてしまうのを防ぐため、
APに設定をして、端末間の直接通信を禁止する設定にすることが必要です。
ただしそうなると端末間でのファイル共有とかもできなくなりますけど。

詳しくは日コミに出ていたこの記事が参考になります。

日経コミュニケーション  2002年7月1日号　no.369
http://www4.nikkeibp.co.jp/NCC/backnumber/20020701.html
■ネットワーキングの現場ノウハウ 
　安心して使える無線LAN構築法―(3)
　社内でのVPN利用には落とし穴　認証とログイン処理は1回で済ます


>無線LAN通信でVPNをすでに使用している方はどのくらいいるのでしょうか。

無線LANのセキュリティについては、机上論的にVPNをはればいいと語られて
いますが、実際にやろうとすると出てくる上記のような問題点がほとんど
語られていないのは、実際にはそのような事例はほとんどないからでは、
と私は思っています。
でも私が知らないだけかもしれませんので、もし企業の実環境で導入して
いる事例があれば、ぜひ教えてください。


>また、他のセキュリティ上のソリューションはあるのでしょうか。
>

802.1x対応の無線LAN製品を使うと、無線LANのセキュリティを強化すること
ができます。802.1xは無線LANに下記の仕様を持ち込みます。

・ユーザー認証
　証明書による端末認証や、ID,PWによる認証が可能になる
・ダイナミックWEP
　WEPのキーをセンタで生成して動的に配信する
　また一定時間でユーザーを再認証しキーを更新することが可能

VPNと違って、無線LANのレイヤで暗号化が確立するので、より強固だと
私は考えます。
ただし、無線LANでの802.1xにはEAP-TLSとLEAP(EAP-Cisco)という2方式が
あります。それぞれの特長は

・EAP-TLS
　証明書を利用して端末認証を行う　CA、RADIUSの構築が必要
　Windows XPに実装されている（いまのところXP以外は使えない）
・LEAP(EAP-Cisco)
　ID,PWで個人認証を行う　RADIUSの構築が必要
　Ciscoの無線LAN製品に実装（Cisco製品以外は使えないがOSはXPには限らない）

といったところで、Windows XPとかCiscoとか、特定OSや特定製品に
結びついた構成になるのが難点です。

実際にやってみたところでは、EAP-TLSよりLEAPの構築のほうが簡単です。
というか、無線LAN技術者は、PKIなんて知らないので証明書などの概念
出された時点でEAP-TLSにはお手上げです。


長くなってしまいました。すみません。


_]_]    Yuichi OHMIZU    @Yokohama, Kanagawa    _]_]
_]_]      mailto:yuichi.ohmizu@xxxxxxxxxxx      _]_]
----------------------------------------------------------------------
……◆  無線LANテクノロジー活用研究会“ドット・イレブン”
……◇  802.11ベースのワイヤレス技術の活用を議論するメーリングリスト
>>>>>>  http://www.freeml.com/info/dot-eleven@xxxxxxxxxx

--[PR]------------------------------------------------------------------
◇◇ メールで英語発音勉強！？今までに無かった無料英語学習サービス ◇◇
　　　　　音声付きの英単語と例文が、毎日、メールで届きます！
　　　　　１０のカテゴリーから関心のある英語分野を選択可能。
★利用料は無料。お得な情報もゲットできるとってもお得なサービスです。★
　　　　　  http://ad.freeml.com/cgi-bin/ad.cgi?id=bkNsj
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp