[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:5652] Re: 無線 LAN アセスメント

根津です。

SHIBATA Akira wrote:
> ■目的
> 今回は現在導入済みの無線 LAN の電波使用部分のセキュリティの
> 底上げ(現在の「買ってきてそのまま」から「何らかの対策をする」)を
> ねらいます。
> あまり格式ばったものではなく、真の無線 LAN アセスメントを
> 実施したいのであれば、セキュリティの専門家に相談してもらうのが
> いいと思います。
> 当方は一番ローレベルなところをねらいます。
> そういったところ(専門家)の紹介もしてもらえるとうれしいです。

導入済みのものについて、専門家に相談する・・・という場合は、個人
レベルでは通常、対応してくれるところは無いのではないでしょうか?

#もちろん、企業レベルでのお金が出るのならば話は別だと思いますが・・・。(^^ゞ

あったら私も是非知りたいです。

> ■手順
> 当方から持っていくもの
> 現地地図、資料、アセスメントシート、
> netstumbler をインストールした PC

netstumblerでは、最近のいわゆるESS-IDの隠れ機能には対応できないので、
Linux + Ethereal + 無線LAN対応libpcapという組み合わせは必要かもしれません。

> ■点数化基準   「ご意見、新しい基準、歓迎」
> 上記レベルを目安にして、考えてみました。
> 安易に考えてますので、妥当性は低いので高くしたいです。
> ======================================
> 加点減点項目募集!
> 点数変更意見募集!
> (根拠を教えてもらえるとありがたいっす)
> 
> 設定を買ってきてからいじってない → -40 点
> 
> SSID を意味が推測できないものにしている → 10 点
> ビーコンに SSID を載せない → 10 点
> プローブ応答に関するセキュリティ機能を利用している → 10 点
> ANY アクセス拒否機能を利用している → 10 点
> 
> MAC アドレスフィルタ → 5 点
> 
> 管理者 ID とパスワード設定している → 10 点

これは、まぁいいでしょうか・・・。

> DHCP によるアドレス配信機能停止 → 10 点

これは、MACアドレスフィルタと同程度のセキュリティ項目ですので、
5点。

> 通信速度を最高速に固定する → 10 点

これは、傍受の距離を削るだけの消極的な策なので、5点。
※ビーコンは1Mbpsで出ていますので・・・。

> 同時接続端末数制限 → 5 点

同時接続端末数を制限する意味が見えません。→0 点

> ビーコン間隔を最大に延長 → 5 点

これができるAPはほとんど無いに等しいんですが・・・。(^^ゞ

> WEP の鍵長について
>  40 bit WEP → 40 点
>  64 bit WEP → 64 点

40bitと64bitは言っていることは一緒です。
また、ホームユーザとは言え、40bitでマルチメディアストリーム再生や
PC間コピーなどをやっていればクラッキング耐性はそう高くないので、
30点程度でしょうか・・・。

>  104 bit WEP → 104 点
>  128 bit WEP → 128 点

こちらも104bitと128bitは一緒。(^^ゞ
FMS攻撃の耐性を考えると、計算量を2倍にするのに40->80bitのWEPキーが
必要なので、104bitでは2.5倍程度の計算量と考えると、得点も2.5倍程度の
30x2.5=75点程度が妥当なところでしょうか・・・。

>  その他拡張 WEP → ビット数分の点
>  WEP 入力が文字だけ(16 進数でない)の場合には WEP の項目の点を 1/3 にする ( 64 点なら 21 点に)
> 
> AES を利用している → 1000 点
> 
> 上位層での加点項目
>  IPsec を利用して上位 LAN と接続している → 1000 点
>  PPTP を利用して上位 LAN と接続している → 1000 点

PPTPはIPSecに比べて弱いので、同じ1000点というのには違和感が・・・。
下の制限項目と考え合わせて、750点くらいが妥当なところかも・・・。
(ってこれも大分、いい加減ですが・・・(^^ゞ)

ただし、パーソナルファイアウォールがクライアントに入っていない場合→ -500点
※クライアントに対する攻撃からクライアントを守れていないため。

> > ええと、必要であれば、いいですよ。
> > AirSnortの環境とキャプチャツールを見せて、「ほらっ、取れちゃった」
> > こ〜んなに危ないんですね〜・・・と実例を見せるほど、インパクトの
> > あるものはありませんから・・・。
> 
> おお、それでは社内も調整してみます。
> 根津さんには映像音声についての複製権も差し上げる方向で…
> とか条件詰めたほうがいいですね。

この件は、DMで。(^^ゞ

> > > 今の段階では 40 ビットであっても WEP をかけて
> > > あれば最低限のセキュリティは確保されているよって
> > > 言って上げようと思います。
> >
> > 40bitはダメです。ブルーとフォースでいとも簡単に破られてしまいます。
> 
> あう、やっぱりそうですか。
> 記事読んだら数時間ですから、実際にがんばろうと思ったら
> すぐできそうですね。

AirSnortでも自宅で16進数で5桁の場合、場合にもよりますが500万パケット
で解析できてしまう場合もありますし、104bitでも自分ではまだ実績はありませんが、
国内でクラックに成功した例を3件は聞いています。
また、ブルートフォースでも5桁の場合、数時間程度今時のPCをぶんまわせば
解析されてしまいます。

> 誤解してました。
> WEP キーを解析するには PC の高い能力が必要かと
> 思ってましたが、サンプル入手のほうが時間かかる
> ようですね。

WEPキー解析にはもちろん、高い能力のPCの方が有利です。

> > > PPTP 使うなり IPsec 使うなりするようにとかレベルを
> > > 徐々に上げられるといいかなぁと。
> >
> > IPSecはまだまだ一般のおじいさん、おばあさんのレベル
> > ではないですね。(^^ゞ
> 
> やっぱりそうですよね。
> でも、降りかかる火の粉くらいは払いのけられる
> 道筋はつけてあげられるようにしたいと。

とりあえずは、WPA対応の既存製品向けファームを提供する意志の
あるメーカー製品であるかどうかが重要かと・・・。
で、対応ファームが出てきたら、有償でファームアップデートを
してあげるとか、そういう方がおじいさん、おばあさん向けには
うれしいかもしれません。(^^ゞ

#そう考えると、WPA対応ファームの提供意志のあるメーカー製品の
#APかどうかを加点対象にするのも良いかもしれません。

> http://www.planex.co.jp/product/broadlanner/brl04fa.shtml
> などは安い割にはそれなりの機能 (PPTP や IPsec)があるように
> 見えましたので、これから評価してみます。

この製品は、VPNパススルー機能があるだけで、IPSecサーバには
なりませんよ〜。

PPTPサーバなら、たとえば、
http://www.omron.co.jp/ped-j/product/adsl/mr104fh/mr104fh.htm
とかですね。
IPSecサーバ機能なら、
http://www.centurysys.co.jp/product/xr300/index.html
あたりでしょうか・・・。
オプションで、相互接続性が保証されているSSH SentinelのOEM版の
クライアントも販売されていますし・・・。

-- 
------
根津 研介 日本Sambaユーザ会 / セキュリティ・スタジアム実行委員会 / (株)ファム
日本Sambaユーザ会      : http://www.samba.gr.jp
セキュリティスタジアム : http://www.security-stadium.org
オープンソースセミナー : http://www.famm.jp
 ※3/18 Samba活用セミナー[初級], 3/19,20 Linuxサーバセキュリティ[中級]開催
   ただいま受講者募集中!詳細はホームページから。
 ※日経ネットワークセキュリティ〜無線LANパニック〜
   http://nwi.nikkeibp.co.jp/nwi/book/lan.html

--[PR]------------------------------------------------------------------
┌………………┐春休み・GWの航空券は「国内線ドットコム」におまかせ!
:春になったら:──────会員になると嬉しいことがいっぱい─────
:どこに遊びに:●会員登録すればホテル利用券5万円分が当るチャンス!★
:いこう(^ー^):●11社の国内線航空券,お得なバーゲン型運賃が買える!
└………………┘●ケータイからも使えて便利→ http://ad.freeml.com/cgi-bin/ad.cgi?id=bEBv5
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp