[port139:01621] Re: FYI : Windows XP の無線 LAN 機能

[Kensuke Nezu <nez@xxxxxxxxxxx>]

根津です。

Hiroki KIKUCHI wrote:
> Windows XP の無線 LAN 機能には、登録してあるアクセスポイントに関する
> 情報を外部に漏洩する可能性があります
> http://www.lac.co.jp/security/intelligence/SNSAdvisory/60.html

この事象は確認しています。きっかけは、駅のホームで人に私の環境をみせて
いたときに、通過した電車からAssociation Requestパケットが出てきたから
なんですが・・・。（笑）
しかし、サードパーティ製にすれば必ず幸せというものでもありません。

たとえば、最近よく流行っているAPステルス機能なる機能を持っているAPに
対応するクライアントは（少なくとも同社製のクライアントはそうでしょう）、
APからAP Beaconが飛んでこないので、クライアント側から一定時間毎にAssociation
Requestパケットを発行しているはずです。
私が観測しているところでは、「全自動切り替え」を実現しているドライバ機種
でも「手打ち」で指定したときには一発目にAssociation Requestを出すものが
あります。その後の「自動切り替え」部分ではAP Beaconと内部設定のSSIDとの
比較をしながらマッチングしているようですが・・・。

おそらく同じように自動切り替えのないもの、または、ユーティリティを起動して
切り替えるタイプのものは、「固定」で待ち受けることになるので、Association
Requestを一定時間毎に出しているはずです。

＃ただし、Roaming mode機能をオフにできるもので、この機能を切っているときは
＃除きます。

つまり、Roamingを意識したときにさっきのAP Beaconの消失状態がいまも継続して
いることを保証するものは何もないため、一定時間毎にRoamingのチェックをする
ためにAssociation Requestがでるわけです。

ただし、上記のような特殊なAPに対応するクライアントカードはAssociation Request
の発行タイミングが短いことが容易に想定されますね。AP/ADHOCビーコンは私の観測
では１秒間に10パケット程度でているのが普通なのですが、それに対してLINKを確立
していないクライアントは１分間に1パケットという感じなのですが、これでは接続
までにかかる時間が多くなってしまうので、この間隔が短くなっている可能性がある
わけです。

Windowsの場合、対象が非常に初心者な場合も多く、どういう環境で使われるかが
想定できないために、Roamingチェックの対象にすべての設定で試す・・・という
ことであるだけなのだと思います。つまり、↓のようなケースです。

+---+ESSID:AP1                 +---+ESSID:AP2
|AP1|WEP-Key:AP1               |AP2|WEP-Key:AP2
+---+                          +---+

       |||||  同一フロア内
        |||
+------+-+
|Client|
+------+

逆に、すべての設定を試さないクライアントを使う場合は暗黙のうちに「すべての
ローミングAPは同一の設定になっている」が仮定されていることになります。

ということで、Windowsが悪いというよりも、この辺の動きをきちんと実装として
定義しなかったIEEE 802.11b自体の仕様の欠陥だと思います。
ついでにいうとWi-Fiの認定テスト項目にも（ちゃんと調べたわけではないですが）
入っていないんでしょう。

＃ほんと、なんでちゃんと各社クライアント/APがこれだけ入り交じっていてちゃんと
＃動いているのか私はフシギに思ってたりします。(^^ゞ

-- 
------
根津 研介 日本Sambaユーザ会 / セキュリティ・スタジアム実行委員会 / (株)ファム
日本Sambaユーザ会      : http://www.samba.gr.jp
セキュリティスタジアム : http://www.security-stadium.org
ファムオープンソースセミナー : http://www.famm.jp
  翔泳社 Securityマガジン 第7号 特集1「無線LANってホントに安全？」
  http://www.shoeisha.com/mag/sec/