[port139ml:01819] Re: Kismet（Re: Re: Developers Summit2003）

[Hideaki Ihara <hideaki@xxxxxxxxxxxxx>]

Port139 伊原です。

On Tue, 07 Jan 2003 15:52:13 +0900
Kensuke Nezu <nez@xxxxxxxxxxx> wrote:

>無線LANセグメントはすべてのネットワークから切り離してしまい、
>インターネットにでるにもLANに接続するにもゲートウェイ経由で
>802.1xで認証＆監査した上で接続するようにするのが常套手段です。

無線 LAN AP 毎にセグメントを分けて GW を立てるのはコスト的
に大変な場合、802.1x を利用して認証を強化し、かつ社内 or 社
外へのアクセスに IPsec を要求すればセグメント分けしなくても
なんとかなるかなぁと考えているんですけど、甘いっすかね？

小規模な環境の場合、802.1x 利用(運用)するの大変かもしれない
ので、とりあえず Internet 側との GW へのアクセスを IPsec で
制御してしまえば、仮に AP への接続を許したとしても、IPsec
で通信を確立できない侵入者は（外部へは）それ以上悪さできな
いのと、パケットを平文で出してくれれば IDS なりで検出しやす
くなるかなと考えてるんですけど、ご意見募集 ;)

＃802.1x と Snort とどっちが簡単か？という問題はあるにせよ;)

有線ならまずケーブルを刺すという敷居があるんですけどね、無線
だと踏まれてるかどうか物理的に発見しにくい？

---
セミナー受講者募集中！
< http://www.port139.co.jp/seminar/seminar_030122.htm >
WinSyslog,EventReporter 販売中: http://adiscon.port139.co.jp/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/