[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:01822] Re: Kismet(Re: Re: Developers Summit2003)

 みやもとです。

> 無線 LAN AP 毎にセグメントを分けて GW を立てるのはコスト的
> に大変な場合、802.1x を利用して認証を強化し、かつ社内 or 社
> 外へのアクセスに IPsec を要求すればセグメント分けしなくても
> なんとかなるかなぁと考えているんですけど、甘いっすかね?

 無線LAN AP を一つのセグメントに所属させる
 IPアドレスの払い出しも特定のDHCPにやらせる(もしくはIP固定)
 デフォルトゲートウェイと端末の間「のみ」IPsecによる保護

というのは可能ですね。

> ので、とりあえず Internet 側との GW へのアクセスを IPsec で
> 制御してしまえば、仮に AP への接続を許したとしても、IPsec
> で通信を確立できない侵入者は(外部へは)それ以上悪さできな
> いのと、パケットを平文で出してくれれば IDS なりで検出しやす
> くなるかなと考えてるんですけど、ご意見募集 ;)

 これ、まさに自分ちで作ろうとしてた環境です(笑)
 あと、この場合課題になるのは、GW側よりもむしろ、無線LAN経由で
接続されている他のクライアントに関するセキュリティですかね。

 クライアントサイドの設定が甘いと、そちらを踏み台にして外に出
られかねません(最初はそこまで考えが回る人もそうはいないと思っ
てますが)。

 なお、我が家の構成ではIDSとかを設置する予定はありません。

#伊原さんはエスパーかなにかでしょうか(ひぃ)。
#構成ができたら報告しますかね (^^;

---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/