ショップ構築ガイド

情報の流出経路

情報漏洩対策

レンタルガイド

目次～サーバガイド

サーバ構築ガイド

目次～ Linux サーバ

レンタルネットショップ

無線LAN に求められるセキュリティ機能について

前のページで説明したように、古い無線LAN 製品はセキュリティに関する機能が発売当初から殆ど意味を成さない製品や、既に解読された暗号化アルゴリズムを使用する全く意味を成さない製品があります。

セキュリティリスクに対する警鐘、買い替えを促す説明はメーカー側は全く行っていません。無責任極まりない。公表するとリスクが増すとでも言いたいのでしょうか。
http://buffalo.jp/products/catalog/network/wpa-aes.html

また、無線LAN を利用、導入するにあたって、こちらで説明している２つのセキュリティリスクを負うことを認識しておく必要があります。つまり、無線LAN に必要とされるセキュリティ対策は、大きく２つに分類する事が出来ます。一つは進入させないための対策、もう一つは無線傍受による盗聴対策が機器側で行えなくてはなりません。

ここでは現在発売されている無線LAN機器において、どのようなセキュリティ対策が行えるのか説明します。これらの機能が利用できるかどうかは、無線LAN製品を選ぶ、又は安全に活用する上で重要なポイントとなります。

無線LAN 不正侵入に関するセキュリティ機能

無線は簡単に傍受する事が可能です。そのため、クライアントからアクセスポイント間の通信は暗号化により保護する必要があります。

参照 => 無線LAN 暗号化の仕組みと特徴について

ネットワーク接続を制限する（進入させないための仕組み）

電波の届く範囲は、同じ規格を持つ無線LANインターフェイス（アダプタ）を持つパソコンであれば、どのパソコンも接続対象になります。

MAC アドレス接続制限 >>> 詳細
- ネットワークインターフェイスが持つMACアドレス（固有）を使用し、接続可能なクライアントを制限します。どの無線LAN アクセスポイントにも搭載されています。
PSK認証方式 >>> 詳細
- 暗号化に使用するカギを、アクセスポイント、クライアントで交換し共通するカギを持つユーザーのみにネットワーク接続を許可します。このカギは、暗号解読に必要なカギとなります。最も基本的且、重要なアクセス制限となります。
EAP認証方式 >>> 詳細
- ネットワーク接続の際に、ユーザー認証を求める方式です。上記、PSK認証と併用します。EAP認証には、ユーザーの照会を行うための認証データベースサーバを別途構築する必要があります。この機能に対応した製品は企業向けの製品となります。

鍵の交換（暗号化接続） PSK認証方式～進入させないための対策.

無線LANでは電波の盗聴を防ぐため、暗号化の仕組みを持っています。

無線暗号化の仕組み

アクセスポイントとクライアントで共通する鍵を使用する事で、暗号化を行い盗聴を防止していますが、鍵が分からなければ、接続する事が出来ません。つまり、暗号化と同時に不正進入を防止しています。このような互いのカギを交換して行う認証方式を PSK 認証といい、無線LAN アクセスポイントからの不正進入を防ぐ上で最も重要な役割を果たしています。

■ 重要！！
つまり、暗号が解読されると通信内容を復元できるだけでなく、ネットワークへの侵入を許す事も同時を意味する事に注目して下さい。このため、MACアドレスによる接続制限なども併用する必要があります。

関連 => 無線LAN 暗号化の仕組みとそれぞれの規格の特徴

MAC アドレス接続制限～進入させないための対策.

MACアドレスとは、LANインターフェイスなどのネットワーク機器に固有に割当てられているも固有（ユニーク）番号の事で通信の際、IPアドレスと同様に通信先に通知されます。このMACアドレスを識別する事でネットワークへの接続を制限します。

社内ネットワークにおいても、登録されたパソコン以外を無断で社内のネットワークに接続させない、IPアドレスの不正利用を防止する目的でも利用されています。PCカードのよううに簡単にインターフェイスを移動できるタイプに対しては無意味ですが。

基本的に製品に割当てられたMACアドレスを変更することは出来ないため、登録されたMACアドレス以外のネットワーク接続を禁止する事が出来ます。ただし、このMACアドレスはIPアドレスと同様に通信が盗聴されれば MAC アドレスも分かります。偽装も可能であり完璧な対策とはなりません。

この機能は、どの無線LANアクセスポイントにも実装されています。進入させないための基本中の基本の対策となります。

SSID （Service Set Identification）について .

SSID はセキュリティのための機能ではありません。無線LAN アクセスポイントは、アクセスポイントを識別するためのビーコン（場所を知らせるための信号） SSID を送出しています。このコードは、アクセスポイントそれぞれに自由に設定する事が可能で、同じ SSID を使用するユーザーのみに接続を許可するような事が行えるようになります。

SSID の送出を止める事でアクセスポイントを隠すことが出来ますが、これは見かけ上の話で、検出ソフトウェアを使用すればアクセスポイントは見えています。

これは、セキュリティのための機能ではなく、マイクロソフトネットワークのワークグループと同じくネットワークグループを識別するための機能です。例えば、社内に複数の無線LAN アクセスポイントを設置し、部署事に使用するアクセスポイントへの乗り入れを割り振りたい場合に SSID による接続制限を利用します。

無線が届く範囲は、アクセスポイント、SSID は見えてしまいます。個人や企業名、部署名など相手が特定出来る固有名はクラッカーの関心を引きます。SSID はルールを決めて特定の出来ない名前にすべきです。

注意したいのは、外部からの接続制限が行われている環境下での利用になると言うことです。つまり、何のアクセス制限を行わず、SSID だけであれば、SSID を入力すればネットワークに参加出来る事になります。

SSIDの送出を止めると何処のアクセスポイントに参加すれば良いのか分からず、社内利用など利便性が低下することになります。

この標題のトップへ　２ / ５