無線LANのセキュリテイ対策を学ぶ

前回の勉強内容
きっかけとなった試験問題
無線LANは、情報の漏えいや盗聴の可能性があります。
- プライバシーセパレータ機能で、同じ無線LANに接続しているPC同士のアクセスを禁止できます。
通信内容を盗聴されないように暗号化をします。
- WPAは、無線LANでの通信を暗号化する技術です。
- WPAが進化したWPA2では、暗号化方式にAESを採用しました。
不正な端末がLANに参加することを防ぎます。
使っている無線LANのセキュリティを確認したいです。
- Windows10の場合は、[ワイヤレスネットワークのプロパティ]ダイアログで確認できます。
- Macの場合は、[Wifi]ダイアログで確認できます。
次回の勉強内容

前回の勉強内容

ponsuke-tarou.hatenablog.com

きっかけとなった試験問題

利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に，IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。

PCにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSクライアントの機能をもたせる。

アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSクライアントの機能をもたせる。

アクセスポイントにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSサーバの機能をもたせる。

サーバにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSサーバの機能をもたせる。

情報セキュリティスペシャリスト平成29年春期午前Ⅱ 問17

無線LANは、情報の漏えいや盗聴の可能性があります。

無線LANは安全？セキュリティの種類や知っておくべき対策・確認方法とは

プライバシーセパレータ機能で、同じ無線LANに接続しているPC同士のアクセスを禁止できます。

同一のアクセスポイントに無線で接続している他の端末に、公衆無線LANの利用者がアクセスポイントを経由して無断でアクセスすることを防止します。

平成30年秋期問44 公衆無線LANのセキュリティ対策と効果｜基本情報技術者試験.com

W06のプライバシーセパレータをオフにする方法

通信内容を盗聴されないように暗号化をします。

平成30年秋期問45 無線LANのセキュリティプロトコル｜応用情報技術者試験.com

【Wi-Fiのセキュリティ方式】WEPは解析されやすい？何が安全？ - 特選街web

WPAは、無線LANでの通信を暗号化する技術です。

正式名称 : Wi-Fi Protected Access

初期の無線LANで使用されていたWEPには暗号を解読できる脆弱性がありました。
その対策としてWPAが開発され、IEEE 802.11gより使われました。
時間とともに鍵が変わるTKIP(Temporal Key Integrity Protocol)という暗号方式を使います。
「TKIPを使って作った鍵」と「RC4という暗号化アルゴリズム」を使用して暗号化します。

第180回モバイル機器を楽しむ生命線 Wi-Fiアクセスポイント〜後編〜｜テクの雑学｜TDK Techno Magazine

RC4 【 Rivest’s Cipher 4 】 Ron's Code 4 / ARCFOUR
1ビット単位で暗号化・復号が可能なストリーム暗号（stream cipher）で、WEPやWPA、SSL/TLS、sshなど様々なプロトコルの暗号方式の一つとして採用された。
RC4（ARCFOUR）とは - IT用語辞典 e-Words

WPAが進化したWPA2では、暗号化方式にAESを採用しました。

ponsuke-tarou.hatenablog.com
WPA2でTKIPを使うこともできますが、AESのほうが安全です。

【セキュリティ】暗号化はAESが標準、WEPは使わない | 日経クロステック（xTECH）

不正な端末がLANに参加することを防ぎます。

有線LANでは、物理的にLANケーブルを繋いでいる機器でしか使用できません。
しかし、無線LANではアクセスポイントを使用するため通信範囲内であれば不正な端末がLANに接続してくることが可能になってしまいます。
↓これがアクセスポイント↓

https://www.amazon.co.jp/%E7%84%A1%E7%B7%9ALAN%E4%B8%AD%E7%B6%99%E6%A9%9F-WEX-1166DHPS-%E6%97%A5%E6%9C%AC%E3%83%A1%E3%83%BC%E3%82%AB%E3%83%BC%E3%80%90iPhoneX-iPhoneXS%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-%E3%83%A1%E3%83%BC%E3%82%AB%E3%83%BC%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D%E6%B8%88%E3%81%BF%E3%80%91/dp/B084LFPC5R/ref=asc_df_B084LFPC5R/?tag=jpgo-22&linkCode=df0&hvadid=342699261791&hvpos=&hvnetw=g&hvrand=14783868117146499571&hvpone=&hvptwo=&hvqmt=&hvdev=c&hvdvcmdl=&hvlocint=&hvlocphy=1009293&hvtargid=pla-877895905403&psc=1&th=1&psc=1&tag=&ref=&adgrpid=69604411435&hvpone=&hvptwo=&hvadid=342699261791&hvpos=&hvnetw=g&hvrand=14783868117146499571&hvqmt=&hvdev=c&hvdvcmdl=&hvlocint=&hvlocphy=1009293&hvtargid=pla-877895905403

ウォードライビングは、不正にアクセスする目的で建物の外部に漏れた無線LANの電波を傍受してセキュリティの設定が脆弱な無線LANのアクセスポイントを見つけ出すクラッキング手法です。

ウォードライビングとは – SQL Master データベースエンジニアとセキュリティエンジニアとLinuxエンジニアのための情報

IEEE 802.1Xは、LANに接続するPCなどの端末を認証する方法を定めた規格です。

機器	IEEE 802.1Xを利用する場合にやっておくこと
端末	IEEE 802.1Xのサプリカント(利用者や端末の認証を要求する側のソフトウェア)を実装する。
アクセスポイント	IEEE 802.1Xのオーセンティケータ(認証機能を持つスイッチやアクセスポイント・ルータなど)を実装する。 RADIUS(ネットワーク上でクライアントとサーバの認証を行うプロトコル)を使用する場合はRADIUSクライアントも必要。
認証サーバ	IEEE802.1X/EAPに対応した認証サーバを使用する。

情報セキュリティスペシャリスト平成29年春期午前Ⅱ 問17

http://sc.seeeko.com/archives/3836037.html

IEEE 802.1XではEAP(Extensible(iksténsəbl、拡張性の) Authentication Protocol)という様々な認証方式を利用できるようにしたプロトコルが使用されます。
2点間で仮想の経路を確立してデータを送受信できるようにするPPPという通信プロトコルの機能を拡張した認証プロトコルです。
EAPは、いろんな認証方式をサポートはしていますがEAP自体が暗号化通信できるわけではありません。

IEEE802.1X認証とは、EAPとは

EAPのプロトコル	認証方法
EAP-MD5	ユーザ名とパスワードを用いたチャレンジレスポンスによってクライアントを認証する
EAP-TLS	認証にTLS(Transport Layer Security)の機構を用いる方式。サーバ－クライアント間でディジタル証明書を用いた相互認証する
EAP-TTLS	TLSによりサーバ認証を行い、その後確立されたEAPトンネルを使用し、各種の認証方法でクライアントを認証する
EAP-PEAP	TLSを用いたEAPトンネルを使用することはEAP-TTLSと同様だが、その後のクライアントの認証方法がEAP準拠の方法のみに限定している