無線LANのセキュリテイ対策を学ぶ

前回の勉強内容

ponsuke-tarou.hatenablog.com

きっかけとなった試験問題

利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に,IEEE 802.1XRADIUSを利用する場合の標準的な方法はどれか。

  1. PCにはIEEE 802.1Xサプリカントを実装し,かつ,RADIUSクライアントの機能をもたせる。
  2. アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。
  3. アクセスポイントにはIEEE 802.1Xサプリカントを実装し,かつ,RADIUSサーバの機能をもたせる。
  4. サーバにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSサーバの機能をもたせる。

情報セキュリティスペシャリスト平成29年春期 午前Ⅱ 問17

無線LANは、情報の漏えいや盗聴の可能性があります。

https://cybersecurity-jp.com/wp-content/uploads/2018/02/img_22145-01.png
無線LANは安全?セキュリティの種類や知っておくべき対策・確認方法とは

プライバシーセパレータ機能で、同じ無線LANに接続しているPC同士のアクセスを禁止できます。

同一のアクセスポイントに無線で接続している他の端末に、公衆無線LANの利用者がアクセスポイントを経由して無断でアクセスすることを防止します。

https://www.fe-siken.com/kakomon/30_aki/img/44a.gif
平成30年秋期問44 公衆無線LANのセキュリティ対策と効果|基本情報技術者試験.com

https://wifinomori.com/wp-content/uploads/2019/08/wimax-privacyseparator1.png
【WiMAX】W06のプライバシーセパレータをオフにする方法

通信内容を盗聴されないように暗号化をします。

https://www.ap-siken.com/kakomon/30_aki/img/45a.gif
平成30年秋期問45 無線LANのセキュリティプロトコル|応用情報技術者試験.com

https://d1uzk9o9cg136f.cloudfront.net/f/16783321/rc/2019/02/07/cc446499abc219d575598b277ea583811b2a69c9_xlarge.jpg
【Wi-Fiのセキュリティ方式】WEPは解析されやすい?何が安全? - 特選街web

WPAは、無線LANでの通信を暗号化する技術です。

初期の無線LANで使用されていたWEPには暗号を解読できる脆弱性がありました。
その対策としてWPAが開発され、IEEE 802.11gより使われました。
時間とともに鍵が変わるTKIP(Temporal Key Integrity Protocol)という暗号方式を使います。
TKIPを使って作った鍵」と「RC4という暗号化アルゴリズム」を使用して暗号化します。

https://www.jp.tdk.com/techmag/knowledge/201201/img/kl120102.gif
第180回 モバイル機器を楽しむ生命線 Wi-Fiアクセスポイント 〜後編〜|テクの雑学|TDK Techno Magazine

RC4 【 Rivest’s Cipher 4 】 Ron's Code 4 / ARCFOUR
1ビット単位で暗号化・復号が可能なストリーム暗号(stream cipher)で、WEPやWPA、SSL/TLSsshなど様々なプロトコルの暗号方式の一つとして採用された。
RC4(ARCFOUR)とは - IT用語辞典 e-Words

WPAが進化したWPA2では、暗号化方式にAESを採用しました。

ponsuke-tarou.hatenablog.com
WPA2でTKIPを使うこともできますが、AESのほうが安全です。

https://tech.nikkeibp.co.jp/it/pc/article/knowhow/20140709/1136304/thumb_500_ph1_px500.jpg
【セキュリティ】暗号化はAESが標準、WEPは使わない | 日経クロステック(xTECH)

不正な端末がLANに参加することを防ぎます。

有線LANでは、物理的にLANケーブルを繋いでいる機器でしか使用できません。
しかし、無線LANではアクセスポイントを使用するため通信範囲内であれば不正な端末がLANに接続してくることが可能になってしまいます。
↓これがアクセスポイント↓

https://images-na.ssl-images-amazon.com/images/I/51PpIXii2mL._AC_SL1000_.jpg
Amazon.co.jp: BUFFALO WiFi 無線LAN中継機 WEX-1166DHPS/N 11ac/n/a/g/b 866+300Mbps ハイパワー コンパクトモデル 簡易パッケージ 日本メーカー【iPhoneX/iPhoneXSシリーズ メーカー動作確認済み】: パソコン・周辺機器

ウォードライビングは、不正にアクセスする目的で建物の外部に漏れた無線LANの電波を傍受してセキュリティの設定が脆弱な無線LANのアクセスポイントを見つけ出すクラッキング手法です。

f:id:ponsuke_tarou:20200928204332p:plain
ウォードライビングとは – SQL Master データベースエンジニアとセキュリティエンジニアとLinuxエンジニアのための情報

IEEE 802.1Xは、LANに接続するPCなどの端末を認証する方法を定めた規格です。

機器 IEEE 802.1Xを利用する場合にやっておくこと
端末 IEEE 802.1Xサプリカント(利用者や端末の認証を要求する側のソフトウェア)を実装する。
アクセスポイント IEEE 802.1Xのオーセンティケータ(認証機能を持つスイッチやアクセスポイント・ルータなど)を実装する。
RADIUS(ネットワーク上でクライアントとサーバの認証を行うプロトコル)を使用する場合はRADIUSクライアントも必要。
認証サーバ IEEE802.1X/EAPに対応した認証サーバを使用する。

https://www.sc-siken.com/kakomon/29_haru/img/17.gif
情報セキュリティスペシャリスト平成29年春期 午前Ⅱ 問17

http://livedoor.blogimg.jp/security_specialist/imgs/2/e/2e63e68b.jpg
http://sc.seeeko.com/archives/3836037.html

IEEE 802.1XではEAP(Extensible(iksténsəbl、拡張性の) Authentication Protocol)という様々な認証方式を利用できるようにしたプロトコルが使用されます。
2点間で仮想の経路を確立してデータを送受信できるようにするPPPという通信プロトコルの機能を拡張した認証プロトコルです。
EAPは、いろんな認証方式をサポートはしていますがEAP自体が暗号化通信できるわけではありません。

https://www.infraexpert.com/studygif/wireless44.gif
IEEE802.1X認証とは、EAPとは

EAPプロトコル 認証方法
EAP-MD5 ユーザ名とパスワードを用いたチャレンジレスポンスによってクライアントを認証する
EAP-TLS 認証にTLS(Transport Layer Security)の機構を用いる方式。サーバ-クライアント間でディジタル証明書を用いた相互認証する
EAP-TTLS TLSによりサーバ認証を行い、その後確立されたEAPトンネルを使用し、各種の認証方法でクライアントを認証する
EAP-PEAP TLSを用いたEAPトンネルを使用することはEAP-TTLSと同様だが、その後のクライアントの認証方法がEAP準拠の方法のみに限定している

出典 : 情報セキュリティスペシャリスト平成26年秋期 午前Ⅱ 問16

WPA2-PSKは、家庭などの小規模ネットワーク向けでPSKという認証方式を使用しています。

  • 正式名称 : WPA2 Pre-Shared Key
  • 別名 : WPA2 Personal

https://www.ap-siken.com/kakomon/27_aki/img/39.gif
平成27年秋期問39 WPA2-PSKの機能はどれか|応用情報技術者試験.com

https://ascii.jp/img/2009/10/15/247514/l/5ba14d94670c69f8.jpg
ASCII.jp:無線LANの安全を補う認証技術を知ろう (1/2)

PSK(Pre-Shared Key / 事前共有鍵)は、通信機器間で事前に鍵を共有しておくことです。
WPA2-PSKでは、パスフレーズを鍵として事前にアクセスポイントと共有しておきます。

https://www.ipa.go.jp/files/000011575.png
一般家庭における無線LANのセキュリティに関する注意:IPA 独立行政法人 情報処理推進機構

SSIDは、最長32オクテットのネットワーク識別子であり、接続するアクセスポイントの選択に用いられます。
32オクテット = 256ビット = 32バイト = 半角英数32文字

http://www.elecom.co.jp/support/faq/parts/Nwfaq/6443_002.jpg
http://www.elecom.co.jp/support/faq/parts/Nwfaq/6443_004.jpg
【Wi-Fiルータ】SSIDって何ですか?/無線でよく聞くSSIDとは?

WPA2-PSKは、アクセスポイントにSSIDパスフレーズを設定して、同じSSIDパスフレーズが設定されている端末だけを接続させます。

https://support.eonet.jp/connect/net/multi_bbr/eo-rt100/wireless/img/wireless_20_01.jpg
https://support.eonet.jp/connect/net/multi_bbr/eo-rt100/wireless/wireless_pass.html

WPA2-Enterpriseは、企業などの大規模なネットワーク向けでIEEE802.1XEAPを認証に使用します。

大規模なネットワークでは、接続する端末が多くパスフレーズが漏洩した場合に再設定が大変になるためPSKを用いるのは不向きです。
そこで認証サーバを用いて認証するEAPが使われます。

無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。
エ. WPA2-Enterpriseは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。
情報処理安全確保支援士平成31年春期 午前Ⅱ 問13

https://news.mynavi.jp/kikaku/wlan-auth-2/images/001.jpg
今さら聞けない「無線LAN認証」の基本(2) ID/パスワードはもう限界!? 電子証明書によるネットワーク認証のススメ | マイナビニュース

https://cdn-active.nikkeibp.co.jp/atclact/active/18/072600005/080300002/ph01.jpg?__scale=w:500,h:249&_sh=0e908e0440
無線LANの盗聴防止、万能ではないWPA2の注意点 - 失敗しない無線LAN:日経クロステック Active

f:id:ponsuke_tarou:20190923194819j:plain

使っている無線LANのセキュリティを確認したいです。

Windows10の場合は、[ワイヤレスネットワークのプロパティ]ダイアログで確認できます。

https://cdn-ak.f.st-hatena.com/images/fotolife/a/ahiru8usagi/20190602/20190602162156.png
【Windows10】ワイヤレスネットワークのプロパティを表示させる手順、表示されない場合の対処法 - あんりふ!

次回の勉強内容

ponsuke-tarou.hatenablog.com