802.1xは無線LANの救世主になるか

【海外記事】2002.5.07

 米ラスベガスで開催中のNetWorld+Interop 2002 LasVegas(N+I 2002 LasVegas)の主要なテーマは,セキュリティ,ワイヤレス(無線),それにストレージだ。複数のベンダーが製品を持ち寄ってデモンストレーションを行うInteropNet Labs(iLabs)にも,それが反映されている。

 このiLabsでは期間中,来場者向けにデモンストレーションの概要と技術的背景を説明する「iLabs Class」という教育セミナーを開催している。5月6日に行われた「WLAN(無線LAN)セキュリティ」のクラスでは,iLabsのインストラクターとして参加している米シスコシステムズのクリス・エリオット氏が壇上に立ち,無線LANのセキュリティ技術について率直に語った。

 同氏はこのセミナーの中で,コンパックコンピュータのPDA製品「iPaq」を利用して,無線LANを盗聴し,ネットワークに関する重要な情報を見つけ出せることを示した。

 エリオット氏は,N+I 2002 LasVegasに合わせてラスベガスに到着した際に,「空港からラスベガス周辺を10分ほどドライブしたが,その間に16もの無線LANアクセスポイントを発見した。そのうち10個では,ESS-IDをブロードキャストしており,簡単に,そのネットワークをただで使えてしまった」そうだ。

 ちなみに,N+I 2002 LasVegasの会場で無線LANアクセスポイントが提供されていることを紹介したが,エリオット氏によれば,「実は,このネットワークはWEPなしで運用している。安全ではないので,使うときは気をつけて」ということだ。

「期待できる」802.11i

 さて,現在IEEE802.11b/aのセキュリティ対策としては,ESS-IDの設定やMACアドレスの登録によるアクセス制御,それにWEPが挙げられる。電波の届くところならばどこからでもネットワークにアクセスできるのが無線LANのメリットだ。だがこれは,悪意あるユーザーが電波の範囲内に入れば,容易にパケットキャプチャが行えるということも意味する。

 これら3つのセキュリティ対策も,パケットのスニファリングとデコードによって突破される可能性は大きい。「802.11は,実際のところ安全なメカニズムを提供していない。家庭での利用にはよくても,企業ネットワークで採用するには不十分だ」(同氏)

 この問題の解決を目指して,IEEEで仕様策定が進められている新しい規格が「802.11i」だ。802.11iでは,TKIP(Temporary Key Integrity Ptorocol)を利用してデータの整合性をチェックする。またRC4に代わり,次世代の標準暗号化方式であるAES(Advanced Encryption Standard)を採用するほか,マネジメントフレームについても暗号化を行う。

「802.11iはまだ正式な仕様ではないが,パブリックプレビューを見る限りとてもいい規格になると思う」(エリオット氏)

 もう1つのより現実的な対策が,802.1xとEAP(Extensible Authentication Protocol)である。今回の展示会で注目されているのも,この2つの技術だ。

 ただエリオット氏の説明によると,EAPは,複数の仕様が乱立している状態にある。EAP-MD5に加え,シスコシステムズの独自仕様であるLEAP(EAP-Cisco),CA(認証局)で発行される電子証明書を利用したEAP-TLS,一方向のサーバ認証のみだが,導入が容易であり,システム構成によって非常に高いセキュリティを実現できるEAP-TTLSなどだ。

 さらに同氏は,上位レイヤでセキュリティを確保する手段として,IPSec VPNとSSHについて触れた。ただ「IPSecは高いセキュリティを実現するが,ベンダー独自の実装も多く,同一のクライアントで統一する必要が出てくる。一方,SSHはユーザーサイドでは簡単に利用できるが,反面管理者にとっては管理が面倒になる」(エリオット氏)

 今回のiLabsでは,これら複数のEAPの方式のEAPと802.1x,およびIPSecを利用して,相互接続デモンストレーションを行う。また有線ネットワークと無線ネットワーク上でシームレスなVLANを実現すると言うことだ。

現時点での対策

 ここでひとつ誤解してはいけないのは「802.1xにも弱点がある」(エリオット氏)という点。802.1xには,アソシエーション属性に起因する問題のほか,攻撃者が認証プロセスに割り込んで情報を取得する「man in the middle」攻撃に遭う可能性もある。ただ,各ベンダーではこれら問題の解決に向けて活動しており,「ファームウェアのアップグレードなどの手段で解決できるだろう」と同氏は言う。

「今の時点でお勧めできる無線LANの設定となると,まずユニークなESS-IDを利用しないこと。またMACアドレス認証を利用し,できればWEPは40ビットではなく104ビット(国内では一般に128ビットと言われる)を利用することだ。さらに,鍵は定期的に変更する。また,セキュリティ上の基本だが,ファームウェアもアップグレードする」(エリオット氏)。さらに同氏は「できれば802.1xを使うこと」も対策に付け加えた。

 残念ながら,Windows XPを除けば,802.1xを実装した製品はまだ少ないが,今回のデモンストレーションの参加企業を見る限り,対応製品は今後増えてくると期待できる。今後はさらに,有線ネットワークで利用している既存の認証システムやRADIUSサーバとの統合手法が問われることになりそうだ。

関連リンク

▼NetWorld+Interop LasVegas 2002

[高橋睦美 ,ITmedia]



Special

- PR -

Special

- PR -