| エンタープライズ:ニュース | 2002/07/18 21:58:00 更新 |
無線LAN環境のセキュリティ(前編) リスクを知る (2/2)
まずESS-IDだが、そもそもセキュリティ機能というよりも、端末がどの無線LANのグループに所属するかを区別するためのもの。一種のワークグループ名、もしくはセグメント分けの目印程度と考えるべきだ。しかもここで「ANY」を指定しておけば、範囲内にあるどのアクセスポイントにも接続できてしまう。
次のWEPは暗号化機能の一種である。しかし利用しているアルゴリズムが古く、複数のセキュリティ研究者によってその脆弱性が指摘されている。鍵長も当初は40bitと短い(現在では128ビットのものが登場している)。これを悪用するためのツールまで公開されている。
MACアドレスを用いた端末認証は、アクセスポイントにあらかじめ登録しておいた端末以外のアクセスをフィルタリングし、他のネットワークへアクセスできないようにする。ただし、端末ごと盗難にあった場合はどうしようもない。速やかにアクセスポイント側の登録を変更するしかない。
ここで、無線LANの電波の届く範囲さえ入れば、嫌でも接続できてしまうということを思い出してほしい。例えば、ノートパソコンに何らかのパケット解析ツールをインストールし、アクセスポイントの近くまで行けば、そこを流れるパケットを難なく受信――部外者の場合は盗聴というべきか――できてしまう。ESS-IDはクリアテキストで流れるため容易に判明するだろうし、MACアドレスにせよWEPにせよ、パケットをキャプチャすれば解析は不可能ではない。
最近では、IEEE802.1xという認証のための標準が注目されているが、これはまだ実装が少ないのが現状だ。しかも802.1xにも、アソシエーション属性に起因する問題や「man in the middle」攻撃に遭う可能性もあるといった弱点がある。
でも一番の問題は?
このように、802.11bで取り得るセキュリティ対策は、満足できるレベルのものではないのが現状だ。だが最大の問題は、ユーザーだ。無線LANを利用する側がリスクを認識し、これらの設定を確実に行い、適切に運用するだけでも効果はある。たとえリスクはゼロにならないとしても、何も対策を取らないよりはましなはずだ。
例えば、無線LANアクセスポイントを買ってきて、そのままデフォルト設定で運用するのは、自分のトラフィックやPC内のデータを見られてもかまわないならばともかく、論外だといえる。多くのブロードバンドルータ製品と同様、ESS-IDをはじめとするデフォルトの設定は既知のものとなっている。これを使って侵入を試みようとする人がいないとは限らない。
また、導入時にWEPやESS-IDを設定してから、その後一度も変更しないというのもリスキーだ。一般に利用するパスワードと同じで、定期的に変更するのがいいだろう。無線LANであろうと有線のLANであろうと、同じことがいえる。
ここまでは家庭の場合もオフィスの場合も同様だ。
そして、もしオフィスのネットワークを管理する立場にあるならば、無線LANのセキュリティをうんぬんする前に確認すべきことがある。ユーザーが勝手に無線LANアクセスポイントを設置していないか、また許可の上設置していたとしても、それらが適切な管理・運用下にあるか、今一度見直すべきだろう。最終的には、自社のセキュリティポリシー内に、無線LANアクセスポイントの運用やユーザーのあるべき振る舞い方について明記し、周知することが望ましい。
といっても実感が湧かないようであれば、リスクを認識する意味で、「AirSnort」や「NetStumbler(Network Stumbler)」などのツールを使ってみるのも1つの手だ(ただし、くれぐれもダークサイドに落ちないように)。こうしたツールを用いてオフィスをぐるっと回ってみれば、今回説明したリスクを身にしみて理解できるのではないかと思う。
他にも商用プロダクトとして、「AiroPeek」や「Sniffer Wireless」といったプロトコルキャプチャ/解析ツールがあるほか、インターネット セキュリティ システムズが、無線LAN環境の脆弱性検査ツール「Wireless Scanner」を販売している。これらは、新規に無線LANを導入する際に、アクセスポイントの効率的な設置場所を決めるのにも役立つだろう。
無線LANのセキュリティ強度を高めるには、無線LANの部分だけでは完結しないことも事実だ。その他のセキュリティ対策――例えば暗号化やPCレベルでのフィルタリング、PCの共有設定の見直し――を組み合わせて、総合的に対策を取っていかなければならない。
同時に、自分はPCでどういった情報を扱っているのかにも、もっと敏感に、慎重になるべきだろう。その情報は本当に、他人の目にさらされてもいいものだろうか?
後編では以上を踏まえ、リスクに応じてどういった対策が必要なのか、具体的な製品を交えながら紹介していきたい。
関連記事
もはや無視できない? 無線LANのセキュリティ802.1xは無線LANの救世主になるか802.1x,それともIPSecベースのVPN?無線LAN環境のセキュリティも,基本は有線と同じ[高橋睦美,ITmedia]
