ユビキタス社会を支える無線LAN活用の有用性 ~安心・安全な無線ネットワークの活用を考える~ 東京都立新宿山吹高等学校 様 神奈川県立神奈川総合産業高等学校 様 株式会社 内田洋行 この授業は、競輪の補助金を受けて実施します。 財団法人コンピュータ教育開発センター
2時限目
無線LANのセキュリティの重要性① 無線LANの怖さ 簡単にできる無線LAN盗聴 無線LANの盗聴はコードレス電話の盗聴よりも簡単。 電波の届く範囲なら物理的に浸入することなくデータを盗むことができ、 専用機器も必要ない。 SSIDで標的を判断 SSIDに会社名や個人名など、利用者を特定できる文字列を設定すると、 そのSSIDにアクセスして入手できるデータが特定できるため、 攻撃の標的になりやすい。 SSID:○○shou ○○小学校に浸入したら 生徒の個人情報が 盗める。 業者に高く売れる。 <○○小学校>
無線LANのセキュリティの重要性② 無線LANの怖さ 暗号化しなければクレジット番号も盗み放題 インターネット上のツールを使って、パケットを覗き見るのは簡単。 メール内容、個人情報データ、パスワード、アクセスしたサイトの履歴など、 簡単に入手できる。 どこかでカード番号が売られている可能性も。 アクセスポイントを不正利用されて警察沙汰 アクセスポイントを経由してスパムメールを送ったり、 政府や大手企業のサイトに不正アクセスを働かれる恐れがある。 無線経由であるため、足がつきにくく、攻撃者にとっては絶好の環境。 最悪の場合、警察沙汰になりパソコンを押収される可能性もある。
弱 強 無線LANのセキュリティ設定 セキュリティにはどんなものがあるか アクセスポイントにつけるグループ名。 ① SSID セキュリティにはどんなものがあるか アクセスポイントにつけるグループ名。 利用者を特定しない名前をつけることがセキュリティにつながる。 ユーティリティにアクセスポイントのSSIDを表示させない、 また、指定したSSID以外のパソコンは接続させない機能。 登録したMACアドレスの端末以外からは接続させない機能。 やり取りするデータを暗号化する機能。 無線を使用してネットワークを利用する際に認証を求める機能。 ① SSID 弱 ② ANY接続拒否 セキュリティの 強さ ③ フィルタリング ④ 暗号化 ⑤ 認証 強
無線LANのセキュリティ設定 ① ①SSID SSID 無線LANグループ名を指す。 個人名や企業名を特定しやすい名前を付けると、攻撃者にとっては 入手できるデータが特定できるため、ターゲットになりやすい。 利用者が特定できない名前を付ける必要がある。 ただし、SSIDはWindows XP等のユーティリティを使用すると簡単に分かるため、 セキュリティ的には弱い。 SSID:gu38wsj30t ○○小学校に浸入したら 生徒の個人情報が 盗める。 業者に高く売れる。 こっちに浸入しよう。 <××小学校> SSID:○○shou <○○小学校>
× 無線LANのセキュリティ設定 ② ②ステルス/ANY接続拒否 本来、ステルスとANY接続拒否は異なる機能であるが、 現在はいずれか一方の名称で両方の機能を実現する製品が多い。 ステルス アクセスポイントから発せられる信号(ビーコン)の中に埋め込まれている、 SSIDの情報を発せられないように特殊な処理を行い、端末のユーティリティからアクセスポイントの存在を分からないようにする技術のこと。 ANY接続拒否 端末側でSSIDを指定せずにANY(空白)に設定していると、接続を拒否する 技術のこと。 ・ユーティリティからではアクセスポイントの 存在がわからない ・SSIDを指定しないと接続できない ANY接続拒否 ×
× 無線LANのセキュリティ設定 ③ ③フィルタリング MACアドレスフィルタリング ③フィルタリング MACアドレスフィルタリング 登録したMACアドレスを持つ端末だけがアクセスポイントへアクセスできる。 ただし、通信しているパケットを盗聴すると、MACアドレスを割り出せるため、 MACアドレスを詐称して接続することも可能であり、 セキュリティ的には弱い。 ・事前にアクセスポイントに登録された MACアドレスの機器でなければ、 SSIDを指定しても接続できない MACアドレス フィルタリング ×
無線LANのセキュリティ設定 ④-1 ④暗号化 WEP 無線LAN規格を標準化するIEEEが決めた標準暗号化技術。 ④暗号化 WEP 無線LAN規格を標準化するIEEEが決めた標準暗号化技術。 総務省がこれ以上の暗号化を推奨。 無線には電波傍受や通信内容の盗聴の危険があることがわかっていたため、 有線の場合と同等のセキュリティを想定して作った。 【1】暗号方法 64ビットのシード(暗号鍵)で暗号化。短すぎるため、解読がしやすい。 【2】データ改ざん検出 データエラーの検出が主。人意的な改ざんを防ぐようには考えられていない。 【3】認証機能 なし。
無線LANのセキュリティ設定 ④-2 ④暗号化 WPA ユーザからはWEP以上の暗号化技術が求められていたが、 ④暗号化 WPA ユーザからはWEP以上の暗号化技術が求められていたが、 IEEEがWEP以降の標準暗号化技術を作成しなかったため、 無線LAN関連の業界団体Wi-Fiアライアンスが作成した暗号化技術。 WEPの暗号化強度を上げ、データ改ざん機能、認証機能に対応している。 【1】暗号方法 128ビットのシード(暗号鍵)で暗号化。解読に時間がかかる。 【2】データ改ざん検出 エラー検出だけでなく、人為的改ざんも検出。 【3】認証機能 EAP-TTLS、PEAPというパスワード認証、 EAP-TLSという電子証明書形式がある。認証を行わずとも運用は可能。
無線LANのセキュリティ設定 ⑤ ⑤認証(IEEE802.1X認証) ・パソコンにインストールするクライアント・ソフト「サプリカント」 ・パソコンにインストールするクライアント・ソフト「サプリカント」 ・ネットワーク上で通信の可否を制御する「認証装置」 ・実際に認証を行う「認証サーバ」 の3つで構成する。 EAP-PEAPはIDとパスワード認証形式、 EAP-TLSは電子証明書形式を採用する。 TLSは運用が大変であり、PEAPが主に使用されている。 【認証サーバ】 【認証装置の役割を担った アクセスポイント】 【サプリカントを インストールした パソコン】
無線LANを構築するためにどう設計するか① ①使用シーンの決定 <必要な情報> ・使用する場所 ・1部屋あたりに使用するPCの数 ・利用用途(インターネット、コンテンツなど) <関係する情報> ・アクセスポイントの設置位置 ・アクセスポイントの数 ・アクセスポイントの規格 ・アクセスポイントのチャネル
無線LANを構築するためにどう設計するか ② ②アクセスポイントの数、位置を設計 ①の内容を受け、図面上で アクセスポイントの数、位置を設計 【アクセスポイントの数】 2部屋に対してアクセスポイントを1台設置 【アクセスポイントの位置】 場所は2部屋の間に位置する廊下 ※簡易なネットワークの利用、 1部屋10台以下のPCを 使用するのであれば、 2~3部屋に1台が一般的
無線LANを構築するためにどう設計するか ③ ③利用環境に応じて規格を設計 ②の位置にアクセスポイントを設置する 場合の利用する規格を決定 802.11aと802.11gの両方を利用できる アクセスポイントであれば、 両方の規格を利用 802.11a 802.11g 802.11a 802.11g 【規格】 ・802.11a : 障害物がない、広い空間で 利用する場合 ・802.11g : 障害物があり、あまり広くない空間で ※体育館や広場など、 障害物のない広い空間でなければ、 802.11gを使用する場合が多い
無線LANを構築するためにどう設計するか ④ ④電波測定し、利用に耐えうるか調査 ②の位置にアクセスポイントを設置し、 ③で設定した規格において 各アクセスポイントに対する電波強度を 測定する 802.11a : 25 802.11g : 27 802.11a : 19 802.11g : 17 802.11a : 25 802.11g : 26 802.11a : 20 802.11g : 18 【測定する位置】 利用したい場所の中で、 ・アクセスポイントから距離がある ・間に障害物がある など、電波が飛びにくい場所を優先的に測定 電波の漏れに重点を置く場合は、 その他以外の場所に関しても測定 ※たいてい電波強度20以上あれば、 不快感なくネットワークを利用できると 言われている
無線LANを構築するためにどう設計するか ⑤ ⑤調査結果に応じて、アクセスポイントの数、位置を修正し、再調査 802.11a : 25 802.11g : 27 802.11a : 19 802.11g : 17 ④の電波調査結果において、 電波強度が20以下の場所に関して アクセスポイントの数、位置を修正し、 再測定 802.11a : 25 802.11g : 26 802.11a : 19 802.11g : 17 802.11a : 20 802.11g : 18 802.11a : 20 802.11g : 18 アクセスポイントの数、 位置を修正 【アクセスポイントの修正】 設置位置の変更で対処できない場合は、 アクセスポイントの数を増加して対応 【測定する位置】 ③と同様 電波強度が20以上であればよい
無線LANを構築するためにどう設計するか ⑥ ⑥アクセスポイントの位置に応じてチャネル設計 802.11a : 38CH 802.11g : 6CH ②の設置場所において、 ③で設定した規格において 利用するチャネルを設計する 802.11a : 34CH 802.11g : 1CH 802.11a : 42CH 802.11g : 11CH 【アクセスポイントのチャネル】 電波干渉が起きないよう、チャネルを設定する。 チャネルは4チャネル以上離すとよい
無線LANを構築するためにどう設計するか ⑦ ⑦セキュリティの設計 SSID : teacher 暗号化 : WPA-PSK TKIP パスワード : **** ANY接続 : 拒否 フィルタリング : MACアドレスフィルタリング SSID : student 暗号化 : WPA-PSK TKIP パスワード : **** 各アクセスポイントに対して、 利用シーンに応じて セキュリティを設計する 【アクセスポイントのセキュリティ】 ・SSID : アクセスポイント毎に 使用するPCを分けない場合は統一 ・暗号化 : 利用レベルに応じて暗号化レベルを変更 ・その他 : その他のセキュリティ設定に関しては、 利用レベルに応じて設定の有無を決定 ※総務省の推奨はWPA以上の 暗号化
<実習>無線LANのセキュリティ設定実習 ①アクセスポイントの設定画面に接続する ・アクセスポイントと端末をLANケーブルで結ぶ ・ブラウザを使用してアクセスポイント設定画面を表示させる ②アクセスポイントのセキュリティ設定をする(WPA-PSK TKIP) ・SSID ・暗号化設定 ・ネットワークキー入力 ③接続するアクセスポイントの情報を端末に設定する ・暗号化方式 ・ネットワークキー ④WEBサーバに接続し、無線LANにつながることを確認する アクセスポイント設定情報 【SSID】 ucd2007 【暗号化】 無し 【キー】 無し
<実習>近くにアクセスポイントがあるか探そう アクセスポイント検出ツール 「 Network Stumbler 」 を使って、 近くにアクセスポイントがあるか探してみよう!
これからの無線LANについて IEEE802.11n 光ファイバ等の有線系ブロードバンドにそん色のない、 光ファイバ等の有線系ブロードバンドにそん色のない、 伝送速度(100Mbps以上)の高速無線LANの実現する国際標準規格。 使用周波数帯については、既存の無線LANと同じ。 2006年1月にドラフト策定され、2007年春に規格策定が行われる見込み。 この規格の策定を踏まえ、日本では100Mbps以上の伝送速度を実現する高速無線LANの導入のための技術基準を検討しており、 高速無線LANの早期導入や、ワイヤレスブロードバンド推進研究会(2005.12最終報告書)で検討 された次世代情報家電における 無線LANの利用ニーズへの対応を 目指している。 出展 http://www.soumu.go.jp/s-news/2006/060327_4.html
これからの無線LANについて WiMAX技術(Worldwide Interoperability for Microwave Access) 中距離無線LAN(WMAN)の業界標準を策定するWiMAX Allianceによって提案され、IEEE 802.16aで標準化作業が進んでいる技術である。 通常は、業界団体の名称をとって「WiMAX」と表記されている。 WiMAX第1世代の802.16a仕様では、30マイル(約48km)までの距離を最大70Mbits/sで結ぶことが想定されている。 この第1世代のWiMAXでは、基地局のアンテナと、各家庭やオフィスの屋外に設置されたアンテナ間での通信が中心である。 出展 http://www.atmarkit.co.jp/fsys/keyword/013radiotech/013radiotech02.html
参考資料・URL <参考資料> ・無線LAN&セキュリティ超入門:日経NETWORK編、日経BP社、2006 ・無線LANパニック:日経BPムック、日経BP社、2003 <参考URL> ・http://www2.elecom.co.jp/network/wireless-lan/security.html ・http://www.wimaxforum.org/home/ ・http://grouper.ieee.org/groups/802/16/index.html