無線LANセキュリティの救世主 IEEE802.1xについて 環境情報3年 蟻川 朋未
はじめに 無線LANの脆弱性 もはや従来のままでは対応できなくなっている →IEEE802.1xに注目
プレゼンテーション内容 1.無線LANセキュリティの実状とIEEE802.1x 2. IEEE802.1xとは 3.実際の導入 4.まとめ
1. 無線LANセキュリティの実状とIEEE802.1x
1-1.無線LANセキュリティの 実状 SSID(ESSID) WEP(共通鍵) MACアドレスフ ィルタリング
1-2.IEEE802.1xによる セキュリティ強化 ・認証の厳密化 ・鍵配布
2. IEEE802.1xとは
2-1.IEEE802.1xの誕生 1998年 IEEE(米国電気電子技術者協会)で有線LAN向けの仕様として検討開始 2001年 仕様決定 2001年 仕様決定 2002年2月 公開 不正なLANアクセスを防ぎ、正規ユーザーだけにLANを使わせるための認証規格 →無線LANに適用
2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、ユーザーを認証 ・WEPでの通信を開始する前にユーザー名/パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能
鍵配布 認証時にWEPキーを端末に配布する。 一定時間たつと新しいWEPキーを再配布する Air Snortなどの攻撃を防ぐことができる
2-3.IEEE802.1xを適用した認証シーケンス
3. 実際の導入
3-1.では導入してみよう 802.1x対応のアクセスポイントを 導入する場合、これらをチェックすること 802.1x対応のアクセスポイントを 導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー(認証サーバー)の種類 ②認証方式 ③802.1x対応のクライアントソフト
3-1-1.RADIUSサーバーとは RADIUS・・・ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル
①RADIUSサーバーの種類 大きく三つに分けられる Windows2000 Serverに標準で付属するRADIUSサーバー 「Internet Authentication Server(IAS)」 米Funk Software社の「Odyssey」 アクセスポイント・ベンダーが販売しているRADIUSサーバー
IASの場合 アイコム、インテル、コンテックはIASとの連携動作だけを保証 メリット ・Windows2000Serverをすでに利用しているなら追加の費用がかからない。 ・マイクロソフトが無償でクライアントソフトを配布
Odysseyの場合 NECインフロンティア、エンテラシス・ネットワーク、富士通、プロキシムがサポート IASとの連携動作も保証
アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合 NEC、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築する場合 RADIUSサーバー、アクセスポイント、無線LANカード、とも自社製品の組み合わせでしか動作を保証しない
RADIUSサーバ-の種類① Enterpras ステラクラフト (TLS) NavisRadius4.3 日本ルーセント fullflex wireless アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP対応RADIUSサーバソフト メルコ Capcella Radius Server ZAOnetworks (MD5、TLS)
RADIUSサーバーの種類② SecureACS シスコシステムズ株式会社 (LEAP、EAP-PEAP、EAP-TLS、EAP-MD5) IAS Microsoft Steel Belt RADIUS、Odyssey Funk社 FreeRADIUS freeradius.org
3-1-2.認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP
MD5 クライアント認証はMD5アルゴリズムを用いたパスワード方式 →簡単なパスワードだと破られる サーバー認証を行わない →別のサーバーに変えられて盗聴されるという危険性
TLS SSLの後継 デジタル証明書を用いたPKI(公開鍵暗号)による相互認証 WEPキーの配布 パケットの暗号化
EAP-TTLS 米FunkSoftware社による TLS認証の後、RADIUSでのユーザー認証を実行する デジタル証明書は用いない
PEAP Microsoft社による TLS認証の後、EAP自体をカプセル化して安全性を高めた上で認証 アクセスポイント間でのローミング機能がある
認証方式の比較
3-1-4.802.1xの導入
3-1-5. SFCでの導入 現状 機種:MELCO社 AIRCONNECTWLA-L11 規格:ARIB STD-T66/RCR STD-33 IEEE802.11b準拠 ESSID設定 学部→ 000000SFC 大学院 → 000000MAG 無線チャンネル設定 主に「10」を設定 WEP設定 なし
SFCでの導入 RADIUSサーバー:IAS 認証方式:TTLS、PEAP、LEAP SSIDのAnyアクセス拒否が可能なもの →富士通のFMWT-52AB プロキシムのORiNOCO AP-2000 ??
4.まとめ 認証方式やRADIUSサーバーなど乱立しているので、自分の環境に合わせて導入方法を選択しよう。