無線LANセキュリティの救世主 IEEE802.1ｘについて

Presentation on theme: "無線LANセキュリティの救世主 IEEE802.1ｘについて"— Presentation transcript:

1 無線LANセキュリティの救世主 IEEE802.1ｘについて
環境情報3年 蟻川　朋未

2 はじめに 無線ＬＡＮの脆弱性 もはや従来のままでは対応できなくなっている →IEEE802.1xに注目

3 プレゼンテーション内容 １．無線LANセキュリティの実状とIEEE802.1ｘ ２. IEEE802.1xとは ３．実際の導入 ４．まとめ

4 1. 無線LANセキュリティの実状とIEEE802.1x

5 1-1．無線LANセキュリティの 実状　 SSID（ESSID） WEP（共通鍵） MACアドレスフ ィルタリング

6 1-2．IEEE802.1xによる 　　　　セキュリティ強化 ・認証の厳密化 ・鍵配布

7 2.　IEEE802.1xとは

8 2-1.IEEE802.1xの誕生 1998年 IEEE（米国電気電子技術者協会）で有線LAN向けの仕様として検討開始 2001年 仕様決定
2001年　仕様決定 2002年2月　公開 不正なLANアクセスを防ぎ、正規ユーザーだけにLANを使わせるための認証規格 →無線LANに適用

9 2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、ユーザーを認証
・WEPでの通信を開始する前にユーザー名/パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能

10 鍵配布 認証時にWEPキーを端末に配布する。 一定時間たつと新しいWEPキーを再配布する Air Snortなどの攻撃を防ぐことができる

11 2-3.IEEE802.1xを適用した認証シーケンス                                                                                                                                                                                                             

12 3.　実際の導入

13 3-1.では導入してみよう 802.1ｘ対応のアクセスポイントを 導入する場合、これらをチェックすること
　802.1ｘ対応のアクセスポイントを 　導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー（認証サーバー）の種類 ②認証方式 ③802.1x対応のクライアントソフト

14 3-1-1.RADIUSサーバーとは RADIUS・・・ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル

15 ①RADIUSサーバーの種類 大きく三つに分けられる Windows2000 Serverに標準で付属するRADIUSサーバー
　「Internet Authentication Server(IAS)」 米Funk Software社の「Odyssey」 アクセスポイント・ベンダーが販売しているRADIUSサーバー

16 IASの場合 アイコム、インテル、コンテックはIASとの連携動作だけを保証 メリット
　・Windows2000Serverをすでに利用しているなら追加の費用がかからない。 　・マイクロソフトが無償でクライアントソフトを配布

17 Odysseyの場合 NECインフロンティア、エンテラシス・ネットワーク、富士通、プロキシムがサポート IASとの連携動作も保証

18 アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合
NEC、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築する場合 RADIUSサーバー、アクセスポイント、無線LANカード、とも自社製品の組み合わせでしか動作を保証しない

19 RADIUSサーバ－の種類① Enterpras ステラクラフト （TLS） NavisRadius4.3 日本ルーセント
fullflex wireless　アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP対応RADIUSサーバソフト　メルコ Capcella Radius Server　ZAOnetworks （MD5、TLS）

20 RADIUSサーバーの種類② SecureACS シスコシステムズ株式会社 （LEAP、EAP-PEAP、EAP-TLS、EAP-MD5）
IAS Microsoft Steel Belt RADIUS、Odyssey　Funk社 FreeRADIUS　freeradius.org　

21 3-1-2.認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP

22 MD5 クライアント認証はMD５アルゴリズムを用いたパスワード方式 →簡単なパスワードだと破られる サーバー認証を行わない
→別のサーバーに変えられて盗聴されるという危険性

23 TLS SSLの後継 デジタル証明書を用いたPKI（公開鍵暗号）による相互認証 WEPキーの配布 パケットの暗号化

24 EAP-TTLS 米FunkSoftware社による TLS認証の後、RADIUSでのユーザー認証を実行する デジタル証明書は用いない

25 PEAP Microsoft社による TLS認証の後、EAP自体をカプセル化して安全性を高めた上で認証
アクセスポイント間でのローミング機能がある

26 認証方式の比較

27 xの導入                                                                                                                                             

28 3-1-5. ＳＦＣでの導入 現状 機種：MELCO社 AIRCONNECTWLA-L11
規格：ARIB STD-T66/RCR STD-33　　　　　　　　IEEE802.11b準拠 ESSID設定　 　　学部→ SFC　大学院 → MAG 無線チャンネル設定　主に「10」を設定 WEP設定　なし

29 SFCでの導入 RADIUSサーバー：IAS 認証方式：TTLS、PEAP、LEAP SSIDのAnyアクセス拒否が可能なもの
→富士通のFMWT-52AB 　プロキシムのORiNOCO AP-2000 ??

30 4.まとめ 認証方式やRADIUSサーバーなど乱立しているので、自分の環境に合わせて導入方法を選択しよう。