Newsletter
ナビゲーション
 
ワイヤレスセキュリティ

ワイヤレスセキュリティ

- リスクを最小限に抑えましょう

ワイヤレスネットワークは、特に攻撃の対象になりやすいため、ワイヤレスを設置する際は真っ先にセキュリティについて考慮する必要があります。ハッカーは、自動車などを運転しながら悪用できるワイヤレス信号を探しています。主にフリーインターネットアクセスを狙っていることが多いのですが、たまにクレジットカード番号などの機密情報を探している者もいます。そして、ハッカーはワイヤレスネットワークを見つけると、インターネット上にそのネットワークのGPS座標を投稿、悪用します。

ワイヤレスネットワークに完全な安全性を求めることは難しいですが、リスクを最小化するために重要なステップがあります。
  • 信号の行先に注意する
  • ワイヤレスネットワークから有線ネットワークを分離する
  • 権限のないユーザをロックアウトするために暗号化する
  • セキュリティ計画を作り、実装する

信号の行先

ワイヤレス信号は、通常施設内に適用されますが、施設を超えることがよくあります。ワイヤレスネットワークにおいては、ハッカーはネットワークに物理的に接続する必要がありません。ネットワークの近くにいれば十分です。
802.11b ワイヤレス標準は、通常、90mの範囲をカバーすると言われています。90mは信頼できる範囲というだけのことで、アクセスポイントからずっと遠くても 802.11b 信号を拾うことができます。そのため、公共エリアの近くにワイヤレスネットワークを設置するときは、その信号の方向が大変重要になります。隣の建物や道の向こう側に停車中の車から電波を拾えるなら、セキュリティ上問題です。オフィスの隣のコーヒーショップに強いワイヤレス信号を送っていれば、誰かがネットワークを利用できる可能性があるということです。
ワイヤレスアナライザは、アクセスポイントが信号をどこに送信しているかを正確に位置表示することができます。公共エリアでの信号を最小化し、ユーザへの信号を最大化するために、ネットワーク内のアクセスポイントを適切に設置します。ワイヤレスアナライザはネットワークに接続されている認証されていないワイヤレスアクセスポイントだけでなく、エリア内の他のワイヤレスネットワークも見つけることができます。

有線からワイヤレスを分離して、セキュリティを向上

有線ネットワークからワイヤレスネットワークを分離し、高いセキュリティを必要とするアプリケーションを有線側で維持することで、セキュリティのレイヤを追加します。

機密データは有線ネットワーク上でのみ保管
有線ネットワークからワイヤレスを分離したら、セキュアであるべきものはすべて有線ネットワーク上で管理するよう徹底します。これには、クレジットカード番号や重要な財務データ、あらゆる種類の企業情報などの機密データが含まれます。
会議でメモを取るためのノートPC やパートタイム用のパソコン、展示会のブースで使うコンピュータ、在庫管理用のバーコードリーダーといった、さほどセンシティブでない活用であれば、自由にワイヤレスネットワークを使うことができます。

スイッチを使って、ワイヤレスアクセスポイントに接続しましょう
ワイヤレスセキュリティに重要なステップは、ワイヤレスアクセスポイントをハブではなく、スイッチに接続することです。アクセスポイントに接続されたハブは、そのアクセスポイント上で受信したすべてのデータを、接続されているすべてのデバイスに配信します。しかし、スイッチは、それ自身が LAN セグメント上にある各ポートから分離しているので、アクセスポイントにワイヤレスノードに向けられたデータのみを配信します。

ファイアウォールの DMZ ポートに接続された別のLANを使用
ワイヤレスネットワークを分離するもう一つの方法は、ファイアウォールの DMZ ポートに接続された別の LAN にアクセスポイントを集めることです。これにより、メインの有線 LAN の外でも安全にワイヤレスネットワークにアクセスできるようになります。ハードウェアとソフトウェアのファイアウォールシステムは、有線とワイヤレスネットワークのデータの流れを制御します。ハッカーの広い活動範囲を遮断、分析、そして活動を止めるために、ファイアウォールを使用します。

VPN を使用
もう一つのセキュリティオプションは、有線とワイヤレスの両方のネットワークで動作する仮想プライベートネットワーク(VPN)を使うことです。VPN は、インターネット上で転送される情報のセキュリティを強化して、リモートアクセスユーザを保護します。VPN は、アクセスポイントやインターネット、企業のサーバに接続するすべてのルートを通して、エンドユーザのコンピュータからプライベートで暗号化された「トンネル」を作成することで動作します。ほとんどのITは、それをロックします。
いずれのワイヤレス信号も、どんなに複雑に暗号化されていても、最終的には破られてしまいます。暗号化は完璧ではないですが、ハッカーに長い時間を掛けさせることで、侵入を諦めさせることになります。要は、ネットワークの侵入を難しくすることが重要です。

注意を払い、リスク対策に比重を

他のネットワークもそうですが、ワイヤレスネットワークでは、セキュリティ計画を作り、実装することが重要です。ワイヤレスセキュリティの最大の問題は、ネットワーク管理者が、セキュリティを確保するための最も単純な手順すら取らない、WPA や WPA2 を展開しない、デフォルトのパスワードやネットワーク名を変更しない、そしてアクセスポイントを安全な位置に設置していないことにあります。これらの基本的な予防策を取らないと、ハッキングに対してワイヤレスネットワークを非常に脆弱な状態に晒していることになります。

ワイヤレスを実装する価値があるかどうかを決定する際に、その利点に対するリスクを考察します。状況によっては、ワイヤレスの利便性がリスクを上回り、ワイヤレスネットワークが、機密情報の保持に十分に安全であると確信できます。利点がリスクを上回った例として、定期的に 802.11b 上でクレジットカード情報を送信している巨大テーマパークがあります。そこではワイヤレスによって、園内において販売拠点を迅速かつ容易に移動することができるようになりました。そのテーマパークがワイヤレスを安全に感じている理由は、物理的なセキュリティが敷地内とその周囲に張られ、ノートPCを持って園内を移動している人を簡単に特定できること、そして企業用に開発された独自の暗号化方式が設定されていることにあります。

セキュリティ技術のさまざまなタイプ

古いものから、新しいセキュリティ技術についての概要です。

WEP
現在の 802.11x イーサネット規格は、WEP(Wired Equivalent Privacy)と呼ばれるセキュリティプロトコルを含んでいます。WEP は、64ビットまたは128ビットの RCA キーによって生成された RSA RC4 暗号ストリームで各 802.11 パケットをそれぞれ分けて暗号化します。しかし、いくつかの暗号分析で、RC4 のキースケジューリングアルゴリズムの弱点が特定されたので、ハッカーに対してネットワークが脆弱になってしまいました。AirSnor などのソフトウェアツールが開発され、ハッカーが WEP を解読し、ワイヤレスネットワークへアクセスすることが可能なりました。これらのソフトウェアツールは、インターネット上で広く利用可能です。

WEP 暗号化は、詳しくないハッカーなら締め出しますが、高いセキュリティが要求される場合には十分ではありません。幸いなことに、WEP だけが唯一の暗号化方式ではなく、他にも利用可能なセキュリティプロトコルがより高いネットワーク層とトランスポート層で動作します。これらのプロトコルは、WEP よりも侵入が難しく、通常は認証機関(例えば X.509証明書などのデジタル証明書を発行し、証明書のデータ項目間の結合を保証する機関)が発行したデジタル証明書を信頼します。WEP もまた認証を提供しません。

EAP-TLS
拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)は、Secure Socket Layer(SSL)プロトコルの最新バージョンです。EAP-TLS は、ユーザとサーバの両方への認証とダイナミックセッションキーの生成のための X.509証明書を使用しています。EAP-TLS は、ユーザと認証サーバの両方に証明書が必要なため、攻撃に対し高い耐性があります。しかしこのプロトコルは、ユーザがネットワークアクセスする前に必ず、ユーザに認証を配布する必要があります。

EAP-TTLS
拡張認証プロトコル - トンネルドトランスポート層セキュリティ(EAP-TTLS)認証は二段階認証プロセスを使用し、ユーザ側の認証は不要です。EAP-TTLS は EAP-TLS を使って、サーバのアイデンティティを確立します。そこから、認証プロセスの第二段階において、PAP、CHAP、MS-CHAP、RADIUS(リモートアクセスダイヤルアップユーザサービス)といった他の認証プロトコルでユーザを認証します。EAP-TTLS は、ユーザに認証を配布することを要求しないので、EAP-TLS よりもはるかに利便性の高いプロトコルです。

Wi-Fi 保護アクセス(WPA)
WPA は、ワイヤレスセキュリティを強化するために2003年に導入され、WEP の脆弱性を増強します。WPA は、データの暗号化とユーザ認証を改善し、既存の WEP 認証製品用のソフトウェアがアップグレードできます。セキュリティソリューションはどれも絶対ではありませんが、WPA は、WEP をはるかに凌いで改良されています。また、WEP との下位互換性と 802.11i 規格と上位互換性を持つよう設計されました。

- TKIP(Temporal Key Integrity Protocol)を通した EAP
この WPA 強化対策は、WEP のデータ暗号化を改善します。WEP に、1)パケットごとのキー混合機能、2)メッセージ整合性コード(MIC)、3)キーのメカニズム、4)リプレイ攻撃を排除するIVシーケンシング規律 の4つのアルゴリズムを追加しています。
- エンタープライズレベル ユーザ認証
WEP のユーザ証明書を強化するため、WPA は、802.1x と EAP を使います。このフレームワークは、RADIUS などの中央認証サーバを使用して、ネットワーク上の各ユーザを認証します。WPA は自宅や企業ネットワークで利用可能です。
- WPA パーソナル
パスワードシステムを介して、不正なネットワークアクセスからガードする暗号化方式です。
- WPA エンタプライズ
より強力なネットワークセキュリティを持ち、サーバを通してユーザ検証します。また、128ビットの暗号化キーと動的セッションキーを採用して、セキュリティを強化しています。

Wi-Fi 保護アクセス2(WPA2)
WPA2 は、次世代のセキュリティです。2004年9月に導入され、WPA に基づいています。より強力なデータ保護とネットワークアクセス制御で、セキュリティを強化します。許可されたユーザのみがワイヤレスネットワークにアクセスできるよう、さらに高いレベルのセキュリティを持つよう設計されました。WPA と比べ、WPA2 は AES(Advanced Encryption Standard)と呼ばれる、より高度な暗号化を使用しています。WPA2 は、IEEE 802.11i 規格に基づいており、米国政府の FIPS 140-2セキュリティ要件に準拠しています。

WPA2 は、WPA と下位互換性があります。既に WPA を使用しているのであれば、いつでも WPA2 に移行することができます。

WPA2 パーソナルと WPA2 エンタープライズ: WPA2 には、2つのバージョンがあります。
- WPA2 パーソナル
WPA2 パーソナルは、自宅や SOHO のワイヤレスネットワーク用に設計されています。WPA2 の上に構築し、データをより強力に保護、パスフレーズを介して不正アクセスを防止します。
- WPA2 エンタープライズ
このシステムはまた、WPA よりも強力にデータを保護します。また、サーバを介してネットワークユーザを検証して、不正なネットワークアクセスを防止します。

Wi-Fi マルチメディア(WMM)
2004年9月に導入された、もう1つのセキュリティシステムです。消費者用家電や携帯電話などにワイヤレス機能を付加するために設計されました。WMM はワイヤレスネットワーク上で音声、ビデオ、音声アプリケーションを強化、改善します。IEEE 802.11e WLAN QoS ドラフト規格のサブセットに基づいています。WMM はコンテンツのストリームを優先し、ネットワークがどのように競合するアプリケーション間の帯域幅の割当てをするかを最適化します。

RADIUS
多くのワイヤレスセキュリティシステムのうち、もう1つの標準的な要素なのが、リモートアクセスダイヤルアップユーザーサービス(RADIUS)認証と承認です。RADIUS は、ユーザ名とパスワードを介して、承認されたユーザのみがネットワークへアクセスすることを許可します。アクセスが指定される前に、サーバがユーザを検証します。異なるレベルのアクセスも同様に設定可能です。

もっと知りたいときには、
ネットワークの設定構築にアドバイスが必要でしたら、テクニカルサポートにお問い合わせください。適切な機器の選択をサポートします。
ワイヤレスは、一時的で、かつ柔軟性が求められ、高いセキュリティを必要としないネットワークにお勧めです。

Share |