Carpe Diem

  Top > スポンサー広告> セキュリティ > 無線LANのセキュリティ【解説偏】  

スポンサーサイト

-- - --/-- [--] - --:--

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

無線LANのセキュリティ【解説偏】

2011 - 06/28 [Tue] - 14:22

一時期有線が届かない環境にいたために買った無線LAN親機&子機。
今はサーバ構築する上で非常に重要な役割を担っていますが、無線のセキュリティもそろそろちゃんと設定しようと。

主に無線で注意したいのは「認証(不正アクセス)」と「盗聴(データ傍受)」です。
暗号化が強固でも簡単に認証されれば意味がないし、認証が厳しくても簡単にデータを盗聴できるなら同じく無意味です。なので両方設定することが望ましいです。
この2つに注意すれば個人で持つ範囲なら特に問題ないかと思います。

◆盗聴に対して
まずこちらから。盗聴対策にはデータの暗号化を用います。
無線の暗号でよく目につくのは

WEP、RC4、WPA、WPA2、TKIP、AES


などだと思います。これは暗号強度によるもので、強さのイメージは

WEP < TKIP < AES
WPA(暫定版) ≒ WPA2(正式版)
WPA・・・WPA-TKIP、WPA-AES(オプション)
WPA2・・・WPA2-TKIP(オプション)、WPA2-AES


です。ちょっとおかしな書き方になってますが、多分こんな感じです。

まず1行目。これは一般的な暗号強さです。

WEP・・・即解析される。簡単に盗聴される。RC4暗号化。
TKIP・・・キーが動的なのでWEPよりは強い。けど時間をかければ解析できる。RC4暗号アルゴリズムを使用。
AES・・・現在最堅牢。専用のハードでなければ解析は無理。AES暗号アルゴリズムを使用。

です。WEPではいつも同じキー(静的)を暗号化していたものを、TKIPでは一定の間隔で(パケット毎に)違うキーに交換(動的)して暗号化しています。AESはTKIPの暗号アルゴリズムをRC4からAESにしたもの、と考えてください。
たまに見かける「AESにTKIPを組み合わせる」はTKIPにAES(暗号アルゴリズム)を使用したAES(規格)です。


次、2行目。
WPAとWPA2の違いですが、簡単に言うと前者がWEPの脆弱性に対処するため暫定的に出された規格、後者が正式版です。具体的には次の通り。

WPA・・・一般ではWPA=TKIP。しかしAESもサポート
WPA2・・・一般ではWPA2=AES。しかしTKIPもサポート

一般で言えばWPA=TKIP、WPA2=AESなので、そう考えると

WPA < WPA2

となるのですが、3、4行目にあるように、WPAにもAESがあるし、WPA2にもTKIPがオプションであります。
これですが、実は脆弱性で言えば

WPA-TKIP = WPA2-TKIP
WPA2-AES = WPA-AES


となってるのです。つまりWPAであれWPA2であれ、TKIPならTKIPの強さ、AESならAESの強さなわけです。
ただWPAとWPA2では規格として多少の変更があるので、暗号強さは同じであっても、規格としては

WPA-TKIP ≠ WPA2-TKIP
WPA2-AES ≠ WPA-AES

となります。主な規格の変更点はソースの方を確認してください。

なので選ぶなら

WPA2-AES、WPA-AES、WPA2-TKIP、WPA-TKIP、WEP

の順がいいです。WPA2を優先するのはこちらが正式版であるからです。強度的には変わらないです。
ただデメリットもあって、AESはハードウェアの処理能力に依存するため、対応してないものもあります。PSPとか。


とりあえず盗聴対策は以上。

ソース:
WPAとWPA2のAES,TKIPについて
WPA の脆弱性の報告に関する分析



◆認証
認証対策の方法としては次の2通りがメインで、

・Any接続拒否
・Macアドレスフィルタリング


Any接続は、無線子機が近くの無線電波を拾ってきますが、これはSSIDの設定がAnyになっているからです。
Any接続拒否は、このAny設定している子機からは接続できない(親機が見えない?)ようにする設定です。

Macアドレスフィルタリングは、ルータ側でMacアドレス(マシンに固有のアドレス)を登録したPCしか接続出来なくする方法です。たとえSSIDとパスが分かっても、そもそも登録されてないことで接続できなくなります。


ただしこれらの両方とも、パケットを解析されればクラッカーさんには攻略出来てしまうので、やはり前半の暗号化が必須です。じゃあ暗号化だけで良くないか?と思う人もいますが、世の中ソーシャルハックや流出が絶えないのでそういった面を考えれば対策すべきかなぁと。まぁ半分自己満足で。


なのでクラッカー対策で暗号化その他対策で認証対策、といったところでしょうか。

次回はルータでの設定です。

コメントの投稿





管理者にだけ表示を許可する

 | ホーム | 

プロフィール

Cicatrice

Author:Cicatrice
備忘録

検索フォーム

カテゴリ

最新記事

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。