300 likes | 540 Views
無線 LAN セキュリティの救世主 IEEE802.1 xについて. 環境情報 3 年 蟻川 朋未. はじめに. 無線LANの脆弱性 もはや従来のままでは対応できなくなっている → IEEE802.1x に注目. プレゼンテーション内容. 1.無線 LAN セキュリティの実状と IEEE802.1 x 2 . IEEE802.1x とは 3.実際の導入 4.まとめ. 1. 無線 LAN セキュリティの実状と IEEE802.1x. 1-1 .無線 LAN セキュリティの 実状 .
E N D
無線LANセキュリティの救世主 IEEE802.1xについて無線LANセキュリティの救世主 IEEE802.1xについて 環境情報3年 蟻川 朋未
はじめに • 無線LANの脆弱性 • もはや従来のままでは対応できなくなっている • →IEEE802.1xに注目
プレゼンテーション内容 • 1.無線LANセキュリティの実状とIEEE802.1x • 2. IEEE802.1xとは • 3.実際の導入 • 4.まとめ
1-1.無線LANセキュリティの 実状 • SSID(ESSID) • WEP(共通鍵) • MACアドレスフ ィルタリング
1-2.IEEE802.1xによる セキュリティ強化 1-2.IEEE802.1xによる セキュリティ強化 ・認証の厳密化 ・鍵配布
2-1.IEEE802.1xの誕生 • 1998年 IEEE(米国電気電子技術者協会)で有線LAN向けの仕様として検討開始 • 2001年 仕様決定 • 2002年2月 公開 • 不正なLANアクセスを防ぎ、正規ユーザーだけにLANを使わせるための認証規格 →無線LANに適用
2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、ユーザーを認証 ・WEPでの通信を開始する前にユーザー名/パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能
鍵配布 • 認証時にWEPキーを端末に配布する。 • 一定時間たつと新しいWEPキーを再配布する • Air Snortなどの攻撃を防ぐことができる
3-1.では導入してみよう 802.1x対応のアクセスポイントを 導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー(認証サーバー)の種類 ②認証方式 ③802.1x対応のクライアントソフト
3-1-1.RADIUSサーバーとは • RADIUS・・・ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル • アクセスサーバは、ユーザー利用者名とパスワードを、RADIUSプロトコルを使用してRADIUSサーバへ伝送し、ユーザー利用者として認証されれば接続を許可する仕組みである。
①RADIUSサーバーの種類 • 大きく三つに分けられる • Windows2000 Serverに標準で付属するRADIUSサーバー 「Internet Authentication Server(IAS)」 • 米Funk Software社の「Odyssey」 • アクセスポイント・ベンダーが販売しているRADIUSサーバー
IASの場合 • アイコム、インテル、コンテックはIASとの連携動作だけを保証 • メリット ・Windows2000Serverをすでに利用しているなら追加の費用がかからない。 ・マイクロソフトが無償でクライアントソフトを配布
Odysseyの場合 • NECインフロンティア、エンテラシス・ネットワーク、富士通、プロキシムがサポート • IASとの連携動作も保証 • IASよりも多くのクライアントをサポート
アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合 • NEC、シスコシステムズ、メルコ • シングル・ベンダーでシステムを構築する場合 • RADIUSサーバー、アクセスポイント、無線LANカード、とも自社製品の組み合わせでしか動作を保証しない
RADIUSサーバ-の種類① • Enterpras ステラクラフト (TLS) • NavisRadius4.3 日本ルーセント • fullflex wireless アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート • AirStation Radius IEEE802.1x/EAP対応RADIUSサーバソフト メルコ • Capcella Radius ServerZAOnetworks (MD5、TLS)
RADIUSサーバーの種類② • SecureACS シスコシステムズ株式会社 (LEAP、EAP-PEAP、EAP-TLS、EAP-MD5) • IAS Microsoft • Steel Belt RADIUS、OdysseyFunk社 • FreeRADIUSfreeradius.org
3-1-2.認証方式 • MD5-Challenge • TLS • PEAP • EAP-TTLS • LEAP
MD5 • クライアント認証はMD5アルゴリズムを用いたパスワード方式 →簡単なパスワードだと破られる • サーバー認証を行わない →別のサーバーに変えられて盗聴されるという危険性
TLS • SSLの後継 • デジタル証明書を用いたPKI(公開鍵暗号)による相互認証 • WEPキーの配布 • パケットの暗号化
EAP-TTLS • 米FunkSoftware社による • TLS認証の後、RADIUSでのユーザー認証を実行する • デジタル証明書は用いない
PEAP • Microsoft社による • TLS認証の後、EAP自体をカプセル化して安全性を高めた上で認証 • アクセスポイント間でのローミング機能がある
3-1-5. SFCでの導入 現状 • 機種:MELCO社 AIRCONNECTWLA-L11 • 規格:ARIB STD-T66/RCR STD-33IEEE802.11b準拠 • ESSID設定 学部→ 000000SFC 大学院 → 000000MAG • 無線チャンネル設定主に「10」を設定 • WEP設定なし
SFCでの導入 • RADIUSサーバー:IAS • 認証方式:TTLS、PEAP、LEAP • SSIDのAnyアクセス拒否が可能なもの →富士通のFMWT-52AB プロキシムのORiNOCO AP-2000 ??
4.まとめ • 認証方式やRADIUSサーバーなど乱立しているので、自分の環境に合わせて導入方法を選択しよう。