1 / 30

無線 LAN セキュリティの救世主       IEEE802.1 xについて

無線 LAN セキュリティの救世主       IEEE802.1 xについて. 環境情報 3 年 蟻川 朋未. はじめに. 無線LANの脆弱性 もはや従来のままでは対応できなくなっている → IEEE802.1x に注目. プレゼンテーション内容. 1.無線 LAN セキュリティの実状と IEEE802.1 x 2 . IEEE802.1x とは 3.実際の導入 4.まとめ. 1. 無線 LAN セキュリティの実状と IEEE802.1x. 1-1 .無線 LAN セキュリティの 実状 .

saburo
Download Presentation

無線 LAN セキュリティの救世主       IEEE802.1 xについて

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 無線LANセキュリティの救世主      IEEE802.1xについて無線LANセキュリティの救世主      IEEE802.1xについて 環境情報3年 蟻川 朋未

  2. はじめに • 無線LANの脆弱性 • もはや従来のままでは対応できなくなっている • →IEEE802.1xに注目

  3. プレゼンテーション内容 • 1.無線LANセキュリティの実状とIEEE802.1x • 2. IEEE802.1xとは • 3.実際の導入 • 4.まとめ

  4. 1. 無線LANセキュリティの実状とIEEE802.1x

  5. 1-1.無線LANセキュリティの 実状  • SSID(ESSID) • WEP(共通鍵) • MACアドレスフ ィルタリング

  6. 1-2.IEEE802.1xによる    セキュリティ強化 1-2.IEEE802.1xによる    セキュリティ強化 ・認証の厳密化 ・鍵配布

  7. 2.IEEE802.1xとは

  8. 2-1.IEEE802.1xの誕生 • 1998年 IEEE(米国電気電子技術者協会)で有線LAN向けの仕様として検討開始 • 2001年 仕様決定 • 2002年2月 公開 • 不正なLANアクセスを防ぎ、正規ユーザーだけにLANを使わせるための認証規格 →無線LANに適用

  9. 2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、ユーザーを認証 ・WEPでの通信を開始する前にユーザー名/パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能

  10. 鍵配布 • 認証時にWEPキーを端末に配布する。 • 一定時間たつと新しいWEPキーを再配布する • Air Snortなどの攻撃を防ぐことができる

  11. 2-3.IEEE802.1xを適用した認証シーケンス

  12. 3. 実際の導入

  13. 3-1.では導入してみよう 802.1x対応のアクセスポイントを  導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー(認証サーバー)の種類 ②認証方式 ③802.1x対応のクライアントソフト

  14. 3-1-1.RADIUSサーバーとは • RADIUS・・・ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル • アクセスサーバは、ユーザー利用者名とパスワードを、RADIUSプロトコルを使用してRADIUSサーバへ伝送し、ユーザー利用者として認証されれば接続を許可する仕組みである。

  15. ①RADIUSサーバーの種類 • 大きく三つに分けられる • Windows2000 Serverに標準で付属するRADIUSサーバー  「Internet Authentication Server(IAS)」 • 米Funk Software社の「Odyssey」 • アクセスポイント・ベンダーが販売しているRADIUSサーバー

  16. IASの場合 • アイコム、インテル、コンテックはIASとの連携動作だけを保証 • メリット  ・Windows2000Serverをすでに利用しているなら追加の費用がかからない。  ・マイクロソフトが無償でクライアントソフトを配布

  17. Odysseyの場合 • NECインフロンティア、エンテラシス・ネットワーク、富士通、プロキシムがサポート • IASとの連携動作も保証 • IASよりも多くのクライアントをサポート

  18. アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合 • NEC、シスコシステムズ、メルコ • シングル・ベンダーでシステムを構築する場合 • RADIUSサーバー、アクセスポイント、無線LANカード、とも自社製品の組み合わせでしか動作を保証しない

  19. RADIUSサーバ-の種類① • Enterpras ステラクラフト (TLS) • NavisRadius4.3 日本ルーセント • fullflex wireless アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート • AirStation Radius IEEE802.1x/EAP対応RADIUSサーバソフト メルコ • Capcella Radius ServerZAOnetworks (MD5、TLS)

  20. RADIUSサーバーの種類② • SecureACS シスコシステムズ株式会社 (LEAP、EAP-PEAP、EAP-TLS、EAP-MD5) • IAS Microsoft • Steel Belt RADIUS、OdysseyFunk社 • FreeRADIUSfreeradius.org

  21. 3-1-2.認証方式 • MD5-Challenge • TLS • PEAP • EAP-TTLS • LEAP

  22. MD5 • クライアント認証はMD5アルゴリズムを用いたパスワード方式 →簡単なパスワードだと破られる • サーバー認証を行わない →別のサーバーに変えられて盗聴されるという危険性

  23. TLS • SSLの後継 • デジタル証明書を用いたPKI(公開鍵暗号)による相互認証 • WEPキーの配布 • パケットの暗号化

  24. EAP-TTLS • 米FunkSoftware社による • TLS認証の後、RADIUSでのユーザー認証を実行する • デジタル証明書は用いない

  25. PEAP • Microsoft社による • TLS認証の後、EAP自体をカプセル化して安全性を高めた上で認証 • アクセスポイント間でのローミング機能がある

  26. 認証方式の比較

  27. 3-1-4.802.1xの導入

  28. 3-1-5. SFCでの導入 現状 • 機種:MELCO社 AIRCONNECTWLA-L11 • 規格:ARIB STD-T66/RCR STD-33IEEE802.11b準拠 • ESSID設定    学部→ 000000SFC 大学院 → 000000MAG • 無線チャンネル設定主に「10」を設定 • WEP設定なし

  29. SFCでの導入 • RADIUSサーバー:IAS • 認証方式:TTLS、PEAP、LEAP • SSIDのAnyアクセス拒否が可能なもの →富士通のFMWT-52AB プロキシムのORiNOCO AP-2000 ??

  30. 4.まとめ • 認証方式やRADIUSサーバーなど乱立しているので、自分の環境に合わせて導入方法を選択しよう。

More Related