秋葉原の無線LANセキュリティは「低」 50
ストーリー by Oliver
WEPでも不十分 部門より
WEPでも不十分 部門より
hmr曰く、" 秋葉原にてiBook片手にMacStumblerという無線LANの電波を見つけては詳細情報を表示するツールを動かしながら、ZOAの前からLAOXまで歩いてみました。
その間に捕まえた無線LANアクセスポイントは27台あったのですが、驚くことにWEPによる暗号化をしていたのは半数以下の12台でした。さらに「My Network」とか「Default」という感じで、SSIDを初期状態から変更していないとおもわれるものが3つありました。ついでにパスワードとSSIDが同じところも散見されました。次に場所を移して新宿南口でも試してみましたが、こちらではほとんどがWEPによる暗号化がかかっていました。
無線LANの導入なんて秋葉原あたりのショップや企業にとっては朝飯前と思いきや、知識が生半可なせいでしょうか、セキュリティが不十分なところが多いようです(なかにはわざと開放しているところもあるのでしょうが)。"
いますぐチェックしよう、自分の無線LANも。
秋葉原で無線LANはセキュリティ「高」 (スコア:2, おもしろおかしい)
鍵一個でも盗まれる可能性は低い。
逆に鍵を二個つけているチャリばかりだと、
鍵一個では盗まれる可能性は高い。
Re:秋葉原で無線LANはセキュリティ「高」 (スコア:1)
---アレゲの道は一日にしてならずぢゃ---
Re:秋葉原で無線LANはセキュリティ「高」 (スコア:0)
ハニーポット (スコア:2, 興味深い)
って時代がくるのかも。いや、きてるのかも。
Re:ハニーポット (スコア:1)
Re:ハニーポット (スコア:2, 参考になる)
Re:ハニーポット (スコア:0)
Re:ハニーポット (スコア:1)
で、その先は? (スコア:2, 興味深い)
-----
予断:
手元で使ってる無線LANは、MACアドレス制限して128bitWEPだったりしてESSIDとかパスワードとかも一応つけて、その上でVPNして利用しているけど、それでも心配は心配。
Re:で、その先は? (スコア:1)
その機械が他のネットワークにつながってなくて
売るときにちゃんとHDDフォーマットしてれば
被害に合うのはこうやって調査している人だけなのでは。。。
wild wild computing
CNNのニュースで (スコア:2, すばらしい洞察)
それに、他の書き込みにもあるけど「故意に」公開していて、「どうぞ使ってください」とやっているところもあるかと思いますよ。自社で使うのとはセグメントを分けるとか、ネットにつながっている回線そのものを分けるとか、そういうセキュリティの取り方はあるわけですから。
公開についてのポリシーや、別のセキュリティ確保の方法を使っていて、こういうやりかたもあるよね、ということを無視して「(E)SSIDを設定してない」「WEP暗号化設定してない」「MACアドレス認証してない」というところだけを見て「あんたのところのセキュリティはなってない」とか言うのはあまりに近視眼的と思うけど。
Re:CNNのニュースで (スコア:1)
「店頭デモ機などで使用している無線 LAN」が切り分けてないので
確かに断言は出来ない訳ですが・・・
無線LANによるアカウント開放を取り締まる動き [zdnet.co.jp]なんて報道も
既にある訳ですし,「故意に」公開する事の危険性だってあるのですから
「セキュリティがなってない」と言われるのもある程度はやむを得ないかも。
Re:CNNのニュースで (スコア:1, 興味深い)
件の記事で問題になっているのは帯域の共有なんであって、
無線LANの公開ではないだろ?
もちろんプロバイダによる見解の相違があるのは当たり前で、
プロバイダがOKしているならば、好意でアクセスポイントを
開放することが悪し様に言われる筋合いはないと思うがどうか。
ウィルスをばら撒くことなんか別に公開無線LANがなくたって
現状でもいくらだってできているわけで、AP公開をすることを
責めるのは筋違いではないか?
#すでに言い古されている見解だがあえて言わせてもらうのでAC
意識して公開はありです (スコア:0)
1.サイトのポリシーによる
2.サイトに接続されているプロバイダはサイト管理者と合意する。
あるいは黙認、というのもあり。
ということに尽きると思います。「故意に公開してはいけない」ということはありませんし、上記のZdnetの記事でもそう書いてはありませんよね。現に、世界中で意識的に解放されている無線LANによるネット接続サイトは増えていますし、インターネットのもとも
会社のものであったとしても (スコア:0)
だから「会社などで利用している無線LAN」と「店頭デモ機などで使用している無線LAN」の切り分けさえ、無意味かも知れませんよ。
MACアドレスにしてもWEPにしても既にspoofingとかなんとか、いろいろな方法で偽装や破りが既に可能ですから、すごいお金になる情報を持っている、と目をつけられたところが無線LANを使っている、というそのこと自体、既にセキュリティ
Re:会社のものであったとしても (スコア:1)
確かに無線LANのWEPにしても10分もあれば破れるとかの議論を小耳にはさんだことがあるので, 私は無線LANのセキュリティなんて最初から無い物として考えています. そうすると無線LANのセキュリティ設定なんてやるだけ無駄. 無駄だから設定しないという考え方も有りかもしれませんね.
ちなみに自宅に導入予定の無線LANの設計は, サーバ-アクセスポイント間は専用インターフェイスにクロスケーブルでPtoP接続とし, インターフェイスについてはパケットフィルタリングでssh接続のみ許可. これでssh経由でDNS, HTTP proxy, mailの各サーバの口をポートマッピングを使ってクライアント側に開けるように考えています.
フリースポット運動 (スコア:2, 興味深い)
いくらでも好きにつかってもらっていいですよ、
自分も出先で好きに使いたいですからね、
という、フリースポット運動を展開してしまいましょう。
もし拡がりを見せてしまったとしても、逆に
無線アクセス利用者のパイが拡がることと、
セキュアな環境への需要が発生することで、
もしかするとホットスポットなどの
無線ANビジネスには結構波及効果が出たりして。
そんな話どっかにあったかな?
まあ、自分の設置したネットワークに
他者が好きに入り込む、なんてことを
真正面から見たら普通正気ではいられないとは
思いますが、そんなことやってるひとが
いてもいいと思う。
- Ryuzi Kambe -
Re:フリースポット運動 (スコア:1)
ただ、こうした「自家製FreeSpot」はいずれも「何がしかのプロバイダ」を経由してThe Internetへ出て行くわけで、不特定多数のユーザへこの接続を開放した際にプロバイダとの契約上での問題が発生しないかどうか、ちょっと疑問です。
# IBMやMelcoが販売しているFreeSpot構築キットでは、その辺をきちんとクリアしているのでしょうか?
実は (スコア:0)
後続のために (スコア:1)
逆探 (スコア:1)
いや、MACアド制御の所に勝手にリストアップされてくだけなんだけどね。
Re:逆探 (スコア:0)
Re:逆探 (スコア:0)
ユーティリティで書き換え可能な NIC もあるよ。
HP と合併した某社のマシンとか。
ってか、以前5台同時期に購入した PC のうち2台が同じ MAC アドレスになっていてサポートに電話したらツールで書き換えろって返事が帰ってきた。
Re:逆探 (スコア:1)
もちろん、そのNICはユーティリティーでMAC書き換えもできます。
#悪用防止のためNICのメーカー及び名前は特に秘す
MACアドレス書き換えできるWS (スコア:1)
ファイルに、NICのスロットとMACアドレスとを書いておけばOK!!という
風だった覚えが。。。
# ちゃんとマニュアルに、MACアドレスの番号の振り方の説明が書いてありました。
# 前半分がベンダーコードで指定したコードにして、後ろ半分は好きにして、みたいな
# 感じだった記憶が。。。
Re:逆探 (スコア:1)
たいていの場合EEPROMにMACアドレス持ってて、工場出荷時にそれぞれユニークなアドレスを書き込んでるだけ。
そのユーティリティをユーザにまで公開するかどうかはベンダ次第ですが。
Linuxカーネルでも、ネットワークドライバにNICのMACアドレスを変更させるdev->set_mac_addressというファンクションが用意されてますので、対応しているドライバも結構あるかと・・・
Re:逆探 (スコア:0)
わざわざ説明しちゃうところなんか、かなりお寒いですな。:-(
>ってか、以前5台同時期に購入した
新規購入したNICのMACアドレスが同じだったってこと?
そんなことあるんですか?
Re:逆探 (スコア:1)
MACアドレス書換え可能なLANアダプタは, 現在では主にサーバのフェイルオーバ用途で使われています. つまり別のマシンに切り替わった際にスイッチ等の様にMACアドレスを使って制御を行っている機器での内部テーブル書換えオーバヘッドを無くすのが目的となります.
また, 大規模な組織のIPネットワークではIPアドレスの重複登録を防ぐためにIPアドレスとMACアドレスの対応を管理している場合が有り, このような場合にアダプタを交換する際にMACアドレスを元のアダプタの値に合わせるという使い方もあります.
いずれにせよ, かなり規模の大きなネットワークでのみ必要となる機能なので, コンシューマ向けの様なアダプタではまず実装されることはありません.
Re:逆探 (スコア:1)
鵜呑みにしてみる?
Re:逆探 (スコア:1)
手元にあるのは WLAR-L11-L という型番のものですが、恐らく
同社の同シリーズ製品は全てその機能を装備していると思われます。
Re:逆探 (スコア:0)
説明しないとおこちゃまにはわかんないでしょ?
「文句を言うんだったらなぜそのような事が言えるのかちゃんと説明しろ」
とか言われちゃうし。
ま、別に文句じゃないけどね。
> 新規購入したNICのMACアドレスが同じだったってこと?
>
Re:逆探 (スコア:0)
# わかる人にはわかる
MAC アドレス書き換えられないと DECnet につなげません……
Re:逆探 (スコア:0)
漏れなら間違いなく返品ものだな。
それはもしや無線LANではなくて (スコア:1)
あまり面白くないな・・・
(´д`;)
Re:それはもしや無線LANではなくて (スコア:0)
実際に「無銭LAN」だし。
公衆無線LANに何のセキュリティ? (スコア:1)
純粋に疑問なのですが, 無線で繋いだ先が開けっぴろげになっている公衆無線LANでセキュリティを期待することが必要なのでしょうか? そもそも誰でも繋げられるというのが公衆無線LANだと思うので, セキュリティが必要ならend to endでトンネルを掘るのが当然の様な気がするのですが.
よく無線LANのセキュリティが脆弱ということで問題になるのは, 繋げた先のネットワークがセキュアであっても, 無線LANの所から外部に漏れてしまうということだと認識していたのですが.
それとも無線LANのアクセスポイント自体のセキュリティがかかっていなくて, アクセスポイントが乗っ取られる・攻撃のための踏み台にされるということでしょうか?
Re:公衆無線LANに何のセキュリティ? (スコア:1)
#社内・店内 LAN が外部から丸見えという状態ですね
それに公衆無線LANであったとしても本当に Anonymous でサービスを提供してしまったら、悪意のあるユーザの踏台にされてしまう可能性が大きいので、いずれにせよ何らかの認証を用いた方が良いような気がします。
追調査したのですね (スコア:1)
知り合いの家でも無線LANを導入したそうですが、やはりセキュリティまではあまり手が回らないようですね。
やべー (スコア:1)
いや、とりあえずWEPはかけてますがねー
#微妙にネットワーク管理者なんでAC
Re:やべー(オフトピ (スコア:1)
ACになってなかったよ(T_T
Re:やべー(オフトピ (スコア:1)
自分もとある企業*2のネットワーク管理者で、無線LANを設置しました。
一応、MACアドレス制限+WEP暗号化設定にて運用してます。
高層ビルの一室なので外で拾われる事もまず無いのですが一応。。
社内向けというワケではなく、フリーAPとして利用するポリシーなら公開もOKだと思いますヨ。
うまく使うと、ある意味最強の匿名接続になりますし。
どこぞの人が出会い系サイトを利用するのに垂れ流し無線を拾って使っていた
というハナシも聞きましたが、これもまた時代なんでしょうね(笑)
Re:やべー(オフトピ (スコア:1)
> 高層ビルの一室なので外で拾われる事もまず無い
という言い訳をよく聞くのだけど、上下のフロアとか考えなくて
いいのかな。
オフィス全体が電波暗室になってるならともかく、設置場所は
なんの関係も無いですよね。
wild wild computing
Re:やべー(オフトピ (スコア:1, おもしろおかしい)
(窓の外をノートパソコンを持った人が通りすぎる)
A「お、いーなあれ。最新機種だな」
B「ああ、無線LAN搭載だろ……そういやうち、無線LAN入ってたっけ」
A「入ってるよ。設定いーかげんだけど」
B「暗号化とかは?」
A「高層ビルの中だし、まず拾えないだろうと思ってサボった」
B「わははは、勝手にLAN使われてたりしてな。ま、いっか」
C「よくねえよ。ここ55階だろ?」
A・B「……え?」
# 恐いのでAC
Re:やべー(オフトピ (スコア:1)
>という言い訳をよく聞くのだけど、上下のフロアとか考えなくて
>いいのかな。
高出力なものだと階下でも届きますが、自分のトコで入れているのは
安いものなので出力が強くありません。
ちなみに私は設置した際に、ノートパソコン持って階上・階下を
歩き回って接続できない事は確認済みですよ~
というより、電波届かないし(笑)
予算の無い自分の部署に乾杯!(涙)
商人と技術者 (スコア:1)
売るためにハードウェアのカタログスペックには詳しくても
システム全体のセキュリティに詳しいかどうかはまた別だし。
--------------------
/* SHADOWFIRE */
Re:商人と技術者 (スコア:1)
というくらい詳しい人がたまにいますが、
平均して考えれば
ネットワークの設定とか詳しかったら、
店員ではない職場にいると思います。
WEPって本当に必要? (スコア:1, すばらしい洞察)
赤の他人が無線LANに接続することが防げるし、
無線LAN上での全ての接続を ssh を通した tunnel とか IPSec にすれば
WEPなんて使わなくても関係ないんじゃない?
というか、WEPかけるとパフォーマンスが異常に悪くなるので
はっきり言って嫌いです。
遅いだけで簡単に解けてしまう暗号なら使わないで、より強度な暗号
(IPSecとかssh tunnelとか)を使う方がいいです。
Re:WEPって本当に必要? (スコア:0)
MACアドレスフィルタリングを設定すると正しく設定しても
リンクしなかったので、泣く泣く…。
#ある意味最強のセキュリティーだ。