無線LANのセキュリティガイドライン-JEITA 24
ストーリー by wakatono
やっと動きが活性化 部門より
やっと動きが活性化 部門より
nekopon 曰く、 "日経の報道によると、経済産業省は6日、 無線LANのセキュリティ基準を策定したとある。これ、実体はJEITAによる無線LANのセキュリティに関するガイドラインのことのようだ (リリース文)。 内容はおおざっぱに
- 無線LANの危険性を啓発するのはメーカの責任
- 実際にセキュリティを保つべきはユーザの責任
……といったところ。数日前の 無線LAN傍受の違法化?と併せ、政府といえども無線LANの利便性と危険性に気づいてきたのかな、と思う。
え、単なる縄張り争いだって? それは言わない約束でひとつ……"
普通の家庭で使用するなら (スコア:3, 参考になる)
・SSIDを設定する(ただし、場所を類推されない名前をつけること)
・WEPを設定する(128ビット、16進数で入力)
・クライアントのMACアドレスによるアクセス制限
現状ではこの程度やっておけば、まず問題ないと思います。
AirSnort [shmoo.com]で128ビットWEPキーを解析するよりも、
ソーシャルエンジニアリングのほうが現実的のような気がします…。
そう考えると、
・アクセスポイント自体にパスワードを設定する
のほうが重要かもしれません。内部からブラウザで設定情報を
読み上げてもらうようなソーシャルエンジニアリングは、これで防げますので。
Re:普通の家庭で使用するなら (スコア:2, 参考になる)
>・WEPを設定する(128ビット、16進数で入力)
>・クライアントのMACアドレスによるアクセス制限
>
>現状ではこの程度やっておけば、まず問題ないと思います。
私も128bitの解読可能性から考えて、収集しなければならないパケット数
等と考え合わせてそれでも良いと思っていましたが、現状、11a/gでは
WPAのTKIPやAESを使わない限り、従来の1/5の時間でパケット収集ができて
しまうことや、11g/aユーザでAV機器やストリームを流す人たちが増えつつ
あることを考えると、あまり安穏にしていられないのではないかと思う
ようになりつつあります。
#技術の進歩とのおっかけっこですよね。
なので、11g/a製品を買われている人は、WPA対応/AES対応ファームが出たら
速やかに、確実にファームのバージョンアップが必要だと思います。
-- ----- Kensuke Nezu, Samba Users Group Japan
メーカーやプロバイダは大変だと思う。 (スコア:2, すばらしい洞察)
「あの製品は難しい」という評判になって売り上げを落としたり、サポートコストを上昇させない為に、簡単にせざるを得ない訳です。
Yahoo!BBの無線LANパックなんかはデフォルトは全ユーザ共通のESSIDでWEP無しなので、つなぎ放題なんですよね。しかも設定の変更は有線LANでやらないといけないので、有線のインターフェースを持っていなくて無線LANパック付属の無線LANカードでしかアクセス手段が無い人はいつまで経っても穴だらけのデフォルト状態です。
これもデフォルトでWEPを設定してしまうと只でさえサポートの電話が繋がらなくて大変なのに、もっと大変な事になってしまうんでしょう。
じゃあどうすれば?って結論はありません。すみません。
Re:メーカーやプロバイダは大変だと思う。 (スコア:0)
「デフォルトを厳しくしておくべき」というのは、デフォルトから変えないユーザがいるからこそ言われてる意見ですが、ギチギチにしてても、全製品で同じSSID/WEPキーなら、メーカー/製品がわかってしまえばSSIDもWEPキーもわかってしまうので意味が無い。
それに、「WEP無しはヤバイよな」程度には知識がある人でも、デフォルトでWEPがかかってたらそのまま使ってしまう可能性もある。そうなると全製品で同じWEPキーなら余計に危険になってしまう(
WEPも駄目駄目 (スコア:2, 参考になる)
みたいなものようですね、なにしろWEPの鍵が平文で送られる仕組みだとか
おいらも家で無線LANを使っていますが、先日ログを調べていたら見知らぬMACアドレスが6件も
有りましたのでこまめなログチェックと、重要な内容は有線LANを使うようにしました
Re:WEPも駄目駄目 (スコア:0)
# ミスリードしそうなので念のため。
さらに詳しくはWEPに何があったのか? [ibm.com]あたりでも。
ま、どっちにしろダメダメです:p
MACアドレス制限も駄目駄目 (スコア:0)
参考:
http://www.klcconsulting.net/Change_MAC_w2k.htm
まだたくさんあるけどこんなところで勘弁してね。
Re:MACアドレス制限も駄目駄目 (スコア:0)
passwordクラックみたいなものではないかと。
かける鍵(完璧ではないにしてもそれなりなモノ)は多い方がいいってことでしょ。
Re:MACアドレス制限も駄目駄目 (スコア:0)
> passwordクラックみたいなものではないかと。
パケット解析すれば,ヘッダーに含まれてるでしょ?
WEPがわかってればMACアドレスはすぐに分かると思います.
Re:MACアドレス制限も駄目駄目 (スコア:0)
> WEPがわかってればMACアドレスはすぐに分かると思います.
MACアドレスは暗号化されずに送られます。
よって、WEPを解読する必要すらありません。
無線LANで完全なセキュリティー (スコア:1)
SSID,WEP,MACアドレスフィルタリング,アクセスポイントステルス化
を施しても大量に盗聴されれば突破可能というのを以前のトピックで読んだ気がするので・・・
最終的には上の層での暗号化が必須であるということなのでしょうか(それでも危ない?)
以上エンドユーザな素人の考えですので
識者の方のご意見を聞かせて頂ければ幸いです。
以下余談、
以前音楽を聴くのに飽きてたときに
kouw [kuow.org]を一日中つけっぱなしにして
聞いていたのですがFBIがHOME LANのセキュリティーに関して
何かの勧告か意見を出したってので一日中しつこく
FBIなんたらHOME LAN SECURITYというフレーズが連呼されていたのを思い出しました。
ほんとにしつこく流れてたなぁ。
ループ型のラジオ番組というわけでもないと思うのだけれども。
Re:無線LANで完全なセキュリティー (スコア:3, 参考になる)
それと、完全なセキュリティというのはちょっと違います。
例えば、どんな暗号化でも復号化方法がわかっていればいつかは解読が可能です。暗号化にかけられる時間やお金には限りがあるので、未来永劫絶対的に安全な暗号というのはあり得ないです。
逆にいえば、実用的には、暗号解読にかかる時間が、扱う情報の価値がなくなる程度かかる暗号を使えばよいわけです。
セキュリティはどの程度の危険を許容できるかに依存します。つまり、無線 LAN に流す情報の価値とそれが漏洩することによるリスクを考えれば、必要なセキュリティが決まります。
もし、見られてもよい情報を流しているのならば安くてお手軽なやり方で十分ですが、個人情報などの見られたくないものがあるなら、それなりの防護策が必要になるでしょう。
いつかは解読が可能(オフトピ) (スコア:0)
# キューバ危機の時の米ソ政府から軍隊への指示とか・・・
Re:無線LANで完全なセキュリティー (スコア:0)
Re:無線LANで完全なセキュリティー (スコア:1)
理論的にはすべての組合せを試せば暗号を解読できます。
例えば最近では www.distributed.net [distributed.net] で RC5-64 が解読されていますよね。
もちろん前述のとおり現状で実用的かどうかとは別の問題です。
Re:無線LANで完全なセキュリティー (スコア:0)
故に使用された乱数がわからなければ解読不可能です。
Re:無線LANで完全なセキュリティー (スコア:0)
その仮定自体が無意味なものであることに気づいてる?
Re:無線LANで完全なセキュリティー (スコア:0)
例えばウチなんかだと、ローカルに流れてるデータなんて見られても構わないんだけれど、踏み台にされたく
Re:無線LANで完全なセキュリティー (スコア:1)
#リスクをどう判断するかは問題なのですが。
個人的には「どんな保険に入るか」を考えるのと同じかなあと思ってます。
Re:無線LANで完全なセキュリティー (スコア:1)
余談へのコメントですが、
別の局で、一時の連呼を聞いていますけれど、FBI [fbi.gov]や国土安全保障省 [dhs.gov]関係のホームランドセキュリティーの聞き間違いではないでしょうか?。Re:無線LANで完全なセキュリティー (スコア:1)
いやはや無知なのが露呈するのは本当に恥ずかしいものですな・・・
人為的セキュリティホール (スコア:1)
>実際にセキュリティを保つべきはユーザの責任
まぁ、/.に来るようなアレゲな皆さんならともかく、この辺に詳しくない一般の方々には責任は問えない気が。
まぁ、メーカーが、あーやってこーやってこーやるのってやったところで一般の方々がそのとおりやって設定ミスしてもユーザーの責任にしてしまうのはなぁ。
まぁ、設定ミスが悪いといえばそれまでだけど。
まぁ、バスに乗ってて企業のAP(AP名が会社名)見つけてログインしてパケットキャプチャしたら危なげなパケットが堂々と飛んでいる現状だとまだまだ無線LANの人為的セキュリティホールなんてなくならないんだろうね。まぁ、人為的セキュリティホールなんて有線LANでもあることにはあるけど、無線LANよりは安全かも。
最強の人為的セキュリティクラックはソーシャルエンジニアリングなんだけど(オフトピなので略)。
#妙な罪悪感をかんじつつも懺悔の意味も込めてID
#一応ネットワーク学習中の学生の身ですがえらそうなことをいってみるテスト。
#プレビューで見ると「まぁまぁ」言いすぎ。 > 自分
Re:人為的セキュリティホール (スコア:0)
> この辺に詳しくない一般の方々には責任は問えない気が。
自己責任って事でしょ?
法律の専門家じゃなくても、成人すれば法的責任が付いてくる。
それと同次元の話だと考えてはどうかな?
素人だからどうこうって話ではなく、
個人情報ぶちまけてリスク背負うのは自分ですよ、と。
頼むから… (スコア:0)
担当者が驚くんですかね。やっぱり。
#あんまり意味無いのでAC