Comments
Description
Transcript
セッション2_社内無線LAN環境での認証の重要性
なぜ2要素認証が必要か? 社内無線LAN環境での認証の重要性 シーティーシー・エスピー株式会社 TS本部 ソリューション企画推進部 杉原健司 スマートデバイス活用に向けて リモート・ワイヤレス環境の整備が急務 情報資産へのアクセスは社内・社外の2経路から 社内は「ワイヤレスアクセスポイント」、社外では「アクセスゲートウェイ」が主役。 e.g. 社外 業務システム <www.soliton.co.jp/ssg> ACCESS モバイルワークツール (個人スマートフォンに期待) リモートアクセス ゲートウェイ 営業情報 社内 人事情報 ACCESS 業績情報 情報共有ツール・ペーパーレス (社給タブレットが主流) Copyright© 2015 CTCSP CORPORATION ワイヤレスアクセス ポイント 2 無線LAN環境の整備が急務 デバイス的な理由 – スマートデバイス(スマートフォン、タブレット)は有線のポートがない – ほとんどのPCに無線LANの機能が付いている • 有線LANポートがオプションになっているものもあり(MAC book等) 環境的な理由 – オフィスをフリーアドレスに出来る – オフィス、店舗、工場の配線が無く、きれいになる 比較的機器が安価に、通信も安定し、速度も高速に (過去に比べると) Copyright© 2015 CTCSP CORPORATION 3 無線LANの脅威・課題 • 目視できず外まで飛んでいく「電波」 – 考慮すべきは「盗聴」「不正侵入」のリスクと「品質」の問題 • 一般に無線LANは(有線LANに比べると)、危険で通信品質が悪くなりがちです。 盗聴 (情報漏洩) 踏み台 (犯罪の共犯) 不適切利用 (安全対策の無効化) 社員 Copyright© 2015 CTCSP CORPORATION アクセスポイント 4 侵入 (情報漏洩) 業務サーバー 4 国内無料Wi-Fiスポットについて 海外に比べると無料で使えるWi-Fiスポットが殆ど無い Copyright© 2015 CTCSP CORPORATION 5 国内無料Wi-Fiスポットについて 無料Wi-Fiであってもサービス提供者は 特定電気通信役務提供者となる (抜粋) 身元が特定できないアクセスを受け入れる、ログが取れないなど設備上の制 限を含む発信者情報開示請求に対応しないことが、故意または重過失と 見なされる可能性がある ☆認証・セキュリティに掛けるコストが大きいため割に合わない →日本国内で無線LANサービスを提供する場合にはユーザ認証 ログ取得などのセキュリティは必要 Copyright© 2015 CTCSP CORPORATION 6 企業では安全な無線LANの構築が必要である ☆無線LANセキュリティ 通信暗号化(対盗聴) – WEP/TKIP/AES 認証(対不正侵入) – PSK/MACアドレスフィルタリング・認証/IEEE802.1x EAP認証 Pre Shared Key=事前共有鍵 強力な暗号化をしても、 一旦認証が通ってしまえば意味がない Copyright© 2015 CTCSP CORPORATION 7 無線LANの導入状況 キーマンズネット「無線LANの導入状況」(2013/2/12)より PSK(事前共有鍵)を使った認証、PlusMACアドレスフィルタ リングを使用している場合が多い PSKとMACアドレスフィルタリングについて見ていきます Copyright© 2015 CTCSP CORPORATION 8 PSKについて 認証:PSKのみの危険性 極論ですが。。。 – 合言葉(事前共有鍵)さえ知っていれば、誰でも社内無線LANが使える – 管理者は利用者のみに配布するが、誰が知っているか追跡できない 同じ認証情報を用いる 利用者の特定・識別は難しい – PSKは更新する必要があるが、更新タイミングが不定期 • • • • 端末を紛失した時 退職者が出た時 AP全てで共通のPSKだと危険、別々に分けると更新時に運用が大変 設定変更が完了するまでNW利用不可 Copyright© 2015 CTCSP CORPORATION 9 家庭内無線LANと企業向け無線LANの違い 無線APと接続する端末の数が違うのでPSK更新が大変である 無線AP:1台 端末 :数台 Copyright© 2015 CTCSP CORPORATION 無線AP:数~数十~数百台 端末 :数十~数百~数千台 10 シャドーIT(⇔BYOD) PSKのみだとシャドーITが発生(管理者が把握できない) 事例① – 自宅にWi-Fi環境が無いため、自分のiPhoneを社内無線LANに接 続しiOSのアップデートを行う。 PSK 認証可 hogehoge 許可デバイス (不適切な) 認証可 PSK (不適切) hogehoge 社員 持ち込んだiPhone 事例② – 下の階の別会社の友達に『こっそり』教える iPhoneに 『hogehoge』いれるとうちのWiFi使えるよ。 内緒ね。誰にも言わないでね 社員 Copyright© 2015 CTCSP CORPORATION 非社員 非社員 11 シャドーIT どうすればシャドーITが防げるのか? – PSK+端末も識別できればある程度、利用者が識別できる • IMEI/UUID →汎用性が無い • MACアドレス 誤解を招く 書き方 Copyright© 2015 CTCSP CORPORATION 12 MACアドレスフィルタリングの有効性について MACアドレスは平文で流れている MACアドレスは変更できる 認証されていない 端末からキャプチャしたパケット “その気” になれば 許可MACアドレス 情報を取得し、 MACアドレス 変更 (promiscuous & monitor mode) 適当な端末にその値 をセットすることは 難しくない。 この辺りに平文で 通信ヘッダ MAC Copyright© 2015 CTCSP CORPORATION 通信データ 解読するには認証(or PSK) を突破する必要がある。 秘 13 一旦まとめます PSK PSK+MACアドレスフィルタリング 利用者本人の認証・識別 × △ MACアドレス変更される可能性 接続端末の認証・識別 × △ MACアドレス変更される可能性 PSK不正利用の把握 × 認証ログからは判別不明 × 認証ログからは判別不明 運用/NWの継続利用 × 都度、鍵の変更が必要 (紛失、退職時など) × 都度、鍵の変更が必要 (紛失、退職時など) ハッカーへの対策 △ PSKが漏れると突破 △ PSKが漏れると突破 コスト・導入の容易さ ◎ ◎ ベストな無線LAN認証 Copyright© 2015 CTCSP CORPORATION 使用者・端末の識別、認証ログ取得ができ、 ユーザには個別の鍵を持たせ 紛失、退職時などは個別ユーザのみを失効できるもの 14 IEEE802.1x EAPの認証が標準に EAP(Extensible Authentication Protocol) ポイント 認証情報を知る人物が退職したら、その人のアカウントのみを失効! 【.1X EAP】 誰かの認証情報が漏えいしたら、その人のアカウントのみを失効! セキュリティレベルの維持のために、認証情報を定期的に更新! 個別の認証情報を用いる アカウントの管理だけでOK。NWは継続して利用でき、 その履歴(ログ)もとれる。 総務省『企業等が安心して無線LANを導入・運用するために』(平成25年1月30日) Copyright© 2015 CTCSP CORPORATION 15 CTCSPが提案する無線LAN認証 • 「IEEE 802.1X EAP認証」の実施環境 – 標準技術を採用しマルチデバイス環境にも対応可能 • (企業向け)無線LANアクセスポイント導入済なら、安価に切り替えできる場合も。 認証情報を チェック 結果を返答 社外 業務システム 外部認証システム ACCESS RADIUS モバイルワークツール (個人スマートフォンに期待) 認証情報の アクセス 正誤を ゲートウェイ サーバーに 問合せ (Remote Authentication Dial In 営業情報 User Service) 営業情報 CA (Certificate Authority) 認証情報を 入力・送出 社内 AES IEEE 802.1X EAP ACCESS 人事情報 人事情報 DB (Data Base) 業績情報 業績情報 情報共有ツール・ペーパーレス (社給タブレットが主流) Copyright© 2015 CTCSP CORPORATION ワイヤレスアクセス ポイント 8 16 CTCSPが提案する無線LAN • デジタル証明書による端末認証 – 標準技術を採用しマルチデバイス環境にも対応可能。 • 既存のネットワーク機器が対応している可能性もあり、比較的安価に切り替えできる場合も。 RADIUS 認証局(CA) 認証連携 業務サーバー群 標準的な認証方式 IEEE 802.1X EAP認証を利用 隣の公園から 不正なアクセス 証明書なし Copyright© 2015 CTCSP CORPORATION ワイヤレスアクセス ポイント 17 アプライアンスでの提案 • OSS、WindowsでEAP認証環境を構築? – サーバを1から構築するのは大変 – 既存のWindowsサーバもいじりたくない 専門家 B社 E社 Service Pack RADIUS Back-Up A社 HW 供給停止 CA Database • • • • マニュアル サポート 障害時復旧計画 パッチ適用 RADIUS CA DataBase Back-Up OS D社 Patch OS C社 学び目的 = ◎ コスト削減 = △ インフラ = △ Others Others F社 Copyright© 2015 CTCSP CORPORATION 環境 依存 EAP認証に必要な機能を 切り出した専用アプライアンスで解消する M社 後任の担当者 13 CTCSPが提案する「外部認証システム」 • オールインワン認証アプライアンス ワンタイムパスワード プライベートCA RADIUS イー・ピー・エス ネットアテスト リモートアクセス(VPN) シリーズ累計 シリーズの歴史 10+? 12K+? Wi-Fi 3G (以上) 年 ワイヤードアクセス ワイヤレスアクセス(Wi-Fi) 証明書 なし トークン PINなし Wi-Fi 台 OR Copyright© 2015 CTCSP CORPORATION 14 (以上) 証明書 なし 故障率 0.9-? (以下) % 証明書 なし NetAttest EPSの販売実績 • オールインワン認証アプライアンス 4.6 4.4 ワンタイムパスワード プライベートCA RADIUS 4.2 イー・ピー・エス ネットアテスト 4.0 3.6 ス マ ー ト デ バ イ ス へ の 対 応 強 化 3.4 3.2 3.0 2.2 後 継 製 品 と し て 開 発 Virtual Appliance 2.0 1.2 2.0 シリーズの歴史 1.0 10+ 1.2 株式会社富士キメラ総研 「2006,2007,2008,2009,2010 ネットワークビジネス調査総覧」 「2012,2013 コミュニケーション関連 マーケティング調査総覧」 RADIUSサーバー(アプライアンス)市場における調査結果より 1.0 (以上) 2003年 年2004年 2005年 Copyright© 2015 CTCSP CORPORATION 2006年 2007年 2008年 2009年 Virtual Appliance 2010年 2011年 2012年 2013年 2014年 CTCSPが提案する「外部認証システム」 • オールインワン認証アプライアンス 障害時復旧計画 簡便な冗長化構成 日本国産アプライアンス 利用者・証明書情報などの自動同期 主 最 適 設 計 安 定 稼 働 代替機 プライマリ 認証サーバー 192.168.1.2 セカンダリ 認証サーバー 192.168.1.3 誰でも修理できるように備える (障害発生時には) 2 代替機に予め取得しておいたバックアップ データをリストア 堅牢な製品設計 初期設定ウィザード 故障率 0.9- % (以下) 順番に表示される設定項目を 埋めていくだけで構築可能 ソフトウェアメンテナンス パーツ1つ1つにこだわった高信頼ハードウェア 2 1 およそ15分で設定完了 専用OS システム 初期設定 梱包箱から取出し サービス 初期設定 迷わない一本道 完了! Copyright© 2015 CTCSP CORPORATION NAOS 搭載 シリーズ累計12000台以上。 豊富な実績を誇る専用OS 「NAOS(ネイオス)」を搭載し安定稼働。 頑強な設計 15 長 期 運 用 障害 発生 認証サーバー設定 予備を用意しておく 慣れ親しんだ言語 (手動・自動バックアップ) 従 192.168.1.3 192.168.1.2 製品管理画面のほか コンタクトセンターからの案内、製品マニ ュアルなども日本語です。 正常稼働時に バックアップデータを取得 1 ? NetAttest EPSのWeb 管理画面から[ファームウェ ア更新]を選択 アップデートパック (ファームウェア)の取得 日々のメンテナンスが大切 3 [更新]ボタンを押下 証明書を配布する(1) • 管理者が個別に証明書を発行・展開 高度な PKIの知識を 要求しない 運用 – 証明書を導入する端末が少数の場合に有効。 NetAttest EPS Web管理画面(ユーザー証明書発行) NetAttest EPS Web管理画面(ユーザー一覧) 高度な PKIの知識を 要求しない 運用 未発行 発行・管理端末 にダウンロード Copyright© 2015 CTCSP CORPORATION 証明書を配布する(2) • スマートデバイスに証明書を展開する NetAttest EPS-ap NetAttest EPS 4 • Webワークフローによる申請・承認 • プロファイル・デジタル証明書の配付 • デバイス紛失盗難時のロック・ワイプ指示 1 • 利用者情報の管理 • デジタル証明書の管理 • (ネットワーク認証サービスの提供) 3 2 OR 申請画面にログオン Copyright© 2015 CTCSP CORPORATION デバイスの申請/登録 プロファイル・証明書取得 FortiAP&NetAttest FortigateをFortiAPのコントローラとして利用 FortiAPとFortigateの間のトラフィックはトンネル化 BYODなどに有効なソリューション 電波のサーベイからCTCSPで3機器構築作業が可能 FortiAP 管理 Fortigate FortiAP 認証連携 証明書配布 社内リソース 連携 社内Wifi環境 Copyright© 2015 CTCSP CORPORATION NetAttest EPS-AP NetAttest EPS 24 本セッションのまとめ 1. 2. 3. 4. 5. 6. 無線LANは“あたりまえ”の存在に。 利用者は安全・安心を当然のものと認識。 家庭向け・法人向けAPの違いは「運用性」。 IEEE802.x EAP認証の実施が標準に。 ID・PASSWORDから電子証明書へ移行。 認証サーバには「信頼」と「安心」を。 Copyright© 2015 CTCSP CORPORATION 16