...

セッション2_社内無線LAN環境での認証の重要性

by user

on
Category: Documents
9

views

Report

Comments

Transcript

セッション2_社内無線LAN環境での認証の重要性
なぜ2要素認証が必要か?
社内無線LAN環境での認証の重要性
シーティーシー・エスピー株式会社
TS本部 ソリューション企画推進部
杉原健司
スマートデバイス活用に向けて
リモート・ワイヤレス環境の整備が急務
 情報資産へのアクセスは社内・社外の2経路から
 社内は「ワイヤレスアクセスポイント」、社外では「アクセスゲートウェイ」が主役。
e.g.
社外
業務システム
<www.soliton.co.jp/ssg>
ACCESS
モバイルワークツール
(個人スマートフォンに期待)
リモートアクセス
ゲートウェイ
営業情報
社内
人事情報
ACCESS
業績情報
情報共有ツール・ペーパーレス
(社給タブレットが主流)
Copyright© 2015 CTCSP CORPORATION
ワイヤレスアクセス
ポイント
2
無線LAN環境の整備が急務
 デバイス的な理由
– スマートデバイス(スマートフォン、タブレット)は有線のポートがない
– ほとんどのPCに無線LANの機能が付いている
• 有線LANポートがオプションになっているものもあり(MAC book等)
 環境的な理由
– オフィスをフリーアドレスに出来る
– オフィス、店舗、工場の配線が無く、きれいになる
 比較的機器が安価に、通信も安定し、速度も高速に
(過去に比べると)
Copyright© 2015 CTCSP CORPORATION
3
無線LANの脅威・課題
• 目視できず外まで飛んでいく「電波」
– 考慮すべきは「盗聴」「不正侵入」のリスクと「品質」の問題
• 一般に無線LANは(有線LANに比べると)、危険で通信品質が悪くなりがちです。
盗聴
(情報漏洩)
踏み台
(犯罪の共犯)
不適切利用
(安全対策の無効化)
社員
Copyright© 2015 CTCSP CORPORATION
アクセスポイント
4
侵入
(情報漏洩)
業務サーバー
4
国内無料Wi-Fiスポットについて
 海外に比べると無料で使えるWi-Fiスポットが殆ど無い
Copyright© 2015 CTCSP CORPORATION
5
国内無料Wi-Fiスポットについて
 無料Wi-Fiであってもサービス提供者は
特定電気通信役務提供者となる
(抜粋)
身元が特定できないアクセスを受け入れる、ログが取れないなど設備上の制
限を含む発信者情報開示請求に対応しないことが、故意または重過失と
見なされる可能性がある
☆認証・セキュリティに掛けるコストが大きいため割に合わない
→日本国内で無線LANサービスを提供する場合にはユーザ認証
ログ取得などのセキュリティは必要
Copyright© 2015 CTCSP CORPORATION
6
企業では安全な無線LANの構築が必要である
☆無線LANセキュリティ
 通信暗号化(対盗聴)
– WEP/TKIP/AES
 認証(対不正侵入)
– PSK/MACアドレスフィルタリング・認証/IEEE802.1x EAP認証
Pre Shared Key=事前共有鍵
強力な暗号化をしても、
一旦認証が通ってしまえば意味がない
Copyright© 2015 CTCSP CORPORATION
7
無線LANの導入状況
キーマンズネット「無線LANの導入状況」(2013/2/12)より
 PSK(事前共有鍵)を使った認証、PlusMACアドレスフィルタ
リングを使用している場合が多い
PSKとMACアドレスフィルタリングについて見ていきます
Copyright© 2015 CTCSP CORPORATION
8
PSKについて
 認証:PSKのみの危険性
極論ですが。。。
– 合言葉(事前共有鍵)さえ知っていれば、誰でも社内無線LANが使える
– 管理者は利用者のみに配布するが、誰が知っているか追跡できない
同じ認証情報を用いる
利用者の特定・識別は難しい
– PSKは更新する必要があるが、更新タイミングが不定期
•
•
•
•
端末を紛失した時
退職者が出た時
AP全てで共通のPSKだと危険、別々に分けると更新時に運用が大変
設定変更が完了するまでNW利用不可
Copyright© 2015 CTCSP CORPORATION
9
家庭内無線LANと企業向け無線LANの違い
 無線APと接続する端末の数が違うのでPSK更新が大変である
無線AP:1台
端末 :数台
Copyright© 2015 CTCSP CORPORATION
無線AP:数~数十~数百台
端末 :数十~数百~数千台
10
シャドーIT(⇔BYOD)
PSKのみだとシャドーITが発生(管理者が把握できない)
 事例①
– 自宅にWi-Fi環境が無いため、自分のiPhoneを社内無線LANに接
続しiOSのアップデートを行う。
PSK
認証可
hogehoge
許可デバイス
(不適切な)
認証可
PSK
(不適切)
hogehoge
社員
持ち込んだiPhone
 事例②
– 下の階の別会社の友達に『こっそり』教える
iPhoneに
『hogehoge』いれるとうちのWiFi使えるよ。
内緒ね。誰にも言わないでね
社員
Copyright© 2015 CTCSP CORPORATION
非社員
非社員
11
シャドーIT
 どうすればシャドーITが防げるのか?
– PSK+端末も識別できればある程度、利用者が識別できる
• IMEI/UUID →汎用性が無い
• MACアドレス
誤解を招く
書き方
Copyright© 2015 CTCSP CORPORATION
12
MACアドレスフィルタリングの有効性について
 MACアドレスは平文で流れている
 MACアドレスは変更できる
認証されていない
端末からキャプチャしたパケット
“その気” になれば
許可MACアドレス
情報を取得し、
MACアドレス
変更
(promiscuous
& monitor mode)
適当な端末にその値
をセットすることは
難しくない。
この辺りに平文で
通信ヘッダ
MAC
Copyright© 2015 CTCSP CORPORATION
通信データ
解読するには認証(or PSK)
を突破する必要がある。
秘
13
一旦まとめます
PSK
PSK+MACアドレスフィルタリング
利用者本人の認証・識別
×
△
MACアドレス変更される可能性
接続端末の認証・識別
×
△
MACアドレス変更される可能性
PSK不正利用の把握
×
認証ログからは判別不明
×
認証ログからは判別不明
運用/NWの継続利用
×
都度、鍵の変更が必要
(紛失、退職時など)
×
都度、鍵の変更が必要
(紛失、退職時など)
ハッカーへの対策
△
PSKが漏れると突破
△
PSKが漏れると突破
コスト・導入の容易さ
◎
◎
ベストな無線LAN認証
Copyright© 2015 CTCSP CORPORATION
使用者・端末の識別、認証ログ取得ができ、
ユーザには個別の鍵を持たせ
紛失、退職時などは個別ユーザのみを失効できるもの
14
IEEE802.1x EAPの認証が標準に
EAP(Extensible Authentication Protocol)
ポイント
認証情報を知る人物が退職したら、その人のアカウントのみを失効!
【.1X EAP】
誰かの認証情報が漏えいしたら、その人のアカウントのみを失効!
セキュリティレベルの維持のために、認証情報を定期的に更新!
個別の認証情報を用いる
アカウントの管理だけでOK。NWは継続して利用でき、
その履歴(ログ)もとれる。
総務省『企業等が安心して無線LANを導入・運用するために』(平成25年1月30日)
Copyright© 2015 CTCSP CORPORATION
15
CTCSPが提案する無線LAN認証
• 「IEEE 802.1X EAP認証」の実施環境
– 標準技術を採用しマルチデバイス環境にも対応可能
• (企業向け)無線LANアクセスポイント導入済なら、安価に切り替えできる場合も。
認証情報を
チェック
結果を返答
社外
業務システム
外部認証システム
ACCESS
RADIUS
モバイルワークツール
(個人スマートフォンに期待)
認証情報の アクセス
正誤を
ゲートウェイ
サーバーに
問合せ
(Remote Authentication
Dial
In 営業情報
User Service)
営業情報
CA
(Certificate Authority)
認証情報を
入力・送出
社内
AES
IEEE 802.1X
EAP ACCESS
人事情報
人事情報
DB
(Data Base)
業績情報
業績情報
情報共有ツール・ペーパーレス
(社給タブレットが主流)
Copyright© 2015 CTCSP CORPORATION
ワイヤレスアクセス
ポイント
8
16
CTCSPが提案する無線LAN
• デジタル証明書による端末認証
– 標準技術を採用しマルチデバイス環境にも対応可能。
•
既存のネットワーク機器が対応している可能性もあり、比較的安価に切り替えできる場合も。
RADIUS
認証局(CA)
認証連携
業務サーバー群
標準的な認証方式
IEEE 802.1X EAP認証を利用
隣の公園から
不正なアクセス
証明書なし
Copyright© 2015 CTCSP CORPORATION
ワイヤレスアクセス
ポイント
17
アプライアンスでの提案
• OSS、WindowsでEAP認証環境を構築?
– サーバを1から構築するのは大変
– 既存のWindowsサーバもいじりたくない
専門家
B社
E社
Service
Pack
RADIUS
Back-Up
A社
HW
供給停止
CA
Database
•
•
•
•
マニュアル
サポート
障害時復旧計画
パッチ適用
RADIUS
CA
DataBase
Back-Up
OS
D社
Patch
OS
C社
学び目的 = ◎
コスト削減 = △
インフラ = △
Others
Others
F社
Copyright© 2015 CTCSP CORPORATION
環境
依存
EAP認証に必要な機能を
切り出した専用アプライアンスで解消する
M社
後任の担当者
13
CTCSPが提案する「外部認証システム」
• オールインワン認証アプライアンス
ワンタイムパスワード
プライベートCA
RADIUS
イー・ピー・エス
ネットアテスト
リモートアクセス(VPN)
シリーズ累計
シリーズの歴史
10+?
12K+?
Wi-Fi
3G
(以上)
年
ワイヤードアクセス
ワイヤレスアクセス(Wi-Fi)
証明書
なし
トークン
PINなし
Wi-Fi
台
OR
Copyright© 2015 CTCSP CORPORATION
14
(以上)
証明書
なし
故障率
0.9-?
(以下)
%
証明書
なし
NetAttest EPSの販売実績
• オールインワン認証アプライアンス
4.6
4.4
ワンタイムパスワード
プライベートCA
RADIUS
4.2
イー・ピー・エス
ネットアテスト
4.0
3.6
ス
マ
ー
ト
デ
バ
イ
ス
へ
の
対
応
強
化
3.4
3.2
3.0
2.2
後
継
製
品
と
し
て
開
発
Virtual Appliance
2.0
1.2
2.0
シリーズの歴史
1.0
10+
1.2
株式会社富士キメラ総研
「2006,2007,2008,2009,2010 ネットワークビジネス調査総覧」
「2012,2013 コミュニケーション関連 マーケティング調査総覧」
RADIUSサーバー(アプライアンス)市場における調査結果より
1.0
(以上)
2003年
年2004年
2005年
Copyright© 2015 CTCSP CORPORATION
2006年
2007年
2008年
2009年
Virtual Appliance
2010年
2011年
2012年
2013年
2014年
CTCSPが提案する「外部認証システム」
• オールインワン認証アプライアンス
障害時復旧計画
簡便な冗長化構成
日本国産アプライアンス
利用者・証明書情報などの自動同期
主
最
適
設
計
安
定
稼
働
代替機
プライマリ
認証サーバー
192.168.1.2
セカンダリ
認証サーバー
192.168.1.3
誰でも修理できるように備える
(障害発生時には)
2 代替機に予め取得しておいたバックアップ
データをリストア
堅牢な製品設計
初期設定ウィザード
故障率
0.9-
% (以下)
順番に表示される設定項目を
埋めていくだけで構築可能
ソフトウェアメンテナンス
パーツ1つ1つにこだわった高信頼ハードウェア
2
1
およそ15分で設定完了
専用OS
システム
初期設定
梱包箱から取出し
サービス
初期設定
迷わない一本道
完了!
Copyright© 2015 CTCSP CORPORATION
NAOS
搭載
シリーズ累計12000台以上。
豊富な実績を誇る専用OS
「NAOS(ネイオス)」を搭載し安定稼働。
頑強な設計
15
長
期
運
用
障害
発生
認証サーバー設定
予備を用意しておく
慣れ親しんだ言語
(手動・自動バックアップ)
従
192.168.1.3
192.168.1.2
製品管理画面のほか
コンタクトセンターからの案内、製品マニ
ュアルなども日本語です。
正常稼働時に
バックアップデータを取得
1
?
NetAttest EPSのWeb
管理画面から[ファームウェ
ア更新]を選択
アップデートパック
(ファームウェア)の取得
日々のメンテナンスが大切
3 [更新]ボタンを押下
証明書を配布する(1)
• 管理者が個別に証明書を発行・展開
高度な
PKIの知識を
要求しない
運用
– 証明書を導入する端末が少数の場合に有効。
NetAttest EPS Web管理画面(ユーザー証明書発行)
NetAttest EPS Web管理画面(ユーザー一覧)
高度な
PKIの知識を
要求しない
運用
未発行
発行・管理端末
にダウンロード
Copyright© 2015 CTCSP CORPORATION
証明書を配布する(2)
• スマートデバイスに証明書を展開する
NetAttest EPS-ap
NetAttest EPS
4
• Webワークフローによる申請・承認
• プロファイル・デジタル証明書の配付
• デバイス紛失盗難時のロック・ワイプ指示
1
• 利用者情報の管理
• デジタル証明書の管理
• (ネットワーク認証サービスの提供)
3
2
OR
申請画面にログオン
Copyright© 2015 CTCSP CORPORATION
デバイスの申請/登録
プロファイル・証明書取得
FortiAP&NetAttest




FortigateをFortiAPのコントローラとして利用
FortiAPとFortigateの間のトラフィックはトンネル化
BYODなどに有効なソリューション
電波のサーベイからCTCSPで3機器構築作業が可能
FortiAP
管理
Fortigate
FortiAP
認証連携
証明書配布
社内リソース
連携
社内Wifi環境
Copyright© 2015 CTCSP CORPORATION
NetAttest EPS-AP
NetAttest EPS 24
本セッションのまとめ
1.
2.
3.
4.
5.
6.
無線LANは“あたりまえ”の存在に。
利用者は安全・安心を当然のものと認識。
家庭向け・法人向けAPの違いは「運用性」。
IEEE802.x EAP認証の実施が標準に。
ID・PASSWORDから電子証明書へ移行。
認証サーバには「信頼」と「安心」を。
Copyright© 2015 CTCSP CORPORATION
16
Fly UP