Comments
Description
Transcript
インターネットの仕組みと関連技術 2
Information Security 2014 情報セキュリティ(2014年11月7日) インターネットの仕組みと関連技術2 学術情報基盤センター 升屋正人 [email protected] Information Security 2014 ドメインの構造 • ドメイン名 • 電子メールアドレスの場合は@の右側 • [email protected] • URLの場合はFQDN(完全なドメイン名)から 最初の「.」まで(ホスト名)を除いた部分 • http://www.kagoshima-u.ac.jp • 「.」で区切る • 右側の文字列ほど上位の階層 • 最上位がTLD(Top Level Domain) • 次がSLD(Second Level Domain) Information Security 2014 トップレベルドメイン(TLD) • gTLD(Generic TLD) • 組織の種別を表すTLD、別名一般TLD • ccTLD(Contry Code TLD) • 国や地域に割り当てられたTLD、別名nTLD(national TLD) Information Security 2014 gTLD • edu, gov, milのみ米国限定、他は国際的に登録 可能(赤字はよく使われているgTLD) • com, net, org, int(iTLD) • 古くから使われる • aero, biz, coop, info, museum, name, pro • 2000年追加 • jobs, travel, mobi, cat, tel, asia • 2005~2006年追加 • sTLDとも言う • 2011年任意のTLD→.canonとか Information Security 2014 ccTLD • ISO3166で規定されている2文字の国 コードを用いる • au, ca, cn, de, fr, jp, kr, us, eu • 一部に例外(英国はgbだがukも使用) • 割り当て対象をどうするかは各国が決定 • 通常はその国で活動する個人や組織だが例外も • cc, to, tv, fmなどは国際的に使用可能 Information Security 2014 セカンドレベルドメイン(jp) • 組織種別(属性型)ドメイン • 一組織に一つだけ割り当て • ac, ad, co, ed, go, gr, ne, or, lg • 地域型JPドメイン • 一般地域型ドメイン • 組織や個人が取得可能 • 地方公共団体ドメイン • 地方公共団体が取得可能 • 汎用JPドメイン • jpの直下のドメイン名 Information Security 2014 汎用JPドメイン • 日本国内に住所があれば登録できる • いくつでも登録できる • 日本語文字を使ったドメイン名も可能 • ブラウザが対応している必要有り • ドメイン名の移転(登録名義の変更)が可能 • 組織種別ドメインとの併用も可能 Information Security 2014 鹿児島大学が持っているドメイン • 組織種別ドメイン • kagoshima-u.ac.jp • 汎用JPドメイン • kagoshima-u.jp • 鹿児島大学.jp • 鹿児島大.jp • 鹿大.jp • kadai.jp → 生涯メールアドレスで使用 • kadai.ne.jpは鹿児島大学生協が登録 • ドメイン登録は早い者勝ち Information Security 2014 ドメイン名管理組織 • ドメイン名、IPアドレス、プロトコルなどのイン ターネット資源は全世界で調整 • 全世界 • ICANN(1998年まではIANAが管理) • IPアドレスは地域別に管理 • ARIN, RIPE-NCC, LACNIC, AfriNIC, APNIC • 日本の管理組織JPNICはアジア太平洋地域を担当する APNICの下部組織 • ドメイン名は国別に管理 • JPNICがドメイン名の登録管理業務を行うために2000 年12月に設立した会社がJPRS Information Security 2014 Ethernet • 100BASE-TX ← 現在の主流 • 100Mbps • カテゴリ5のLANケーブル(より対線) • 1000BASE-T ← 現在の主流 • 1Gbps • エンハンストカテゴリ5のLANケーブル • ほかにも光ファイバを用いる規格などがある • 100BASE-FX • 1000BASE-SX, 1000BASE-LX • 10GBASE-SR, 10GBASE-LR Information Security 2014 Ethernetの通信 • 同一セグメントのすべてのコンピュータに向け データを送信 • セグメント=Ethernetにおいてデータが到達し得る範 囲 • HUB(ハブ)で拡大 • リピータハブ(電気信号を増幅するだけ) • スイッチングハブ(宛先を見て判断) • 自分宛のものだけ処理する • 自分宛かどうかはMACアドレスで判断 Information Security 2014 MACアドレス • MAC=Media Access Control • 機器固有の情報 • NIC(Network Interface Card)ごとにメーカーが付 ける • 「物理アドレス(Physical Address)」とも言う 例:00-16-A9-9D-6C-17 Information Security 2014 無線LAN • インフラストラクチャモード・アドホックモード • IEEE802.11b • 2.4GHz帯、最大11Mbps • IEEE802.11a • 5GHz帯、最大54Mbps、2005年5月から屋外利用可(一部の帯域) • IEEE802.11g • 2.4GHz帯、最大54Mbps、b/g対応機器多 • IEEE802.11n • TGnSyncによりチャンネル幅を2倍の40MHzに • MIMOにより複数のアンテナを用いて帯域を増やす • 4本のアンテナで最大600Mbpsの通信が可能 • 2本のアンテナ20MHzで108Mbps • 3本のアンテナ40MHzで300Mbps Information Security 2014 その他のLAN接続 • 電力線通信(PLC) • 電気配線を用いてデータを送受信 • 最大150m • HD-PLC • 4〜28MHz, 最大190Mbps • HomePlug AV • 2〜30MHz, 最大200Mbps • UPA • 2〜30MHz, 最大190Mbps • コンセントにPLCモデムを接続すればよい • 電化製品からのノイズにより通信速度は低下 Information Security 2014 無線LANの歴史(黎明期) • 米国 • 1980年代末に900MHz帯・2.4GHz帯・19GHz帯が 無線LAN用(免許不要)に開放 • ISM帯(900M/2.4G)では干渉に強いSS(Spread Spectrum)方 式により1~2Mbps • 19GHz帯は他に使用されていないためPSK/FSK方式により 25Mbps • 日本 • 2.4GHz帯(2471~2497MHz:現在の14ch) • 米国の2.4GHz帯は2400~2483.5MHz • 国産初はJRL(日本無線)のJRL-100(1993年) • 19GHz帯は免許必要局 Information Security 2014 IEEEでの標準化 • IEEE802.11(1997年) • 物理層や通信プロトコルを規格化(~2Mbps) • IEEE802.11b(1999年) • 物理仕様(変復調の仕様)を規定 • CCKにより11Mbpsに高速化(当時の有線LAN(10Mbps)より高速) • IEEE802.11a(1999年) • 5.2GHz/5.3GHz帯無線LAN(新規に割り当てられた周波数) • OFDM方式により54Mbps • IEEE802.11g(2001年) • OFDM方式により54Mbps • DSSS/CSK方式も使用可能 • 実効速度は802.11aの方がわずかに高速 • IEEE802.11n(2009年) • MIMO・チャンネルボンディング(40MHz帯域)により最大600Mbps • 市販製品の最高速度は450Mbps • IEEE802.11ac(策定中) • 5GHz帯・MU-MIMO・160MHz帯域・256QAMで最高6.93Gbps • 一部に対応した製品が市販(600Mbps) Information Security 2014 ARIB(旧RCR)による国内での標準化 • ARIB:社団法人電波産業会 • RCR:財団法人電波システム開発センター • RCR STD-33/RCR STD-34(1993年) • 2.4GHz SS/IR(STD-33), 19GHz(STD-34) • 2,471~2,497MHz • ARIB STD-T66(1999年・2002年・2007年) • IEEE802.11b/g/nに相当 • 2,400~2,483.5MHz • ARIB STD-T71(2000年・2002年・2007年) • IEEE802.11a/nに相当 • 5.2GHz帯(5.15~5.25)・5.3GHz帯(5.25~5.35)・5.6GHz帯 (5.470~5.725) • T70とT72は製品なし Information Security 2014 国内の周波数の開放(2.4GHz/5GHz) • 1992年12月25日 • 2,471~2,497MHzと19GHz帯(免許要) • 1999年9月 • 2,400~2,483.5MHz(欧米と同一) • 2000年3月 • 5.2GHz帯(5.17,5.19,5.21,5.23)→J52 • 地球探査衛星のアップリンクと共用のため屋内限定 • 2005年5月 • 5.2GHz帯(5.18,5.20,5.22,5.24に変更)→W52 • 5.3GHz帯(5.26,5.28,5.30,5.32) • 気象レーダーへの与干渉を避けるため屋内限定&DFS(レーダー波検知による自動チャンネル変更)機能必須 • 2007年1月 • 5.6GHz帯(5,470~5,725:11チャンネル) • 船舶・航空レーダーと共用のためDFSとTPC(送信出力制御機能)が必須 • 2007年6月 • 5.2GHz帯(40MHzシステムで5.19,5.23を追加) • 5.3GHz帯(40MHzシステムで5.27,5.31を追加) Information Security 2014 その他の周波数 • 4.9GHz帯(4.9~5.0) … 5GHz帯無線アクセスシステム • 登録制・無線局免許不要・無線従事者免許(三陸特)必要 • 5.03GHz帯(5.03~5.091) • 4.9GHzと同条件(2012年11月が使用期限・現在は使用不可) • 19GHz帯(19.495~19.555) • 無線局免許必要(米国では不要) • 免許局ゼロの後、2010年に廃止 • 25GHz帯(24.77~25.23,27.02~27.46) • 免許不要・多チャンネル(23チャンネル) • 製品が高価 • 60GHz帯(59.0~66.0) • 免許不要 • 製品は少なく非常に高価→IEEE802.11ad(WiGig)開発中 Information Security 2014 チャンネル番号(2.4GHz帯) • IEEE802.11b/gで規定 • 中心周波数2,412MHz(ch1)から2,472MHz(ch13)ま で5MHz間隔+2,484MHz(ch14) • 802.11gの場合約16.6MHz幅を使用するので 20MHz(4チャンネル)以上離れたチャンネルを使用→ 同一場所では最大4チャンネル • 電波法上はチャンネルの規定がないため自由に設 定してよい • IEEE802.11b/gに規定されていない周波数の使用も可 Information Security 2014 チャンネル番号(5GHz) • IEEE802.11a/jで規定 • [a] 5,005MHz(ch1)から5,900MHz(ch180)まで5MHz間隔 • [j] 4,905MHz(ch181)から4,995(ch199)まで5MHz間隔 • IEEE802.11jは登録必要・局免許不要・従事者免許必要 • 5.2GHz帯 • 電波法でチャンネルを指定 • 指定外の使用は不可 • 34,38,42,46(J52) • 36,40,44,48(W52), 38,46(W52/40MHz) • 52,56,60,64(W53),54,62(W53/40MHz) • 100,104,108,112,116,120,124,128,132,136,140(W56), 102,110,118,126,134(W56/40MHz) Information Security 2014 無線LANの出力 • 10mW/MHz以下 • 無線局免許が不要な特定小電力無線局の空中線電力10mWを拡大 解釈 • 1MHzあたり10mW以下 • SS方式の場合広い帯域に拡散するため拡散幅を電波法上限の 26MHzにすれば総電力は260mW • アンテナ交換可能だが最大EIRPが規定 • EIRP:等価等方向輻射電力(理想アンテナによる送信電力に置き換え たもの=アンテナからの出力) • 出力同じでもアンテナの利得が大きくなるとEIRPが大きくなる • 受信感度を稼ぐためにアンテナ利得をあげることができない • 米国では • 1W以下&アンテナ利得6dBi以下 Information Security 2014 無線LANの変復調方式 • 情報→符号化→データ信号 • データ信号を搬送波(キャリア)に乗せるのが変調 • 搬送波に乗ったデータ信号を取り出すのが復調 • 広帯域変調方式を使用 • SS方式またはOFDM方式 • 狭帯域変調方式(PSKまたはQAM)を拡散(SS)もしくは 束ねて(OFDM)使用 Information Security 2014 PSK(位相変調) • 搬送波の位相をデータ信号によって変化させる方式 • BPSK • デジタル信号の1,0を0度または180度に対応付け • QPSK • 0, 90, 180, 270度に対応させ1回の変調で2ビットの情報が可能 →BPSKの2倍の速度 • QAM • 位相変調と振幅変調を組み合わせる • 16QAMで1回4ビット(64QAMは6ビット) • 無限の多値化可能(実用的には1024QAMが限界) • 無線LANでは16QAMと64QAMが使われる(acは256QAM) Information Security 2014 OFDMの伝送速度 • 変調方式・符号化率で決まる • サブキャリア数は48(11nは52)+4(パイロット信号) • 畳み込み符号化(冗長化)により符号化率は1より小さくなる • 伝送速度・変調方式・符号化率 • 6 BPSK 1/2(-82dBm)→必須 • 9 BPSK 3/4(-81dBm) • 12 QPSK 1/2(-79dBm) →必須 • 18 QPSK 3/4(-77dBm) • 24 16QAM 1/2(-74dBm) →必須 • 36 16QAM 3/4(-70dBm) • 48 64QAM 2/3(-66dBm) • 54 64QAM 3/4(-65dBm) • どれを選ぶかは()内の受信電界強度で規定されている • 11nでは64QAM,5/6の65Mbpsが最大 • GIを短くして72.2Mbpsまで帯域拡大 Information Security 2014 スペクラム拡散(SS)方式 • 情報と無関係な符号によって広帯域化された信号 を使って伝送する方式 • 直接拡散方式(DS) • 拡散符号(疑似雑音:パーカー符号)を乗算して広帯域化 • 周波数ホッピング方式(FH) • あらかじめ決められたシーケンスで自動的かつ高速に周波数を 変化 • CCK • 複数種類の拡散符号を使ってDSを高速化 • IEEE802.11b Information Security 2014 OFDM方式 • 複数のサブキャリアに分割して並列伝送 • サブキャリアを高密度に配置できるため周波数利 用効率が高い • マルチパス、フェージングの影響を受けにくい • DSSSも耐性あり • IEEE802.11a/g • テレビ放送も Information Security 2014 無線LANパケットのフレーム・フォーマット Information Security 2014 CSMA/CA • 送信しようとするキャリアがないことを確認して から送信を開始 • 送信中はキャリアセンスできないため送信開始前にラ ンダムな待ち時間をとる • CSMA/CDは送信中でも衝突を検知して中止 • 同じ周波数を同時に使うのは1台のみ • キャリアセンスできない2台の子機が同じ親機に同時 に送信してしまう場合がある→隠れ端末問題 • 微弱な電波でも検知すると送信を待機する • 遠距離の無線LANアクセスポイントの存在により近距 離の通信でもスループット低下 Information Security 2014 ARQ(Automatic Repeat Request) • 受信側で誤りが検出されたら再送要求する方式 • 送信側では誤り検出符号を使って符号化 • 無線LANではSAW(Stop And Wait)方式 • 送信側はパケット送信の後、受信側からのAck/Nakを待ち、 Ackを受信したら次を送信/Nakを受信したら再送 • 何も帰ってこない場合(待ち時間以内にAckを受信できない場合)も再 送 • 受信側ではエラーが検出されたらNak • 再送回数は数回~十数回が上限 • PERが高い回線でも再送を増やせば誤りを低減可能 Information Security 2014 RTS/CTS(Request to Send/Clear to Send) • パケットを送信する前に通信時間情報を含む RTS/CTS信号をやりとりし、記された時間分だ け他局の送信を待機させる • スループットは低下するためデフォルトでOFFのアク セスポイントもある • 「プロテクション機能」と呼ばれる場合も • b/g混在環境でも有効 Information Security 2014 DFS(Dynamic Frequency Selection) • 通信する前に複数のチャンネルを監視し、他の無 線局が使用していないチャンネルを自動的に選択 する方式 • 5.3/5.6GHz帯 • 60秒以上監視してレーダ波が存在しないことを確認し てから電波を出す • 運用中も検知動作を継続し、検知したら10秒以内に チャンネル変更 • 検知したら30分間使用不可 Information Security 2014 占有周波数帯幅 • DSSS(11b):22MHz →25MHz間隔 • 5ch以上 • OFDM(11a/g):16.6MHz →20MHz間隔 • 4ch以上 Information Security 2014 2.4GHz帯のチャンネル配置 • 40MHzシステムの場合は同時に2チャンネル Information Security 2014 MIMO • データを分割して複数のアンテナを使って並行し て送信し、複数のアンテナで受信した信号を合成 することで伝送速度向上 • 同じ電波を使う • IEEE802.11nでは最大4ストリーム • 伝送速度は最大4倍 • 20MHzの場合65Mbps/72.2Mbpsの倍数 • 40MHzの場合150Mbpsの倍数 • 送信機3台受信機3台なら3×3 Information Security 2014 IEEE802.11ac • 最大6.93Gbpsの次世代無線LAN • 5GHz帯・OFDM • 256QAM(11nは64QAM)←法改正前はこれだけ (600Mbps) • 最大160MHz帯域(80MHz必須)←順次対応 • W52/W53すべて・W56の100~128ch • 2013年3月の電波法改正で利用可能に(市販は80) • 最大8x8 MIMO(11nは4x4) ←順次対応 • MU-MIMO ←順次対応 • 最大4台のSTAと同時通信が可能 Information Security 2014 無線LANのSSID(Service Set Identifier) • BSSID • AP(アクセスポイント・親機)と接続するSTA(クライア ント・子機)によるネットワーク(BSS:Basic Service Set)のID • アドホックモードのネットワークはIBSS • 無線LAN APのMACアドレスを使う • SSID • 複数のBSSで構成される無線LANネットワーク(ESS: Extended Service Set)で使うように拡張したID • ESSIDは俗称 • 32文字(8ビット×32) • 文字種類に制限なし Information Security 2014 SSIDを使った通信の仕組み • Passive Scan • APがbeaconでSSIDをブロードキャスト • STAはbeaconを一定時間受信してSSIDが一致するAP を探索 • STAがAPに認証要求 • Active Scan • STAはビーコンを一定時間受信してSSIDが見つからな かった場合SSIDをブロードキャスト • Probe Request • APはSSIDが一致する場合に応答 • Probe Response • STAがAPに認証要求 Information Security 2014 SSID隠蔽(ステルス) • APのbeaconにSSIDを乗せない • STAからのProbe Requestに一致するSSIDが含まれ る場合にのみProbe Response • APからはSSIDが通知されない • 通信中の無線LANパケットにはSSIDが含まれる • 通信をモニタすればわかる • Probe RequestにSSIDが含まれる • APが存在しないところでSTAが発信する Information Security 2014 ANY接続 • STAでSSIDを「any」に設定するとAPのSSIDの 設定に無関係に接続できるメーカー独自の機能 • IEEE802.11ではwildcard SSIDと呼ばれる長さ0の SSIDが規定 • 公衆無線LANなどでいちいち設定の必要がない • 「ANY接続拒否」は • SSIDが空またはanyによる接続を行わない • オープンシステム認証&WEPなしの場合 • SSIDを隠蔽する • セキュリティ的には無意味&より危険 を同時に設定 Information Security 2014 MACアドレスフィルタリング • STAのMACアドレスをAPに登録しておき、登録 外のSTAを接続させない • 通信をキャプチャすれば接続しているSTAの MACアドレスは検出可能 • MACアドレスは暗号化されていない • セキュリティ対策としては十分でない • やらないよりは有効 Information Security 2014 “認証”の種類(WEPの場合) • オープンシステム認証 • 必ず認証に成功する=認証しない • シェアードキー認証 • 事前共有キー(=WEPキー)により認証する • WEPキーは暗号化のためのものだが、認証にも使用する • 不正なAPにWEPキーを容易に知られてしまう • オープンシステム認証の方がまし • ESSに参加できてしまうがWEPキーが一致しなければ 通信自体はできない • 認証になっていないため別の方法を使う Information Security 2014 Information Security 2014 WEP • WEPキー+IV(24bit)を使って暗号化 • WEPキーは40bitまたは104bit • 英数字を使う場合5文字または13文字 • WEPだけを使うとキーストリームが同じになって解読 されやすくなる • 平文には「http」などが含まれる可能性が高いため • RC4なので通信をキャプチャしても解読できないが WEPでは24bitのIVが平文で流れる • 特定のIVに対するキーストリームの生成が可能 • パケットごとに変化するIVを組み合わせて使うことで 強度を高めた…つもりだった Information Security 2014 WEPの脆弱性 • FMS攻撃 • 特定のパターンのIV(0.02%)が使われた場合にキース トリームとIVとWEPの間に相関があることを悪用 • 特定のIVを使わないことで防御可能(WEPplus) • 十分な量のIVを収集できれば解読可能 • PTW攻撃 • ARPインジェクション(検知は可能)でARPパケットを収 集して解読 • 鍵長128bitのRC4ならば解読困難だったが… • 解読プログラムが存在→手順通りにやれば誰でも 解読できる Information Security 2014 WEPの問題点 • 鍵の先頭24bitを公開し残り104bitを固定した 劣化RC4 • WEPキーが容易に解読できる • FMS、PTWなどの解読手法が存在 • 事前共有キー認証を使っていれば中間者攻撃により容 易に解読可能 • ⇒誰でも無線ネットワークに接続できる • 有線LANのスイッチングハブを外に並べているような もの • 公衆無線LANの場合WPA2でもこれと同じ Information Security 2014 TKIP • キーストリームを生成する鍵をパケットごとに変化させ る • 48bitのIVと送信者のMACアドレスと128bitの鍵(Temporal Key)から一方向ハッシュ関数で暗号化鍵を生成 • 改ざん検知付き • WEPキーを変化させる方式ではない…RC4だけど • WPAで義務化 • WPA=TKIPではない(WPAにはCCMPもある) • WPA2にもある • 暗号化鍵を解読された…わけではない • 現実的には困難な特殊な条件下で15分程度の時間をかければ一部 のパケットを改ざんできるかもしれない…といった程度 • →鍵更新間隔を120秒に設定すれば回避可能 Information Security 2014 CCMP • AESで暗号化 • WPA-AES・WPA2-AESなどと記載されることが多い • WPA2=CCMPではない(WPA-CCMPもある) • IEEE802.11iで規定 • WPA2では義務化 • WPA/WPA2はWi-Fi Allianceが定める • 有効な攻撃手法は現時点で存在せず Information Security 2014 パーソナルモード・エンタープライズモード • TKIP/CCMPでは複数の鍵を使う • 大元がPMK(Pairwise Master Key) • PMKを手動で設定するのがPSK方式 • =パーソナルモード • PSKは8文字以上63文字以内 • 802.1X認証ではPMKにセッション鍵を用いる • =エンタープライズモード Information Security 2014 呼び方はいろいろ • 認証方式 • ネットワーク認証(XP)・セキュリティの種類(Vista/7) • 暗号化方式 • データの暗号化(XP)・暗号化の種類(Vista/7) • PSK • ネットワークキー(XP)・ネットワークセキュリティキー(Vista/7) • PSK認証 • WPA2-PSK(XP)・WPA2パーソナル(Vista/7) • IEEE802.1X認証 • WPA2(XP)・WPA2エンタープライズ Information Security 2014 無線LANの危険性 1. 通信内容が盗み見られる • 暗号化なしなら当然、暗号化あっても同じネットワー クに接続していれば簡単 2. APが他人に利用される • 犯罪予告やウイルス配布に悪用 3. 無断で端末にアクセスされる • 共有フォルダにアクセス 4. なりすましAPに情報を盗まれる • 公衆無線LANはなりすましが簡単 Information Security 2014 無線LAN利用者のセキュリティ対策 by 総務省 1. 大事な情報はSSLでやりとり 2. 公共の場ではファイル共有機能を解除 3. 知らないアクセスポイントには接続しない 4. 公衆無線LANサービスのログイン画面に電子証 明書エラーが表示されたら接続しない 5. 接続しているアクセスポイントを確認 6. アクセスポイントが暗号化に対応していること を確認 Information Security 2014 ①大事な情報はSSLでやりとり • 公共の場では通信を傍受される・偽のアクセスポ イントに接続させられる危険が大きいため、大事 な情報はやりとりしない • いわゆる公衆無線LANの場合 • au Wi-FiやソフトバンクWi-Fiスポットも対象 • スマートフォンが自動的に接続される場合があるので注意 • やむを得ずやり取りする場合はSSL • 傍受されていることを意識して利用する Information Security 2014 ②ファイル共有機能を解除 • 共有機能をONにするとLAN内から自由にアクセ スできる • 公共の場では解除しないと大変 • →以前VTRで事例紹介 • Windows 7の場合「パブリックネットワーク」 とすればOK • ネットワークと共有センターの「アクティブなネット ワークの表示」のところで変更可能 Information Security 2014 ③知らないアクセスポイントには接続しない • 暗号化の設定が行われていないからといって接続 しない • 通信内容の盗み見等を目的とした悪意を持った者 が設置しているかも • SSL通信を中継する装置を設置すればSSL通信の中身を 見ることも可能→SSLも無力 Information Security 2014 ④電子証明書エラーが表示されたら接続しない • 偽のアクセスポイントに接続している可能性大 • IDとパスワードを入力すると盗まれる Information Security 2014 ⑤接続しているアクセスポイントを確認 • 自動接続する設定になっていると意図せずに接続 している場合がある • PC・スマートフォンとも • ステッカー等で偽のアクセスポイントでないこと を確認 Information Security 2014 ⑥暗号化に対応していることを確認 • 対応していてもWEPキーやWPAパスフレーズが 一般に知られていることもあるが、対応していな いよりはまし • 公衆無線LANについて「WEPだとセキュリティ が弱い」と考えるのは情弱 • 情弱が多いのでキャリアはWPA2に対応(ほとんど無意味) • WPA2パスフレーズが公開されている≒暗号化なし Information Security 2014 無線LAN設置者のセキュリティ対策 1. 適切な暗号化方式の設定 2. 適切なSSIDの設定 3. 使用時以外の機能オフ 4. MACアドレスフィルタリング 5. 無線LAN端末間通信の遮断 Information Security 2014 ①適切な暗号化方式の設定 • WPA2-CCMP(WPA2-AES)に設定する • 無線LANクライアントが未対応の場合 • WPA-CCMPに設定する • WPA-TKIPの場合は鍵更新間隔を120秒に設定する • WEPの場合は暗号化なしのつもりで使う • 使わないよりまし • パスフレーズはランダムで長いもの • 総当たり攻撃に耐えられる長さ(20文字以上で安心) • マルチSSIDの場合はそれぞれ変える • パスフレーズが公開されている公衆無線LANは暗号化 なしと同程度のセキュリティ Information Security 2014 ②適切なSSIDの設定 • 「簡単に推測しにくいものにしてステルス設定する」は 無意味 • モニタできるから • デフォルトの設定を変更する • メーカー・型名を知られると脆弱性が発見された時に攻撃対象に なる可能性がある • MACアドレスもダメ • 名前などの個人情報は含まない • 第三者の興味を引かないものにする • 自宅にある機器しか接続しないならステルス設定は有効 • エリア外に持ち出す機器は危険 Information Security 2014 ③使用時以外の機能オフ • モバイルルータやスマートフォンのテザリング機 能に注意 • オフにしておけば悪用される危険なし • バッテリも持つ Information Security 2014 ④MACアドレスフィルタリング • MACアドレスを偽装した端末からの接続は対策できない • とは言え、設定しないよりセキュリティはかなり向上す る • スマートフォンのテザリング機能では未対応の場合があ る Information Security 2014 ⑤無線LAN端末間通信の遮断 • アクセスポイントの機能 • 設定できる場合はONにする • 無線端末同士のファイル共有ができなくなる • プリンタも無線LANの場合は印刷できなくなる • 同じアクセスポイントの利用者からのアクセスを禁止す るためAPが悪用されても安全 • 有線LAN側へは無効の場合が多いので注意 Information Security 2014 ここまでやればほぼ安全 • チャンネル • 5GHz帯【実はかなり有効】 • SSID【ステルスにすると危険度UP】 • 無意味な文字列(MACアドレス風がいいかも) • ステルス設定しない • 暗号化【やらないよりはまし】 • WPA2-CCMP(WPA2-AES) • パスフレーズは20文字以上の英数字記号 • MACアドレスフィルタリング【有効だが手間がかかる】 • 設定する • 無線区間をL2TP/IPsec VPNで暗号化【有効】 • メールはPOP3S/IMAPS/SMTPS【有効】 Information Security 2014 NAT • Network Address Translation • プライベートアドレスをグローバルアドレスに変換 • NAPT(Network Address Port Translation, IPマスカレード) で活用 • ポート番号とアドレスを組み合わせて一つのグローバルアドレスで複 数のプライベートホストを接続可能に • 一般的なブロードバンドルータ(ISDNルータも)にはNAPT機能があ る Information Security 2014 ポートフォワーディング • 静的NAT・静的IPマスカレードとも言う • NAPTに際して、プライベート側のIPアドレスとポート を固定する仕組み • 不正侵入される危険性もある • 内部ネットワークからも分離されたネットワーク(=DMZ)を使うと 比較的安全 • 「UPnP」はポートフォワーディングを自動的に設定する 仕組み