ANY接続拒否機能、SSID/ESSIDのステルス化、MACアドレスフィルタリング、プライバシーセパレータ、IEEE 802.1x認証、EAP、RADIUS、ホットスポット、PSK、事前共有鍵、共有鍵暗号方式、WEP、WPA、WPA2、TKIP、AES、WPS
無線環境でのセキュリティ
無線はあらゆる方向に伝わるので、屋内で無線通信をしていても、屋外の子機から屋内の親機をとおして入り込んだり、屋外で通信を傍受したりできます。そのため、有線通信よりもセキュリティのリスクが増大します。そのため、
・アクセス制御:接続できる利用者やパソコンを限定する
・データの暗号化:パソコンとアクセスポイント間の通信を暗号化する
などのセキュリティ対策が必要になります。
アクセス制御
- ANY接続拒否機能
- SSIDが空白または「any」になっているパソコンは、正規の手続きをしていないパソコン、すなわち第三者のパソコンだといえます。そのようなパソコンとの接続を拒否する機能です。
- SSID/ESSIDのステルス化
- SSID、ESSIDとは、パソコンとアクセスポイント間のネットワークの識別名で、それが一致するパソコンとの接続を許す仕組みです(参照:「無線LAN」)。その識別名を他人に知られると、不正にLANに侵入されるリスクが生じます。それを防ぐために、これらを他のパソコンから見えなくする対策をステルス化といいます。
- MACアドレスフィルタリング
- 無線LANルータにあらかじめ設定した特定のMACアドレスをもつパソコン以外から接続できないようにする機能です。
- プライバシーセパレータ
- APアイソレーションともいいます。一つの無線ルータに、複数のモバイル端末が接続しているとき、端末同士での通信を禁止し、インターネット通信のみ可能にする機能です。
安全対策が不十分なホットスポットなどで、この機能がないまま利用すると、自分の端末とその場所で使用している他の端末との間で通信が可能になり、ウイルスに感染させられたり、端末の内容を見られたりすることがあります。
IEEE802.1x認証
IEEE802.1x認証とは、有線LANや無線LANにおけるユーザ認証の規格です。以下の内容は有線LANにも共通するのですが、無線LANの立場で記述します。
IEEE 802.1xは、無線LAN利用開始時に厳格な認証を行うときに採用されます。
端末(Supplicant)とアクセスポイント(Authenticator:認証装置)の双方で、EAPという認証プロトコルを用いたIEEE802.1x認証をします。ユーザ認証処理を集中的に行うサーバをRADIUSサーバ(Authentication Server:認証サーバ)といいます。
- EAP(Extensible Authentication Protcol)
- LANでのユーザ認証プロトコルです。インターネットのアクセスポイントへのダイヤルアップなどに使われるPPPプロトコルの認証方式を拡張したものです。
EAPには認証手段に、ID/パスワード、電子証明書、SIMを使うのに応じていくつかの種類があります。
EAPを階層化しカプセル化するプロトコルをEAPOL(EAP Over LANs)といい、IEEE802.1xで定められています。パソコンとアクセスポイントの間はEAPOLパケットで渡されます。、
- RADIUS(Remote Authentication Dial-In User Service)
- ユーザ認証処理を集中的に行うためのプロトコルです。
当初は、ダイアルインでのISPとの接続が対象でしたが、現在ではリモートアクセス、無線LAN(Wi-Fi)、VPN接続などでの、ユーザ認証、アクセス制御、アカウント情報管理などの統括的な管理に用いられています。
それを行うサーバをRADIUSサーバあるいはRAS(Remote Authentication Server)といいます。
携帯端末からのEAPメッセージは、アクセスポイントやLANルータからRADIUSパケットとしてRADIUSサーバに問合せを行い、その認証結果をアクセスポイントなどに戻します。その結果により、携帯端末との接続を許可・遮断します。
ホットスポット利用での注意点
公共施設、駅や空港、ホテル、飲食店、コンビニなどが、無線LANルータを設置して、利用者向けにWi-Fiサービスを提供している場所をホットスポットといい、このような環境でWi-Fiを利用することをモバイルWi-Fiといいます。
このようにどこでもインターネットが利用できるのは便利なことですが、多くのホットスポットはセキュリティ対策が不十分な状況です。
- プライバシセパレータ機能が不備なので、同一ホットスポットで利用している子機同士での通信ができてしまいます。それで、通信内容や端末内容を知られたり、ウイルスを送り込まれたりすることがあります。
- SSIDステレス化がされていないので、正規の利用者以外に端末からホットスポットに侵入され、管理者が意図しない不正利用をされる危険性があります。
無線での暗号化
共有鍵暗号方式(PSK)
無線LANでは、パソコンとアクセスポイント(無線サーバ)の間の通信に傍受の機会が多いので、通信データの暗号化が必要になります。パソコンとアクセスポイントの間で暗号鍵を事前共有鍵(PSK:Phase Shift Keying)といい、その暗号方式を共有鍵暗号方式といいます。
事前共有鍵は、パソコンとアクセスポイントの間での「共有鍵」ですが、他人に知られて他のパソコンで使われると困るので「秘密鍵」ということもあります。
共通鍵暗号方式や公開鍵暗号方式は、通信相手(人と人)との暗号通信で、その間に多くの機器を経由します。それに対して共有鍵暗号方式は、パソコンと直結した比較的近くにあるアクセスポイントの間だけでの暗号通信で、アクセスポイント以降は関与しません。ローカルなものなので、運用は単純です。
事前共有鍵は、パソコンを無線LAN接続環境を設定する際(すなわち「事前」)に、8~64文字の鍵をパソコンに手入力して設定するだけです。その後は、アクセスサーバはパソコンを認識して通信データを自動的に暗号化・復号します。公開鍵暗号方式のような電子署名や認証手続きなどは不要です。
無線LANの暗号規格
運用は単純であっても、暗号強度は高い必要があり、パソコンやアクセスポイントでの互換性のために標準化が求められます。以下はそのための規格です。
- WEP(Wired Equivalent Privacy)
-
IEEE 802.11で採用され、RC4という暗号化アルゴリズムを元にした共有鍵暗号方式で、秘密鍵には40bitまたは128bitの鍵を使用します。初期段階での方式であり、解読が容易なことから、現在では利用しないようにいわれています。
- WPA(Wi-Fi Protected Access)
-
Wi-Fi Allianceが制定したTKIP方式による暗号化と認証の組み合わせの仕組みです。
TKIP(Temporal Key Integrity Protocol)パケット毎に暗号鍵を自動生成する暗号化プロトコルで、次の2方式があります。
・エンタープライズ用:EAPを利用したID,パスワード認証を使用
・パーソナル用:PSK(Pre Shared Key, 事前共有鍵)による暗号化方式を使用
- WPA2/3
-
IEEEは、WPAをベースにIEEE802.11iを策定しました。
WPA2、WPA3は、WPA、IEEE802.11iをベースにして、AESに対応した方式です。通常の無線LANでは、これが標準的な方式になっています。
- AES(Advanced Encryption Standard)
-
NIST(National Institute of Standards and Technology、米商務省標準技術局)により認定された
米国政府標準の暗号化方式です。WPA2の標準暗号方式になっています。
- WPS(Wi-Fi Protected Setup)
-
無線LAN機器の接続やセキュリティに関する設定を容易に行うことができる機能です。Wi-Fi Allianceが規格化しました。WPSは接続や暗号化のプロトコルそのものではなく、それらを組み入れるためのものです。