Since: Sep 9, 2001
Last update: Dec 19, 2008

公共利用の無線LAN/イーサネット・ジャックのセキュリティ対策

  1. 新着情報
  2. 現状と問題点
  3. 認証ゲートウェイを用いたセキュリティ対策
  4. 参考文献
  5. 応用例
  6. システム構築ガイド
  7. リンク集

新着情報

[2008.12.19]
調査報告「 香港における公衆無線LANとeduroam [PDF]」 を公開しました。

[2007.3.1]
学内で展開中の「 どこでもTAINS」のサイトを更新しました。

[2006.9.28]
全国共同電子認証基盤(UPKI)構築事業 において、国内外の教育研究機関で無線LAN/有線接続のローミングを実現する プロジェクトが進行しています。 このプロジェクトの成果の一部として、eduroam への加盟が実現しました。 現在は試験運用の段階ですが、詳しくは http://www.eduroam.jp/ で情報が得られます。

[2006.3.20]
Secure Shell 認証方式は、 ユーザ認証時のセキュリティは高いのですが、 ポリシーが異なる部局間でのローミングが難しい、 ログイン操作が少々煩わしいという欠点があります。 ローミングなどの利便性を考えると、VPNベースの方式が有利です。 最近、本学では、VPNベースの方式である「どこでもTAINS」を展開しています。 詳細はリンク集にあるTAINSニュースの記事をご覧ください。

[2005.3.15]
最近 ピア追跡エージェント (trackpeer) なるものを作っています。 中〜大規模な無線LANシステムでは、お役に立てるかもしれません。

[2005.3.15]
「現状と問題点」は一部正味期限切れです。ご了承ください。

現状と問題点  -   一部正味期限切れ

無線LANのアンテナや イーサネット・ジャック *1 をキャンパスやカフェ、ホテルや空港のロビーなどに配置するという事例をよく目にするようになりました。 公共の場で大多数の人間に無線LANやイーサネット・ジャックを利用させるには、 何らかのセキュリティ対策が必要です。 ユーザ認証もなしに、 誰でも自由にネットワークに接続できるようならば、 様々な不正アクセスの温床になることでしょう。

ところが、現在よく出回っている無線LAN製品のセキュリティ対策は、 このような用途には向きません。 製品紹介ではよく ``SSID/ESSID''、``WEP''、``MACアドレス認証'' を挙げてセキュリティ対策は大丈夫だと書かれています。 大規模利用者が対象ならば、SSID/ESSID や WEP の暗号化鍵は公開することになるので、 まったくセキュリティ対策になりません。 攻撃者は、SSID/ESSID と WEP の暗号化鍵を手に入れて、 ネットワークに簡単にアクセスできてしまいます。 そもそも SSID/ESSID はセキュリティ対策ではないし、 WEP (64bit (40bit), 128bit (104bit)) は暗号化鍵を秘密に保持できる利用形態 でさえもセキュリティ上の問題があるという報告もあります。

MACアドレス認証は、登録できるアドレスが一般に非常に少ない上に、 大規模利用者 *2 の登録の手間や、 盗難カードによるなりすましの問題があるので、 セキュリティ対策としては不適切です。 そもそも、利用者ではなくてハードウェアを認証するところに問題があると言えます。

IEEE 802.1x に対応し、 ユーザ認証機能により安全性を高めた無線LAN製品も幾つか登場してきました[1,2,3]。 しかし、現時点(2002年5月)ではまだ機材も高価な上に、 対応クライアントが少ないという問題があります。 今すぐに IEEE 802.1x 対応のシステムを利用できるサイトは限られているでしょう。 Windows XP では IEEE 802.1x の機能が標準で組み込まれるようになったので、 他の様々なOSでも利用できるようになれば、 IEEE 802.1x の普及が期待できるかもしれません。

イーサネット・ジャックの場合、ハブやスイッチがバックボーン・ネットワークに直結されていたり、 ルータを介して常にバックボーン・ネットワークにアクセスできるようならば、 ケーブルをジャックに挿し込むだけで様々な不正アクセスが可能になります。 MACアドレス認証に対応したスイッチが市販されていますが、 MACアドレス認証が公共利用のシステムに向かないということは、前述したとおりです。

無線LANでもイーサネット・ジャックでも、 ユーザ認証が行われるまでは外のネットワークに到達できないように、 アクセス制御を行う必要があります。 このようなユーザ認証・アクセス制限を比較的容易に、かつ安価に実現する方法の一つに、 「認証ゲートウェイ」の利用が挙げられます。 実際、これまでに幾つもの方法の提案や、実装例の紹介 *3 があります [4]。 セキュリティ面ではある程度の限界もありますが、ネットワークへの 接続口のセキュリティ対策としては非常に有効です。 無線LANアクセスポイントやイーサネット・ジャック の不正利用から身を守るためにも、 未対策のサイトでは認証ゲートウェイの設置を検討してみることをお奨めします。


認証ゲートウェイを用いたセキュリティ対策

以下に示す authipgate を用いる方法は、 おそらく最も単純で安価に実装できるユーザ認証・アクセス制御方法です *4。 単純ではありますが、セキュリティ面で高い安全性を有します [5,6]。 ただし、ユーザ認証時のセキュリティは優れていますが、 通信内容の暗号化による保護は考慮されていないので、 盗聴が問題となる用途では適当なセキュアな通信手段 (Secure Shell や SSL など)を併用してください。

-> 詳しいシステム構築ガイドはこちら

無線LANアクセスポイント / イーサネット・ジャック が収容されたサブネットの中では、 端末間の攻撃は可能です。 攻撃元が絞り込みやすいように、 小さめのサブネットを割り当てるのがコツです。

Network with Authenticating Gateway
図 : 認証ゲートウェイを使用したネットワーク構成の例


*1 教育機関では俗に ``情報コンセント'' とも呼ばれていますが、 とても広い意味をもつ ``情報'' と和製英語の ``コンセント'' を合体させるとは、 なんとナンセンスな言葉でしょうか。教養を重視する機関で率先して使うような 言葉とはとても思えません :p
ちなみに、英語圏では (public) ethernet jacks, portable plugs, access ports, access points (特にwireless), open ports などが使われているようです。 完全な public や open ではないので、ethernet jacks や access ports あたりが無難でしょうか。
*2 数千〜数万人の学生が居る学校はざらにあります。
*3 従来の方法や実装の中には、 ユーザ認証情報の盗聴対策や、ハイジャックによる「なりすまし」への対策、 偽の認証ゲートウェイへの対策が欠けているものが多く見受けられるので、注意が必要です。 例えば、暗号化されていないウェブページや telnet でログインさせるものはダメです。
*4 徹底的なハイジャック対策が必要なら、単なるIPパケットの中継ではなくて、 何らかのトンネリングを使うことになるでしょう。 現状(2002年5月現在)では普及している手頃なトンネリング手法がないので、 複雑なことをしても利用者がついてこれるようなサイトを除いては、 このような対策は難しいと言えます。
*5 OpenSSH 2.9 以降の ClientAliveInterval/ClientAliveCountMax も利用できます。ただし SSH2 専用なので、クライアントの種類が制限されます。


参考文献

  1. Cisco Aironet 350 シリーズ, ワイヤレスLANセキュリティ
  2. Cisco Aironet 1200 シリーズ, データシート
  3. セキュリティ(2) --- より高度なセキュリティ IEEE 802.1x と EAP ---   (www.ibm.com/jp内)
  4. Authentication Gateway HOWTO   ( 日本語訳版)
  5. 後藤英昭, 満保雅浩, 静谷啓樹, ``廉価なスイッチと Secure Shell を利用した安全な情報コンセントの構成方法,''   信学論(D-I), J84-D-I, No.10, pp.1502-1505, 2001. ( あらましとPDFファイル)
  6. 後藤英昭, 安西従道, 二階堂秀夫, 千田栄幸, 満保雅浩, 静谷啓樹, ``ユーザ認証機構を有する安全な無線LAN・情報コンセント統合システムの構築,''   平成13年度 情報処理教育研究集会 講演論文集, pp.382-385, 2001. (PS , PDF)


応用例

キャンパスで使う
教育機関などで、無線LAN/イーサネットジャックのインフラとして使います。 特に大学では、キャンパス内に一般市民が自由に出入りできる所が多いので、 アクセス制限は必須です。 学生には教育用計算機などのアカウントを利用させると良いでしょう。 学会などで来客の端末を接続させる場合は、 会期のみ有効なゲスト用アカウントを発行すれば良いでしょう。 アカウント情報の漏洩に備えて、 ゲスト用アカウントのパスワードは時々変更すべきです。

研究室やオフィスで使う
廊下や隣戸から研究室やオフィスのLANに侵入されたくなければ、 アクセス制限が必要です。 アクセス制限をかける方法として、MACアドレス認証とWEPの組合せが広く用いられています。 しかし、MACアドレスは偽造が容易です。 WEPも、十分な数のパケットが傍受できれば暗号化鍵を見破ることができ、 LANへの侵入を許してしまいます。 ユーザ認証に基づくアクセス制限を併用していれば、 WEPの鍵が破られた場合でもすぐにはLANに侵入できなくなり、 より強固なセキュリティが実現できます。 WEPの鍵を定期的に変更することもお忘れなく。

自宅で使う
基本的には研究室やオフィスと同様です。 WEPの鍵を頻繁に変えているなら、 認証ゲートウェイを設置するほど神経質にならなくても良いかもしれません。

喫茶店やレストランなどで使う
無線LANを来客だけに開放し、 店外の通りすがりの人や隣戸の住人には使わせたくない、という場合に使います。 ゲスト用アカウントを作成して、IDとパスワードを店内にだけ掲示しておけば、 一度も店に入って来なかった人間にとっては、 他人からアカウント情報を聞き出さない限り無線LANを使えなくなります。 注文を取った時にアカウントを渡すのでも良いかもしれません。 ゲスト用アカウントは「日替わり」にすると良いでしょう。

ホテルなどで使う
基本的には喫茶店・レストランと同様です。 宿泊客以外に無線LAN/イーサネットジャックを使わせたくないのであれば、 チェックインの際にアカウントを割り当てることも考えられます。


システム構築ガイド


リンク集

authipgate を利用したシステム構築の例 :


ローミング対応VPN方式 :


他方式や他サイトに関する情報 :


All Rights Reserved, Copyright (C) Hideaki Goto 2001-2007
ご意見・ご要望は authipgate-@-rd.isc.tohoku.ac.jp (ハイフンは除く)まで。