無線LANセキュリティの救世主 IEEE802.1xについて 環境情報3年 蟻川 朋未 はじめに 無線LANの脆弱性 もはや従来のままでは対応できなくなって いる →IEEE802.1xに注目 プレゼンテーション内容 1.無線LANセキュリティの実状と IEEE802.1x 2. IEEE802.1xとは 3.実際の導入 4.まとめ 1. 無線LANセキュリティの実状 とIEEE802.1x 1-1.無線LANセキュリティの 実状 SSID(ESSID) WEP(共通鍵) MACアドレスフ ィルタリング 1-2.IEEE802.1xによる セキュリティ強化 ・認証の厳密化 ・鍵配布 2. IEEE802.1xとは 2-1.IEEE802.1xの誕生 1998年 IEEE(米国電気電子技術者協 会)で有線LAN向けの仕様として検討開始 2001年 仕様決定 2002年2月 公開 不正なLANアクセスを防ぎ、正規ユーザー だけにLANを使わせるための認証規格 →無線LANに適用 2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、 ユーザーを認証 ・WEPでの通信を開始する前にユーザー名/ パスワードや電子証明書を使って認証し、 不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能 鍵配布 認証時にWEPキーを端末に配布する。 一定時間たつと新しいWEPキーを再配布 する Air Snortなどの攻撃を防ぐことができる 2-3.IEEE802.1xを適用した認証 シーケンス 3. 実際の導入 3-1.では導入してみよう 802.1x対応のアクセスポイントを 導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー(認証サー バー)の種類 ②認証方式 ③802.1x対応のクライアントソフト 3-1-1.RADIUSサーバーとは RADIUS・・・ダイヤルアップ接続のための 認証システム、または認証を行うためのプ ロトコル アクセスサーバは、ユーザー利用者名と パスワードを、RADIUSプロトコルを使用 してRADIUSサーバへ伝送し、ユーザー 利用者として認証されれば接続を許可す る仕組みである。 ①RADIUSサーバーの種類 大きく三つに分けられる Windows2000 Serverに標準で付属する RADIUSサーバー 「Internet Authentication Server(IAS)」 米Funk Software社の「Odyssey」 アクセスポイント・ベンダーが販売している RADIUSサーバー IASの場合 アイコム、インテル、コンテックはIASとの連 携動作だけを保証 メリット ・Windows2000Serverをすでに利用してい るなら追加の費用がかからない。 ・マイクロソフトが無償でクライアントソフト を配布 Odysseyの場合 NECインフロンティア、エンテラシス・ネット ワーク、富士通、プロキシムがサポート IASとの連携動作も保証 IASよりも多くのクライアントをサポート アクセスポイント・ベンダーがサ ポートしているRADIUSサーバー の場合 NEC、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築する 場合 RADIUSサーバー、アクセスポイント、無線 LANカード、とも自社製品の組み合わせでしか 動作を保証しない RADIUSサーバ-の種類① Enterpras ステラクラフト (TLS) NavisRadius4.3 日本ルーセント fullflex wireless アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP対応 RADIUSサーバソフト メルコ Capcella Radius Server ZAOnetworks (MD5、TLS) RADIUSサーバーの種類② SecureACS シスコシステムズ株式会社 (LEAP、EAP-PEAP、EAP-TLS、EAP-MD5) IAS Microsoft Steel Belt RADIUS、Odyssey Funk社 FreeRADIUS freeradius.org 3-1-2.認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP MD5 クライアント認証はMD5アルゴリズムを用 いたパスワード方式 →簡単なパスワードだと破られる サーバー認証を行わない →別のサーバーに変えられて盗聴されると いう危険性 TLS SSLの後継 デジタル証明書を用いたPKI(公開鍵暗 号)による相互認証 WEPキーの配布 パケットの暗号化 EAP-TTLS 米FunkSoftware社による TLS認証の後、RADIUSでのユーザー認証 を実行する デジタル証明書は用いない PEAP Microsoft社による TLS認証の後、EAP自体をカプセル化して 安全性を高めた上で認証 アクセスポイント間でのローミング機能が ある 認証方式の比較 認証方式 MD5 LEAP TTLS PEAP TLS クライアント認証 パスワード方式 パスワード方式 パスワード方式 パスワード方式 電子証明書 サーバー認証 なし パスワード方式 電子証明書 電子証明書 電子証明書 3-1-4.802.1xの導入 3-1-5. SFCでの導入 現状 機種:MELCO社 AIRCONNECTWLA-L11 規 格 : ARIB STD-T66/RCR STD-33 IEEE802.11b準拠 ESSID設定 学部→ 000000SFC 大学院 → 000000MAG 無線チャンネル設定 主に「10」を設定 WEP設定 なし SFCでの導入 RADIUSサーバー:IAS 認証方式:TTLS、PEAP、LEAP SSIDのAnyアクセス拒否が可能なもの →富士通のFMWT-52AB プロキシムのORiNOCO AP-2000 ?? 4.まとめ 認証方式やRADIUSサーバーなど乱立し ているので、自分の環境に合わせて導入 方法を選択しよう。
© Copyright 2024 ExpyDoc