CCNAの試験に向けて学習中。
復習に見返せるようにメモしていきます。
ほぼ自分の勉強メモです。
過度な期待はしないでください。
前回投稿記事
こちらの ワイヤレスLAN(無線LAN)投稿記事の続きです。
3.ワイヤレスLANのセキュリティ - #### 3-1.セキュリティの必要性 ワイヤレス通信は、電波によってアクセスポイントとクライアント機器が接続する為、 機器同士の接続が有線での接続よりも不透明です。また電波による通信の性質上、 電波の範囲内に存在する機器であれば簡単に通信が受信が出来てしまいます。
その為、ワイヤレスLANにおいてネットワークを保護するには、
「データの暗号化」や「クライアント端末の認証」に焦点を当ててセキュリティの実装を
行う必要があります。
■ 3-1-1.データの暗号化
電波の性質上、電波の届く範囲内であれば、そのデータを受信出来てしまう為、
データの暗号化が必須です。アクセスポイントとクライアント端末の間で共通する暗号化方式を
利用する事で、データをアクセスポイントだけが読み取れるようになり、安全にデータを送信を
する事が出来ます。
ワイヤレスLANで使用される暗号化方式 ※1のアルゴリズムには、「RC4」や「AES」などがありますが、
現在主流な暗号化方式は「AES」です。
※1 暗号化方式には共通鍵暗号と公開鍵暗号の2つがあります。
◼︎共通鍵暗号では、通信接続先ごとに共通鍵を生成する必要があり、
共通鍵暗号で使用するアルゴリズムには「RC4、DES、3DES、AES」などがあります。
◼︎公開鍵暗号では、暗号化と復号(暗号データを元に戻す処理)に別の鍵を使用します。
暗号化に使用する鍵は公開鍵と言い、復号に使用する鍵は秘密鍵と言います。公開鍵暗号では、
受信者側が公開鍵と秘密鍵を生成します。
■ 3-1-2.クライアント端末の認証
電波による性質上、アクセスポイントには不特定多数のユーザが接続を試みる事が可能です。
その為、悪意のあるユーザや非正規のユーザからもアクセスポイントへ接続出来てしまう危険性が
常に存在します。その為、アクセスポイントが接続を試みたクライアント端末に対し、認証を行う事で
正規ユーザがどうかを識別する事が出来ます。
ワイヤレスLANでは、パスフレーズによる事前共有鍵認証やRADIUSサーバを使用した
IEEE 802.11X認証を行います。
▶︎ 事前共有鍵認証
事前共有鍵認証(PSK認証)は、アクセスポイントとクライアント端末全体で同じパスフレーズを
設定します。そのパスフレーズから暗号鍵(事前共有鍵)が生成され、これを利用して
送受信するデータの暗号化と復号を行います。
実装方式によっては3台以上の機器で同じパスフレーズなどを使い回す形となる為、
小規模な無線LAN、公共のワイヤレスネットワークで広く普及されています。
しかし、事前共有鍵認証は、設定しているデバイスが紛失したり、異動者などによって暗号鍵が
流出する可能性がある為、セキュリティ強度として決して高いとはいえません。
▶︎ IEEE 802.11X認証
IEEE 802.11X認証を用いる事で、ワイヤレスLANにおいてもユーザ認証を実装する事が出来ます。
IEEE802.1X認証は、下記の3つの装置で構成されます。
● クライアント端末(Supplicant・サプリカント)
● 認証装置(Authenticator・オーセンティケータ)
● RADIUSサーバ(Authentication Server・認証サーバ)
基本構成は、下の図のように、「サプリカント - オーセンティケータ - RADIUSサーバ」の
順の配置になります。
有線LANでは、スイッチがオーセンティケータの役割になりますが、ワイヤレスLANでは、
アクセスポイントがオーセンティケータの役割として動作します。そして、ユーザIDや
パスワードなどを使用してユーザの認証を行います。
IEEE 802.11X認証では、ユーザの認証情報は EAPというデータリンク層のプロトコルを利用して
送受信されます。また、有線LANや無線LANにて EAPを使えるようにするプロトコルである、
EAPOL (EAP over LAN)を利用します。
▶︎ EAP
IEEE802.1X/EAP認証には色々な種類があります。
| 認証方式 | 説明 |
|---|---|
| LEAP | クライアントとサーバ間でユーザIDとパスワードによる認証を行うCisco独自の認証方式。現在ではほぼ使われていない。 |
| EAP-FAST | クライアントとサーバ間でユーザIDとパスワードによる認証する際にPACという独自のフォーマット使用して認証を行うCisco独自の認証方式。 |
| PEAP | クライアントはユーザIDとパスワードで認証を行い、サーバは電子証明書で認証を行う方式。Windows PCで標準搭載されている。 |
| EAP-TLS | クライアントとサーバ双方が電子証明書で認証を行う方式。Windows PCで標準搭載されている。 |
#### 3-2.ワイヤレスLANのセキュリティ規格(暗号化) ワイヤレスLANのセキュリティ規格には以下の4つあります。 ● WEP ● WAP ● WAP2 ● WAP3
■ 3-2-1.WEP
WEP(Wired Equivalent Privacy)は、RC4というアルゴリズムをベースにした共通鍵暗号方式で、
40ビットまたは104ビットの固定長のWEPキーという共通鍵を用いて認証と暗号化を行います。
ワイヤレスLAN標準の暗号化システムとして採用されたが、様々な脆弱性が発見・報告された為、
現在では使用を中止して WPAなどの後継規格に移行すべきとされている。
■ 3-2-2.WPA
WEPの脆弱性が発覚した事から、IEEE802.11では新たなセキュリティ規格として
IEEE802.11i (WPA2) の策定化作業をはじめました。しかし、標準化にはかなりの時間が必要である事が
分かり、標準化に時間が掛かってしまう事からWi-Fi アライアンスがIEEE802.11i(WPA2)の中で
容易に実装できるセキュリティ技術を部分的に先取りした規格を策定しました。
それが、WPA(Wi-Fi Protected Access)です。
WPAは、暗号化方式に TKIP(Temporal Key Integrity Protocol)を使用して堅牢なセキュリティを
実現しています。TKIPは、データ部分に MIC(Message Integrity Code)というフィールドを付加し
メッセージの改ざんを検知出来るようにしています。
また、WPAは暗号化のアルゴリズム自体は WEPと同様にRC4を採用しています。
■ 3-2-3.WPA2
WPA2の動作は、殆どWPAと共通している部分が多いですが、異なる点は WPA2では暗号化方式に
CCMP(Counter-mode CBC-MAC Protocol)を採用している事です。CCMPはAESに基づいて
データの暗号化を行います。最長 256ビットの暗号鍵を利用出来る事から、WPAに比べて格段に
セキュリティ強度が高くなります。
また、CCMPは改ざん検知に、CCM(Counter with CBC-MAC)の仕組みを採用しています。
なお、WPA2における事前共有鍵認証は「WPA2パーソナル」、IEEE802.1X認証は
「WPA2エンタープライズモード」といいます。
■ 3-2-4.WPA3
WPA3とは、2018年6月にWi-Fiアライアンスが発表した、無線LANのセキュリティを強固にした
新しいプロトコルの事です。
WPA3の特徴として SAE(Simultaneous Authentication of Equals)というハンドシェイクによる防護が
あります。WPA3が発表される前に使われていたWPA2には、KRACKsと呼ばれる深刻な脆弱性がありました。
これは攻撃者が中間者攻撃をしかける事により、暗号化通信の盗聴や改ざんが行われてします脆弱性です。
WPA3ではKRACKsへの対策を施すSAEハンドシェイクを導入しました。これは仮にパスワードが
漏洩しても、通信内容を暗号化し解読不可能にする技術です。これによりKRACKsを無効化
出来るようになりました。
また、WPA3には、誤ったパスワードによるログイン試行が一定回数続くと、ログインを
ブロックする機能が追加されました。これにより辞書攻撃や総当たり攻撃(ブルートフォースアタック)等に
よる手あたり次第のログイン試行による危険性を防げます。