インターネットの仕組みと関連技術 2

Information Security 2014
情報セキュリティ(2014年11月7日)
インターネットの仕組みと関連技術2
学術情報基盤センター
升屋正人
masatom@cc.kagoshima-u.ac.jp
Information Security 2014
ドメインの構造
• ドメイン名
• 電子メールアドレスの場合は@の右側
• help@cc.kagoshima-u.ac.jp
• URLの場合はFQDN(完全なドメイン名)から
最初の「.」まで(ホスト名)を除いた部分
• http://www.kagoshima-u.ac.jp
• 「.」で区切る
• 右側の文字列ほど上位の階層
• 最上位がTLD(Top Level Domain)
• 次がSLD(Second Level Domain)
Information Security 2014
トップレベルドメイン(TLD)
• gTLD(Generic TLD)
• 組織の種別を表すTLD、別名一般TLD
• ccTLD(Contry Code TLD)
• 国や地域に割り当てられたTLD、別名nTLD(national TLD)
Information Security 2014
gTLD
• edu, gov, milのみ米国限定、他は国際的に登録
可能(赤字はよく使われているgTLD)
• com, net, org, int(iTLD)
• 古くから使われる
• aero, biz, coop, info, museum, name, pro
• 2000年追加
• jobs, travel, mobi, cat, tel, asia
• 2005~2006年追加
• sTLDとも言う
• 2011年任意のTLD→.canonとか
Information Security 2014
ccTLD
• ISO3166で規定されている2文字の国
コードを用いる
• au, ca, cn, de, fr, jp, kr, us, eu
• 一部に例外(英国はgbだがukも使用)
• 割り当て対象をどうするかは各国が決定
• 通常はその国で活動する個人や組織だが例外も
• cc, to, tv, fmなどは国際的に使用可能
Information Security 2014
セカンドレベルドメイン(jp)
• 組織種別(属性型)ドメイン
• 一組織に一つだけ割り当て
• ac, ad, co, ed, go, gr, ne, or, lg
• 地域型JPドメイン
• 一般地域型ドメイン
• 組織や個人が取得可能
• 地方公共団体ドメイン
• 地方公共団体が取得可能
• 汎用JPドメイン
• jpの直下のドメイン名
Information Security 2014
汎用JPドメイン
• 日本国内に住所があれば登録できる
• いくつでも登録できる
• 日本語文字を使ったドメイン名も可能
• ブラウザが対応している必要有り
• ドメイン名の移転(登録名義の変更)が可能
• 組織種別ドメインとの併用も可能
Information Security 2014
鹿児島大学が持っているドメイン
• 組織種別ドメイン
• kagoshima-u.ac.jp
• 汎用JPドメイン
• kagoshima-u.jp
• 鹿児島大学.jp
• 鹿児島大.jp
• 鹿大.jp
• kadai.jp → 生涯メールアドレスで使用
• kadai.ne.jpは鹿児島大学生協が登録
• ドメイン登録は早い者勝ち
Information Security 2014
ドメイン名管理組織
• ドメイン名、IPアドレス、プロトコルなどのイン
ターネット資源は全世界で調整
• 全世界
• ICANN(1998年まではIANAが管理)
• IPアドレスは地域別に管理
• ARIN, RIPE-NCC, LACNIC, AfriNIC, APNIC
• 日本の管理組織JPNICはアジア太平洋地域を担当する
APNICの下部組織
• ドメイン名は国別に管理
• JPNICがドメイン名の登録管理業務を行うために2000
年12月に設立した会社がJPRS
Information Security 2014
Ethernet
• 100BASE-TX ← 現在の主流
• 100Mbps
• カテゴリ5のLANケーブル(より対線)
• 1000BASE-T ← 現在の主流
• 1Gbps
• エンハンストカテゴリ5のLANケーブル
• ほかにも光ファイバを用いる規格などがある
• 100BASE-FX
• 1000BASE-SX, 1000BASE-LX
• 10GBASE-SR, 10GBASE-LR
Information Security 2014
Ethernetの通信
• 同一セグメントのすべてのコンピュータに向け
データを送信
• セグメント=Ethernetにおいてデータが到達し得る範
囲
• HUB(ハブ)で拡大
• リピータハブ(電気信号を増幅するだけ)
• スイッチングハブ(宛先を見て判断)
• 自分宛のものだけ処理する
• 自分宛かどうかはMACアドレスで判断
Information Security 2014
MACアドレス
• MAC=Media Access Control
• 機器固有の情報
• NIC(Network Interface Card)ごとにメーカーが付
ける
• 「物理アドレス(Physical Address)」とも言う
例:00-16-A9-9D-6C-17
Information Security 2014
無線LAN
• インフラストラクチャモード・アドホックモード
• IEEE802.11b
• 2.4GHz帯、最大11Mbps
• IEEE802.11a
• 5GHz帯、最大54Mbps、2005年5月から屋外利用可(一部の帯域)
• IEEE802.11g
• 2.4GHz帯、最大54Mbps、b/g対応機器多
• IEEE802.11n
• TGnSyncによりチャンネル幅を2倍の40MHzに
• MIMOにより複数のアンテナを用いて帯域を増やす
• 4本のアンテナで最大600Mbpsの通信が可能
• 2本のアンテナ20MHzで108Mbps
• 3本のアンテナ40MHzで300Mbps
Information Security 2014
その他のLAN接続
• 電力線通信(PLC)
• 電気配線を用いてデータを送受信
• 最大150m
• HD-PLC
• 4〜28MHz, 最大190Mbps
• HomePlug AV
• 2〜30MHz, 最大200Mbps
• UPA
• 2〜30MHz, 最大190Mbps
• コンセントにPLCモデムを接続すればよい
• 電化製品からのノイズにより通信速度は低下
Information Security 2014
無線LANの歴史(黎明期)
• 米国
• 1980年代末に900MHz帯・2.4GHz帯・19GHz帯が
無線LAN用(免許不要)に開放
• ISM帯(900M/2.4G)では干渉に強いSS(Spread Spectrum)方
式により1~2Mbps
• 19GHz帯は他に使用されていないためPSK/FSK方式により
25Mbps
• 日本
• 2.4GHz帯(2471~2497MHz:現在の14ch)
• 米国の2.4GHz帯は2400~2483.5MHz
• 国産初はJRL(日本無線)のJRL-100(1993年)
• 19GHz帯は免許必要局
Information Security 2014
IEEEでの標準化
• IEEE802.11(1997年)
• 物理層や通信プロトコルを規格化(~2Mbps)
• IEEE802.11b(1999年)
• 物理仕様(変復調の仕様)を規定
• CCKにより11Mbpsに高速化(当時の有線LAN(10Mbps)より高速)
• IEEE802.11a(1999年)
• 5.2GHz/5.3GHz帯無線LAN(新規に割り当てられた周波数)
• OFDM方式により54Mbps
• IEEE802.11g(2001年)
• OFDM方式により54Mbps
• DSSS/CSK方式も使用可能
• 実効速度は802.11aの方がわずかに高速
• IEEE802.11n(2009年)
• MIMO・チャンネルボンディング(40MHz帯域)により最大600Mbps
• 市販製品の最高速度は450Mbps
• IEEE802.11ac(策定中)
• 5GHz帯・MU-MIMO・160MHz帯域・256QAMで最高6.93Gbps
• 一部に対応した製品が市販(600Mbps)
Information Security 2014
ARIB(旧RCR)による国内での標準化
• ARIB:社団法人電波産業会
• RCR:財団法人電波システム開発センター
• RCR STD-33/RCR STD-34(1993年)
• 2.4GHz SS/IR(STD-33), 19GHz(STD-34)
• 2,471~2,497MHz
• ARIB STD-T66(1999年・2002年・2007年)
• IEEE802.11b/g/nに相当
• 2,400~2,483.5MHz
• ARIB STD-T71(2000年・2002年・2007年)
• IEEE802.11a/nに相当
• 5.2GHz帯(5.15~5.25)・5.3GHz帯(5.25~5.35)・5.6GHz帯
(5.470~5.725)
• T70とT72は製品なし
Information Security 2014
国内の周波数の開放(2.4GHz/5GHz)
• 1992年12月25日
• 2,471~2,497MHzと19GHz帯(免許要)
• 1999年9月
• 2,400~2,483.5MHz(欧米と同一)
• 2000年3月
• 5.2GHz帯(5.17,5.19,5.21,5.23)→J52
• 地球探査衛星のアップリンクと共用のため屋内限定
• 2005年5月
• 5.2GHz帯(5.18,5.20,5.22,5.24に変更)→W52
• 5.3GHz帯(5.26,5.28,5.30,5.32)
• 気象レーダーへの与干渉を避けるため屋内限定&DFS(レーダー波検知による自動チャンネル変更)機能必須
• 2007年1月
• 5.6GHz帯(5,470~5,725:11チャンネル)
• 船舶・航空レーダーと共用のためDFSとTPC(送信出力制御機能)が必須
• 2007年6月
• 5.2GHz帯(40MHzシステムで5.19,5.23を追加)
• 5.3GHz帯(40MHzシステムで5.27,5.31を追加)
Information Security 2014
その他の周波数
• 4.9GHz帯(4.9~5.0) … 5GHz帯無線アクセスシステム
• 登録制・無線局免許不要・無線従事者免許(三陸特)必要
• 5.03GHz帯(5.03~5.091)
• 4.9GHzと同条件(2012年11月が使用期限・現在は使用不可)
• 19GHz帯(19.495~19.555)
• 無線局免許必要(米国では不要)
• 免許局ゼロの後、2010年に廃止
• 25GHz帯(24.77~25.23,27.02~27.46)
• 免許不要・多チャンネル(23チャンネル)
• 製品が高価
• 60GHz帯(59.0~66.0)
• 免許不要
• 製品は少なく非常に高価→IEEE802.11ad(WiGig)開発中
Information Security 2014
チャンネル番号(2.4GHz帯)
• IEEE802.11b/gで規定
• 中心周波数2,412MHz(ch1)から2,472MHz(ch13)ま
で5MHz間隔+2,484MHz(ch14)
• 802.11gの場合約16.6MHz幅を使用するので
20MHz(4チャンネル)以上離れたチャンネルを使用→
同一場所では最大4チャンネル
• 電波法上はチャンネルの規定がないため自由に設
定してよい
• IEEE802.11b/gに規定されていない周波数の使用も可
Information Security 2014
チャンネル番号(5GHz)
• IEEE802.11a/jで規定
• [a] 5,005MHz(ch1)から5,900MHz(ch180)まで5MHz間隔
• [j] 4,905MHz(ch181)から4,995(ch199)まで5MHz間隔
• IEEE802.11jは登録必要・局免許不要・従事者免許必要
• 5.2GHz帯
• 電波法でチャンネルを指定
• 指定外の使用は不可
• 34,38,42,46(J52)
• 36,40,44,48(W52), 38,46(W52/40MHz)
• 52,56,60,64(W53),54,62(W53/40MHz)
• 100,104,108,112,116,120,124,128,132,136,140(W56),
102,110,118,126,134(W56/40MHz)
Information Security 2014
無線LANの出力
• 10mW/MHz以下
• 無線局免許が不要な特定小電力無線局の空中線電力10mWを拡大
解釈
• 1MHzあたり10mW以下
• SS方式の場合広い帯域に拡散するため拡散幅を電波法上限の
26MHzにすれば総電力は260mW
• アンテナ交換可能だが最大EIRPが規定
• EIRP:等価等方向輻射電力(理想アンテナによる送信電力に置き換え
たもの=アンテナからの出力)
• 出力同じでもアンテナの利得が大きくなるとEIRPが大きくなる
• 受信感度を稼ぐためにアンテナ利得をあげることができない
• 米国では
• 1W以下&アンテナ利得6dBi以下
Information Security 2014
無線LANの変復調方式
• 情報→符号化→データ信号
• データ信号を搬送波(キャリア)に乗せるのが変調
• 搬送波に乗ったデータ信号を取り出すのが復調
• 広帯域変調方式を使用
• SS方式またはOFDM方式
• 狭帯域変調方式(PSKまたはQAM)を拡散(SS)もしくは
束ねて(OFDM)使用
Information Security 2014
PSK(位相変調)
• 搬送波の位相をデータ信号によって変化させる方式
• BPSK
• デジタル信号の1,0を0度または180度に対応付け
• QPSK
• 0, 90, 180, 270度に対応させ1回の変調で2ビットの情報が可能
→BPSKの2倍の速度
• QAM
• 位相変調と振幅変調を組み合わせる
• 16QAMで1回4ビット(64QAMは6ビット)
• 無限の多値化可能(実用的には1024QAMが限界)
• 無線LANでは16QAMと64QAMが使われる(acは256QAM)
Information Security 2014
OFDMの伝送速度
• 変調方式・符号化率で決まる
• サブキャリア数は48(11nは52)+4(パイロット信号)
• 畳み込み符号化(冗長化)により符号化率は1より小さくなる
• 伝送速度・変調方式・符号化率
• 6 BPSK
1/2(-82dBm)→必須
• 9 BPSK
3/4(-81dBm)
• 12 QPSK
1/2(-79dBm) →必須
• 18 QPSK
3/4(-77dBm)
• 24 16QAM
1/2(-74dBm) →必須
• 36 16QAM
3/4(-70dBm)
• 48 64QAM
2/3(-66dBm)
• 54 64QAM
3/4(-65dBm)
• どれを選ぶかは()内の受信電界強度で規定されている
• 11nでは64QAM,5/6の65Mbpsが最大
• GIを短くして72.2Mbpsまで帯域拡大
Information Security 2014
スペクラム拡散(SS)方式
• 情報と無関係な符号によって広帯域化された信号
を使って伝送する方式
• 直接拡散方式(DS)
• 拡散符号(疑似雑音:パーカー符号)を乗算して広帯域化
• 周波数ホッピング方式(FH)
• あらかじめ決められたシーケンスで自動的かつ高速に周波数を
変化
• CCK
• 複数種類の拡散符号を使ってDSを高速化
• IEEE802.11b
Information Security 2014
OFDM方式
• 複数のサブキャリアに分割して並列伝送
• サブキャリアを高密度に配置できるため周波数利
用効率が高い
• マルチパス、フェージングの影響を受けにくい
• DSSSも耐性あり
• IEEE802.11a/g
• テレビ放送も
Information Security 2014
無線LANパケットのフレーム・フォーマット
Information Security 2014
CSMA/CA
• 送信しようとするキャリアがないことを確認して
から送信を開始
• 送信中はキャリアセンスできないため送信開始前にラ
ンダムな待ち時間をとる
• CSMA/CDは送信中でも衝突を検知して中止
• 同じ周波数を同時に使うのは1台のみ
• キャリアセンスできない2台の子機が同じ親機に同時
に送信してしまう場合がある→隠れ端末問題
• 微弱な電波でも検知すると送信を待機する
• 遠距離の無線LANアクセスポイントの存在により近距
離の通信でもスループット低下
Information Security 2014
ARQ(Automatic Repeat Request)
• 受信側で誤りが検出されたら再送要求する方式
• 送信側では誤り検出符号を使って符号化
• 無線LANではSAW(Stop And Wait)方式
• 送信側はパケット送信の後、受信側からのAck/Nakを待ち、
Ackを受信したら次を送信/Nakを受信したら再送
• 何も帰ってこない場合(待ち時間以内にAckを受信できない場合)も再
送
• 受信側ではエラーが検出されたらNak
• 再送回数は数回~十数回が上限
• PERが高い回線でも再送を増やせば誤りを低減可能
Information Security 2014
RTS/CTS(Request to Send/Clear to Send)
• パケットを送信する前に通信時間情報を含む
RTS/CTS信号をやりとりし、記された時間分だ
け他局の送信を待機させる
• スループットは低下するためデフォルトでOFFのアク
セスポイントもある
• 「プロテクション機能」と呼ばれる場合も
• b/g混在環境でも有効
Information Security 2014
DFS(Dynamic Frequency Selection)
• 通信する前に複数のチャンネルを監視し、他の無
線局が使用していないチャンネルを自動的に選択
する方式
• 5.3/5.6GHz帯
• 60秒以上監視してレーダ波が存在しないことを確認し
てから電波を出す
• 運用中も検知動作を継続し、検知したら10秒以内に
チャンネル変更
• 検知したら30分間使用不可
Information Security 2014
占有周波数帯幅
• DSSS(11b):22MHz →25MHz間隔
• 5ch以上
• OFDM(11a/g):16.6MHz →20MHz間隔
• 4ch以上
Information Security 2014
2.4GHz帯のチャンネル配置
• 40MHzシステムの場合は同時に2チャンネル
Information Security 2014
MIMO
• データを分割して複数のアンテナを使って並行し
て送信し、複数のアンテナで受信した信号を合成
することで伝送速度向上
• 同じ電波を使う
• IEEE802.11nでは最大4ストリーム
• 伝送速度は最大4倍
• 20MHzの場合65Mbps/72.2Mbpsの倍数
• 40MHzの場合150Mbpsの倍数
• 送信機3台受信機3台なら3×3
Information Security 2014
IEEE802.11ac
• 最大6.93Gbpsの次世代無線LAN
• 5GHz帯・OFDM
• 256QAM(11nは64QAM)←法改正前はこれだけ
(600Mbps)
• 最大160MHz帯域(80MHz必須)←順次対応
• W52/W53すべて・W56の100~128ch
• 2013年3月の電波法改正で利用可能に(市販は80)
• 最大8x8 MIMO(11nは4x4) ←順次対応
• MU-MIMO ←順次対応
• 最大4台のSTAと同時通信が可能
Information Security 2014
無線LANのSSID(Service Set Identifier)
• BSSID
• AP(アクセスポイント・親機)と接続するSTA(クライア
ント・子機)によるネットワーク(BSS:Basic Service
Set)のID
• アドホックモードのネットワークはIBSS
• 無線LAN APのMACアドレスを使う
• SSID
• 複数のBSSで構成される無線LANネットワーク(ESS:
Extended Service Set)で使うように拡張したID
• ESSIDは俗称
• 32文字(8ビット×32)
• 文字種類に制限なし
Information Security 2014
SSIDを使った通信の仕組み
• Passive Scan
• APがbeaconでSSIDをブロードキャスト
• STAはbeaconを一定時間受信してSSIDが一致するAP
を探索
• STAがAPに認証要求
• Active Scan
• STAはビーコンを一定時間受信してSSIDが見つからな
かった場合SSIDをブロードキャスト
• Probe Request
• APはSSIDが一致する場合に応答
• Probe Response
• STAがAPに認証要求
Information Security 2014
SSID隠蔽(ステルス)
• APのbeaconにSSIDを乗せない
• STAからのProbe Requestに一致するSSIDが含まれ
る場合にのみProbe Response
• APからはSSIDが通知されない
• 通信中の無線LANパケットにはSSIDが含まれる
• 通信をモニタすればわかる
• Probe RequestにSSIDが含まれる
• APが存在しないところでSTAが発信する
Information Security 2014
ANY接続
• STAでSSIDを「any」に設定するとAPのSSIDの
設定に無関係に接続できるメーカー独自の機能
• IEEE802.11ではwildcard SSIDと呼ばれる長さ0の
SSIDが規定
• 公衆無線LANなどでいちいち設定の必要がない
• 「ANY接続拒否」は
• SSIDが空またはanyによる接続を行わない
• オープンシステム認証&WEPなしの場合
• SSIDを隠蔽する
• セキュリティ的には無意味&より危険
を同時に設定
Information Security 2014
MACアドレスフィルタリング
• STAのMACアドレスをAPに登録しておき、登録
外のSTAを接続させない
• 通信をキャプチャすれば接続しているSTAの
MACアドレスは検出可能
• MACアドレスは暗号化されていない
• セキュリティ対策としては十分でない
• やらないよりは有効
Information Security 2014
“認証”の種類(WEPの場合)
• オープンシステム認証
• 必ず認証に成功する=認証しない
• シェアードキー認証
• 事前共有キー(=WEPキー)により認証する
• WEPキーは暗号化のためのものだが、認証にも使用する
• 不正なAPにWEPキーを容易に知られてしまう
• オープンシステム認証の方がまし
• ESSに参加できてしまうがWEPキーが一致しなければ
通信自体はできない
• 認証になっていないため別の方法を使う
Information Security 2014
Information Security 2014
WEP
• WEPキー+IV(24bit)を使って暗号化
• WEPキーは40bitまたは104bit
• 英数字を使う場合5文字または13文字
• WEPだけを使うとキーストリームが同じになって解読
されやすくなる
• 平文には「http」などが含まれる可能性が高いため
• RC4なので通信をキャプチャしても解読できないが
WEPでは24bitのIVが平文で流れる
• 特定のIVに対するキーストリームの生成が可能
• パケットごとに変化するIVを組み合わせて使うことで
強度を高めた…つもりだった
Information Security 2014
WEPの脆弱性
• FMS攻撃
• 特定のパターンのIV(0.02%)が使われた場合にキース
トリームとIVとWEPの間に相関があることを悪用
• 特定のIVを使わないことで防御可能(WEPplus)
• 十分な量のIVを収集できれば解読可能
• PTW攻撃
• ARPインジェクション(検知は可能)でARPパケットを収
集して解読
• 鍵長128bitのRC4ならば解読困難だったが…
• 解読プログラムが存在→手順通りにやれば誰でも
解読できる
Information Security 2014
WEPの問題点
• 鍵の先頭24bitを公開し残り104bitを固定した
劣化RC4
• WEPキーが容易に解読できる
• FMS、PTWなどの解読手法が存在
• 事前共有キー認証を使っていれば中間者攻撃により容
易に解読可能
• ⇒誰でも無線ネットワークに接続できる
• 有線LANのスイッチングハブを外に並べているような
もの
• 公衆無線LANの場合WPA2でもこれと同じ
Information Security 2014
TKIP
• キーストリームを生成する鍵をパケットごとに変化させ
る
• 48bitのIVと送信者のMACアドレスと128bitの鍵(Temporal
Key)から一方向ハッシュ関数で暗号化鍵を生成
• 改ざん検知付き
• WEPキーを変化させる方式ではない…RC4だけど
• WPAで義務化
• WPA=TKIPではない(WPAにはCCMPもある)
• WPA2にもある
• 暗号化鍵を解読された…わけではない
• 現実的には困難な特殊な条件下で15分程度の時間をかければ一部
のパケットを改ざんできるかもしれない…といった程度
• →鍵更新間隔を120秒に設定すれば回避可能
Information Security 2014
CCMP
• AESで暗号化
• WPA-AES・WPA2-AESなどと記載されることが多い
• WPA2=CCMPではない(WPA-CCMPもある)
• IEEE802.11iで規定
• WPA2では義務化
• WPA/WPA2はWi-Fi Allianceが定める
• 有効な攻撃手法は現時点で存在せず
Information Security 2014
パーソナルモード・エンタープライズモード
• TKIP/CCMPでは複数の鍵を使う
• 大元がPMK(Pairwise Master Key)
• PMKを手動で設定するのがPSK方式
• =パーソナルモード
• PSKは8文字以上63文字以内
• 802.1X認証ではPMKにセッション鍵を用いる
• =エンタープライズモード
Information Security 2014
呼び方はいろいろ
• 認証方式
• ネットワーク認証(XP)・セキュリティの種類(Vista/7)
• 暗号化方式
• データの暗号化(XP)・暗号化の種類(Vista/7)
• PSK
• ネットワークキー(XP)・ネットワークセキュリティキー(Vista/7)
• PSK認証
• WPA2-PSK(XP)・WPA2パーソナル(Vista/7)
• IEEE802.1X認証
• WPA2(XP)・WPA2エンタープライズ
Information Security 2014
無線LANの危険性
1. 通信内容が盗み見られる
• 暗号化なしなら当然、暗号化あっても同じネットワー
クに接続していれば簡単
2. APが他人に利用される
• 犯罪予告やウイルス配布に悪用
3. 無断で端末にアクセスされる
• 共有フォルダにアクセス
4. なりすましAPに情報を盗まれる
• 公衆無線LANはなりすましが簡単
Information Security 2014
無線LAN利用者のセキュリティ対策 by 総務省
1. 大事な情報はSSLでやりとり
2. 公共の場ではファイル共有機能を解除
3. 知らないアクセスポイントには接続しない
4. 公衆無線LANサービスのログイン画面に電子証
明書エラーが表示されたら接続しない
5. 接続しているアクセスポイントを確認
6. アクセスポイントが暗号化に対応していること
を確認
Information Security 2014
①大事な情報はSSLでやりとり
• 公共の場では通信を傍受される・偽のアクセスポ
イントに接続させられる危険が大きいため、大事
な情報はやりとりしない
• いわゆる公衆無線LANの場合
• au Wi-FiやソフトバンクWi-Fiスポットも対象
• スマートフォンが自動的に接続される場合があるので注意
• やむを得ずやり取りする場合はSSL
• 傍受されていることを意識して利用する
Information Security 2014
②ファイル共有機能を解除
• 共有機能をONにするとLAN内から自由にアクセ
スできる
• 公共の場では解除しないと大変
• →以前VTRで事例紹介
• Windows 7の場合「パブリックネットワーク」
とすればOK
• ネットワークと共有センターの「アクティブなネット
ワークの表示」のところで変更可能
Information Security 2014
③知らないアクセスポイントには接続しない
• 暗号化の設定が行われていないからといって接続
しない
• 通信内容の盗み見等を目的とした悪意を持った者
が設置しているかも
• SSL通信を中継する装置を設置すればSSL通信の中身を
見ることも可能→SSLも無力
Information Security 2014
④電子証明書エラーが表示されたら接続しない
• 偽のアクセスポイントに接続している可能性大
• IDとパスワードを入力すると盗まれる
Information Security 2014
⑤接続しているアクセスポイントを確認
• 自動接続する設定になっていると意図せずに接続
している場合がある
• PC・スマートフォンとも
• ステッカー等で偽のアクセスポイントでないこと
を確認
Information Security 2014
⑥暗号化に対応していることを確認
• 対応していてもWEPキーやWPAパスフレーズが
一般に知られていることもあるが、対応していな
いよりはまし
• 公衆無線LANについて「WEPだとセキュリティ
が弱い」と考えるのは情弱
• 情弱が多いのでキャリアはWPA2に対応(ほとんど無意味)
• WPA2パスフレーズが公開されている≒暗号化なし
Information Security 2014
無線LAN設置者のセキュリティ対策
1. 適切な暗号化方式の設定
2. 適切なSSIDの設定
3. 使用時以外の機能オフ
4. MACアドレスフィルタリング
5. 無線LAN端末間通信の遮断
Information Security 2014
①適切な暗号化方式の設定
• WPA2-CCMP(WPA2-AES)に設定する
• 無線LANクライアントが未対応の場合
• WPA-CCMPに設定する
• WPA-TKIPの場合は鍵更新間隔を120秒に設定する
• WEPの場合は暗号化なしのつもりで使う
• 使わないよりまし
• パスフレーズはランダムで長いもの
• 総当たり攻撃に耐えられる長さ(20文字以上で安心)
• マルチSSIDの場合はそれぞれ変える
• パスフレーズが公開されている公衆無線LANは暗号化
なしと同程度のセキュリティ
Information Security 2014
②適切なSSIDの設定
• 「簡単に推測しにくいものにしてステルス設定する」は
無意味
• モニタできるから
• デフォルトの設定を変更する
• メーカー・型名を知られると脆弱性が発見された時に攻撃対象に
なる可能性がある
• MACアドレスもダメ
• 名前などの個人情報は含まない
• 第三者の興味を引かないものにする
• 自宅にある機器しか接続しないならステルス設定は有効
• エリア外に持ち出す機器は危険
Information Security 2014
③使用時以外の機能オフ
• モバイルルータやスマートフォンのテザリング機
能に注意
• オフにしておけば悪用される危険なし
• バッテリも持つ
Information Security 2014
④MACアドレスフィルタリング
• MACアドレスを偽装した端末からの接続は対策できない
• とは言え、設定しないよりセキュリティはかなり向上す
る
• スマートフォンのテザリング機能では未対応の場合があ
る
Information Security 2014
⑤無線LAN端末間通信の遮断
• アクセスポイントの機能
• 設定できる場合はONにする
• 無線端末同士のファイル共有ができなくなる
• プリンタも無線LANの場合は印刷できなくなる
• 同じアクセスポイントの利用者からのアクセスを禁止す
るためAPが悪用されても安全
• 有線LAN側へは無効の場合が多いので注意
Information Security 2014
ここまでやればほぼ安全
• チャンネル
• 5GHz帯【実はかなり有効】
• SSID【ステルスにすると危険度UP】
• 無意味な文字列(MACアドレス風がいいかも)
• ステルス設定しない
• 暗号化【やらないよりはまし】
• WPA2-CCMP(WPA2-AES)
• パスフレーズは20文字以上の英数字記号
• MACアドレスフィルタリング【有効だが手間がかかる】
• 設定する
• 無線区間をL2TP/IPsec VPNで暗号化【有効】
• メールはPOP3S/IMAPS/SMTPS【有効】
Information Security 2014
NAT
• Network Address Translation
• プライベートアドレスをグローバルアドレスに変換
• NAPT(Network Address Port Translation, IPマスカレード)
で活用
• ポート番号とアドレスを組み合わせて一つのグローバルアドレスで複
数のプライベートホストを接続可能に
• 一般的なブロードバンドルータ(ISDNルータも)にはNAPT機能があ
る
Information Security 2014
ポートフォワーディング
• 静的NAT・静的IPマスカレードとも言う
• NAPTに際して、プライベート側のIPアドレスとポート
を固定する仕組み
• 不正侵入される危険性もある
• 内部ネットワークからも分離されたネットワーク(=DMZ)を使うと
比較的安全
• 「UPnP」はポートフォワーディングを自動的に設定する
仕組み