Upload
saburo
View
96
Download
1
Embed Size (px)
DESCRIPTION
無線 LAN セキュリティの救世主 IEEE802.1 xについて. 環境情報 3 年 蟻川 朋未. はじめに. 無線LANの脆弱性 もはや従来のままでは対応できなくなっている → IEEE802.1x に注目. プレゼンテーション内容. 1.無線 LAN セキュリティの実状と IEEE802.1 x 2 . IEEE802.1x とは 3.実際の導入 4.まとめ. 1. 無線 LAN セキュリティの実状と IEEE802.1x. 1-1 .無線 LAN セキュリティの 実状 . - PowerPoint PPT Presentation
Citation preview
無線 LAN セキュリティの救世主 IEEE802.1 xについて
環境情報 3 年蟻川 朋未
はじめに 無線LANの脆弱性 もはや従来のままでは対応できなく
なっている →IEEE802.1x に注目
プレゼンテーション内容 1.無線 LAN セキュリティの実状と IE
EE802.1 x 2 . IEEE802.1x とは 3.実際の導入 4.まとめ
1. 無線 LAN セキュリティの実状と IEEE802.1x
1-1 .無線 LAN セキュリティの 実状 SSID ( ESSID ) WEP (共通鍵) MAC アドレスフ ィルタリング
1-2 . IEEE802.1x による セキュリティ強化・認証の厳密化
・鍵配布
2. IEEE802.1x とは
2-1.IEEE802.1x の誕生 1998 年 IEEE (米国電気電子技術者協
会)で有線 LAN 向けの仕様として検討開始 2001 年 仕様決定 2002 年 2 月 公開 不正な LAN アクセスを防ぎ、正規ユーザー
だけに LAN を使わせるための認証規格→ 無線 LAN に適用
2-2. 認証の厳密化・認証サーバーとアクセスポイントが連
携して、ユーザーを認証・ WEP での通信を開始する前にユーザー
名 / パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。
・認証方式は EAP により選択可能
鍵配布 認証時に WEP キーを端末に配布する。 一定時間たつと新しい WEP キーを再配
布する Air Snort などの攻撃を防ぐことができ
る
2-3.IEEE802.1x を適用した認証シーケンス
3. 実際の導入
3-1. では導入してみよう 802.1 x対応のアクセスポイントを 導入する場合、これらをチェックする
こと① 動作確認済みの RADIUS サーバー(認証
サーバー)の種類② 認証方式③802.1x 対応のクライアントソフト
3-1-1.RADIUS サーバーとは RADIUS ・・・ダイヤルアップ接続のた
めの認証システム、または認証を行うためのプロトコル
アクセスサーバは、ユーザー利用者名とパスワードを、 RADIUS プロトコルを使用して RADIUS サーバへ伝送し、ユーザー利用者として認証されれば接続を許可する仕組みである。
①RADIUS サーバーの種類 大きく三つに分けられる
Windows2000 Server に標準で付属する RADIUS サーバー
「 Internet Authentication Server(IAS) 」 米 Funk Software社の「Odyssey 」 アクセスポイント・ベンダーが販売して
いる RADIUS サーバー
IAS の場合 アイコム、インテル、コンテックは IA
S との連携動作だけを保証 メリット ・ Windows2000Server をすでに利用し
ているなら追加の費用がかからない。 ・マイクロソフトが無償でクライアン
トソフトを配布
Odysseyの場合 NEC インフロンティア、エンテラシ
ス・ネットワーク、富士通、プロキシムがサポート
IAS との連携動作も保証 IAS よりも多くのクライアントをサ
ポート
アクセスポイント・ベンダーがサポートしている RADIUSサーバーの場合 NEC 、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築
する場合 RADIUS サーバー、アクセスポイント、無
線 LANカード、とも自社製品の組み合わせでしか動作を保証しない
RADIUS サーバ-の種類① Enterpras ステラクラフト ( TLS ) NavisRadius4.3 日本ルーセント fullflex wireless アクセンス・テクノロジー初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP 対応 RADI
US サーバソフト メルコ Capcella Radius Server ZAOnetworks
( MD5、 TLS )
RADIUS サーバーの種類② SecureACS シスコシステムズ株式会社 ( LEAP 、 EAP-PEAP 、 EAP-TLS 、 EAP-MD5)
IAS Microsoft Steel Belt RADIUS 、 Odyssey Funk 社 FreeRADIUS freeradius.org
3-1-2. 認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP
MD5 クライアント認証は MD5アルゴリズ
ムを用いたパスワード方式→簡単なパスワードだと破られる サーバー認証を行わない→別のサーバーに変えられて盗聴される
という危険性
TLS SSL の後継 デジタル証明書を用いた PKI (公開鍵暗号)による相互認証
WEP キーの配布 パケットの暗号化
EAP-TTLS 米 FunkSoftware社による TLS 認証の後、 RADIUS でのユーザー認
証を実行する デジタル証明書は用いない
PEAP Microsoft社による TLS 認証の後、 EAP自体をカプセル化
して安全性を高めた上で認証 アクセスポイント間でのローミング機
能がある
認証方式の比較
認証方式 クライアント認証 サーバー認証MD5 パスワード方式 なしLEAP パスワード方式 パスワード方式TTLS パスワード方式 電子証明書PEAP パスワード方式 電子証明書TLS 電子証明書 電子証明書
3-1-4.802.1x の導入
3-1-5. SFCでの導入現状
機種:MELCO社 AIRCONNECTWLA-L11 規格: ARIB STD-T66/RCR STD-33
IEEE802.11b準拠 ESSID設定 学部→ 000000SFC 大学院 → 000000MAG 無線チャンネル設定 主に「 10」を設定 WEP設定 なし
SFC での導入 RADIUS サーバー: IAS 認証方式: TTLS 、 PEAP 、 LEAP SSID の Anyアクセス拒否が可能なもの
→ 富士通の FMWT-52AB プロキシムの ORiNOCO AP-2000 ??
4. まとめ 認証方式や RADIUS サーバーなど乱立
しているので、自分の環境に合わせて導入方法を選択しよう。