WPA2-Enterpriseについて

第５回共通分科会（実態把握・情報共有分科会）

第８回サイバー攻撃対策分科会

合同分科会

2016/03/01

Ishimoto Katsuichi

ishimoto@ginzado.co.jp

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

本日は・・

WPA2-Enterpriseに特化して

■規格や基準についての確認

■認証の流れの簡単な確認

■検証方法

■製品選定の範囲

等のご紹介ができればと思っております。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

有限会社銀座堂について

■三条市に本社を置くインターネットサービスプロバイダ

■インターネット接続サービス(フレッツ・Ginzado光)

■サーバホスティング(共用サーバ・仮想サーバ)

■システム開発・クラウド管理型 iPhoneアプリ

・クラウド型従事者業務評価・支援システム

・販売価格追尾システム

・要介護者アクティブロガー

・会員ポイントカード連動POSレジ

・メール警報通知・グラフレポート発行機能付き温湿度監視システム

・ソフトウェアルータへのコマンド・機能追加実装 (p2pフィルタ・routeサーバ機能・ASAMAP) 等

■大手キャリア・大学等の研究・検証・開発の受託

■ハードディスクデータリカバリ (BIOS不認識・モータ不良に対応します)

■役員3名・従業員4名

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

セキュリティ基準について

IEEE 802.11規格のセキュリティ部分

WEP (Wired Equivalent Privacy)■暗号化アルゴリズム RC4

WPA (Wi-Fi Protected Access)■暗号化アルゴリズム RC4(TKIP)■暗号化アルゴリズム AES(CCMP)(WEPの見直し版 TKIP を採用 過渡期の基準)

WPA2 (Wi-Fi Protected Access 2)■暗号化アルゴリズム AES(CCMP)■暗号化アルゴリズム RC4(TKIP)(WPAの見直し版 AESを採用)

TKIP : Temporal Key Integrity Protocol (暗号化アルゴリズム RC4)AES : Adanced Encryption Standard (暗号化アルゴリズムCCMP)CCMP : Counter mode with Cipher-block chaining Message authentication code Protocol (一番強い暗号化)

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

WEPはなぜ問題なのか？

■WEPキー (共通鍵)が小さい。 (40bit or 104bit)

■両端の共有鍵が不変。

■WEPキーに付加される24bitの乱数 IV(Initialization Vector)が

・パケットヘッダ内に平文で流れる

・数時間で乱数は一巡する ことで解析ヒントとなる

■WEPにとって、実際に暗号化を行うRC4アルゴリズムには問題は

ないが、現在では脆弱性が見つかっている。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

認証方式

■WPA/WPA2 PSK (Pre Shared Key 共有鍵)■WPA/WPA2 Enterprise

・802.1x

・EAP (Extensible Authentication Protocol)拡張認証

・EAP-TLS (Transport Layer Security)認証サーバに証明書、無線端末にクライアント証明書が必要

・EAP-TTLS (Tunneled Transport Layer Security)認証サーバに証明書、無線端末にIDとPWが必要

Windows8以降で利用可能

・EAP-PEAP (Protected Extensible Authentication)認証サーバに証明書、無線端末にIDとPWが必要主にCisco・Microsoft・RSASecurityで策定

認証サーバとの認証プロトコル : PAP・CHAP・MSCHAPv2

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

WPA2 Enterpriseの認証の流れ (EAP-PEAP MSCHAPv2の場合)

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

端末(サプリカント)

アクセスポイント(オーセンティケータ)

RADIUSサーバ(認証サーバ)

①EAPoL(EAP over LAN) 認証要求 ②EAP認証要求 (RADIUS)

③EAP-PEAPによる認証を要求

④EAP-PEAPによる認証 を受諾し、SSL通信を要求

⑤SSL通信用の サーバ証明書を送信

⑥SSLトンネル内で MSCHAPでの認証

⑦EAP認証許可 (RADIUS)⑧EAPoL(EAP over LAN) 認証返答

⑨AES暗号化通信開始

WPA2 Enterpriseの利点と欠点

【利点】

■アカウントとして1人ずつ、あるいは1台ずつに発行可能。

■誰が接続したかのログ管理が可能。

■認証側の証明書を端末に通知する事によってアクセスポイントの

なりすましを防止できる。

■共有キーは漏れてしまうと、だれでもつながってしまうので、不正接続

の防止対策になる。

■アカウント発行システムと認証サーバを連携することによって、公衆無線

LANサービスなどの基盤を構築する事ができる。

【欠点】

■管理コストがかかる。（認証サーバの準備・対応機器の価格・運用）

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

検証環境

■認証サーバ

・MacBookPRO上のVirtualBoxで「daloRADIUS」を動作

■オーセンティケータ

・WPA2 Enterpriseの機能を実装しているアクセスポイント

ASUS社 RT-AC1200HP

■サプリカント

・Windows10端末

・iPhone (IOS9.2.1)

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

検証環境

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

端末(サプリカント)Windows10

iPhone6

アクセスポイント(オーセンティケータ)

RADIUSサーバ(認証サーバ)daloRADIUS

192.168.1.1/24 192.168.1.100/24radiussecret : radiustest

【アカウント作成】ID:test01 PW:test01ID:test02 PW:test02

【無線設定】SSID: test1WPA2-EnterpriseRADIUSサーバ: 192.168.1.100RADIUSポート :1812radiussecret : radiustest

認証サーバ (RADIUSサーバ)

daloRADIUS ( http://www.daloradius.com/ )

■難しいインストール作業を必要としない、VMイメージを提供している。

■そのままでは802.1xでの認証ができないため、以下を参照して

EAP-PEAPに対応。

( Steven England's Weblog )http://steven-england.info/2014/11/06/providing-802-1x-authentication-freeradius-peapv0eap-mschapv2-support-raspberry-pi/

Oracle VirtualBoxにて検証

Web Basic admin:admin

Web I/F administrator:radius

Console root:daloradius

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

認証サーバ側の基本設定

■NAS(NetworkAccessServerの意味？)の登録■オーセンティケータ(アクセスポイント)の

・IPアドレス ( 192.168.1.1)・radius secret (radiustest)

■ユーザアカウントの作成・ID : test01 PW : test01・ID : test02 PW : test02

■割愛部分として、「SSL証明書のインストール」・/etc/freeradius/sites-enabled/inner-tunnel の編集・/etc/freeradius/eap.confの編集・/etc/freeradius/modules/mschapの編集 等が必要です。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

認証サーバ側の基本設定

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

オーセンティケータ側の基本設定

■LAN I/F の設定

・IPアドレス (192.168.1.1)

■無線セキュリティの設定

・認証方式 (WPA2-Enterprise)

・暗号化 (AES)

・RADIUSサーバ (192.168.1.100)

・RADIUSサーバポート (1812)

・RADIUS Secret (radiustest)

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

オーセンティケータ側の基本設定

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

iPhoneでの接続状況

■daloRADIUSのインストールそのままのオレオレSSL証明書を使っているため、

信頼されずに警告が出る。

■パスフレーズだけでなく、ユーザ名とパスワードを聞いてくる。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

Windows10での接続状況

■↑接続を続けますか？の旨の警告が出る。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

WPA2 Enterpriseに対応したアクセスポイント

■民生品まわりでは、最近は速度重視や、利便機能(フィルタリングやウイルスゲート)に

特化したものが多く、WPA/WPA2 Enterpriseに対応したものは少ない。

（数年前は結構ありました）

■概ねどこのメーカーも、「法人向け」とうたっているものが該当し、30,000円以上の

価格帯となる。

■20,000円を切る低価格帯ではNETGEAR社、最安価ではASUS社で6,000円以下

(2016/02銀座堂調べ)

■大規模導入や低予算を強いる場合は、RaspberryPi + USB無線

ユニット等で自作もありますが、長期の安定稼働には相当の

ノウハウが必要です。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved

RADIUSサーバ

■アプライアンス製品■大手メーカ各社よりラインナップあり。利用アカウント数によりライセンス料金が変化するものが多い。数百万円～数万円。

■WindowsServer2008以降■サーバ機能の「ネットワークポリシーサーバー(NPS)」を利用することにより、RADIUSサーバとして利用可能。既存のWindowsServer環境を活用できる場合あり。アカウントをActiveDirectoryと連動させる場合には便利。

■各種NAS製品■QNAP社やSynology社のNAS(ネットワークアタッチドストレージ)の一機能として実装されているので、安価に構築可能。

■簡易RADIUSサーバ機能■YAMAHA社のアクセスポイント「WLX302」に実装されているため、小規模であれば、RADIUSサーバを別途準備する必要がない。

■FreeRADIUSやOpenSSLの利用■各種UNIXライクOS上にインストールし、構築できる。ソフトウェア部分の費用発生がない。

有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved