Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
WPA2-Enterpriseについて
第5回共通分科会(実態把握・情報共有分科会)
第8回サイバー攻撃対策分科会
合同分科会
2016/03/01
Ishimoto Katsuichi
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
本日は・・
WPA2-Enterpriseに特化して
■規格や基準についての確認
■認証の流れの簡単な確認
■検証方法
■製品選定の範囲
等のご紹介ができればと思っております。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
有限会社銀座堂について
■三条市に本社を置くインターネットサービスプロバイダ
■インターネット接続サービス(フレッツ・Ginzado光)
■サーバホスティング(共用サーバ・仮想サーバ)
■システム開発・クラウド管理型 iPhoneアプリ
・クラウド型従事者業務評価・支援システム
・販売価格追尾システム
・要介護者アクティブロガー
・会員ポイントカード連動POSレジ
・メール警報通知・グラフレポート発行機能付き温湿度監視システム
・ソフトウェアルータへのコマンド・機能追加実装 (p2pフィルタ・routeサーバ機能・ASAMAP) 等
■大手キャリア・大学等の研究・検証・開発の受託
■ハードディスクデータリカバリ (BIOS不認識・モータ不良に対応します)
■役員3名・従業員4名
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
セキュリティ基準について
IEEE 802.11規格のセキュリティ部分
WEP (Wired Equivalent Privacy)■暗号化アルゴリズム RC4
WPA (Wi-Fi Protected Access)■暗号化アルゴリズム RC4(TKIP)■暗号化アルゴリズム AES(CCMP)(WEPの見直し版 TKIP を採用 過渡期の基準)
WPA2 (Wi-Fi Protected Access 2)■暗号化アルゴリズム AES(CCMP)■暗号化アルゴリズム RC4(TKIP)(WPAの見直し版 AESを採用)
TKIP : Temporal Key Integrity Protocol (暗号化アルゴリズム RC4)AES : Adanced Encryption Standard (暗号化アルゴリズムCCMP)CCMP : Counter mode with Cipher-block chaining Message authentication code Protocol (一番強い暗号化)
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
WEPはなぜ問題なのか?
■WEPキー (共通鍵)が小さい。 (40bit or 104bit)
■両端の共有鍵が不変。
■WEPキーに付加される24bitの乱数 IV(Initialization Vector)が
・パケットヘッダ内に平文で流れる
・数時間で乱数は一巡する ことで解析ヒントとなる
■WEPにとって、実際に暗号化を行うRC4アルゴリズムには問題は
ないが、現在では脆弱性が見つかっている。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
認証方式
■WPA/WPA2 PSK (Pre Shared Key 共有鍵)■WPA/WPA2 Enterprise
・802.1x
・EAP (Extensible Authentication Protocol)拡張認証
・EAP-TLS (Transport Layer Security)認証サーバに証明書、無線端末にクライアント証明書が必要
・EAP-TTLS (Tunneled Transport Layer Security)認証サーバに証明書、無線端末にIDとPWが必要
Windows8以降で利用可能
・EAP-PEAP (Protected Extensible Authentication)認証サーバに証明書、無線端末にIDとPWが必要主にCisco・Microsoft・RSASecurityで策定
認証サーバとの認証プロトコル : PAP・CHAP・MSCHAPv2
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
WPA2 Enterpriseの認証の流れ (EAP-PEAP MSCHAPv2の場合)
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
端末(サプリカント)
アクセスポイント(オーセンティケータ)
RADIUSサーバ(認証サーバ)
①EAPoL(EAP over LAN) 認証要求 ②EAP認証要求 (RADIUS)
③EAP-PEAPによる認証を要求
④EAP-PEAPによる認証 を受諾し、SSL通信を要求
⑤SSL通信用の サーバ証明書を送信
⑥SSLトンネル内で MSCHAPでの認証
⑦EAP認証許可 (RADIUS)⑧EAPoL(EAP over LAN) 認証返答
⑨AES暗号化通信開始
WPA2 Enterpriseの利点と欠点
【利点】
■アカウントとして1人ずつ、あるいは1台ずつに発行可能。
■誰が接続したかのログ管理が可能。
■認証側の証明書を端末に通知する事によってアクセスポイントの
なりすましを防止できる。
■共有キーは漏れてしまうと、だれでもつながってしまうので、不正接続
の防止対策になる。
■アカウント発行システムと認証サーバを連携することによって、公衆無線
LANサービスなどの基盤を構築する事ができる。
【欠点】
■管理コストがかかる。(認証サーバの準備・対応機器の価格・運用)
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
検証環境
■認証サーバ
・MacBookPRO上のVirtualBoxで「daloRADIUS」を動作
■オーセンティケータ
・WPA2 Enterpriseの機能を実装しているアクセスポイント
ASUS社 RT-AC1200HP
■サプリカント
・Windows10端末
・iPhone (IOS9.2.1)
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
検証環境
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
端末(サプリカント)Windows10
iPhone6
アクセスポイント(オーセンティケータ)
RADIUSサーバ(認証サーバ)daloRADIUS
192.168.1.1/24 192.168.1.100/24radiussecret : radiustest
【アカウント作成】ID:test01 PW:test01ID:test02 PW:test02
【無線設定】SSID: test1WPA2-EnterpriseRADIUSサーバ: 192.168.1.100RADIUSポート :1812radiussecret : radiustest
認証サーバ (RADIUSサーバ)
daloRADIUS ( http://www.daloradius.com/ )
■難しいインストール作業を必要としない、VMイメージを提供している。
■そのままでは802.1xでの認証ができないため、以下を参照して
EAP-PEAPに対応。
( Steven England's Weblog )http://steven-england.info/2014/11/06/providing-802-1x-authentication-freeradius-peapv0eap-mschapv2-support-raspberry-pi/
Oracle VirtualBoxにて検証
Web Basic admin:admin
Web I/F administrator:radius
Console root:daloradius
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
認証サーバ側の基本設定
■NAS(NetworkAccessServerの意味?)の登録■オーセンティケータ(アクセスポイント)の
・IPアドレス ( 192.168.1.1)・radius secret (radiustest)
■ユーザアカウントの作成・ID : test01 PW : test01・ID : test02 PW : test02
■割愛部分として、「SSL証明書のインストール」・/etc/freeradius/sites-enabled/inner-tunnel の編集・/etc/freeradius/eap.confの編集・/etc/freeradius/modules/mschapの編集 等が必要です。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
認証サーバ側の基本設定
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
オーセンティケータ側の基本設定
■LAN I/F の設定
・IPアドレス (192.168.1.1)
■無線セキュリティの設定
・認証方式 (WPA2-Enterprise)
・暗号化 (AES)
・RADIUSサーバ (192.168.1.100)
・RADIUSサーバポート (1812)
・RADIUS Secret (radiustest)
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
オーセンティケータ側の基本設定
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
iPhoneでの接続状況
■daloRADIUSのインストールそのままのオレオレSSL証明書を使っているため、
信頼されずに警告が出る。
■パスフレーズだけでなく、ユーザ名とパスワードを聞いてくる。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
Windows10での接続状況
■↑接続を続けますか?の旨の警告が出る。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
WPA2 Enterpriseに対応したアクセスポイント
■民生品まわりでは、最近は速度重視や、利便機能(フィルタリングやウイルスゲート)に
特化したものが多く、WPA/WPA2 Enterpriseに対応したものは少ない。
(数年前は結構ありました)
■概ねどこのメーカーも、「法人向け」とうたっているものが該当し、30,000円以上の
価格帯となる。
■20,000円を切る低価格帯ではNETGEAR社、最安価ではASUS社で6,000円以下
(2016/02銀座堂調べ)
■大規模導入や低予算を強いる場合は、RaspberryPi + USB無線
ユニット等で自作もありますが、長期の安定稼働には相当の
ノウハウが必要です。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved
RADIUSサーバ
■アプライアンス製品■大手メーカ各社よりラインナップあり。利用アカウント数によりライセンス料金が変化するものが多い。数百万円~数万円。
■WindowsServer2008以降■サーバ機能の「ネットワークポリシーサーバー(NPS)」を利用することにより、RADIUSサーバとして利用可能。既存のWindowsServer環境を活用できる場合あり。アカウントをActiveDirectoryと連動させる場合には便利。
■各種NAS製品■QNAP社やSynology社のNAS(ネットワークアタッチドストレージ)の一機能として実装されているので、安価に構築可能。
■簡易RADIUSサーバ機能■YAMAHA社のアクセスポイント「WLX302」に実装されているため、小規模であれば、RADIUSサーバを別途準備する必要がない。
■FreeRADIUSやOpenSSLの利用■各種UNIXライクOS上にインストールし、構築できる。ソフトウェア部分の費用発生がない。
有限会社銀座堂 Ginzado Co,Ltd,. 2016 All rights Reserved