[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:5650] Re: 無線 LAN アセスメント
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:5650] Re: 無線 LAN アセスメント
- From: ohmizu yuichi <yu1o@xxxxxxx>
- Date: Tue, 4 Mar 2003 01:46:43 +0900
おおみずです。
こんにちは。
思うに、セキュリティを点数化するというのは難しいですよ。
また、対策に点数をつけるよりも前に、無線LANをとりまく脅威について
深刻度と攻撃容易性を評価しておいたほうがいいでしょう。
たとえば、FMSアタックという脅威があります。これは、WEPが解読される
可能性があるので深刻度は「高」。その攻撃容易性については、AirSnort
というソフトがあるが、英語を読んだりLinuxや無線LANを理解していない
といけないので「低」とか。
脅威が深刻で、かつ攻撃が容易であるものから対策の優先度が高い、という
ことになると思います。
しかし、いずれにせよ点数で表すのはとても難しいと思います。せいぜい
高中低ではないでしょうか。また、それも客観的な基準があるわけでなく、
評価者やユーザーや評価時期によって異なると思います。
対策も、いろいろ考えても、一般の機器だと設定できなかったり、あるいは
どういう仕様になっているのか、調べないとわからないこともあります。
(たとえば上述のFMSアタックの脅威には、weak IVをはかない仕様(WEPplus)
製品を採用することが対策の一つですが、その仕様はカタログに載って
いません。たぶんメーカーの技術者しか知らない情報でしょう)。
となると、一般家庭レベルのユーザーを対象に短時間でアセスメントを
済ますとしたら、実効的に意味があるのはこのくらいではないでしょうか。
・WEPを忘れずに設定する
・WEPは128bit、できれば16進数で設定
・WEPキーは定期的に変更し、漏洩しないように管理する
・ESS-IDは設置者を類推しにくいもの
・ESS-IDステルスを設定する(その機能があれば)
・ESS-IDのANY・空白接続の禁止(その機能があれば)
・MACアドレスフィルタは、登録することがのぞましい
・APの管理者パスワードを設定し、かつ定期的に変更する
どうでしょう。あくまで私見ですが。
SHIBATA Akiraさんが03.3.3 11:38 AMに書きました:
>柴田(あ)です。
>
>議論百出しそうなネタなんですが…
>
>
>■質問:
>無線 LAN アセスメントをしたいので、点数化をしたいと
>思いますが、どう評価したらよいでしょうか?
>40bit WEP では弱すぎとのことなので組み合わせで
>高いセキュリティを実現している状態も評価したい
>
>
>
>■はじめに
>当方の商売にからむ話なのですが、本意は商売ではなく
>無線や有線の LAN のセキュリティの底上げをねらってます。
>また、この ML をお読みの方々の中にも同業者や底上げに
>貢献したいとお考えの方がいらっしゃると思いますので、
>無線 LAN アセスメントのお気軽なひとつの基準があれば
>低レベルであってもできるようになると思います。
>マズいぶぶんがあったら修正していければと思います。
>ご意見等あれば幸いに存じます。
>
>
>
>■参考文献
>[connect24h:5543] で紹介されている日経ネットワーク
>セキュリティの無線 LAN パニックを拾い読み
>
>
>
>■目的
>今回は現在導入済みの無線 LAN の電波使用部分のセキュリティの
>底上げ(現在の「買ってきてそのまま」から「何らかの対策をする」)を
>ねらいます。
>あまり格式ばったものではなく、真の無線 LAN アセスメントを
>実施したいのであれば、セキュリティの専門家に相談してもらうのが
>いいと思います。
>当方は一番ローレベルなところをねらいます。
>そういったところ(専門家)の紹介もしてもらえるとうれしいです。
>
>
>
>■現在考えている方法
>無線 LAN の現状を一時間程度でチェックリストによって
>調べて、点数化(後述、この基準についてご意見いただければ
>ありがたいです)し、何にも知らん人に指針を与えようと
>考えています。
>無料の範囲で調査できるくらいのライトアセスメントです。
>
>
>
>■対象
>一般の人で、当社の近隣地域で無線 LAN を利用していて、
>当方に調査を希望してきた人。
>(委託を受けるので電波法 59 条はクリアできると思います。)
>
>
>
>■手順
>当方から持っていくもの
>現地地図、資料、アセスメントシート、
>netstumbler をインストールした PC
>1. 依頼者のお宅にいって、最初にヒアリング
> (設定の具合とか、AP の MAC アドレス)
>2. AP の MAC アドレスを元に netstumbler で
> 電波の到達範囲をマーキング
> (当方から付近の地図を出力していきます)
>3. 下記点数化基準によって点数化し、合計し
> 内容によって、なすべきことを指導し、
> 資料を置いてくる
> (設定をはじめると時間が足りないので)
>(現地にいる時間を最大で一時間と考えてます)
>
>
>
>■点数化について
>点数化は被調査者に「あなたはまぁまぁ」といって
>あげるのか「説教の対象」になるのかなどレベル分けを
>してあげて点数を上げる(=セキュリティレベル向上)には
>どうしたらよいかの指針を上げたいと考えてます。
>
>
>
>■点数化のレベル
>妥当性も怪しいですが、マズはたたき台を考えてみました。
>
>マイナス点のレベル
>・今すぐ無線 LAN のセキュリティ向上の設定をするか、
> さもなくば危険なので無線 LAN を使うのをやめることを
> おすすめする
>
>0 点のレベル
>・MAC アドレスフィルタ
>・WEP なし
>
>100 点のレベル
>・95% のスクリプトキディに対応できる
>・が、狙いうちには耐えられない
> (ストーカーとか何かで特定の情報を取ろうとする人)
>
>1000 点のレベル
>・狙い撃ちでも内通者がいない限りは無線経由で
> 情報を盗むことができない
>
>くらいでしょうか、もっと中間レベルがあってもいいかもと
>思いますが、考え付きません。
>
>
>
>■点数化基準 「ご意見、新しい基準、歓迎」
>上記レベルを目安にして、考えてみました。
>安易に考えてますので、妥当性は低いので高くしたいです。
>======================================
>加点減点項目募集!
>点数変更意見募集!
>(根拠を教えてもらえるとありがたいっす)
>
>設定を買ってきてからいじってない → -40 点
>
>SSID を意味が推測できないものにしている → 10 点
>ビーコンに SSID を載せない → 10 点
>プローブ応答に関するセキュリティ機能を利用している → 10 点
>ANY アクセス拒否機能を利用している → 10 点
>
>MAC アドレスフィルタ → 5 点
>
>管理者 ID とパスワード設定している → 10 点
>
>DHCP によるアドレス配信機能停止 → 10 点
>
>通信速度を最高速に固定する → 10 点
>
>同時接続端末数制限 → 5 点
>
>ビーコン間隔を最大に延長 → 5 点
>
>WEP の鍵長について
> 40 bit WEP → 40 点
> 64 bit WEP → 64 点
> 104 bit WEP → 104 点
> 128 bit WEP → 128 点
> その他拡張 WEP → ビット数分の点
> WEP 入力が文字だけ(16 進数でない)の場合には WEP の項目の点を 1/3 にする (
64 点なら 21 点に)
>
>AES を利用している → 1000 点
>
>上位層での加点項目
> IPsec を利用して上位 LAN と接続している → 1000 点
> PPTP を利用して上位 LAN と接続している → 1000 点
>
>
>加点減点項目募集!
>点数変更意見募集!
>(根拠を教えてもらえるとありがたいです)
>=====================================
===
>
_]_] Yuichi OHMIZU @Yokohama, Kanagawa _]_]
_]_] mailto:yuichi.ohmizu@xxxxxxxxxxx _]_]
----------------------------------------------------------------------
……◆ 無線LANテクノロジー活用研究会“ドット・イレブン”
……◇ 802.11ベースのワイヤレス技術の活用を議論するメーリングリスト
>>>>>> http://www.freeml.com/info/dot-eleven@xxxxxxxxxx
--[PR]------------------------------------------------------------------
春│色│ネ│イ│ル│カ│ラ│ー│誕│生│!│ ☆全10色☆
─┘─┘─┘─┘─┘─┘─┘─┘─┘─┘─┘ ★新発売特価:400円★
〜ベーシックカラーからキュートなトレンドカラーで指をキレイに彩る♪〜
オルビスなら→初回購入300円割引/送料無料/30日以内返品・交換自由
もっと詳しく見る≫≫≫ http://ad.freeml.com/cgi-bin/ad.cgi?id=bEBiK
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp