[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:5661] Re: 無線 LAN アセスメント

To: connect24h@xxxxxxxxxx
Subject: [connect24h:5661] Re: 無線 LAN アセスメント
From: SHIBATA Akira <shibata@xxxxxxxxxxxxxx>
Date: Tue, 04 Mar 2003 12:09:28 +0900
柴田(あ)です。

おおみずさんのご指摘の通り、セキュリティを点数化するのは
難しいと思いますし、妥当性の高さについては設計も含めた
シチュエーションとのカラミがあって常に疑問があります。

しかしながら、 IT 講習会を受けただけのおっちゃんに
「買ってきてつけただけの無線 LAN 」がどれだけ危険で
あるかについて知らしめる手法がないのも事実です。
雑誌一冊渡して「勉強しろ！」じゃぁ効力がありません。
今と変わらないと思います。
少なくとも本人にその気を起こさせるために、
簡単で、専門家からみれば多少怪しくてトンデモな部分が
あってもわかりやすい指針を提示しないといけないかと。

精神科医の香山リカさんの文章はわたくしからみると
かなーり賛成できないような内容を書いてますが、それでも
わかりやすく書いているからそれなりに受けてるんじゃないか
と考えてます。


In message <3E6392C4.D3DEDA3F@xxxxxxxxxxx>
   "[connect24h:5652] Re: 無線  LAN  アセスメント"
   "Tue, 04 Mar 2003 02:37:08 +0900"
   "Kensuke Nezu <nez@xxxxxxxxxxx>" wrote:

> 根津です。

お付き合いいただきありがとうございます。

 
> SHIBATA Akira wrote:
> > ■目的
-snip-
> > あまり格式ばったものではなく、真の無線 LAN アセスメントを
> > 実施したいのであれば、セキュリティの専門家に相談してもらうのが
> > いいと思います。
> > 当方は一番ローレベルなところをねらいます。
> > そういったところ(専門家)の紹介もしてもらえるとうれしいです。
> 
> 導入済みのものについて、専門家に相談する・・・という場合は、個人
> レベルでは通常、対応してくれるところは無いのではないでしょうか？
> 
> ＃もちろん、企業レベルでのお金が出るのならば話は別だと思いますが・・・。(^^ゞ
> 
> あったら私も是非知りたいです。

あうぅ、迷える子羊はどうしたらいいのか…
いや、迷ってるんじゃなくて危険に晒されていることを
しらない子羊でした。

個人はセキュリティに関してフトコロ厳しく、そもそも
理解もあまりないとすれば、当方の無料作戦も空振りに
終わりそうな気がしないでもないですね。

 
> > ■手順
> > 当方から持っていくもの
> > 現地地図、資料、アセスメントシート、
> > netstumbler をインストールした PC
> 
> netstumblerでは、最近のいわゆるESS-IDの隠れ機能には対応できないので、
> Linux + Ethereal + 無線LAN対応libpcapという組み合わせは必要かもしれません。

ノートパソコンに Linux ですか・・・
外回り用 PC に入れられるかなー。

下記をみると kismet (まつしま＠ひろしましさんご紹介) が
使えるとなんかできそうなので、インストールして
動かしてみて「うごいた～」で終わらしたのを、もう少し
突っ込んで使い方をみてみます。
kismet いれるときっと無線 LAN 対応 libpcap も入るだろうと
想像します。

Ethereal はこれから勉強します。

$ apt-cache search ethereal
ethereal - Network traffic analyzer
ethereal-common - Network traffic analyser (common files)
ethereal-dev - Network traffic analyser (development tools)
tethereal - Network traffic analyzer (console)
$ apt-cache search libpcap
etherape - Graphical network monitor modeled after etherman.
kismet - Wireless 802.11b monitoring tool
libnet0-dev - library for the construction and handling of network packets
libpcap-dev - Development library for libpcap.
libpcap-ruby - libpcap interface for scripting language Ruby.
libpcap0 - System interface for user-level packet capture.
sing - A fully programmable ping replacement.
snort - Flexible NIDS (Network Intrusion Detection System)
snort-common - Flexible NIDS (Network Intrusion Detection System)
snort-doc - Flexible NIDS (Network Intrusion Detection System)
snort-mysql - Flexible NIDS (Network Intrusion Detection System)
snort-rules-default - Flexible NIDS (Network Intrusion Detection System)
tcpspy - Incoming and Outgoing TCP/IP connections logger.
trafstats - gather and store traffic information into an SQL database.

 
> > ■点数化基準   「ご意見、新しい基準、歓迎」
> > 上記レベルを目安にして、考えてみました。
> > 安易に考えてますので、妥当性は低いので高くしたいです。
> > ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
> > 加点減点項目募集！
> > 点数変更意見募集！
> > （根拠を教えてもらえるとありがたいっす）
> > 
> > 設定を買ってきてからいじってない → -40 点
> > 
> > SSID を意味が推測できないものにしている → 10 点
> > ビーコンに SSID を載せない → 10 点
> > プローブ応答に関するセキュリティ機能を利用している → 10 点
> > ANY アクセス拒否機能を利用している → 10 点
> > 
> > MAC アドレスフィルタ → 5 点
> > 
> > 管理者 ID とパスワード設定している → 10 点
> 
> これは、まぁいいでしょうか・・・。

お付き合いくださりありがとうございます。
まぁ、 5 点とか 10 点は気休めに近い部分ですが、
でもまったく効果がないわけじゃないくらいですね。

 
> > DHCP によるアドレス配信機能停止 → 10 点
> 
> これは、MACアドレスフィルタと同程度のセキュリティ項目ですので、
> 5点。
 
> > 通信速度を最高速に固定する → 10 点
> 
> これは、傍受の距離を削るだけの消極的な策なので、5点。
> ※ビーコンは1Mbpsで出ていますので・・・。

なるほど、わかりやすいです。


 
> > 同時接続端末数制限 → 5 点
> 
> 同時接続端末数を制限する意味が見えません。→0 点
> 
> > ビーコン間隔を最大に延長 → 5 点
> 
> これができるAPはほとんど無いに等しいんですが・・・。(^^ゞ

まぁ、くだんの雑誌を拾い読みして、存在する機能に
効果の点数をつけてみようという試みでもありますので。


 
> > WEP の鍵長について
> >  40 bit WEP → 40 点
> >  64 bit WEP → 64 点
> 
> 40bitと64bitは言っていることは一緒です。
> また、ホームユーザとは言え、40bitでマルチメディアストリーム再生や
> PC間コピーなどをやっていればクラッキング耐性はそう高くないので、
> 30点程度でしょうか・・・。

なるほど。
 40/64 bit WEP で上のほうの対策をいっぱいすると
やっと 100 点を超えますので、ちょうどいい感じですね。

 
> >  104 bit WEP → 104 点
> >  128 bit WEP → 128 点
> 
> こちらも104bitと128bitは一緒。(^^ゞ
> FMS攻撃の耐性を考えると、計算量を２倍にするのに40->80bitのWEPキーが
> 必要なので、104bitでは2.5倍程度の計算量と考えると、得点も2.5倍程度の
> 30x2.5=75点程度が妥当なところでしょうか・・・。

わかりやすいです。
そうしましょう。

 
> >  その他拡張 WEP → ビット数分の点

標準として乱暴ですが、40bit WEP を 30 点をもとに
上記の考えを拡張して
点数 = (WEP ビット数 /40) x30
としてみました。

だから 256bit WEP があったら
( 256/40 ) x30 → 192 点 …うーんアヤしい(笑)


> >  WEP 入力が文字だけ(16 進数でない)の場合には WEP の項目の点を 1/3 にする ( 64 点なら 21 点に)
> > 
> > AES を利用している → 1000 点
> > 
> > 上位層での加点項目
> >  IPsec を利用して上位 LAN と接続している → 1000 点
> >  PPTP を利用して上位 LAN と接続している → 1000 点
> 
> PPTPはIPSecに比べて弱いので、同じ1000点というのには違和感が・・・。
> 下の制限項目と考え合わせて、750点くらいが妥当なところかも・・・。
> （ってこれも大分、いい加減ですが・・・(^^ゞ）

強さがわからないので、同じとしてましたが、
まぁ、こんなもんだろ的状態とまとめてみるという
点ではアレよりは弱いから、ちょっと低い点とかで
いいと思います。

将来は点数だって改定されていいと思うんです。
たとえば PPTP にすごいセキュリティホールが発見されて 
40bit WEP と同じ程度と考えられれば 30 点として
いいと思うんです。

 
> ただし、パーソナルファイアウォールがクライアントに入っていない場合→ -500点
> ※クライアントに対する攻撃からクライアントを守れていないため。

うっ、これはパーソナルファイアウォール必須ということですか？
無線 LAN の部分はまぁマシだけど、クライアント PC の守りの状態
としてはボロボロよといわなくちゃいけないということですよね。

 
> > > ええと、必要であれば、いいですよ。
> > 
> > おお、それでは社内も調整してみます。
> 
> この件は、DMで。(^^ゞ

当方で、社内をまとめたらご連絡します。

 
> > > IPSecはまだまだ一般のおじいさん、おばあさんのレベル
> > > ではないですね。(^^ゞ
> > 
> > やっぱりそうですよね。
> > でも、降りかかる火の粉くらいは払いのけられる
> > 道筋はつけてあげられるようにしたいと。
> 
> とりあえずは、WPA対応の既存製品向けファームを提供する意志の
> あるメーカー製品であるかどうかが重要かと・・・。

なるほど、 NEC 、ソニー、富士通、メルコだと
+30 点かな～、現状では良くはないわけですが、
改善の可能性はあるという点で WEP で加点評価をすると。
アイオーデータ +15 点
エレコム 5 点
NTT-ME 、アイコム、京セラ、コレガ、 +0 点
くらい、…うーんどんどん怪しくなってきた。


> で、対応ファームが出てきたら、有償でファームアップデートを
> してあげるとか、そういう方がおじいさん、おばあさん向けには
> うれしいかもしれません。(^^ゞ

データを蓄積しておいて、告知してあげればいいわけですね。

 
> ＃そう考えると、WPA対応ファームの提供意志のあるメーカー製品の
> ＃APかどうかを加点対象にするのも良いかもしれません。

現状の無線 LAN アセスメントという趣旨からすると
すこしずれますが、それでもいいことはいいと評価することが
メーカの耳にはいれば、過去の品物についてもサポートが
厚くなるかもという淡い期待もありますね。

 
> > http://www.planex.co.jp/product/broadlanner/brl04fa.shtml
> > などは安い割にはそれなりの機能 (PPTP や IPsec)があるように
> > 見えましたので、これから評価してみます。
> 
> この製品は、VPNパススルー機能があるだけで、IPSecサーバには
> なりませんよ～。

あ、そうなんですか。
評価機を借りているので、本当はケーブルモデムとの
相性をみるつもりでしたが、こういう機能が載っているなら
試してみようと思った次第です。

 
> PPTPサーバなら、たとえば、
> http://www.omron.co.jp/ped-j/product/adsl/mr104fh/mr104fh.htm
> とかですね。

おぉ、意外に安いですね。
あんまり売ってないのに一般客で無線ブリッジ買っちゃう人も
いるわけなので、こういうの使うといいですよとかも
勧められるですね。


> IPSecサーバ機能なら、
> http://www.centurysys.co.jp/product/xr300/index.html
> あたりでしょうか・・・。
> オプションで、相互接続性が保証されているSSH SentinelのOEM版の
> クライアントも販売されていますし・・・。

こういった製品で初めて見つけたのは
http://canon-sol.jp/product/sg/index.html
だったんですが、他社でもいろいろあるようなので
検討中です。


…ここまで書いて、今お客さん(エンドユーザ)が
無線 LAN つけたいんだけどって相談がありました。
今は「無線だから傍受は止められない、なるべくセキュリティの
高いものを買ってくださいね」って言いました。
というか、ソコまでしかいえないですね。
評価しておすすめセットみたいなものを言うかなぁ。

-- 
SHIBATA Akira      ケーブルテレビはまちづくり
shibata@xxxxxxxxxxxxxx   phone : +81-429-74-3611


--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか？】
　　・メールアドレスとパスワードのカンタン登録！
　　・ニックネームもつけられるし、WEBメールも使える！
　　・MLだってカンタンに作れちゃう！
▼ いますぐ登録！ => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp
References:
- [connect24h:5652] Re: 無線 LAN アセスメント
  - From: Kensuke Nezu
Prev by Date: [connect24h:5660] Re: 改めまして
Next by Date: [connect24h:5662] keroppy
Previous by thread: [connect24h:5652] Re: 無線 LAN アセスメント
Next by thread: [connect24h:5667] Re: 無線 LAN アセスメント
Index(es):
- Date
- Thread