[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:5668] Re: 無線 LAN アセスメント
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:5668] Re: 無線 LAN アセスメント
- From: SHIBATA Akira <shibata@xxxxxxxxxxxxxx>
- Date: Wed, 05 Mar 2003 10:46:37 +0900
柴田(あ)%今日も浦和出張です。
ご検討ありがとうございます。>みなさま
他の方も、ご意見、感想、ツッコミ、追加等いただければと思います。
また、当方のアセスメントを実際にやってみてこんなだったーとかの
事例報告なんかも共有できると ML メンバーがうれしいかと。
In message <20030304141233.15472@xxxxxxxxxxxxxx>
"[connect24h:5667] Re: 無線 LAN アセスメント"
"Tue, 4 Mar 2003 23:12:27 +0900"
"ohmizu yuichi <yu1o@xxxxxxx>" wrote:
> おおみずです。
>
> SHIBATA Akiraさんが03.3.4 0:09 PMに書きました:
> >柴田(あ)です。
> >
> >おおみずさんのご指摘の通り、セキュリティを点数化するのは
> >難しいと思いますし、妥当性の高さについては設計も含めた
> >シチュエーションとのカラミがあって常に疑問があります。
> >
> >しかしながら、 IT 講習会を受けただけのおっちゃんに
> >「買ってきてつけただけの無線 LAN 」がどれだけ危険で
> >あるかについて知らしめる手法がないのも事実です。
> >雑誌一冊渡して「勉強しろ!」じゃぁ効力がありません。
> >今と変わらないと思います。
> >少なくとも本人にその気を起こさせるために、
> >簡単で、専門家からみれば多少怪しくてトンデモな部分が
> >あってもわかりやすい指針を提示しないといけないかと。
>
> そうですねー。
> では、私が同じようなアセスメントをするとしたら、こうですね。
こういう、多くの事例をいただけるとありがたいです。
> まず脅威をわかりやすく示すために、
> 1.Windows XPを使って、誰でも接続できてしまうことを示す
> 2.ツールを使って、メールの中身(パスワードなども)が見えることを
> 示す
> これで、ふつうの人だったらビックリするのでは?
なるほど、普通につなげることができてしまうと
いうのはみんなビックリするでしょうね。
無線 LAN の危険性は自動車で「自分だけは事故に遭わない」と
豪語している人が多いのににているかと。
> その上で100点満点で点数をつけるとしたらですが、まず、
> ・WEPを設定し、漏洩しないように管理する
> ・WEPは128bit
> ・ESS-IDはデフォルト設定を使わず、かつ設置者を類推しにくい文字列にする
> ・MACアドレスを登録する
> ・APの管理者パスワードを設定する
> これらをセットでできていれば95点くらい。
> 一つでも欠ければ0点にします。つまり、必須項目ってことです。
上から当方が今現在まとめている点数表(下に
添付します)をもとにそれぞれつけてみると
・評価できないので加減点なし (別途点数検討したい)
・ 75 点 c-2 に該当 (ただし、 16 進数による設定が前提)
・ 10 点 b-1 に該当
・ 5 点 d-1 に該当
・ 10 点 a-2 に該当
合計 100 点ですね。
当方の考えているのはレベル(上限なし)で厨房( == スクリプトキディ)を
95% を排除できるということでいいと思いますので、
まんざらまったく違う状態でもなさそうですね。
> 個人ユースの製品レベルで追加投資せずできることとしたら、これくらい
> のことが最大でしょう。これ以上の要件を求めても、たぶん一般家庭じゃ
> 実現できないんで、個人対象のアセスメントでは実効性がないかと。
そうですね。
で、 WEP キーが設定できないとかあるいは 40 ビットしか
設定できないという製品をつかっている人が「じゃぁどうやって
現在の状態から向上させるか」という指針についての資料を
差し上げられるとよいと思います。
追加投資しないんだったら、手間かけろと暗に言うように
したいと思っています。
> さらに
> ・WEPキーは定期的に変更する
このアイデアいただきです。 (*^v^*)
これって一週間以内に変更したなら +50 点くらいに
評価したいんですが…。
毎週変更すれば仮に当方のお客さんの 5 分平均速度の
平均が MRTG ででてますから、下りと上り足して 4.5Mbps 弱
くらいとして、ソレを当方の契約数 750 弱なので
24 時間分のパケット(1500バイトとしておきましょう)を
計算すると
4,500,000/(1500*8) *3600 *24 /750 → 43.2k パケット
一週間で 350k パケットが平均です。
5-12M パケットで解析できちゃう(少ないほうは根津さんの
数字で、大きいほうは日経ネットワークセキュリティでの数字)
ことを考え、また無線 LAN を利用する人は金を持っていると
考えられ、ネットの利用は平均よりも相当量多いとも
考えられますが、一桁変わるくらいだと普通に解析できる
範囲に入ってきますが、たとえ 40bit WEP でも頻繁に
変えていればリスクは減ると考え、加点要素に
くわえられると思います。
ブルートフォースには耐えられないので、そこについては
考慮にいれてませんが、そんなのをするのは 5% のスクリプト
キディかなと…っつうかそこまで情熱のあるやつは
すくないと思ったのが背景にあります。
が、 50 点が適当かはご意見をいただきたいと思います。
逆にいえば説得材料にたくさんのパケットを収集されたら
それだけ破られる確立が高いということをいえるとも
思いますし、わかりやすいのではないかと。
# ところで上の計算あってます?
> ・ESS-IDステルスの機能があれば設定する
> ・ESS-IDのANY・空白接続停止の機能があれば設定する
> ここまでできれば100点。
なるほど。
それぞれ b-2 と b-4 に該当して、当方の尺度だと
100 点超えちゃいますが、どうでしょう? 95% の
スクリプトキディからは守れそうな気がしませんか?
狙い撃ちされたらアウトっぽいですけど。
このへんを 100 点として、一般の人に
「マズは 100 点を超えるようにしようよ」と
呼びかけたいのです。
> ・無線LANのしくみとリスクを的確に理解した管理者がいる
> および
> ・WEP plus(weak IVをはかない仕様)の製品を使用する
> ・WPA(TKIP)を採用する
> ・802.1xを採用する
> のいずれかをできれば100点以上。
この辺は企業レベルですよね。
あるいはストーカーとかから身を守りたい人とか。
もしよろしければ e-2,3,4 の評価点(★であらわしてます)の
こんなもんだろ的数字を教えていただけませんか?
「 1000 点を内通者がいなければ無線経由で情報を抜けない」と
仮決めしているので。
> ま、これは私のまったく独断でかつ個人的な見解なんですが。
大歓迎です。
たくさんの見解をいただけると参考になります。
> あと、あくまで個人ユーザーとかSOHOに適用する前提の基準でして、中堅
> 以上の企業、地方自治体、あるいは個人情報を扱う事業者などでは、もっと
> 厳しく高度な内容の基準を適用すべきかと思っています。
そうですね。
守るべき情報が自分だけじゃなくて、他人の情報も
扱っているわけですから、この辺になるとセキュリティ
ポリシとのカラミもでてくると思います。
セキュリティリスクの分析などもされているだろうと
いうことを考えれば当方のお手軽無線 LAN アセスメントの
範疇から外れますし。
…と逃げる(笑)
> 自分や、あるいは仮に家族や親しい友人が無線LANを使うとしたら、この
> くらいやらなきゃと考えている基準です。
ありがとうございます。
大変参考になります。
もし、他のかたも「同じだぁ」とか「オレならこうだ」とか
教えていただけると大変たすかります。
==== 点数評価基準 ドラフト 2003030501 ===================
■点数化のレベル (現在妥当性検討中)
マイナス点のレベル
・今すぐ無線 LAN のセキュリティ向上の設定をするか、
さもなくば危険なので無線 LAN を使うのをやめることを
おすすめする
0 点のレベル(要するにつながるだけの状態)
・MAC アドレスフィルタなし
・WEP なし
100 点のレベル
・95% のスクリプトキディに対応できる
・が、狙いうちには耐えられない
(ストーカーとか何かで特定の情報を取ろうとする人)
1000 点のレベル
・狙い撃ちでも内通者がいない限りは無線経由で
情報を盗むことができない
くらいでしょうか、もっと中間レベルがあってもいいかもと
思いますが、考え付きません。
■点数化基準
上記レベルを目安にして、考えてみました。
妥当性を高くしたいです。
★は点数未定義
===================================
A 管理
a-1 買ってきてからデフォルトのままで設定をいじってない → -40 点
a-2 管理者 ID とパスワード設定している → 10 点
a-3 WEP等のキーを漏洩しないように管理する → ★点
B SSID について
b-1 SSID を意味が推測できないものに変更している → 10 点
b-2 ビーコンに SSID を載せない → 10 点
b-3 プローブ応答に関するセキュリティ機能を利用している → 10 点
b-4 ANY アクセス拒否機能を利用している → 10 点
C WEP について
c-1 40/64 bit WEP → 30 点
c-2 104/128 bit WEP → 75 点
c-3 その他拡張 WEP → ビット数分の点
c-4 WEP 入力が文字だけ(16 進数でない)の場合には WEP の項目の点を 1/3 にする ( 75 点なら 25 点に)
c-5 WEP キーを一週間以内に変更した 50 点
D その他
d-0 同時接続端末数制限 → 0 点
d-1 MAC アドレスフィルタ → 5 点
d-2 DHCP によるアドレス配信機能停止 → 5 点
d-3 通信速度を最高速に固定する → 5 点
d-4 ビーコン間隔を最大に延長 → 5 点
d-5 窓や床などに電波を遮蔽するようなモノを取り付けている → 5 点
d-6 AP を窓や天井・床から離し部屋の中心にすえつけている → 2 点
E 無線 LAN 利用での特別加点項目
e-1 AES を利用している → 1000 点
e-2 WEP plus を利用している → ★点
e-3 WPA (TKIP) を利用している → ★点
e-4 IEEE802.1x を利用している→ ★点
F 上位層での加点項目
f-1 IPsec を利用して上位 LAN と接続している → 1000 点
f-2 PPTP を利用して上位 LAN と接続している → 750 点
--
SHIBATA Akira ケーブルテレビはまちづくり
shibata@xxxxxxxxxxxxxx phone : +81-429-74-3611
--[PR]------------------------------------------------------------------
┏… ☆そのポイント『おいしいくらし』の厳選食品に交換しよう!☆ …┓
「頓別漁港の毛ガニ」や「南高梅の梅干」に交換できるポイント交換サイト
★★今なら、会員登録でもれなく100oisiポイントプレゼント★★
■さらに!! DCカード、JCBカードからのポイント移行、今なら10%UP■
┗…‥‥‥ http://ad.freeml.com/cgi-bin/ad.cgi?id=bEM8n ‥‥‥‥‥…┛
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp