[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:01822] Re: Kismet(Re: Re: Developers Summit2003)
- To: <port139ml@xxxxxxxxxxxxx>
- Subject: [port139ml:01822] Re: Kismet(Re: Re: Developers Summit2003)
- From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
- Date: Thu, 9 Jan 2003 16:08:54 +0900
みやもとです。
> 無線 LAN AP 毎にセグメントを分けて GW を立てるのはコスト的
> に大変な場合、802.1x を利用して認証を強化し、かつ社内 or 社
> 外へのアクセスに IPsec を要求すればセグメント分けしなくても
> なんとかなるかなぁと考えているんですけど、甘いっすかね?
無線LAN AP を一つのセグメントに所属させる
IPアドレスの払い出しも特定のDHCPにやらせる(もしくはIP固定)
デフォルトゲートウェイと端末の間「のみ」IPsecによる保護
というのは可能ですね。
> ので、とりあえず Internet 側との GW へのアクセスを IPsec で
> 制御してしまえば、仮に AP への接続を許したとしても、IPsec
> で通信を確立できない侵入者は(外部へは)それ以上悪さできな
> いのと、パケットを平文で出してくれれば IDS なりで検出しやす
> くなるかなと考えてるんですけど、ご意見募集 ;)
これ、まさに自分ちで作ろうとしてた環境です(笑)
あと、この場合課題になるのは、GW側よりもむしろ、無線LAN経由で
接続されている他のクライアントに関するセキュリティですかね。
クライアントサイドの設定が甘いと、そちらを踏み台にして外に出
られかねません(最初はそこまで考えが回る人もそうはいないと思っ
てますが)。
なお、我が家の構成ではIDSとかを設置する予定はありません。
#伊原さんはエスパーかなにかでしょうか(ひぃ)。
#構成ができたら報告しますかね (^^;
---
宮本 久仁男 (Kunio Miyamoto)
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/