個人だけでなく企業でも,当たり前のように使われるようになった無線LAN。しかしセキュリティ仕様が不十分な製品が残っており,不正アクセスや盗聴に見舞われる危険がある。無線LANのセキュリティを強化するに当たって,製品選びや設定・運用などのポイントとトラブル解消のコツを解説する。
無線LANの暗号化機能「WEP」は,解読ツールがインターネット上で公開されるなど,セキュリティ面での不安が指摘されている。無線LANのアクセス・ポイント(AP)にはたいてい,「MACアドレス・フィルタリング」というアクセス制御機能を備えているものの,これでも不十分である。
最近では,運用時に工夫を凝らすことで無線LANのセキュリティ機能のぜい弱性を補う例も増えている。ただし,マルチベンダー環境を構築していると落とし穴にはまるケースもある。
“WEPは標準機能”の常識がアダ
トラブル要因減らすためAPを統一
無線LANの標準的なセキュリティ機能であるWEPやMACアドレス・フィルタリングは,管理者からはどのメーカーの製品も共通の仕様に見える。だが設定画面を眺めるだけでは分からない細かい差がある。これが思わぬトラブルの原因になりやすい。
流通業のA社は本社と全国の拠点に無線LANのAPを導入。社員が無線LANカードを接続したノート・パソコン(無線LAN端末)を持ち歩いて,どの拠点からでも社内ネットワークにつなぎ込める環境を構築しようとした。
ところが運用を始めた直後から,「一部の拠点に移動すると接続できない」という社員の声が続出。情報システム担当部門はさっそくパソコンやAPの通信設定を点検したが,どの設定項目にも誤りを発見できず,行き詰まった。
マルチベンダー環境が火種に
A社は1年前から,本社の全フロアにX社製のAPを十数台設置していた。無線LANを全国展開するに当たって,一部の拠点には,Y社製のAPを導入することになった。
A社は最低限のセキュリティを確保するため,WEPによる暗号化通信とMACアドレス・フィルタリングによるアクセス制御をかけていた。具体的には,多数のAPと無線LAN端末を管理するため,本社に専用の認証サーバーを設置。APはこのサーバーと連携して,アクセスしてきた無線LAN端末をMACアドレスを基に認証していた。認証サーバーには多くの無線APが対応しているRADIUSを採用した。
A社から原因究明の依頼を受けた,無線LANのセキュリティに詳しいインテグレータは,すべてのAPのセキュリティ設定を見直した。結果,異なるメーカーのAPを併用していたところに根本的な原因があると突き止めた。
|
|
図1 A社は既存の無線LANとは異なるメーカーのAPをテスト導入,端末から新APへ接続できないトラブルが生じた 既存のX社製APと新規導入したY社製APに同じパスワードを入力し,WEPキーを生成。このキーをそれぞれのAPに設定したが,Y社製APに接続できなかった。各APのセキュリティ設定を確認したところ,生成されたキーの中身が別々になっていたことが判明した。 |
見抜けなかったWEP実装の製品差
まず問題になったのは,APの設定画面上でWEPを設定する仕組みに,メーカー間で細かい仕様の差があったことである(図1[拡大表示])。WEPは,無線LANカードを接続したパソコンとAPのそれぞれに,あらかじめ共通する16進数の文字列(WEPキー)を設定。これを基にしてパケットごとに暗号鍵を作り出し,暗号化に使う。つまり,WEPキーが一致したカードとAPの間だけ暗号化通信ができる仕組みを持つ。
だが,16進数の値をAPや無線LAN端末ごとに直接入力するのは面倒。たいていのAPは,管理者が設定画面でアルファベットの文字列を入力するだけで,その文字列を基に16進数のWEPキーを自動生成する機能を備えている。
A社は本社と地方拠点のAPで共通のアルファベット文字列を使っていたため,当然同じWEPキーが設定できると考えていた。ところがインテグレータがWEPキーそのものを調べたところ,入力されたパスワード文字列から変換されたWEPキーの値が,X社とY社のAPで異なっていた。WEPキーの自動生成機能に互換性がなかったからだ。
A社は,すべてのAPに対して16進数のWEPキーを直接入力することで,WEPキーの互換性問題をクリアした。
