無線LANの基本的なセキュリティ
目次
便利なウラには・・・
無線LANはとても便利です。自宅でもリビングと仕事部屋に無線LANのアクセスポイントを置いて、モバイルのノートパソコンは無線LANでつなげています。ケーブル配線がいらないだけで、こんなにもすっきりするのかぁって感じです。
でも、便利さとセキュリティというのはたいてい相反するものです。便利であればあるほどセキュリティ上の脆弱性が多くなり、強固なセキュリティを実装すればするほど、使いにくくて不便になってしまいます。
無線LANにも便利さのウラにセキュリティ上の脆弱性が潜んでいます。データを電波で転送するので、その電波を傍受してしまえばデータの盗聴ができてしまいます。また、アクセスポイントを他人に無断で利用されて、不正アクセスの踏み台になってしまうこともあります。
そんなことにならないようにするために、きちんと無線LANのセキュリティの設定をしておく必要があります。今回は、最も基本的な無線LANのセキュリティの設定について解説しましょう。
無線LANの基本的なセキュリティ
無線LANの最も基本的なセキュリティには、次の3つがあります。
- ESS-IDの隠蔽
ESS-ID(またはSSID)とは、無線LANのネットワークにつける論理的な名前です。無線LANアクセスポイントでESS-IDを設定します。正 しいESS-IDがわからなければ無線LANネットワークに接続することができません。
通常、無線LANアクセスポイントはビーコンと呼ぶ管理用のフレームでESS-IDを送信していますが、この送信をとめることでESS-IDを知らない無線LANクライアントが無線LANネットワークに接続できなくすることができます。
この機能の名前はアクセスポイントによって、いろいろな名称がありますが、「any接続拒否」「ステルス機能」「SSIDブロードキャストの無効化」「Closed Network」などで呼ばれています。 - MACアドレスフィルタリング
無線LANのネットワークカードにもMACアドレスがあります。そこで、無線LANアクセスポイントで、接続を許可するMACアドレスを登録することで、不正な無線LANクライアントが無線LANネットワークに接続できないようにします。 - WEP(Wired Equivalent Privacy)による暗号化
無線LANネットワークで送受信されるデータを暗号化することで、無線LANのセキュリティを向上させることができます。
でも、基本的なセキュリティだけでは抜け穴がたくさん
ただし、個人が家庭で利用するならともかく、企業で利用するときには、この3つの基本的な無線LANセキュリティ対策だけでは十分ではないことがあります。その理由を以下に挙げます。
アクセスポイントでESS-IDを隠蔽すれば、ESS-IDはわかりにくくなります。しかし、ESS-IDを知っている正規の無線LANクライアントがやり取りするフレームをしばらくキャプチャできれば、ESS-IDを見つけ出すことは難しくありません。
また、MACアドレスのフィルタリングも正規の無線LANクライアントのフレームをキャプチャすることで、無線LANアクセスポイントに登録されているMACアドレスがわかります。WEPでの暗号化は伝送するデータ部分だけが対象です。無線LANフレームのヘッダに記述されるMACアドレスの情報は暗号化されないのです。
そして、WEPによる暗号化は、いくつもの脆弱性が報告されています。ある程度の時間をかければ、WEPによる暗号化を解析することが可能ということがわかっています。
より高度な無線LANのセキュリティ
家庭で利用するレベルであれば、クラッカーはわざわざコストと時間をかけて、不正アクセスをすることは考えにくいので、上記の3点の基本的な無線LANセキュリティ対策だけで実用上は問題ないでしょう。
しかし、機密情報を扱う可能性のある企業での利用では、不安が残ります。そこで、さらに無線LANのセキュリティを高めるためにIEEE802.11iという規格やIEEE802.11iの簡易版のWPA(Wi-Fi Protected Access)があります。企業で無線LANを利用する上では、IEEE802.11iやWPAを実装するべきでしょう。