ネットワークのおべんきょしませんか？ Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ

2005年7月アーカイブの最新記事

無線LANの基本的なセキュリティ

（所属カテゴリー：LAN | ネットワークセキュリティ---投稿日時：2005年7月20日）

便利なウラには・・・

無線LANはとても便利です。自宅でもリビングと仕事部屋に無線LANのアクセスポイントを置いて、モバイルのノートパソコンは無線LANでつなげています。ケーブル配線がいらないだけで、こんなにもすっきりするのかぁって感じです。

でも、便利さとセキュリティというのはたいてい相反するものです。便利であればあるほどセキュリティ上の脆弱性が多くなり、強固なセキュリティを実装すればするほど、使いにくくて不便になってしまいます。

無線LANにも便利さのウラにセキュリティ上の脆弱性が潜んでいます。データを電波で転送するので、その電波を傍受してしまえばデータの盗聴ができてしまいます。また、アクセスポイントを他人に無断で利用されて、不正アクセスの踏み台になってしまうこともあります。

そんなことにならないようにするために、きちんと無線LANのセキュリティの設定をしておく必要があります。今回は、最も基本的な無線LANのセキュリティの設定について解説しましょう。

無線LANの基本的なセキュリティ

無線LANの最も基本的なセキュリティには、次の3つがあります。

• ESS-IDの隠蔽
  ESS-ID(またはSSID)とは、無線LANのネットワークにつける論理的な名前です。無線LANアクセスポイントでESS-IDを設定します。正 しいESS-IDがわからなければ無線LANネットワークに接続することができません。
  通常、無線LANアクセスポイントはビーコンと呼ぶ管理用のフレームでESS-IDを送信していますが、この送信をとめることでESS-IDを知らない無線LANクライアントが無線LANネットワークに接続できなくすることができます。
  この機能の名前はアクセスポイントによって、いろいろな名称がありますが、「any接続拒否」「ステルス機能」「SSIDブロードキャストの無効化」「Closed Network」などで呼ばれています。
• MACアドレスフィルタリング
  無線LANのネットワークカードにもMACアドレスがあります。そこで、無線LANアクセスポイントで、接続を許可するMACアドレスを登録することで、不正な無線LANクライアントが無線LANネットワークに接続できないようにします。
• WEP(Wired Equivalent Privacy)による暗号化
  無線LANネットワークで送受信されるデータを暗号化することで、無線LANのセキュリティを向上させることができます。

でも、基本的なセキュリティだけでは抜け穴がたくさん

ただし、個人が家庭で利用するならともかく、企業で利用するときには、この3つの基本的な無線LANセキュリティ対策だけでは十分ではないことがあります。その理由を以下に挙げます。

アクセスポイントでESS-IDを隠蔽すれば、ESS-IDはわかりにくくなります。しかし、ESS-IDを知っている正規の無線LANクライアントがやり取りするフレームをしばらくキャプチャできれば、ESS-IDを見つけ出すことは難しくありません。
また、MACアドレスのフィルタリングも正規の無線LANクライアントのフレームをキャプチャすることで、無線LANアクセスポイントに登録されているMACアドレスがわかります。WEPでの暗号化は伝送するデータ部分だけが対象です。無線LANフレームのヘッダに記述されるMACアドレスの情報は暗号化されないのです。
そして、WEPによる暗号化は、いくつもの脆弱性が報告されています。ある程度の時間をかければ、WEPによる暗号化を解析することが可能ということがわかっています。

より高度な無線LANのセキュリティ

家庭で利用するレベルであれば、クラッカーはわざわざコストと時間をかけて、不正アクセスをすることは考えにくいので、上記の3点の基本的な無線LANセキュリティ対策だけで実用上は問題ないでしょう。

しかし、機密情報を扱う可能性のある企業での利用では、不安が残ります。そこで、さらに無線LANのセキュリティを高めるためにIEEE802.11iという規格やIEEE802.11iの簡易版のWPA(Wi-Fi Protected Access)があります。企業で無線LANを利用する上では、IEEE802.11iやWPAを実装するべきでしょう。