Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
無線LANセキュリティの
脅威と対策
株式会社株式会社株式会社株式会社 アクティブアクティブアクティブアクティブ
Page 22008 AirTight Networks, Inc. & Active Inc.
エンタープライズ無線LAN : 導入メリットと課題
� 生産性の向上生産性の向上生産性の向上生産性の向上
� ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性
� ユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセス
� 情報セキュリティの管理情報セキュリティの管理情報セキュリティの管理情報セキュリティの管理
� 無線電波の管理無線電波の管理無線電波の管理無線電波の管理
� コンプライアンスの遵守コンプライアンスの遵守コンプライアンスの遵守コンプライアンスの遵守
Page 32008 AirTight Networks, Inc. & Active Inc.
無線LANは有線セキュリティだけで守れるか?
Firewalls, IP-SEC, VPN
IDS, SSL, VPN
IDS, Web Proxies, URL Filters
Anti- Virus, Spam
Filters, Anti-Spyware, Anti-
Malware
Physical
Data Link
Network
Transport
Session
Presentation
Application
Physical
Data Link
Network
Transport
Session
Presentation
Application
Page 42008 AirTight Networks, Inc. & Active Inc.
無線セキュリティのゴールへ
� コミュニケーション認証の強化
• 無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化
• WEP WEP WEP WEP ���� WPA WPA WPA WPA ���� WPA2/WPA2/WPA2/WPA2/802.11i802.11i802.11i802.11i
� 管理外の無線機器又は、無線接続から保護する
• ローグローグローグローグ AP,AP,AP,AP, ミス・アソシエーションミス・アソシエーションミス・アソシエーションミス・アソシエーション,,,, ハニーポッドハニーポッドハニーポッドハニーポッド (Evil Twin), (Evil Twin), (Evil Twin), (Evil Twin), アドホック接続アドホック接続アドホック接続アドホック接続,,,,
MACMACMACMAC spoofing, AP/client spoofing, AP/client spoofing, AP/client spoofing, AP/client の設定ミスの設定ミスの設定ミスの設定ミス,,,, DOS attacks DOS attacks DOS attacks DOS attacks などなどなどなど....
• ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理
Page 52008 AirTight Networks, Inc. & Active Inc.
Open Access Points
� Open APOpen APOpen APOpen APははははセキュリティコントロールが全くあセキュリティコントロールが全くあセキュリティコントロールが全くあセキュリティコントロールが全くありません。りません。りません。りません。((((暗号化暗号化暗号化暗号化なしなしなしなし、認証、認証、認証、認証なし)なし)なし)なし)
� Open Open Open Open APAPAPAPはどこにでもあるはどこにでもあるはどこにでもあるはどこにでもある
• 最近の調査では50% 近くがOPEN AP
Internet
External AP
あなたのOpen APOpen APOpen APOpen APはあなたへの脅威に
• 部外者はOpen APを通して企業網にア
クセスできます。
周囲のOpen APOpen APOpen APOpen APはあなたへの脅威にもなります!
• 従業員は外部へ接続するかも従業員は外部へ接続するかも従業員は外部へ接続するかも従業員は外部へ接続するかも
• それによって企業セキュリティーそれによって企業セキュリティーそれによって企業セキュリティーそれによって企業セキュリティー
ポリシーは無意味にポリシーは無意味にポリシーは無意味にポリシーは無意味に
Page 62008 AirTight Networks, Inc. & Active Inc.
WEP Access Points
� Wired Equivalent Privacy (WEP)
• 第一世代無線暗号化プロトコル
• ネット上で入手可能なWEP KEY解読ツール→“数分でKEYを判別”
� 古い機器による WEPの使用
• 例えば、ハンディターミナルやFA機器など
� WEP使用で最近の不履行
• 何百万ものクレジット・カードのアカウントが流失。
Page 72008 AirTight Networks, Inc. & Active Inc.
Level 1: In-store Network
Level 3:
Central Data Center
Level 2:
Corporate Network
TJX 漏洩事件
� 支店において、無線支店において、無線支店において、無線支店において、無線LANLANLANLANでででで侵入侵入侵入侵入
� ハッカーは18ヶ月以上、ハッカーは18ヶ月以上、ハッカーは18ヶ月以上、ハッカーは18ヶ月以上、TJXTJXTJXTJX のネッのネッのネッのネッワークや複数のサービスワークや複数のサービスワークや複数のサービスワークや複数のサービス にアクセスにアクセスにアクセスにアクセス
� 数百万のクレット・カードのアカウント数百万のクレット・カードのアカウント数百万のクレット・カードのアカウント数百万のクレット・カードのアカウントを入手を入手を入手を入手
Page 82008 AirTight Networks, Inc. & Active Inc.
クライアント端末は接続可能な無線LAN探している
� クライアントクライアントクライアントクライアント(Windows(Windows(Windows(Windowsラップトップラップトップラップトップラップトップ))))はははは常に無線を常に無線を常に無線を常に無線をスキャンしている。スキャンしている。スキャンしている。スキャンしている。
� 通常通常通常通常クライアントクライアントクライアントクライアント端末は接続の為に過去の接端末は接続の為に過去の接端末は接続の為に過去の接端末は接続の為に過去の接
続情報(続情報(続情報(続情報(SSID,KEYSSID,KEYSSID,KEYSSID,KEYなどなどなどなど))))を保持しているを保持しているを保持しているを保持している
• Home SSID, default SSID, hotspot SSID etc.
� 最近の最近の最近の最近の調査で調査で調査で調査ではははは一般的な一般的な一般的な一般的なラップトップラップトップラップトップラップトップは数十個は数十個は数十個は数十個
ののののSSIDSSIDSSIDSSIDをををを保持している保持している保持している保持している。。。。
Internet
External AP
Preferred SSID
隣接しているAPへの企業内ラップトップが不注意な接続!
• それによって企業のネッワークは外部
にブリッジしてしまう!
よく使用されるクライアントSSID
Linksys
Public-WiFi
neospot
Linksys
neospot
Public-WiFi
Home
Home
Page 92008 AirTight Networks, Inc. & Active Inc.
Internet
Rogue Access Points
� 定義:定義:定義:定義: 悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持
ちちちち込んだ、込んだ、込んだ、込んだ、管理されていない管理されていない管理されていない管理されていない APAPAPAPを“ローグを“ローグを“ローグを“ローグ
APAPAPAP””””と言う。と言う。と言う。と言う。
� ローグローグローグローグ APAPAPAPはエンタープライズネットはエンタープライズネットはエンタープライズネットはエンタープライズネット
ワークにオープンバックドアを簡単にワークにオープンバックドアを簡単にワークにオープンバックドアを簡単にワークにオープンバックドアを簡単に
作ってしまいます。作ってしまいます。作ってしまいます。作ってしまいます。
� ネットワーク管理者はこのネットワーク管理者はこのネットワーク管理者はこのネットワーク管理者はこのAPAPAPAPを簡単にを簡単にを簡単にを簡単に
見つけることは見つけることは見つけることは見つけることは困難です困難です困難です困難です。。。。
““““NO WiFi NO WiFi NO WiFi NO WiFi ポリシー”で無線の脅威ポリシー”で無線の脅威ポリシー”で無線の脅威ポリシー”で無線の脅威
は防げないは防げないは防げないは防げない!!!!
Hacker
External AP
Rogue AP
ローグローグローグローグAPAPAPAP は重大な脅威です。は重大な脅威です。は重大な脅威です。は重大な脅威です。
外部から簡単に内部のネットワーク外部から簡単に内部のネットワーク外部から簡単に内部のネットワーク外部から簡単に内部のネットワークにアクセスできます。にアクセスできます。にアクセスできます。にアクセスできます。
Page 102008 AirTight Networks, Inc. & Active Inc.
Ad hoc Connections
� ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続
� 最近の調査でラップトップ最近の調査でラップトップ最近の調査でラップトップ最近の調査でラップトップPCPCPCPCの多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。
• 多くのラップトップPC内に、“viral SSID”と呼ばれる設定情報が確認されています。
• 特に空港のロビー等で使用しているオフラインのラップトップPCはピア・ツー・ピア接続を試みています。
Internet
External AP
Ad hoc Connection ハッカーは内部ネットワーに接続さ
れたノートPCに、、、、““““viralviralviralviral SSIDSSIDSSIDSSID”””” を使って接続を試みます。
Page 112008 AirTight Networks, Inc. & Active Inc.
DOS attacks
� 無線無線無線無線LANLANLANLANは有線より、多くの種類のは有線より、多くの種類のは有線より、多くの種類のは有線より、多くの種類のDOSDOSDOSDOS攻撃に被攻撃に被攻撃に被攻撃に被害を受け易い。害を受け易い。害を受け易い。害を受け易い。
� DOSDOSDOSDOS攻撃攻撃攻撃攻撃ツールは簡単に入手できます。ツールは簡単に入手できます。ツールは簡単に入手できます。ツールは簡単に入手できます。
� DOSDOSDOSDOS攻撃は離れた攻撃は離れた攻撃は離れた攻撃は離れた外部外部外部外部からからからから無線無線無線無線アプリで可能。アプリで可能。アプリで可能。アプリで可能。
� 攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。
� 802.11w802.11w802.11w802.11w(次世代セキュリティ)が実装された(次世代セキュリティ)が実装された(次世代セキュリティ)が実装された(次世代セキュリティ)が実装された
後でも、幾つかの新・旧後でも、幾つかの新・旧後でも、幾つかの新・旧後でも、幾つかの新・旧DOSDOSDOSDOS攻撃が持続する攻撃が持続する攻撃が持続する攻撃が持続する
と思われる。と思われる。と思われる。と思われる。
Internet
External APDOS
Page 122008 AirTight Networks, Inc. & Active Inc.
AP Mis-configuration
� エンタープライズ無線エンタープライズ無線エンタープライズ無線エンタープライズ無線LANLANLANLAN構築構築構築構築における複雑さはにおける複雑さはにおける複雑さはにおける複雑さはしばしばミスを引きしばしばミスを引きしばしばミスを引きしばしばミスを引き起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。
� 不適切に不適切に不適切に不適切に構築構築構築構築されたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚を植植植植え付けてしまいますえ付けてしまいますえ付けてしまいますえ付けてしまいます。。。。
� ハッカーはウォー・ドライビングハッカーはウォー・ドライビングハッカーはウォー・ドライビングハッカーはウォー・ドライビング等等等等ででででこのようなセキュリティーの弱いこのようなセキュリティーの弱いこのようなセキュリティーの弱いこのようなセキュリティーの弱い場所を探しています。場所を探しています。場所を探しています。場所を探しています。
Page 132008 AirTight Networks, Inc. & Active Inc.
Internet
HoneyPot / Evil Twin
� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinはクライアントはクライアントはクライアントはクライアントを悪意を持っを悪意を持っを悪意を持っを悪意を持って誘い込むて誘い込むて誘い込むて誘い込むAPAPAPAPです。です。です。です。
� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinは接続したくなるようなは接続したくなるようなは接続したくなるようなは接続したくなるようなSSIDSSIDSSIDSSID
を使用します。を使用します。を使用します。を使用します。
例えば:例えば:例えば:例えば: FreeWiFiFreeWiFiFreeWiFiFreeWiFi, corporate SSID etc., corporate SSID etc., corporate SSID etc., corporate SSID etc.
� 一度、これらの一度、これらの一度、これらの一度、これらのAPAPAPAPに接続したクライアントは攻撃にに接続したクライアントは攻撃にに接続したクライアントは攻撃にに接続したクライアントは攻撃に
対して無防備です。対して無防備です。対して無防備です。対して無防備です。
• パスワード横取り
• 介入者攻撃 ,
• ウィルス・スパイウェアの挿入など。
� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinのツールはネット上で簡単にのツールはネット上で簡単にのツールはネット上で簡単にのツールはネット上で簡単に
入手可能。入手可能。入手可能。入手可能。
� Evil TwinEvil TwinEvil TwinEvil Twinよりももっと強力なよりももっと強力なよりももっと強力なよりももっと強力な“ MultipotMultipotMultipotMultipot” も出現しても出現しても出現しても出現して
いる。いる。いる。いる。
External AP
Evil
Twin
Page 142008 AirTight Networks, Inc. & Active Inc.
Internet
External AP
DoS Attack
Client Mis-association
Mis-configured AP
Ad hoc Connection
AP Mac Spoofing
Honeypot AP
Hacker Rogue AP
Weak WEP
� 無線無線無線無線LANLANLANLANで構内ネットワークへで構内ネットワークへで構内ネットワークへで構内ネットワークへ
� ユーザユーザユーザユーザIDIDIDIDとパスワードをとパスワードをとパスワードをとパスワードを取得取得取得取得。。。。
� 構内のサービスへアクセス構内のサービスへアクセス構内のサービスへアクセス構内のサービスへアクセス
� 悪意のあるアプリを導入悪意のあるアプリを導入悪意のあるアプリを導入悪意のあるアプリを導入
� 内部データを搾取内部データを搾取内部データを搾取内部データを搾取
無線無線無線無線LANは、エンタープライズは、エンタープライズは、エンタープライズは、エンタープライズNetworkをををを
攻撃する攻撃する攻撃する攻撃する場合、場合、場合、場合、最も被害を受け易いポイン最も被害を受け易いポイン最も被害を受け易いポイン最も被害を受け易いポイントトトトになりますになりますになりますになります。。。。これらの幾つかは“これらの幾つかは“これらの幾つかは“これらの幾つかは“NO WiFi ポリシー”でもポリシー”でもポリシー”でもポリシー”でも
存在します。存在します。存在します。存在します。
無線LANセキュリティの脅威のまとめ
ハッカーの手口ハッカーの手口ハッカーの手口ハッカーの手口
Page 152008 AirTight Networks, Inc. & Active Inc.
無線LANセキュリティの脅威に取り組む
� 最新で適切に構築された無線LANネットワーク
• 無線LANネットワークは常に新しいセキュリティー基準でついて行かなければなりません。
• レガシー機器の脆弱性を補完する為、無線セキュリティー・ソリューションが必要です。
(例えば、WEPにしか対応できない、バーコードスキャナやFA機器など)
• 機器使用者への無線セキュリティ教育と啓蒙活動が必要です。
� エンタープライズ無線LANの定期的なモニター
• 無線LANの脆弱性を検出する為に、電波の届くすべての範囲をモニターして下さい。
– 24時間365日、無線空間を監視、防御して下さい。
– 疑わしい、無線接続を解析し、分析してください。
– モニターは、脆弱性を特定するのを手助けします。
– 必要な行動を取って、脆弱性を除去してください。
� ラップトップ保護
• 安全な無線接続を実施するために管理ソフトを導入してください。
• 社内のラップトップの外出時の接続履歴を管理してください。
Page 162008 AirTight Networks, Inc. & Active Inc.
AirTight社 “SpectraGuard” WIPSソリューションの紹介
SpectraGuard EnterpriseSpectraGuard MNC SpectraGuard SAFE
エンタープライズエンタープライズエンタープライズエンタープライズWIWIWIWIPSPSPSPS
・エンタープライズサーバー
・無線センサー(複数台)
エンドポイント管理ソフトエンドポイント管理ソフトエンドポイント管理ソフトエンドポイント管理ソフト
・・・・ラップトップ保護
集中管理ネットワークコンソール集中管理ネットワークコンソール集中管理ネットワークコンソール集中管理ネットワークコンソール
・・・・複数台のエンタープライズサーバーを集中管理
Page 172008 AirTight Networks, Inc. & Active Inc.
“SpectraGuard” WIPSの導入メリット
エンドポイントの管理サーバとWindows XPのエージェントが連動
Windows XP 無線LAN接続ポリシーを徹底エンドポイント
リモートで一次解析遠隔地のSensorでパケットキャプチャトラブルシュート
期間、形式を指定してレポート作成
フロアマップ上に指定機器の位置を表示
不正に設置された無線LAN機器を無効化
不正な通信を無効化
動作
無線LANの状況把握レポート作成
不正無線LAN機器の早期排除
位置検出
情報漏洩を防止自動防御
メリット機能
Page 182008 AirTight Networks, Inc. & Active Inc.
アーキテクチュア
セキュリティセンサーセキュリティセンサーセキュリティセンサーセキュリティセンサー
• 2.4/5GHz帯域のスキャン
• サーバーによる集中センター管理と設定
• 24時間365日間プロテクト
セキュリティセンサーセキュリティセンサーセキュリティセンサーセキュリティセンサー
エンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティ
エージェントエージェントエージェントエージェント(SAFE)
エンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティ
エージェント(SAFE)
• マルチセキュリティプロファイル
• 無線リスクレベルの査定
• センター管理と検査
エンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバー エンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバー
• センサーデーターの相互関係
• アラーム発生/通知
• セキュリティポリシーの実施
ネットワークネットワークネットワークネットワーク管理コンソール管理コンソール管理コンソール管理コンソール
((((MNC)MNC)MNC)MNC)
ネットワーク管理コンソール(ネットワーク管理コンソール(ネットワーク管理コンソール(ネットワーク管理コンソール(MNC)MNC)MNC)MNC)
• 集中センター管理されたダッシュボード及び統合されたロケーションツリー
• 集中センター管理レポート
• 全てのサーバーに対して一回のサインオン
Page 192008 AirTight Networks, Inc. & Active Inc.
おわりに
ご静聴ありがとうございましたご静聴ありがとうございましたご静聴ありがとうございましたご静聴ありがとうございました
製品についてのお問い合わせ先
株式会社アクティブ株式会社アクティブ株式会社アクティブ株式会社アクティブ 本社本社本社本社 営業部営業部営業部営業部
担当:担当:担当:担当: 矢野矢野矢野矢野
電話電話電話電話 03030303----5484548454845484----5050505050505050
EEEE----mail [email protected] [email protected] [email protected] [email protected]