無線LANセキュリティの脅威と対策 - ISITHoneyPot / Evil Twin のツールはネット上で簡単にHoneyPot / Evil Twinのツールはネット上で簡単に入手可能。

無線ＬＡＮセキュリティの

脅威と対策

株式会社株式会社株式会社株式会社アクティブアクティブアクティブアクティブ

Page 22008 AirTight Networks, Inc. & Active Inc.

エンタープライズ無線ＬＡＮ : 導入メリットと課題

� 生産性の向上生産性の向上生産性の向上生産性の向上

� ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性ネットワーク・インフラの拡張性

� ユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセスユビキタス・ネットワーク・アクセス

� 情報セキュリティの管理情報セキュリティの管理情報セキュリティの管理情報セキュリティの管理

� 無線電波の管理無線電波の管理無線電波の管理無線電波の管理

� コンプライアンスの遵守コンプライアンスの遵守コンプライアンスの遵守コンプライアンスの遵守


無線ＬＡＮは有線セキュリティだけで守れるか？

Firewalls, IP-SEC, VPN

IDS, SSL, VPN

IDS, Web Proxies, URL Filters

Anti- Virus, Spam

Filters, Anti-Spyware, Anti-

Malware

Physical

Data Link

Network

Transport

Session

Presentation

Application

Physical

Data Link

Network

Transport

Session

Presentation

Application


無線セキュリティのゴールへ

� コミュニケーション認証の強化

• 無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化無線機器接続の認証と通信データの暗号化

• WEP WEP WEP WEP �� WPA WPA WPA WPA �� WPA2/WPA2/WPA2/WPA2/802.11i802.11i802.11i802.11i

� 管理外の無線機器又は、無線接続から保護する

• ローグローグローグローグ AP,AP,AP,AP, ミス・アソシエーションミス・アソシエーションミス・アソシエーションミス・アソシエーション,,,, ハニーポッドハニーポッドハニーポッドハニーポッド (Evil Twin), (Evil Twin), (Evil Twin), (Evil Twin), アドホック接続アドホック接続アドホック接続アドホック接続,,,,

MACMACMACMAC spoofing, AP/client spoofing, AP/client spoofing, AP/client spoofing, AP/client の設定ミスの設定ミスの設定ミスの設定ミス,,,, DOS attacks DOS attacks DOS attacks DOS attacks などなどなどなど....

• ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理ワイヤレスの脆弱性管理


Open Access Points

� Open APOpen APOpen APOpen APははははセキュリティコントロールが全くあセキュリティコントロールが全くあセキュリティコントロールが全くあセキュリティコントロールが全くありません。りません。りません。りません。（（（（暗号化暗号化暗号化暗号化なしなしなしなし、認証、認証、認証、認証なし）なし）なし）なし）

� Open Open Open Open APAPAPAPはどこにでもあるはどこにでもあるはどこにでもあるはどこにでもある

• 最近の調査では50% 近くがＯＰＥＮＡＰ

Internet

External AP

あなたのOpen APOpen APOpen APOpen APはあなたへの脅威に

• 部外者はOpen APを通して企業網にア

クセスできます。

周囲のOpen APOpen APOpen APOpen APはあなたへの脅威にもなります!

• 従業員は外部へ接続するかも従業員は外部へ接続するかも従業員は外部へ接続するかも従業員は外部へ接続するかも

• それによって企業セキュリティーそれによって企業セキュリティーそれによって企業セキュリティーそれによって企業セキュリティー

ポリシーは無意味にポリシーは無意味にポリシーは無意味にポリシーは無意味に


WEP Access Points

� Wired Equivalent Privacy (WEP)

• 第一世代無線暗号化プロトコル

• ネット上で入手可能なWEP KEY解読ツール→“数分でKEYを判別”

� 古い機器による WEPの使用

• 例えば、ハンディターミナルやFA機器など

� WEP使用で最近の不履行

• 何百万ものクレジット・カードのアカウントが流失。


Level 1: In-store Network

Level 3:

Central Data Center

Level 2:

Corporate Network

TJX 漏洩事件

� 支店において、無線支店において、無線支店において、無線支店において、無線LANLANLANLANでででで侵入侵入侵入侵入

� ハッカーは１８ヶ月以上、ハッカーは１８ヶ月以上、ハッカーは１８ヶ月以上、ハッカーは１８ヶ月以上、TJXTJXTJXTJX のネッのネッのネッのネッワークや複数のサービスワークや複数のサービスワークや複数のサービスワークや複数のサービスにアクセスにアクセスにアクセスにアクセス

� 数百万のクレット・カードのアカウント数百万のクレット・カードのアカウント数百万のクレット・カードのアカウント数百万のクレット・カードのアカウントを入手を入手を入手を入手


クライアント端末は接続可能な無線LAN探している

� クライアントクライアントクライアントクライアント(Windows(Windows(Windows(Windowsラップトップラップトップラップトップラップトップ))))はははは常に無線を常に無線を常に無線を常に無線をスキャンしている。スキャンしている。スキャンしている。スキャンしている。

� 通常通常通常通常クライアントクライアントクライアントクライアント端末は接続の為に過去の接端末は接続の為に過去の接端末は接続の為に過去の接端末は接続の為に過去の接

続情報（続情報（続情報（続情報（SSID,KEYSSID,KEYSSID,KEYSSID,KEYなどなどなどなど))))を保持しているを保持しているを保持しているを保持している

• Home SSID, default SSID, hotspot SSID etc.

� 最近の最近の最近の最近の調査で調査で調査で調査ではははは一般的な一般的な一般的な一般的なラップトップラップトップラップトップラップトップは数十個は数十個は数十個は数十個

ののののSSIDSSIDSSIDSSIDをををを保持している保持している保持している保持している。。。。

Internet

External AP

Preferred SSID

隣接しているAPへの企業内ラップトップが不注意な接続!

• それによって企業のネッワークは外部

にブリッジしてしまう！

よく使用されるクライアントSSID

Linksys

Public-WiFi

neospot

Linksys

neospot

Public-WiFi

Home

Home


Internet

Rogue Access Points

� 定義：定義：定義：定義：悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持悪意の無い従業員などが故意に持

ちちちち込んだ、込んだ、込んだ、込んだ、管理されていない管理されていない管理されていない管理されていない APAPAPAPを“ローグを“ローグを“ローグを“ローグ

APAPAPAP””””と言う。と言う。と言う。と言う。

� ローグローグローグローグ APAPAPAPはエンタープライズネットはエンタープライズネットはエンタープライズネットはエンタープライズネット

ワークにオープンバックドアを簡単にワークにオープンバックドアを簡単にワークにオープンバックドアを簡単にワークにオープンバックドアを簡単に

作ってしまいます。作ってしまいます。作ってしまいます。作ってしまいます。

� ネットワーク管理者はこのネットワーク管理者はこのネットワーク管理者はこのネットワーク管理者はこのAPAPAPAPを簡単にを簡単にを簡単にを簡単に

見つけることは見つけることは見つけることは見つけることは困難です困難です困難です困難です。。。。

““““NO WiFi NO WiFi NO WiFi NO WiFi ポリシー”で無線の脅威ポリシー”で無線の脅威ポリシー”で無線の脅威ポリシー”で無線の脅威

は防げないは防げないは防げないは防げない！！！！

Hacker

External AP

Rogue AP

ローグローグローグローグAPAPAPAP は重大な脅威です。は重大な脅威です。は重大な脅威です。は重大な脅威です。

外部から簡単に内部のネットワーク外部から簡単に内部のネットワーク外部から簡単に内部のネットワーク外部から簡単に内部のネットワークにアクセスできます。にアクセスできます。にアクセスできます。にアクセスできます。


Ad hoc Connections

� ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続ピア・ツー・ピア無線接続

� 最近の調査でラップトップ最近の調査でラップトップ最近の調査でラップトップ最近の調査でラップトップPCPCPCPCの多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。の多くは、ピア・ツー・ピア接続を試みています。

• 多くのラップトップPC内に、“viral SSID”と呼ばれる設定情報が確認されています。

• 特に空港のロビー等で使用しているオフラインのラップトップPCはピア・ツー・ピア接続を試みています。

Internet

External AP

Ad hoc Connection ハッカーは内部ネットワーに接続さ

れたノートPCに、、、、““““viralviralviralviral SSIDSSIDSSIDSSID”””” を使って接続を試みます。


DOS attacks

� 無線無線無線無線LANLANLANLANは有線より、多くの種類のは有線より、多くの種類のは有線より、多くの種類のは有線より、多くの種類のDOSDOSDOSDOS攻撃に被攻撃に被攻撃に被攻撃に被害を受け易い。害を受け易い。害を受け易い。害を受け易い。

� DOSDOSDOSDOS攻撃攻撃攻撃攻撃ツールは簡単に入手できます。ツールは簡単に入手できます。ツールは簡単に入手できます。ツールは簡単に入手できます。

� DOSDOSDOSDOS攻撃は離れた攻撃は離れた攻撃は離れた攻撃は離れた外部外部外部外部からからからから無線無線無線無線アプリで可能。アプリで可能。アプリで可能。アプリで可能。

� 攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。攻撃者の場所を特定するのは難しい。

� 802.11w802.11w802.11w802.11w（次世代セキュリティ）が実装された（次世代セキュリティ）が実装された（次世代セキュリティ）が実装された（次世代セキュリティ）が実装された

後でも、幾つかの新・旧後でも、幾つかの新・旧後でも、幾つかの新・旧後でも、幾つかの新・旧DOSDOSDOSDOS攻撃が持続する攻撃が持続する攻撃が持続する攻撃が持続する

と思われる。と思われる。と思われる。と思われる。

Internet

External APDOS


AP Mis-configuration

� エンタープライズ無線エンタープライズ無線エンタープライズ無線エンタープライズ無線LANLANLANLAN構築構築構築構築における複雑さはにおける複雑さはにおける複雑さはにおける複雑さはしばしばミスを引きしばしばミスを引きしばしばミスを引きしばしばミスを引き起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。起こし、それを見つけ出すのは容易でありません。

� 不適切に不適切に不適切に不適切に構築構築構築構築されたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚をされたセキュリティは大丈夫だという誤った感覚を植植植植え付けてしまいますえ付けてしまいますえ付けてしまいますえ付けてしまいます。。。。

� ハッカーはウォー・ドライビングハッカーはウォー・ドライビングハッカーはウォー・ドライビングハッカーはウォー・ドライビング等等等等ででででこのようなセキュリティーの弱いこのようなセキュリティーの弱いこのようなセキュリティーの弱いこのようなセキュリティーの弱い場所を探しています。場所を探しています。場所を探しています。場所を探しています。


Internet

HoneyPot / Evil Twin

� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinはクライアントはクライアントはクライアントはクライアントを悪意を持っを悪意を持っを悪意を持っを悪意を持って誘い込むて誘い込むて誘い込むて誘い込むAPAPAPAPです。です。です。です。

� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinは接続したくなるようなは接続したくなるようなは接続したくなるようなは接続したくなるようなSSIDSSIDSSIDSSID

を使用します。を使用します。を使用します。を使用します。

例えば：例えば：例えば：例えば： FreeWiFiFreeWiFiFreeWiFiFreeWiFi, corporate SSID etc., corporate SSID etc., corporate SSID etc., corporate SSID etc.

� 一度、これらの一度、これらの一度、これらの一度、これらのAPAPAPAPに接続したクライアントは攻撃にに接続したクライアントは攻撃にに接続したクライアントは攻撃にに接続したクライアントは攻撃に

対して無防備です。対して無防備です。対して無防備です。対して無防備です。

• パスワード横取り

• 介入者攻撃 ,

• ウィルス・スパイウェアの挿入など。

� HoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil TwinHoneyPot / Evil Twinのツールはネット上で簡単にのツールはネット上で簡単にのツールはネット上で簡単にのツールはネット上で簡単に

入手可能。入手可能。入手可能。入手可能。

� Evil TwinEvil TwinEvil TwinEvil Twinよりももっと強力なよりももっと強力なよりももっと強力なよりももっと強力な“ MultipotMultipotMultipotMultipot” も出現しても出現しても出現しても出現して

いる。いる。いる。いる。

External AP

Evil

Twin


Internet

External AP

DoS Attack

Client Mis-association

Mis-configured AP

Ad hoc Connection

AP Mac Spoofing

Honeypot AP

Hacker Rogue AP

Weak WEP

� 無線無線無線無線LANLANLANLANで構内ネットワークへで構内ネットワークへで構内ネットワークへで構内ネットワークへ

� ユーザユーザユーザユーザIDIDIDIDとパスワードをとパスワードをとパスワードをとパスワードを取得取得取得取得。。。。

� 構内のサービスへアクセス構内のサービスへアクセス構内のサービスへアクセス構内のサービスへアクセス

� 悪意のあるアプリを導入悪意のあるアプリを導入悪意のあるアプリを導入悪意のあるアプリを導入

� 内部データを搾取内部データを搾取内部データを搾取内部データを搾取

無線無線無線無線LANは、エンタープライズは、エンタープライズは、エンタープライズは、エンタープライズNetworkをををを

攻撃する攻撃する攻撃する攻撃する場合、場合、場合、場合、最も被害を受け易いポイン最も被害を受け易いポイン最も被害を受け易いポイン最も被害を受け易いポイントトトトになりますになりますになりますになります。。。。これらの幾つかは“これらの幾つかは“これらの幾つかは“これらの幾つかは“NO WiFi ポリシー”でもポリシー”でもポリシー”でもポリシー”でも

存在します。存在します。存在します。存在します。

無線LANセキュリティの脅威のまとめ

ハッカーの手口ハッカーの手口ハッカーの手口ハッカーの手口


無線LANセキュリティの脅威に取り組む

� 最新で適切に構築された無線LANネットワーク

• 無線LANネットワークは常に新しいセキュリティー基準でついて行かなければなりません。

• レガシー機器の脆弱性を補完する為、無線セキュリティー・ソリューションが必要です。

(例えば、WEPにしか対応できない、バーコードスキャナやFA機器など）

• 機器使用者への無線セキュリティ教育と啓蒙活動が必要です。

� エンタープライズ無線LANの定期的なモニター

• 無線LANの脆弱性を検出する為に、電波の届くすべての範囲をモニターして下さい。

– 24時間３６５日、無線空間を監視、防御して下さい。

– 疑わしい、無線接続を解析し、分析してください。

– モニターは、脆弱性を特定するのを手助けします。

– 必要な行動を取って、脆弱性を除去してください。

� ラップトップ保護

• 安全な無線接続を実施するために管理ソフトを導入してください。

• 社内のラップトップの外出時の接続履歴を管理してください。


AirTight社 “SpectraGuard” WIPSソリューションの紹介

SpectraGuard EnterpriseSpectraGuard MNC SpectraGuard SAFE

エンタープライズエンタープライズエンタープライズエンタープライズWIWIWIWIPSPSPSPS

・エンタープライズサーバー

・無線センサー（複数台）

エンドポイント管理ソフトエンドポイント管理ソフトエンドポイント管理ソフトエンドポイント管理ソフト

・・・・ラップトップ保護

集中管理ネットワークコンソール集中管理ネットワークコンソール集中管理ネットワークコンソール集中管理ネットワークコンソール

・・・・複数台のエンタープライズサーバーを集中管理


“SpectraGuard” WIPSの導入メリット

エンドポイントの管理サーバとWindows XPのエージェントが連動

Windows XP 無線LAN接続ポリシーを徹底エンドポイント

リモートで一次解析遠隔地のSensorでパケットキャプチャトラブルシュート

期間、形式を指定してレポート作成

フロアマップ上に指定機器の位置を表示

不正に設置された無線LAN機器を無効化

不正な通信を無効化

動作

無線LANの状況把握レポート作成

不正無線LAN機器の早期排除

位置検出

情報漏洩を防止自動防御

メリット機能


アーキテクチュア

セキュリティセンサーセキュリティセンサーセキュリティセンサーセキュリティセンサー

• 2.4/5GHz帯域のスキャン

• サーバーによる集中センター管理と設定

• 24時間365日間プロテクト

セキュリティセンサーセキュリティセンサーセキュリティセンサーセキュリティセンサー

エンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティ

エージェントエージェントエージェントエージェント(SAFE)

エンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティエンドポイントセキュリティ

エージェント(SAFE)

• マルチセキュリティプロファイル

• 無線リスクレベルの査定

• センター管理と検査

エンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバーエンタープライズサーバー

• センサーデーターの相互関係

• アラーム発生/通知

• セキュリティポリシーの実施

ネットワークネットワークネットワークネットワーク管理コンソール管理コンソール管理コンソール管理コンソール

（（（（MNC)MNC)MNC)MNC)

ネットワーク管理コンソール（ネットワーク管理コンソール（ネットワーク管理コンソール（ネットワーク管理コンソール（MNC)MNC)MNC)MNC)

• 集中センター管理されたダッシュボード及び統合されたロケーションツリー

• 集中センター管理レポート

• 全てのサーバーに対して一回のサインオン


おわりに

ご静聴ありがとうございましたご静聴ありがとうございましたご静聴ありがとうございましたご静聴ありがとうございました

製品についてのお問い合わせ先

株式会社アクティブ株式会社アクティブ株式会社アクティブ株式会社アクティブ本社本社本社本社営業部営業部営業部営業部

担当：担当：担当：担当：矢野矢野矢野矢野

電話電話電話電話 03030303----5484548454845484----5050505050505050

EEEE----mail [email protected] [email protected] [email protected] [email protected]

Documents

無線LANセキュリティの 脅威と対策 - ISITHoneyPot / Evil Twin のツールはネット上で簡単にHoneyPot / Evil Twinのツールはネット上で簡単に 入手可能。

無線LANセキュリティの脅威と対策 - ISITHoneyPot / Evil Twin のツールはネット上で簡単にHoneyPot / Evil Twinのツールはネット上で簡単に入手可能。