All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

ユビキタス社会を支える無線 LAN 活用の有用性～安心・安全な無線ネットワークの活用を考える～

この授業は、競輪の補助金を受けて実施します。 財団法人コンピュータ教育開発センター

東京都立新宿山吹高等学校 様神奈川県立神奈川総合産業高等学校 様

株式会社　内田洋行

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

２時限目

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

3

無線 LAN のセキュリティの重要性①　無線 LAN の怖さ　無線 LAN の盗聴はコードレス電話の盗聴よりも簡単。　電波の届く範囲なら物理的に浸入することなくデータを盗むことができ、　専用機器も必要ない。

　 SSID に会社名や個人名など、利用者を特定できる文字列を設定すると、　その SSID にアクセスして入手できるデータが特定できるため、　攻撃の標的になりやすい。

簡単にできる無線 LAN 盗聴

SSID で標的を判断

○○ 小学校に浸入したら生徒の個人情報が盗める。業者に高く売れる。

SSID ：○○ shou

＜○○小学校＞

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

4

　無線 LAN の怖さ無線 LAN のセキュリティの重要性②

　インターネット上のツールを使って、パケットを覗き見るのは簡単。　メール内容、個人情報データ、パスワード、アクセスしたサイトの履歴など、　簡単に入手できる。　どこかでカード番号が売られている可能性も。

　アクセスポイントを経由してスパムメールを送ったり、　政府や大手企業のサイトに不正アクセスを働かれる恐れがある。　無線経由であるため、足がつきにくく、攻撃者にとっては絶好の環境。　最悪の場合、警察沙汰になりパソコンを押収される可能性もある。

暗号化しなければクレジット番号も盗み放題

アクセスポイントを不正利用されて警察沙汰

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

5

無線 LAN のセキュリティ設定　セキュリティにはどんなものがあるか　　　アクセスポイントにつけるグループ名。　　　利用者を特定しない名前をつけることがセキュリティにつながる。

　　　ユーティリティにアクセスポイントの SSID を表示させない、　　　また、指定した SSID 以外のパソコンは接続させない機能。

　　　登録した MAC アドレスの端末以外からは接続させない機能。　　　　　　やり取りするデータを暗号化する機能。

　　　無線を使用してネットワークを利用する際に認証を求める機能。

セキュリティの強さ

弱

強

① 　 SSID

② 　 ANY 接続拒否

③ 　フィルタリング

④　暗号化

⑤　認証

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

6

　① SSID　　 SSID　　無線 LAN グループ名を指す。　　個人名や企業名を特定しやすい名前を付けると、攻撃者にとっては　　入手できるデータが特定できるため、ターゲットになりやすい。　　利用者が特定できない名前を付ける必要がある。　　ただし、 SSID は Windows XP 等のユーティリティを使用すると簡単に分かるため、　　セキュリティ的には弱い。　　

無線 LAN のセキュリティ設定　①

○○ 小学校に浸入したら生徒の個人情報が盗める。業者に高く売れる。こっちに浸入しよう。

SSID： gu38wsj30t

＜ ×× 小学校＞

SSID ：○○ shou

＜○○小学校＞

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

7

　②ステルス /ANY 接続拒否　　本来、ステルスと ANY 接続拒否は異なる機能であるが、　　現在はいずれか一方の名称で両方の機能を実現する製品が多い。　　　　ステルス　　アクセスポイントから発せられる信号（ビーコン）の中に埋め込まれている、　　 SSID の情報を発せられないように特殊な処理を行い、端末のユーティリティからアクセスポイントの存在を分からないようにする技術のこと。　　　　 ANY 接続拒否　　端末側で SSID を指定せずに ANY（空白）に設定していると、接続を拒否する　　技術のこと。

無線 LAN のセキュリティ設定　②

×・ユーティリティからではアクセスポイントの　存在がわからない・ SSID を指定しないと接続できないANY 接続拒否

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

8

無線 LAN のセキュリティ設定　③

×

・事前にアクセスポイントに登録された　 MAC アドレスの機器でなければ、　 SSID を指定しても接続できないMAC アドレスフィルタリング

　③フィルタリング　 MAC アドレスフィルタリング　　　　登録した MAC アドレスを持つ端末だけがアクセスポイントへアクセスできる。　　　　ただし、通信しているパケットを盗聴すると、 MAC アドレスを割り出せるため、　　　　 MAC アドレスを詐称して接続することも可能であり、　　　　セキュリティ的には弱い。

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

9

無線 LAN のセキュリティ設定　④－１　④暗号化　 WEP　　　無線 LAN規格を標準化する IEEE が決めた標準暗号化技術。　　　総務省がこれ以上の暗号化を推奨。　　　無線には電波傍受や通信内容の盗聴の危険があることがわかっていたため、　　　有線の場合と同等のセキュリティを想定して作った。　　【１】暗号方法　　　　 64 ビットのシード（暗号鍵）で暗号化。短すぎるため、解読がしやすい。　　【２】データ改ざん検出　　　　データエラーの検出が主。人意的な改ざんを防ぐようには考えられていない。　　【３】認証機能　　　　なし。

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

10

無線 LAN のセキュリティ設定　④－２　④暗号化 WPA　　　ユーザからは WEP 以上の暗号化技術が求められていたが、　　　 IEEE が WEP 以降の標準暗号化技術を作成しなかったため、　　　無線 LAN関連の業界団体Wi-Fi アライアンスが作成した暗号化技術。　　　 WEP の暗号化強度を上げ、データ改ざん機能、認証機能に対応している。　　【１】暗号方法　　　　　 128 ビットのシード（暗号鍵）で暗号化。解読に時間がかかる。　　【２】データ改ざん検出　　　　　エラー検出だけでなく、人為的改ざんも検出。　　【３】認証機能　　　　　 EAP－ TTLS 、 PEAP というパスワード認証、　　　　　 EAP－ TLS という電子証明書形式がある。認証を行わずとも運用は可能。　

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

11

無線 LAN のセキュリティ設定　⑤　⑤認証（ IEEE802.1X 認証）　　・パソコンにインストールするクライアント・ソフト「サプリカント」　　・ネットワーク上で通信の可否を制御する「認証装置」　　・実際に認証を行う「認証サーバ」　　の３つで構成する。　　 EAP－ PEAP は ID とパスワード認証形式、　　 EAP－ TLS は電子証明書形式を採用する。　　 TLS は運用が大変であり、 PEAP が主に使用されている。

【認証サーバ】

【サプリカントを　　　インストールした　　　　　　パソコン】

【認証装置の役割を担った　　　　　　　　アクセスポイント】

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

12

無線 LAN を構築するためにどう設計するか①　①使用シーンの決定

＜必要な情報＞　・使用する場所　・１部屋あたりに使用する PC の数　・利用用途（インターネット、コンテンツなど）

＜関係する情報＞　・アクセスポイントの設置位置　・アクセスポイントの数　・アクセスポイントの規格　・アクセスポイントのチャネル

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

13

無線 LAN を構築するためにどう設計するか　②　②アクセスポイントの数、位置を設計

① の内容を受け、図面上でアクセスポイントの数、位置を設計

※簡易なネットワークの利用、　１部屋 10台以下の PC を　使用するのであれば、　２～３部屋に 1台が一般的

【アクセスポイントの数】　　２部屋に対してアクセスポイントを 1台設置【アクセスポイントの位置】　　場所は２部屋の間に位置する廊下

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

14

無線 LAN を構築するためにどう設計するか　③　③利用環境に応じて規格を設計

② の位置にアクセスポイントを設置する場合の利用する規格を決定802.11a と 802.11g の両方を利用できるアクセスポイントであれば、両方の規格を利用

【規格】　　・ 802.11a ： 障害物がない、広い空間で　　　　　　　　　　利用する場合　　・ 802.11g ： 障害物があり、あまり広くない空間で　　　　　　　　　　利用する場合

※体育館や広場など、　障害物のない広い空間でなければ、　　　 802.11g を使用する場合が多い

802.11a802.11g

802.11a802.11g

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

15

無線 LAN を構築するためにどう設計するか　④　④電波測定し、利用に耐えうるか調査

※たいてい電波強度 20 以上あれば、　不快感なくネットワークを利用できると　言われている

【測定する位置】　　利用したい場所の中で、　　　・アクセスポイントから距離がある　　　・間に障害物がある　　など、電波が飛びにくい場所を優先的に測定　　電波の漏れに重点を置く場合は、　　その他以外の場所に関しても測定

802.11a ： 25802.11g ： 27802.11a ： 25

802.11g ： 26

802.11a ： 19802.11g ： 17

802.11a ： 20802.11g ： 18

② の位置にアクセスポイントを設置し、③ で設定した規格において各アクセスポイントに対する電波強度を測定する

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

16

無線 LAN を構築するためにどう設計するか　⑤　⑤調査結果に応じて、アクセスポイントの数、位置を修正し、再調査

802.11a ： 25802.11g ： 27802.11a ： 25

802.11g ： 26

802.11a ： 19802.11g ： 17

802.11a ： 20802.11g ： 18

④の電波調査結果において、電波強度が 20 以下の場所に関してアクセスポイントの数、位置を修正し、再測定

アクセスポイントの数、位置を修正802.11a ： 20802.11g ： 18

802.11a ： 19802.11g ： 17

【アクセスポイントの修正】　　設置位置の変更で対処できない場合は、　　アクセスポイントの数を増加して対応【測定する位置】　　③と同様　　電波強度が 20 以上であればよい

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

17

無線 LAN を構築するためにどう設計するか　⑥　⑥アクセスポイントの位置に応じてチャネル設計

② の設置場所において、③ で設定した規格において利用するチャネルを設計する

【アクセスポイントのチャネル】　　電波干渉が起きないよう、チャネルを設定する。　　チャネルは 4チャネル以上離すとよい

802.11a : 34CH802.11g : 1CH

802.11a : 38CH802.11g : 6CH

802.11a : 42CH802.11g : 11CH

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

18

無線 LAN を構築するためにどう設計するか　⑦　⑦セキュリティの設計

各アクセスポイントに対して、利用シーンに応じてセキュリティを設計する

【アクセスポイントのセキュリティ】　　・ SSID ： アクセスポイント毎に　　　　　　　　使用する PC を分けない場合は統一　　・暗号化 ： 利用レベルに応じて暗号化レベルを変更　　・その他 ： その他のセキュリティ設定に関しては、　　　　　　　　　利用レベルに応じて設定の有無を決定

SSID : teacher暗号化 : WPA-PSK TKIPﾊﾟｽﾜｰﾄﾞ : ＊＊＊＊ANY 接続 : 拒否ﾌｨﾙﾀﾘﾝｸﾞ : MAC ｱﾄﾞﾚｽﾌｨﾙﾀﾘﾝｸﾞ

SSID : student暗号化 : WPA-PSK TKIPﾊﾟｽﾜｰﾄﾞ : ＊＊＊＊

※総務省の推奨は WPA 以上の　　暗号化

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

19

　無線 LAN のセキュリティ設定をしてみよう！① アクセスポイントの設定画面に接続する　　・アクセスポイントと端末を LAN ケーブルで結ぶ　　・ブラウザを使用してアクセスポイント設定画面を表示させる　② アクセスポイントのセキュリティ設定をする（WPA-PSK TKIP）　　・ SSID　　・暗号化設定　　・ネットワークキー入力③ 接続するアクセスポイントの情報を端末に設定する　　・ SSID　　・暗号化方式　　・ネットワークキー④WEB サーバに接続し、無線 LAN につながることを確認する　　　　　

＜実習＞無線 LAN のセキュリティ設定実習

アクセスポイント設定情報

【 SSID 】　 ucd2007【暗号化】　無し【キー】　無し

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

20

＜実習＞近くにアクセスポイントがあるか探そう　アクセスポイント検出ツール　「　 Network Stumbler 　」　を使って、　近くにアクセスポイントがあるか探してみよう！

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

21

　 IEEE802.11n　光ファイバ等の有線系ブロードバンドにそん色のない、　伝送速度 (100Mbps以上 )の高速無線 LANの実現する国際標準規格。　使用周波数帯については、既存の無線 LANと同じ。　　 2006年 1月にドラフト策定され、 2007年春に規格策定が行われる見込み。　この規格の策定を踏まえ、日本では 100Mbps以上の伝送速度を実現する高速無線 LANの導入のための技術基準を検討しており、　高速無線 LANの早期導入や、ワイヤレスブロードバンド推進研究会（ 2005.12最終報告書）で検討　された次世代情報家電における　無線 LANの利用ニーズへの対応を　目指している。

これからの無線 LAN について

出展　 http://www.soumu.go.jp/s-news/2006/060327_4.html

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

22

これからの無線 LAN について　 WiMAX 技術（ Worldwide Interoperability for Microwave Access ）　　中距離無線 LAN （ WMAN ）の業界標準を策定する WiMAX Alliance に

よって提案され、 IEEE 802.16a で標準化作業が進んでいる技術である。　　通常は、業界団体の名称をとって「 WiMAX 」と表記されている。　　 WiMAX 第 1 世代の 802.16a 仕様では、 30 マイル（約 48km ）までの距

離を最大 70Mbits/s で結ぶことが想定されている。　　この第 1 世代の WiMAX では、基地局のアンテナと、各家庭やオフィス

の屋外に設置されたアンテナ間での通信が中心である。

出展　 http://www.atmarkit.co.jp/fsys/keyword/013radiotech/013radiotech02.html

All Rights Copyright Reserved (C) UCHIDA YOKO Co.,LTD 2007

23

参考資料・ URL＜参考資料＞　・無線 LAN ＆セキュリティ超入門：日経 NETWORK 編、日経 BP 社、 200

6　・絶対わかる！ LAN 超入門：日経 NETWORK 編、日経 BP 社、 2003　・無線 LAN パニック：日経 BP ムック、日経 BP 社、 2003 　

＜参考 URL ＞　・ http://www2.elecom.co.jp/network/wireless-lan/security.html　・ http://www.wimaxforum.org/home/　・ http://grouper.ieee.org/groups/802/16/index.html