@IT会議室は、ITエンジニアに特化した質問・回答コミュニティ「QA@IT」に生まれ変わりました。ぜひご利用ください。
- PR -

無線による有線LANの盗聴は可能

投稿者投稿内容
BASE
大ベテラン
会議室デビュー日: 2002/03/13
投稿数: 178
投稿日時: 2003-04-09 02:04
>実は説明しなくても違法じゃない。会社の資産だからそれをどうしようと会社の自由。
そうなんですか、会社の資産なんだけど、黙ってチェックするのは問題だと
聞いてたもので・・・
後、自分の前の発言を翻しますが、
説明無しで、普通にアクセス可能なところに利用規定を置いておくという形で良いとも
聞いた。

で、少し調べてみると、裁判の判決においてメールのモニタリングは”妥当”とされたが、
それはあくまで、その件の場合としてるみたいですね。
実際は各場合によっては社員のプライバシー侵害となる可能性も否定できないため
1.利用規則を定め社員に周知
2.モニタリングする可能性のあることを告知
3.モニタリングの手順の確立(閲覧権限の特定、調査員選定の基準[利害関係無等])
上記の事を行うのが妥当である。と、旧労働省で指針が出てるみたいですね。
#適当に簡略化してます。

>中身を見ることは許されないんです
しかし、全ての通信ログの(特定の期間の)保存と警察の要求に対して
ログを提出するという方向への流れもありますよね?
通信の秘密との絡みはどうなるんでしょうかね???
後、掲示板への中傷投稿に対する証拠提出などにおいては、
ログのチェックの時点で他の関係ないユーザのログも見られていますよね?

>通信のセッションが確立された場合、その時点で)不正アクセス禁止法に違反します。
不正アクセス禁止法はアクセス制御がかかっていない場合は適用されないと、
認識していました。
ですので、ウォードライビング等でアクセスできるような環境でのアクセスは
対象外ではないかと思っていました。
同様に、フォルダ一覧が覗けるような状態のサイトで、アンケートデータを除き見
したりするのも対象外ではなかったでしたっけ?
#データを配布したりすると別な法律で引っかかりますけど・・・

>無線アクセスポイントで、使えるMACを登録して、無線側からはARP参照のみ許可
>後は全て拒否できると、ARP汚染は起こらない???
え〜と表現が拙くて申し訳なかったのですが、
これはスニッフィングにフォーカス当てています。
読取専用=汚染ができない、とならないかな?と単純に考えただけです。
で、有線LAN側からのARP更新は許可(汚染者がいない前提)、
無線LAN側はMAC固定+参照のみ=更新不可(汚染パケットは拒否)
無線LAN側の端末の有無は無線アクセスポイントがチェック。
表現ややこしくなってるんで、なんでしたら流してください。

>無線LANのセキュリティに必ず出てくるMACアドレスフィルタリングの手法ですが、
>これは非常に簡単に偽造できます。(Linuxではコマンド1行指定するだけ、Windowsでも
>レジストリの修正で可能) そのためMACアドレスによる制限は、お手軽なだけに"やらない
>よりはやった方が良い"程度のセキュリティです。
MACが偽造可能のはわかっているのですが、フィルタリング自体は
そんなに有効性は無いですかね???
総当りでチェックしていっても結構時間がかかりそうな気もするのですが・・・
後、登録の際に自らMACを偽造すれば(3comの会社コードをBASEにしてしまう)
NICメーカーだけを狙った辞書攻撃を回避し、純粋な総当りチェックを要求できる
のではないかと思ってるんですが。
時間をかけられれば破られることに変わりは無いですが、”やらないよりは”
よりはもう少し評価できるのではないでしょうか???

200LXファン
ベテラン
会議室デビュー日: 2002/09/18
投稿数: 50
投稿日時: 2003-04-09 10:30
引用:

>実は説明しなくても違法じゃない。会社の資産だからそれをどうしようと会社の自由。
そうなんですか、会社の資産なんだけど、黙ってチェックするのは問題だと
聞いてたもので・・・


あくまで原則は、です。米国でもプライバシーの侵害は否定できないようですけど。
たしかFORD自動車がらみで合法の判決がでてたような。でも、判例が少ないから
なんとも言えないようです。連邦最高裁判決も出てないし。

引用:

>中身を見ることは許されないんです
しかし、全ての通信ログの(特定の期間の)保存と警察の要求に対して
ログを提出するという方向への流れもありますよね?
通信の秘密との絡みはどうなるんでしょうかね???
後、掲示板への中傷投稿に対する証拠提出などにおいては、
ログのチェックの時点で他の関係ないユーザのログも見られていますよね?


これ、郵便の簡易書留に例えると一番わかりやすいかな。
簡易書留、いつ何処についたという記録が郵便局側でされます。
まあ、それがための簡易書留なんですが。それでも郵便物の中身を閲覧するのは
許されない。こういうことです。
プロバイダー側で記録しているのは通信の記録。通信の中身の記録じゃないです。
時間とアクセス先、アクセス元IPアドレスの情報さえあれば個人の特定が可能ですから。
それを元に警察は行動しているのです。アクセス元IPアドレスなどの情報を記録しない
掲示板は例の「2ちゃんねる」ぐらいだと思いますよ。”匿名”掲示板とはそういう意味
なんです。もっとも、ここもIPアドレスの情報をとるようにする(のか、もうすでにした)
と聞きますけど。

引用:

>通信のセッションが確立された場合、その時点で)不正アクセス禁止法に違反します。
不正アクセス禁止法はアクセス制御がかかっていない場合は適用されないと、
認識していました。
ですので、ウォードライビング等でアクセスできるような環境でのアクセスは
対象外ではないかと思っていました。
同様に、フォルダ一覧が覗けるような状態のサイトで、アンケートデータを除き見
したりするのも対象外ではなかったでしたっけ?


相手のネットワーク資源を違法に使っていることになるみたいです。
私が読んだ記事ではたしかDHCPを例に取ってましたけど、無線LANでDHCPにより
IPアドレスを取得してしまったらアウトと書かれてましたね。

引用:

MACが偽造可能のはわかっているのですが、フィルタリング自体は
そんなに有効性は無いですかね???


通信の暗号化が不十分ですからね。というか解読がもう既に可能。
だから無線LAN上の通信を傍受することで許可された通信のmacアドレスが分かる
のでmacアドレスを偽造して通信の乗っ取りも不可能じゃない、という話は
あるようです。暗号化の強度を上げた規格の完成が最も望ましいんだけど、あれは
まだまだ時間がかかるみたいだし。
樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-04-10 11:19
>引用:
>---------------------------------------------------------------------------
>MACが偽造可能のはわかっているのですが、フィルタリング自体は
>そんなに有効性は無いですかね???
>---------------------------------------------------------------------------
>
>通信の暗号化が不十分ですからね。というか解読がもう既に可能。
>だから無線LAN上の通信を傍受することで許可された通信のmacアドレスが分かる
>のでmacアドレスを偽造して通信の乗っ取りも不可能じゃない、という話は
>あるようです。

無線LANのMACアドレスを偽造する場合には、上記でも指摘されているとおり
MACアドレスに対するブルートフォースではなく、許可された正規のMACアドレスを
傍受してから、それをそのまま利用します。
通常、許可されたMACアドレスを持つステーション(PC+無線LANカード)の通信は
WEPにより暗号化できますが、MACアドレスが802.11の制御プロトコルの
一部として流れる場合は、暗号化の対象とはなりません。

例えばNetStumblerではアクセスポイントのMACアドレスしか見えませんが、
別の無線LAN用のソフトウェアを使用するとステーションのMACアドレスまでも
表示するので、私が実際にペネトレーションを試したところ5分程度で侵入可能
でした。その程度のセキュリティと考えていただいた方が良いでしょう。
もちろん、正規のステーションが通信をしていない場合には待つしかありませんが。

>暗号化の強度を上げた規格の完成が最も望ましいんだけど、あれは
>まだまだ時間がかかるみたいだし。

この部分の表現は良く誤解されることがあるので、あえて補足させていただきますと、
無線LANのWEP暗号化の弱点は、暗号化の"強度"の問題ではなく暗号化システムの
デザインの問題です。
強度に問題があるのであれば、鍵の長さを128(104)bitよりも長くするなどの方法で
比較的容易に対応可能ですが、WEPの場合はヴァーナム暗号の使い方を間違えているので、
鍵の長さを長くしても対応策とはなりません。
注意していただきたいのは、無線LANを販売するいくつかのハードベンダが、より長い
鍵を使用することで、WEPの脆弱性を解決しているかのように誤解させる宣伝をみかけ
ることがあります。
(WEPの脆弱性を解決したとは明確に記述していないところがポイントです)

ただ規格が変更されても、何らかのタイミングで個々のシステムを識別するMAC
アドレスが暗号化されない形で流れること自体は、避けられないような気がします。
ですからMACアドレスそのものを認証の根拠に使用するのではなく、RADIUSなどの別の
認証のアプローチが有効ではないでしょうか?

# 話が一般的な無線LANのセキュリティの話になってしまったのが少し残念です。
へげもん
ベテラン
会議室デビュー日: 2002/04/14
投稿数: 87
お住まい・勤務地: 埼玉県
投稿日時: 2003-04-10 15:03
引用:

WEPの場合はヴァーナム暗号の使い方を間違えているので、
鍵の長さを長くしても対応策とはなりません。


このあたり興味があるので、もしよろしければ解説していただけないでしょうか?
あるいは、適当なポインタでも。
樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-04-10 15:32
樫田です。

通常、WEPの脆弱性の説明には「RC4暗号が使われている」とう記述で終ることが
多いのですが、RC4アルゴリズムを追求しただけでは今回の脆弱性をきちんと
理解できません。RC4 + ヴァーナム暗号(XOR演算)の組み合わせがポイントになります。

日本語で読めるネット上の解説では、

IBMによる「WEPに何があったのか?」
http://www-6.ibm.com/jp/developerworks/security/010831/j_s-wep-index.html

がわかりやすく書かれています。ここでは直接「ヴァーナム暗号」というキーワードは
登場しませんが、この言葉を前提に置くと問題点が把握できるのではないでしょうか?
へげもん
ベテラン
会議室デビュー日: 2002/04/14
投稿数: 87
お住まい・勤務地: 埼玉県
投稿日時: 2003-04-10 16:23
引用:

IBMによる「WEPに何があったのか?」


大変参考になりました。ありがとうございます。

しかし……WEPについて読んだときに、IVが怪しいとは思いましたが、まさかカードを抜き差しする度に初期化してしまう製品があるとは。
やはり、WEPは「セキュリティなしのLANと同程度」に過ぎないと考えるべきですね。
matu
ベテラン
会議室デビュー日: 2002/09/01
投稿数: 95
お住まい・勤務地: 東京
投稿日時: 2003-04-22 10:23
 こんにちは。会話が一部理解できないので別スレッドでも投稿させて
いただいたのですが、こちらにも参加させて下さい。理解不足で変な事
を言ってしまうかもしれませんがその場合はご指摘ください。


引用:樫田さんwrote
--------------------------------------------------------------------------------
"セキュリティ"上の理由でSWITCHによるネットワーク構成を行う場合がよくあります。
--------------------------------------------------------------------------------
 樫田さんがおっしゃるSWITCHによるネットワーク構成といもののイメージがわかない
のですが、SWITCHとは無線アクセスポイントにその様な機器があるという事でしょうか?


引用:樫田さんwrote
--------------------------------------------------------------------------------
3) アクセスポイントを置く場合には、外部からのアクセスと認識してDMZに配置し、
さらにネットワーク参加にあたりRADIUSなどの認証を行う
--------------------------------------------------------------------------------
 私が考えている構成(xもRADIUSも使用しない)では、Securityの限界を感じて
いますが、この場合DMZという認識でアクセスポイントの直後にルータ(ブルータ?)
を置いてフィルタリング(HTTPのみ通す)するという方法で解決しようと考えました。
ファイアウォールは少々高価なのでポートフィルタのレベルで妥協と考えたのですが
これでは問題があるでしょうか?


引用:樫田さんwrote
--------------------------------------------------------------------------------
WEPにより暗号化できますが、MACアドレスが802.11の制御プロトコルの
一部として流れる場合は、暗号化の対象とはなりません。
--------------------------------------------------------------------------------
 IEEE802.11bではパケットの中身をキャプチャすれば簡単にMACアドレスが見える
(WEPを施していても)という事ですよね?ちなみにこの場合アクセスポイントの
ANY設定の無効やブロードキャストの無効などをしても、見知らぬ人にキャプチャ
できてしまうのでしょうか?
 またSSIDもパケットの中身を見れば見えてしまうのですか?

樫田
常連さん
会議室デビュー日: 2002/07/18
投稿数: 25
投稿日時: 2003-04-22 12:21
>-----------------------------------------------------------------
>"セキュリティ"上の理由でSWITCHによるネットワーク構成を行う場合がよくあります。
>-----------------------------------------------------------------
>樫田さんがおっしゃるSWITCHによるネットワーク構成といもののイメージがわかない
>のですが、SWITCHとは無線アクセスポイントにその様な機器があるという事
>でしょうか?

ここで述べているのは、普通に有線LANで使用される"スイッチングハブ"と呼ばれる
リピータハブではない、インテリジェントなスイッチです。
各ポートに接続された機器のMACアドレスを学習して通信を制御するので、そのままでは
第3者(例えば傍受システム)はその通信に参加できません。
(厳密にはスイッチングハブとインテリジェントスイッチではブロードキャストデータの
取り扱いが異なりますが、ここでは省略)

最近よくあるADSL用のブロードバンドルータのように、無線のアクセスポイントと
リピータハブを組み合わせた商品や、アクセスポイントとスイッチングハブを組み
合わせた商品も十分実現可能ですが、ここではそうした特殊なハードウェアの話では
なく、有線LANで使用される普通のSWITCHに直接アクセスポイントを接続して、有線LANと
無線LANの相互接続を実現するネットワークを指しています。

ただでさえ長い文章なので、適当にはしょって説明しているためにわかりにくい表現
だったかもしれませんね。すみません。

>-------------------------------------------------------------------
>3) アクセスポイントを置く場合には、外部からのアクセスと認識してDMZに配置し、
>さらにネットワーク参加にあたりRADIUSなどの認証を行う
>-------------------------------------------------------------------
> 私が考えている構成(xもRADIUSも使用しない)では、Securityの限界を感じて
>いますが、この場合DMZという認識でアクセスポイントの直後にルータ(ブルータ?)
>を置いてフィルタリング(HTTPのみ通す)するという方法で解決しようと考えました。
>ファイアウォールは少々高価なのでポートフィルタのレベルで妥協と考えたのですが
>これでは問題があるでしょうか?

デザイン上は、その環境も十分DMZです。補足になりますが、アクセスポイントを
接続する有線LANのセグメントをDMZと定義すれば、そのDMZとイントラネットの
境界線には、ファイアウォールが必要です。最近のルータではパケットフィルタ
レベルのファイアウォールは実装されているので、コストや運用面でルータを
ファイアウォールとして使用することもあるでしょう。
つまりセキュリティデザインとしては十分ではありませんが、コストなどを考慮
した場合、ある程度現実的な構成です。さらにDMZ上にNIDS(侵入検知システム)などの
配置もお勧めします。とりあえずsnortなどでも良いでしょう。

ただし蛇足かもしれませんが、この構成の場合はイントラネットと無線LANのネット
ワークセグメントは異なるネットワークになるために、ユーザの利便性を考えると
運用上の注意が必要です。
(例えば、無線LANからイントラネット上のプリンタサーバを使用したいという要望など)
当初はHTTPのみでというデザインをしていたけれど、運用開始後、ユーザの要望と
コストの両者を実現するためにセキュリティを犠牲にして、様々なプロトコルを許可
してしまうという話はよくありますから。

>---------------------------------------------------------------
>WEPにより暗号化できますが、MACアドレスが802.11の制御プロトコルの
>一部として流れる場合は、暗号化の対象とはなりません。
>---------------------------------------------------------------
>IEEE802.11bではパケットの中身をキャプチャすれば簡単にMACアドレスが見える
>WEPを施していても)という事ですよね?ちなみにこの場合アクセスポイントの
>ANY設定の無効やブロードキャストの無効などをしても、見知らぬ人にキャプチャ
>できてしまうのでしょうか?
>またSSIDもパケットの中身を見れば見えてしまうのですか?

おっしゃるとおりです。
すでに述べているとおりMACアドレスが傍受できるかどうかは、アクセスポイントの
設定により影響を受けます。SSIDをブロードキャストする(市販されている商品の
デフォルト状態です)場合には、何の問題も無く傍受できます。またブロードキャストを
止めた場合には、アクセスポイントからブロードキャストされる802.11の制御プロトコル
にはSSIDが含まれなくなります。しかし、すでにSSIDを知っている正常なステーションが
このアクセスポイントに接続をしてきた場合、これらのやり取りの制御プロトコルには
SSIDが含まれてしまうため、見知らぬ第3者にもそのデータは傍受できます。この制御
プロトコルはWEPの対象外です。

別件ですが、前回WEPの脆弱性とヴァーナム暗号の問題について適当な資料が無いか
ネット上で探したところ、IEEE802のワーキンググループのWEBサイトから以下の情報を
見つけました。

http://grouper.ieee.org/groups/802/15/pub/2001/Mar01/01154r0P802-15_TG3-Overview-of-802-11-Security.ppt

この"Overview of 802.11 Security"というPPTの資料中で、まさにヴァーナム暗号に
ついて言及されています。

スキルアップ/キャリアアップ(JOB@IT)