情報処理安全確保支援士 data_data_data

無線LANのセキュリティ

目次
  1. 無線LANとは
  2. 無線LANの暗号通信
  3. アクセスポイントでのアクセス制御

無線LANとは

無線LANとは、無線で構築されたローカルネットワークのことです。

無線アクセスポイントでは、無線でデバイスと繋がって通信を提供します。


無線LANルーターは、ルーターとアクセスポイントの機能が備わっていて、家庭用でよく使われます。

アクセスポイントはデバイスと繋がるだけ、
ルーターは、IPアドレスをもとに異なるネットワーク同士(ローカルネットワークとインターネット同士)を接続するという違いがあります。

引用:無線LANとは?Wi-Fiとの違いについても解説!覚えおいておきたいIT知識|情シスマン


Wi-Fiは、無線通信規格のひとつIEEE802.11の品質を保証する認証のことです。


無線LANのセキュリティで、代表的な手法は以下の通りです。

  • 暗号通信を使うことで、盗聴対策をすること。
  • 端末(STA)の認証を入れることで、APの無断利用を禁止すること
  • APの認証を入れることで、APのなりすまし対策をすること

無線LANは電波を使って通信するため、電波は不特定多数に届いてしまいます。




無線LANの暗号通信

データを見られても、中身がわからないように、アクセスポイントとクライアント間で暗号鍵を使った暗号化をする必要があります。

無線LAN の代表的な暗号通信方式は次の2つです。

  • WPA2(一番使われている)
  • WPA3(少しずつ移行されている)


どちらも、暗号規格はAES、暗号化プロトコルはCCMPです。

暗号規格とは、データを暗号化するためのアルゴリズムのことです
暗号化プロトコルは、どのような手順・方法で暗号化したデータを扱うかのルールのことです。


アクセスポイントでのアクセス制御

なりすまし・不正利用対策として、認証を行います。


接続先のアクセスポイント(以下、AP)をなりすまされることを防ぎます。

  • アクセスポイントのなりすまし対策:クライアントが正規のAPなのかを認証します。
  • 不正利用対策:APがクライアントを認証します


WPA2、WPA3の運用形態には、パーソナルモードとエンタープライズモードがあります。

パーソナルモードとは、各モードでは接続機器をAPに接続するときの認証方法が異なります。

  • パーソナルモード:APにあらかじめ暗号鍵を設定しておく。
  • エンタープライズモード:IEEE802.1X認証



パーソナルモード

パーソナルモードは、個人宅での利用を想定した運用形態です。

PSKという共通鍵をクライアントとサーバが持っていることで、認証します。


PSKを持っていなければ、認証できません。


パーソナルモードの問題点

暗号鍵を利用者全員が共通で使っているため、暗号鍵を度々変更することができません。

離任者が出た場合に共通鍵の交換を適宜行うことができません。

ESS-IDの隠蔽

APが発信するビーコンフレームの送出を停止し、ESS-IDを周りに知らせないようにすることで、予めESS-IDを知っているユーザのみがAPに接続できるようにする方法です。


しかし、APと通信している人が一人でもいる場合、やりとりしているフレームからESS-IDをは判明してしまいます。

実質、あまり効果がありません



パーソナルモードで運用しているアクセスポイントのなりすまし

攻撃者が用意したAPに本物のESS-IDと鍵を設定すれば、ニセAPを作ることができます。


ニセAPを作ることで攻撃者が企むことは2つです。

  • WebサーバとAP間の通信を盗聴する(HTTP通信時に限る)
  • 偽Webサーバに接続させることで、自分のアクセスさせたいサイトに飛ばす



エンタープライズモード

クライアントから接続要求があると、認証情報を認証サーバに送り、認証OKならAPとクライアントが暗号通信するための鍵を送ります。

クライアントごとに鍵がことなるため、鍵の変更も難なく行えます。

エンタープライズモードの問題点

認証サーバの設置が必要なので、法人・組織向けの認証方法です。

RECOMMENDこちらの記事も人気です。