アカウント名:
パスワード:
きちんとしたセキュリティ対策をやっている会社は、
きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。
皮肉で言っているんですよ、きっと。ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは1. TLS証明書の無効化2. IDのブルートフォースまたは一覧の取得3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていくこれで大概はいけるのではないでしょうか。
無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。
情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
例えば、無線LANの暗号
結局の所、なぜWEPにするのか説明になっていない。あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。
「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
(#2865089) 「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
(#2865266) 「EAP」を必死にググる姿が目に見えるw
まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。
アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]
by Printable is bad. (38668) on 2014年08月27日 20時23分 (#2665057)この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。(中略)ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。
by Printable is bad. (38668) on 2014年08月27日 20時23分 (#2665057)
この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
(中略)
ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。
私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。
しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。
無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。
そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。
無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。
「EAP」を必死にググる姿が目に見えるw
という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。
VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。
比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。
法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
WEP でも VPN でセキュリティを確保すれば無問題 (スコア:5, 参考になる)
きちんとしたセキュリティ対策をやっている会社は、
Re: (スコア:0)
きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。
「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。
Re: (スコア:1)
皮肉で言っているんですよ、きっと。
ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは
1. TLS証明書の無効化
2. IDのブルートフォースまたは一覧の取得
3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく
これで大概はいけるのではないでしょうか。
ユーザーが管理できるパスワードの数には限りがある (スコア:5, すばらしい洞察)
無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。
情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
例えば、無線LANの暗号
Re: (スコア:0)
結局の所、なぜWEPにするのか説明になっていない。
あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。
Re:ユーザーが管理できるパスワードの数には限りがある (スコア:0)
「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:3)
まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。
アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]
私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。
しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。
無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。
そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。
無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。
Re: (スコア:0)
「EAP」を必死にググる姿が目に見えるw
という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから
目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。
Re: (スコア:0)
VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。
Re:IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:1)
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。
比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。
法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。