アカウント名:
パスワード:
きちんとしたセキュリティ対策をやっている会社は、
きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。
皮肉で言っているんですよ、きっと。ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは1. TLS証明書の無効化2. IDのブルートフォースまたは一覧の取得3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていくこれで大概はいけるのではないでしょうか。
無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。
情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
例えば、無線LANの暗号キー、社内VPNへの接続ID・パスワード、VPNに接続してから入力するファイルサーバーへの接続ID・パスワードなどをユーザーに管理させたら、「多層防御」どころか、面倒になって全部の情報を1つのテキストファイルにまとめられて、Evernoteやスマホの自分のメールアドレスに送って保管されてしまい(クライアント証明書ファイルも添付ファイルとして同様に送信される恐れがある)、それがまとめて流出してしまう恐れがあります。
従って、VPNへの接続を最初で最後の鉄壁として、
などの多要素認証でVPN接続を守った方が、トータルとして安全でしょう。
VPNに接続すれば、その従業員が必要な範囲でメールサーバーやファイルサーバーに追加パスワード無しでアクセスできるようにしておきます。そこでも追加のパスワードを要求してしまったら、ユーザーはVPNのパスワードを含めて全部書き留めてしまうのでかえって脆弱になります。(管理できないぐらい認証要素が増えた場合、クライアント証明書やキーファイルなども全部まとめてEvernoteの1つのノートにまとめられてしまいます)
勿論、VPNに接続しただけで全ての社内システムがクラックされてしまうことのないよう、接続先のVPNを複数用意して、その従業員の業務遂行に必要な範囲のアクセス権しか与えないようにしておきます。また、機密性の高い情報へのアクセスの際には、ワンタイムパスワードでの追加認証を要求する必要があります(普通の追加パスワードだと、まとめて書き留められる恐れがあります)。
ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは 1. TLS証明書の無効化 2. IDのブルートフォースまたは一覧の取得 3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく これで大概はいけるのではないでしょうか。
「TLS証明書の無効化」というのは、どういう意味ですか?
「IDのブルートフォースまたは一覧の取得」に関しては、ランダムな英数字を管理者が発行して、ユーザーに手帳に書き留めて保管しておくように要求すれば良いだけ。
「パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく」に関しては、むしろあなたのいうところの「多層防御」の弱点では? ユーザーが管理する必要があるパスワードがVPNのパスワードだけであるならば、そういった問題は発生しません。たった1つの大切なパスワードなので絶対に書き留めず、かつ安全なものにするよう要求すれば良いのです。そして、仮に手帳のIDと暗記しているパスワードの両方が破られたとしても、USBメモリのクライアント証明書がなければVPNに接続できません。
会社の無線LANは使うのにパスワードなんて入れないけど(IDカードの個人証明書を使う)、WPA2だ。WEPにする意味が知りたい。
AESに対するWEPの優位性が分からないのだが。古いゲーム機で使えるというくらいしか知らない。それに使える所はPSKじゃなくEAP使えばいいと思うし。
10年くらい前だとクライアントの接続可能台数が違うとか有りますね。例えばWEPなら256台だけどWPA/AESだと48台とか。 [buffalo.jp]溢れるとそもそも繋がらないとなるので(本来はAP増設して負荷分散すべき所を)WEPで繋げて、後はVPNやIPSecという上位レイヤにお任せというネットワーク設計の可能性が。
あと、Windows XPが無印だとWPAに接続するのにメーカーの別途サプリカント(場合により有料)が必要で、OS標準機能を使うにはWPAはSP1+KB815485のパッチ [microsoft.com]か、登場当時導入が見送られていたSP2。WPA2に接続するにはSP2にKB893357パッチ [microsoft.com]かSP3で可能になったという事を既に忘れている人も多いと思います。これにより、昔の2k/XP時代に導入してそのままアップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずるとWEPな所も有りそうです。
> アップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずるとセキュリティ…w
まあ、EAPだよなぁと思ったし、その意味でWEPがどうこうが違和感# まったく関係ないとは言わんけど。
なんなんだろうね。これ
"AESなら安全"とは言えないという皮肉から派生したツリーなので、細かいところにツッコむのは野暮でしょ
> (ユーザーが記憶する必要があるパスワードはこれ1つなので絶対に書き留めないように要求する)ここがどうにもならん気がする。
パスワードはセキュリティトークンでUSBはプロテクトドングルですかね。システムではこれ以上難しい気がします。
ただ、マイナンバー使うシステムならこのくらいやれと言いたいが。
結局の所、なぜWEPにするのか説明になっていない。あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。
ハニーポットでも仕掛けてあるとか?
「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
(#2865089) 「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
(#2865266) 「EAP」を必死にググる姿が目に見えるw
まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。
アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]
by Printable is bad. (38668) on 2014年08月27日 20時23分 (#2665057)この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。(中略)ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。
by Printable is bad. (38668) on 2014年08月27日 20時23分 (#2665057)
この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
(中略)
ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。
私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。
しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。
無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。
そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。
無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。
「EAP」を必死にググる姿が目に見えるw
という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。
VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。
比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。
法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。
#2864861氏の構成について。
WPA2にしない理由について考察:・どんなPC、デバイスも接続できるようにしておいて、 WEBページを立ち上げるとアナウンス用のWEBサイトを表示できるように 一番簡単なWEPのみのシステムにしているのかも。 しかしながら、ならば暗号なしのWEPの方がいいような。 (パスワードありにする理由は書いてあるが)
・加えて、VPNしているのにさらにAES暗号化するのは無駄に見えるから、 VPNオンリーにしたいのかなと読めたのですが。
VPNオンリーにしたいなら無線LANなんか設置せず、3G/LTE-USB端末のVPN限定契約回線を社員に配ればいいんですよ。例:http://www.docomo.biz/html/service/internet/
そもそも「どんなデバイスでも」というのは無理筋で、まともなVPNだとOS選ぶので、前提が間違ってる。
よく考えたら、WEPだと、11nとか11acって使えないんじゃなかった?遅くて不便な方がセキュリティリスクが低いとか、そういうアレですかね。
WPA-TKIP/RC4も11n以降の高速化拡張モードで使えません。今は暗号化無しかWPA2-CCMP/AESの二択。
> 情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、> 一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると>「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
万が一、問題が起こった場合に「情報システム部門はできうる最大のことをした」ので「あとはユーザーが悪い」と、ユーザー側に責任を転嫁できるので、ユーザーが覚えたり、守るのが事実上不可能な施策が実行されることがあります。(世の中は怖いw
日本年金機構のメール禁止とかか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
WEP でも VPN でセキュリティを確保すれば無問題 (スコア:5, 参考になる)
きちんとしたセキュリティ対策をやっている会社は、
Re: (スコア:0)
きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。
「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。
Re:WEP でも VPN でセキュリティを確保すれば無問題 (スコア:1)
皮肉で言っているんですよ、きっと。
ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは
1. TLS証明書の無効化
2. IDのブルートフォースまたは一覧の取得
3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく
これで大概はいけるのではないでしょうか。
ユーザーが管理できるパスワードの数には限りがある (スコア:5, すばらしい洞察)
無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。
情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
例えば、無線LANの暗号キー、社内VPNへの接続ID・パスワード、VPNに接続してから入力するファイルサーバーへの接続ID・パスワードなどをユーザーに管理させたら、「多層防御」どころか、面倒になって全部の情報を1つのテキストファイルにまとめられて、Evernoteやスマホの自分のメールアドレスに送って保管されてしまい(クライアント証明書ファイルも添付ファイルとして同様に送信される恐れがある)、それがまとめて流出してしまう恐れがあります。
従って、VPNへの接続を最初で最後の鉄壁として、
などの多要素認証でVPN接続を守った方が、トータルとして安全でしょう。
VPNに接続すれば、その従業員が必要な範囲でメールサーバーやファイルサーバーに追加パスワード無しでアクセスできるようにしておきます。そこでも追加のパスワードを要求してしまったら、ユーザーはVPNのパスワードを含めて全部書き留めてしまうのでかえって脆弱になります。(管理できないぐらい認証要素が増えた場合、クライアント証明書やキーファイルなども全部まとめてEvernoteの1つのノートにまとめられてしまいます)
勿論、VPNに接続しただけで全ての社内システムがクラックされてしまうことのないよう、接続先のVPNを複数用意して、その従業員の業務遂行に必要な範囲のアクセス権しか与えないようにしておきます。また、機密性の高い情報へのアクセスの際には、ワンタイムパスワードでの追加認証を要求する必要があります(普通の追加パスワードだと、まとめて書き留められる恐れがあります)。
「TLS証明書の無効化」というのは、どういう意味ですか?
「IDのブルートフォースまたは一覧の取得」に関しては、ランダムな英数字を管理者が発行して、ユーザーに手帳に書き留めて保管しておくように要求すれば良いだけ。
「パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく」に関しては、むしろあなたのいうところの「多層防御」の弱点では? ユーザーが管理する必要があるパスワードがVPNのパスワードだけであるならば、そういった問題は発生しません。たった1つの大切なパスワードなので絶対に書き留めず、かつ安全なものにするよう要求すれば良いのです。そして、仮に手帳のIDと暗記しているパスワードの両方が破られたとしても、USBメモリのクライアント証明書がなければVPNに接続できません。
Re: (スコア:0)
会社の無線LANは使うのにパスワードなんて入れないけど
(IDカードの個人証明書を使う)、WPA2だ。
WEPにする意味が知りたい。
Re: (スコア:0)
AESに対するWEPの優位性が分からないのだが。
古いゲーム機で使えるというくらいしか知らない。
それに使える所はPSKじゃなくEAP使えばいいと思うし。
Re:ユーザーが管理できるパスワードの数には限りがある (スコア:2)
10年くらい前だとクライアントの接続可能台数が違うとか有りますね。
例えばWEPなら256台だけどWPA/AESだと48台とか。 [buffalo.jp]
溢れるとそもそも繋がらないとなるので(本来はAP増設して負荷分散すべき所を)WEPで繋げて、後はVPNやIPSecという上位レイヤにお任せというネットワーク設計の可能性が。
あと、Windows XPが無印だとWPAに接続するのにメーカーの別途サプリカント(場合により有料)が必要で、OS標準機能を使うにはWPAはSP1+KB815485のパッチ [microsoft.com]か、登場当時導入が見送られていたSP2。
WPA2に接続するにはSP2にKB893357パッチ [microsoft.com]かSP3で可能になったという事を既に忘れている人も多いと思います。
これにより、昔の2k/XP時代に導入してそのままアップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずるとWEPな所も有りそうです。
Re: (スコア:0)
> アップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずると
セキュリティ…w
Re:ユーザーが管理できるパスワードの数には限りがある (スコア:1)
まあ、EAPだよなぁと思ったし、その意味でWEPがどうこうが違和感
# まったく関係ないとは言わんけど。
なんなんだろうね。これ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
"AESなら安全"とは言えないという皮肉から派生したツリーなので、細かいところにツッコむのは野暮でしょ
Re: (スコア:0)
> (ユーザーが記憶する必要があるパスワードはこれ1つなので絶対に書き留めないように要求する)
ここがどうにもならん気がする。
パスワードはセキュリティトークンで
USBはプロテクトドングルですかね。
システムではこれ以上難しい気がします。
ただ、マイナンバー使うシステムならこのくらいやれと言いたいが。
Re: (スコア:0)
結局の所、なぜWEPにするのか説明になっていない。
あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。
Re: (スコア:0)
ハニーポットでも仕掛けてあるとか?
Re: (スコア:0)
「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:3)
まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。
アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]
私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。
しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。
無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。
そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。
無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。
Re: (スコア:0)
「EAP」を必死にググる姿が目に見えるw
という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから
目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。
Re: (スコア:0)
VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。
Re:IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:1)
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。
比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。
法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。
Re: (スコア:0)
#2864861氏の構成について。
WPA2にしない理由について考察:
・どんなPC、デバイスも接続できるようにしておいて、
WEBページを立ち上げるとアナウンス用のWEBサイトを表示できるように
一番簡単なWEPのみのシステムにしているのかも。
しかしながら、ならば暗号なしのWEPの方がいいような。
(パスワードありにする理由は書いてあるが)
・加えて、VPNしているのにさらにAES暗号化するのは無駄に見えるから、
VPNオンリーにしたいのかなと読めたのですが。
Re: (スコア:0)
VPNオンリーにしたいなら無線LANなんか設置せず、3G/LTE-USB端末のVPN限定契約回線を社員に配ればいいんですよ。
例:http://www.docomo.biz/html/service/internet/
そもそも「どんなデバイスでも」というのは無理筋で、まともなVPNだとOS選ぶので、前提が間違ってる。
Re: (スコア:0)
よく考えたら、WEPだと、11nとか11acって使えないんじゃなかった?
遅くて不便な方がセキュリティリスクが低いとか、そういうアレですかね。
Re: (スコア:0)
WPA-TKIP/RC4も11n以降の高速化拡張モードで使えません。
今は暗号化無しかWPA2-CCMP/AESの二択。
Re: (スコア:0)
> 情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、
> 一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると
>「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
万が一、問題が起こった場合に「情報システム部門はできうる最大のことをした」ので
「あとはユーザーが悪い」と、ユーザー側に責任を転嫁できるので、
ユーザーが覚えたり、守るのが事実上不可能な施策が実行されることがあります。
(世の中は怖いw
Re: (スコア:0)
日本年金機構のメール禁止とかか。