脅威を理解し、脅威をネットワークから守る方法
価格での利便性
ワイヤレスネットワークの利便性は、しかし、価格が付属しています。 データがコンピュータとスイッチを接続するケーブル配線に含まれているため、有線ネットワークアクセスを制御できます。 ワイヤレスネットワークでは、コンピュータとスイッチ間の「ケーブル接続」を「エア」と呼び、範囲内のすべてのデバイスが潜在的にアクセスできます。 ユーザーが300フィート離れた場所からワイヤレスアクセスポイントに接続できる場合、理論的にはワイヤレスアクセスポイントの半径300フィート以内の他の誰もが可能です。
ワイヤレスネットワークセキュリティへの脅威
- 不正なWLAN - 企業が正式に承認された無線ネットワークを持っているかどうかに関わらず、ワイヤレスルータは比較的安価であり、野心的なユーザーは不正な機器をネットワークに接続する可能性があります。 これらの不正な無線ネットワークは、安全でないか、不適切に保護されている可能性があり、ネットワーク全体に大きなリスクをもたらします。
- 内部通信のなりすまし - ネットワークの外部からの攻撃は、通常、そのように識別することができます。 攻撃者がWLANに接続できる場合、攻撃者は内部ドメインからの通信を偽装する可能性があります。 ユーザーは、スプーフィングされた内部通信を信頼して行動する可能性が非常に高くなります。
- ネットワークリソースの盗難 - 侵入者がコンピュータを攻撃したりデータを侵害したりしない場合でも、WLANに接続してネットワーク帯域幅を乗っ取ってWebサーフィンを行う可能性があります。 大部分のエンタープライズネットワーク上の高帯域幅を活用して、貴重なネットワークリソースを使用して正規のユーザーのネットワークパフォーマンスに影響を与える音楽やビデオクリップをダウンロードできます。
WLANからネットワークを保護する
セキュリティの向上は、独自のVLANでWLANを設定する優れた理由です。 すべてのワイヤレスデバイスがWLANに接続できるようにすることができますが、ワイヤレスネットワーク上で発生する可能性のある問題や攻撃から内部ネットワークの残りの部分を保護します。
ファイアウォール、またはルータのACL(アクセス制御リスト)を使用すると、WLANと他のネットワーク間の通信を制限できます。 WebプロキシまたはVPNを介してWLANを内部ネットワークに接続する場合、ワイヤレスデバイスによるアクセスを制限し、Webサーフィンのみ、または特定のフォルダまたはアプリケーションへのアクセスのみを許可することもできます。
セキュアなWLANアクセス
ワイヤレス暗号化
許可されていないユーザーがワイヤレスネットワークを盗聴しないようにする方法の1つは、ワイヤレスデータを暗号化することです。 元の暗号化方法であるWEP(有線同等のプライバシー)は根本的に欠陥があることが判明しました。 WEPはアクセスを制限するために共有キーまたはパスワードに依存しています。 WEPキーを知っている人は、誰でもワイヤレスネットワークに参加できます。 WEPには鍵が自動的に変更される仕組みがなく、WEPキーを数分で解読できるツールが用意されているため、攻撃者がWEP暗号化されたワイヤレスネットワークにアクセスするのに時間がかかりません。
WEPを使用するのは、暗号化をまったく使用しない場合よりも若干良いかもしれませんが、エンタープライズネットワークを保護するには不十分です。 次世代の暗号化であるWPA(Wi-Fi Protect Access)は、802.1X準拠の認証サーバを活用するように設計されていますが、WEPと同様にPSK(Pre-Shared Key)モードで実行できます。 WEPからWPAへの主な改善点は、キーを動的に変更するTKIP(Temporal Key Integrity Protocol)を使用して、WEP暗号化を破るために使用されるクラッキング技法を防止することです。
しかし、WPAでさえもバンド・エイド・アプローチだった。 WPAは、公式の802.11i標準を待っている間、十分な保護を実装するためのワイヤレスハードウェアおよびソフトウェアベンダーによる試みでした。 最新の暗号化形式はWPA2です。 WPA2暗号化は、AES暗号化アルゴリズムに基づくCCMPを含むさらに複雑で安全なメカニズムを提供します。
無線データが傍受されるのを防ぎ、無線ネットワークへの不正アクセスを防止するためには、少なくともWPA暗号化、好ましくはWPA2暗号化を使用してWLANを設定する必要があります。
ワイヤレス認証
ワイヤレスデータを暗号化するだけでなく、WPAは802.1XまたはRADIUS認証サーバーとインターフェイスを取って、WLANへのアクセスをより安全に制御する方法を提供できます。 PSKモードのWEPまたはWPAが正しいキーまたはパスワードを持つ人物に仮想匿名アクセスを許可する場合、802.1XまたはRADIUS認証では、ユーザーが有効なユーザー名とパスワードの資格情報または有効な証明書を使用してワイヤレスネットワークにログインする必要があります。
WLANへの認証を要求すると、アクセスを制限することでセキュリティが強化されますが、ロギングと疑わしいことが起こったかどうかを調べるフォレンジックトレイルも提供されます。 共有キーに基づくワイヤレスネットワークはMACアドレスまたはIPアドレスを記録することがありますが、その情報は問題の根本原因を特定する際にあまり役に立ちません。 必要に応じて、提供される機密性と整合性の向上も、多くのセキュリティコンプライアンスの義務として推奨されます。
組織は、WPA / WPA2と802.1XまたはRADIUS認証サーバーを使用して、Kerberos、MS-CHAP(Microsoft Challenge Handshake認証プロトコル)、TLS(Transport Layer Security)などのさまざまな認証プロトコルを活用し、ユーザー名/パスワード、証明書、バイオメトリック認証、ワンタイムパスワードなどの認証情報認証方法。
ワイヤレスネットワークは、効率を高め、生産性を向上させ、ネットワーキングをより経済的にすることができますが、適切に実装されていないと、ネットワークセキュリティのアキレス腱であり、組織全体を妥協する可能性があります。 リスクを理解する時間と、セキュリティ違反の機会を生み出さずにワイヤレス接続の利便性を組織が活用できるように、ワイヤレスネットワークを保護する方法を理解してください。