都市情報化の加速に伴い、3G、4G、ワイヤレスネットワークはますます普及し、ユーザーは企業、ショッピングモール、カフェなどで、より高速で使いやすくなったWifiネットワークを楽しむことができます。しかし、このようなWifiの使用には、情報や財産の損失につながるセキュリティ上のリスクがあるかどうかご存知ですか?
WiFiは主にOSIスタックの第2層で動作するため、ほとんどの攻撃は第2層で発生します。しかし、妨害などの無線攻撃は第1層でも発生します。
ケーブル側ドレン
ネットワーク攻撃は通常、何らかの偵察から始まります。ワイヤレスネットワークでは、偵察は、攻撃者がワイヤレスネットワークの信号カバレッジエリアを悪用し始めることができるように、ワイヤレススニッファを使用してワイヤレスパケットを盗聴することを含みます。アクセスポイントに接続されていないセカンドレイヤーのパケットに焦点を当てます。攻撃者がアクセス・ポイントに接続している場合、レイヤー3以上を盗聴することができます。
NetBIOS、OSPF、HSRPなどのプロトコルは、内部ネットワークを保護するためだけに使用されることが想定されているため、トポロジー情報に説得力があるように設計されているため、ほとんどの有線ネットワークでブロードキャストとマルチキャスト・トラフィックが横行しています。多くの管理者が気づいていないのは、適切なセグメンテーションとファイアウォールがなければ、無線ネットワークを有線ネットワークに接続したときに、このブロードキャストとマルチキャスト・トラフィックが無線スペースに漏れてしまうということです。ほとんどのアクセスポイントや無線スイッチは、トラフィックが遮断されることなく無線空間に漏れることを許可しています。有線ネットワーク経由でAPへの接続を使用し、内部プロトコルのトラフィックを電波に漏らすネットワークデバイスは、この概念を示しています。残念なことに、この送信によってネットワークのトポロジー、デバイスのタイプ、ユーザー名、パスワードまでもが明らかになってしまう可能性があります!
例えば、ゲートウェイフェイルオーバーのためのCiscoのホットバックアップルーティングプロトコルは、マルチキャストパケットを送信します。デフォルトでは、これらのパケットは、平文でホットバックアップルーターのパスワードを含むハートビートメッセージを前後にブロードキャストします。これらのパケットが有線空域から無線空域に漏れると、ネットワーク・トポロジー情報とパスワードが漏えいします。
ワイヤレスを導入する際には、例えばファイアウォール、イングレスだけでなくイグレスも考慮する必要があります。無線スイッチやアクセス・ポイントでの発信トラフィックは、ブロードキャスト・トラフィックを適切にフィルタリングして、機密性の高い有線トラフィックがローカル空域に漏れるのを防ぐ必要があります。無線侵入防御システムは、パケット漏えいの兆候を監視することによって、この有線漏えいを特定することができ、管理者はアクセスポイント、無線スイッチ、ファイアウォールで漏えいを阻止することができます。
不正アクセスポイント
不正 AP の最も一般的なタイプには、Linksys ルーターのようなコンシューマー・グレードのアクセス・ポイントをオフィスに持ち込むユーザーが含まれます。多くの組織では、無線評価を通じて不正 AP の検出を試みています。近隣でアクセス・ポイントが見つかるかもしれませんが、それらが物理ネットワークに接続されていることを確認することも同様に重要であることに注意してください。不正 AP は、ネットワークに接続された未承認の無線アクセス・ポイントとして定義されます。その他の目に見える無所属の AP は、単純な近隣のアクセスポイントです。
不正 AP の可能性を調べるには、正規の無線環境と認識されているアクセス・ポイントに関する先験的な知識が必要です。不正な AP を検出するために使用される方法は、環境内の異常なアクセス・ポイントを識別することであり、そのような方法は実に最小限の努力によるアプローチです。前述のとおり、この方法では、アクセス・ポイントがネットワークに物理的に接続されていることを必ずしも確認する必要はありません。そのためには、有線側を評価し、有線の評価と無線の評価を関連付ける必要があります。それ以外の唯一の選択肢は、物理的な各アクセス・ポイントを調べて、異常な AP がネットワークに接続されているかどうかを判断することです。これは大規模な評価では現実的ではありません。このため、無線 IPS の方が不正 AP の検出に効果的です。ワイヤレス IPS は、ワイヤレス・センサーによってスケールダウンされたものと、有線側で確認されたものを相関させます。さまざまなアルゴリズムを使用して、アクセス・ポイントがネットワークに物理的に接続されている真の不正アクセス・ポイントであるかどうかを判断します。
四半期ごとに不正アクセス・ポイントの抜き取り検査を実施しても、悪意のあるハッカーにとっては、不正アクセス・ポイントを接続し、攻撃を実行し、その後検出されずに削除するために数日から数カ月を費やすことになり、大きなチャンスとなります。
アクセスポイントの設定ミス
企業の無線LAN導入では、設定エラーが発生することがあります。異なる管理者によるアクセスポイントやスイッチの設置に人為的なミスが重なると、複数のコンフィギュレーション・エラーが発生する可能性があります。例えば、保存されていないコンフィギュレーション変更により、停電による再起動時にデバイスが工場出荷時のデフォルト設定に戻る可能性があります。また、その他の多くの設定エラーは、あまりにも多くの脆弱性につながる可能性があります。したがって、これらのデバイスはポリシーに準拠したコンフィギュレーション・モニタリングを受ける必要があります。このモニタリングの一部は、WLAN 管理製品を使用してケーブル側に実装できます。さらに、成熟した無線 IPS 製品では、無線 IPS でポリシー非互換のデバイスを監視するポリシーを事前に定義すれば、設定ミスのアクセス・ポイントを監視することもできます。
最新のシステムにはさまざまな考慮事項があります。コントローラー・ベースのアプローチではこの問題はかなり回避されますが、一部の組織、特に小規模な組織では依然としてこの問題に直面することになります。コントローラー側では、ヒューマンエラーはより大きく、より重大なリスクとなります。
ラジオフィッシング
組織が無線ネットワークを強化する上で自制心を強めているため、無線ユーザーが低いぶら下がりの果実になっていることがトレンドで示されています。Wi-Fiの安全な利用を強制することは、人間の行動に関しては困難です。平均的な無線ユーザーは、地元の喫茶店や空港でオープンWi-Fiネットワークに接続することの脅威を知らないだけです。さらに、ユーザーは知らず知らずのうちに、正規のアクセス・ポイントだと信じている無線ネットワークに接続してしまうことがありますが、実際には、特に無防備な被害者にアピールするために設定されたハニーポットまたはオープン・ネットワークです。
例えば、自宅に「リンクシス」というネットワークがあるとします。その結果、ラップトップは自動的に「Linksys」と呼ばれる他のネットワークに接続します。このビルトイン動作は、しばしばワイヤレスフィッシングと呼ばれる、悪意のあるワイヤレスネットワークと誤って関連付けることにつながります。
攻撃者がユーザーのノートパソコンにアクセスすると、機密ファイルなどの情報を盗むだけでなく、企業ネットワークのユーザーとしてワイヤレスネットワークの認証情報を取得することができます。この攻撃は、企業ネットワークを直接攻撃するよりも簡単に実行できる可能性があります。攻撃者がワイヤレスユーザーから認証情報を取得できれば、その認証情報を使って企業のワイヤレスネットワークにアクセスすることができ、より高度な攻撃を防ぐための暗号化やセキュリティの仕組みをバイパスすることができます。
クライアント側の分離
特にWi-Fiに関しては、ユーザーは攻撃者にとって最も標的になりやすい存在です。ユーザーがアクセス・ポイントに関連付けられると、そのアクセス・ポイントに接続しようとしている他のユーザーを見ることができます。理想的には、ほとんどのユーザーはインターネット・アクセスや企業ネットワークへのアクセスを得るためにアクセス・ポイントに接続しますが、同じワイヤレス・ネットワーク上の悪意のあるユーザーの犠牲になってしまいます。
盗聴だけでなく、悪意のあるユーザは、同じアクセス・ポイントに関連付けられている限り、他のユーザの居場所を直接特定することもできます。具体的には、ユーザーが認証してアクセスポイントに関連付けると、IPアドレスを取得し、その結果、レイヤ3にアクセスできるようになります。有線ネットワークと同様に、悪意のある無線ユーザーは、そのアクセス・ポイントにアクセスしている他のユーザーと同じネットワーク内にいることになり、直接の標的となります。
ワイヤレス技術のベンダーもこの脆弱性を認識しており、顧客や企業のネットワークにクライアント分離を提供する製品機能をリリースしています。基本的に、クライアントの分離はアクセス・ポイントが提供するインターネットやその他のリソースにアクセスすることを可能にし、LANの容量を減らします。アイソレーションはWi-Fiネットワークを固定する際に必要です。通常、この機能はデフォルトで無効になっているため、すべてのアクセス・ポイントで有効になっていることを確認してください。
