Q&A
WPA2エンタープライズにして、従業員ごとに個別のIDとパスワードで認識すべきでは?
経緯
- スマートフォンアプリ(Android,iPhone)開発を行っている会社の人間です。
- 来客もあり、アプリ開発している会社はそれなりに何か対策すべきやろ
- というわけでセキュリティ向上のため社内無線LAN環境にゲストWi-Fiを構築しようと考えました。
やりたいこと
以下の端末は社内LANの内側
- 従業員が開発で使用するPC(公)
- 開発用のスマホ(公)
以下の端末は社内LANの外側
- 来客者のスマホやPC(公私問わず)
- 従業員の個人スマホ(私)
考えてみたルール
有線LANについて
- 制限はしない
- ケーブルに限りありますので
無線LANについて
従業員PC用SSID(パスワード+Macアドレス制限あり)を作る
- 従業員の開発に使用するPCが接続する(ほとんどが有線接続ですが一部無線あり)
- アプリ開発に利用するスマートフォン(Android、iPhone)
- 無意味と言われるMacアドレス制限の目的は悪意のない(自覚のない)ウィルス感染来訪者を防ぐものです。
- 悪意があるものには無意味というのは承知しております)
ゲスト用SSID(パスワードのみ)
- 来客者のPCやスマホ
- 従業員のスマホやタブレットなど
- 悪意のないウィルス感染者が入ってきても社内LANには影響が来ないように
設定した機器
- ELECOM製 無線AP WAB-I1750-PS
- これのゲストネットワーク機能を利用して、従業員用とゲスト用を切り分けました。
やってみた
起こった問題
- 開発用のiPhone端末から社内LAN上のDBサーバへ接続したい。
- iPhoneの仕様でMacアドレスがランダムに変更されるため
- 開発に使用するiPhone端末が従業員PC用SSIDに接続できない。
結果
- Macアドレス制限を解除しました。
- 結局SSIDが異なるだけでパスワードを知ってしまえば悪意のない来客者が社内LANに接続できてしまう状況に。
聞きたいこと
- スマホアプリ開発している方、無線LAN接続の端末認証はどの様に運用されてますか?
> 結局SSIDが異なるだけでパスワードを知ってしまえば悪意のない来客者が社内LANに接続できてしまう状況に
上記を制約と感じているのであれば、どんな施策も無意味に感じます。このような事例を運用回避するような回答をご期待しているのでしょうか?
ご回答ありがとうございます。
どんな施策も抜け穴があるということですね・・・
落とし所を切り分けたいと思います。
回答2件
0
すでに出ているようにWPA/WPA2エンタープライズで1x認証が良いかなと。
社員用は毎回ID/パスワードを打つのが面倒なので
証明書を使ったEAP-TLSで認証するトコが多い気がします。
逆にゲストは証明書を入れてもらうのが面倒なので
ゲストID/パスワードを発行しているトコが多い気がします。
投稿2020/02/19 16:22
総合スコア15
0
現状、WPA/WPA2パーソナルで、社員みんなが一つのパスワードを共有していて、例えばお客さんにパスワードを見られたり、誰かがが退職したら、一つしかないパスワードを変更して、全員パスワード入力し直しになることが問題なんですよね?
WPA/WPA2エンタープライズにすれば、社員 A さんは A さんのパスワード、B さんは B さんのパスワード、… にできます。(会社の PC と私物のスマホを分ける利点はあまりないと思います。)仮に C さんが退職されても C さんのアカウントだけ無効にすれば、A さんと B さんのパスワードはそのまま使えます。
もちろん、社員それぞれが自分のパスワードをちゃんと管理するという前提ですが、アプリ開発会社ならそのくらいは当然…ですよね?
WPA/WPA2エンタープライズの導入については、この記事が参考になるのでは?
Mac OS X Server をRADIUSサーバとしてAirMacでWPA/WPA2エンタープライズネットワークを構築する - Qiita
投稿2020/02/12 21:22
編集2020/02/18 04:10総合スコア7901
あなたの回答
tips
プレビュー
