Q&A
ご回答ありがとうございます!
今まで管理していたのが弊社の別の人間だったため、どういう意図でこのような運用をしているのか…といったところです。。確かに偽装できてしまいますね。そもそも現状の運用では危険性が高すぎますね。ありがとうございます。
弊社では、アライドテレシスのCentreCOM x230シリーズを使用し、PoEで事業所内に設置している無線のアクセスポイントに電力を供給しています。
これまではWEPキーが分かれば誰でも接続できる状態だったのですが、セキュリティの観点から無線LANに接続できる端末を制限する必要が出てきました。
契約上、アクセスポイント自体に接続可能なMACアドレスを登録する設定はできないようで、CentreCOMにMACアドレスを登録していく必要があると考えているのですが、認識は合っておりますでしょうか…。
また、接続許可する端末の台数は恐らく50台以上になるので、手動ではなく動的にMACアドレスを登録することは可能でしょうか?
基本的な内容かもしれませんが、アドバイス頂けると幸いです。
また、Radiusサーバを導入するなどといった、新たな機器の導入ということはできないですが、より良い制限方法があればあわせて教えていただけると大変助かります。
回答4件
0
MACアドレスは暗号化されない
参考URL
のに加えて、ごく簡単に偽装できるので、
MACアドレスによる制限にセキュリティ的な意味はほぼありません。
WEPは論外なので、まずここを変えるのは必須として、
これも何らかの理由で漏れてしまうとは入れてしまうという問題は変わらないので、
根本的には端末認証を行う必要があるかと思います。
該当のスイッチは使ったことが無いのですが、
公式カタログ
を見る限り
強固な認証機能をサポート
同一ポート上でIEEE 802.1X認証/Web認証/MACアドレスベース認証の混在を可能とするTri-Auth機能や、同一ポート上でユーザーごとに別々の認証方式で認証し、かつ異なるVLANを動的に付与
と記述があるので、IEEE802.1Xもしくはweb認証を導入するのが根本的な解決になるかと思います。
*RADIUS等の認証サーバが別途必要になるのかもしれません。
予算とセキュリティポリシーの睨めっこになると思いますが、可能な限り専門家に依頼することをお勧めします。
ごく簡易的に行うのであれば、
・定期的、短期間にパスワードを変えて漏洩時のリスクを減らす
などでしょうか。
投稿2016/07/22 08:22
総合スコア18713
0
そもそもですが、WEPを使っている時点でセキュリティの観点からマズいと思います。その認識があってのMACアドレスのフィルタだと思いますが、MACアドレスは変更・偽装がifconfigでできちゃいます。WEPが破られたら受動的な盗聴でMACアドレスを含む通信内容は取得できるので、攻撃側に意志があれば簡単に内側に入れます。
問題はWEPだと思います。
投稿2016/07/22 05:56
総合スコア1149
横から失礼します。
回答に記載しましたが、MACアドレスはそもそも暗号化されないので、WEPが破られなくても盗聴されてしまいますね。
>tanatさん
いえいえ、指摘ありがとうございます。そして、まったくその通りです。
APが存在する時点で、AP名とそのMACアドレスは空にバラ撒いてるのでした。。
0
契約上、アクセスポイント自体に接続可能なMACアドレスを登録する設定はできないようで、CentreCOMにMACアドレスを登録していく必要があると考えているのですが、認識は合っておりますでしょうか…。
CentreCOM x230でMACアドレスベース認証はできるようですが、同一の無線APに接続された機器間の通信はできてしまいます。
従って、無線APからCenterCOM介して他ネットワークに接続するときが制御の評価対象になります。
また、接続許可する端末の台数は恐らく50台以上になるので、手動ではなく動的にMACアドレスを登録することは可能でしょうか?
動的登録が可能か?と言われれば恐らく可能ですが、よほどの作り込みと検証が必要です。
私の想像では、teratarm等ターミナルソフトウェアのAPIを用いて、以下でできるかな?という感じです。
やってみないとわかりませんが。
・スイッチのmac address table取得
・現在のmac 制御テーブルの取得
・取得したmac address tableとmac 制御テーブルの比較
・mac address teble にあって、mac制御テーブルにないレコードをコマンド定型文に埋め込んで実行。
でも、動的登録にしたら不正端末も登録されてしまうような気がします。
投稿2016/07/22 05:29
総合スコア4309
他回答者様にある以下
> 多分、アクセスポイントのMACが行きます。
その通りかもしれない。
であれば意味ないです。すいません。
早速のご回答、ありがとうございます。
>同一の無線APに接続された機器間の通信はできてしまいます。
>従って、無線APからCenterCOM介して他ネットワークに接続するときが制御の評価対>象になります。
よくわかっておらず大変申し訳ないのですが、同一無線APに接続された機器間の通信については特に意識しておらず、無線LANを使用できるPCを制限できれば良いと考えております。
動的は難しいとのこと、了解しました。作りこみをしている時間があまり無いので、ひとまず手動での登録にしようと思います。手動で登録すれば、安全性は担保できるという認識で合っておりますでしょうか?
あの・・・誠に申し訳ありませんが、
他回答者様ある通り、無線APのMACしかスイッチには届かないかもしれません。
実際に確認してみては如何でしょうか。
もし可能だったとして、
> 安全性は担保できるという認識で合っておりますでしょうか?
なにを以て安全とするかになります。
不正端末が、同一APに接続されている他PCに対しての脅威をもたらすのが問題なく、上位に設置されているNWに脅威をもたらさなければ良い!というのが安全とするのであれば、該当事項は担保されることになります。
他ご回答者様がDHCPについて述べられています。
もし、該当端末群がすべてDHCPに頼っているのであれば、DHCPによる制御は可能かと存じます。
これについては、該当ご回答者様のコメントに記載しますので、BAはそちらにお願いします。
0
アクセス制限には、認証とフィルタの2種類があります。
認証に関して検討されましたか?
一般的なアクセスポイントであれば、何らかの認証に対応していると思います。
MACでのフィルタは、CentreCOMで実施しても意味ないと思います。
多分、アクセスポイントのMACが行きます。
投稿2016/07/22 05:32
退会済みユーザー
総合スコア0
他のやり方として、DHCPでアドレスを配布する端末を制御する方法があったはずです。詳しく思い出せませんが^^;認証サーバの導入が必要だったかもしれません。
さっそくの回答ありがとうございます。
認証についてはまだ検討できておりません…。申し訳ございません。
無知なもので、どの部分を検討していけば良いのかよくわかっていないのが現状です。。
CentreCOMでMACアドレスのフィルタリングの設定をしても意味が無いんですね…。ありがとうございます。
フィルタリングするには、どこに設定を入れればいいのでしょうか?アクセスポイント自体でしょうか?
MACフィルタを実施する箇所は、一般的にはアクセスポイントです。
厳密に管理する必要が無いのであれば、WPA2-AES での対応程度でもそこそこ有効だと思いますが、厳密な管理が必要なのであれば、認証との組み合わせは必須かと。
認証はアクセスポイントによって、実装できるモノが限定されるため、メーカに確認が必要です。
結構面倒くさいです。
失礼します。
DHCPについて記載されていますが、Windows、LinuxプラットフォームそれぞれのDHCPサービスでDHCP配布可否をMACアドレスで制御できます。
ネットワーク機器がDHCP配っている場合は機種依存になりますので、該当機器の仕様を確認してみては如何でしょうか。
te2ji様
ありがとうございます。簡単に考えすぎていました…。
厳密に管理していく指示は今のところないですが、あまりにもセキュリティが緩過ぎるので、認証との組み合わせは検討していこうと思います。
over様
事前に頂いた分も含め、いろいろとアドバイス頂きありがとうございます。
確認したところDHCPに頼っているので、そこでの制御について検討してみようと思います。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/07/22 11:33
2016/07/22 11:36