WPA2-Enterpriseについて

Similar documents
AirStationPro初期設定

text

NetAttest EPS設定例

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

2015年度ワイヤレスソリューションセミナー「AlaxalA x 4ipnetで実現する連携ソリューションのご紹介」

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

DIGNO® C 404KC ユーザーガイド Chapter8

改 版 履 歴 版 数 改 版 日 改 版 内 容 初 版 1

506HW ユーザーガイド Chapter7

AirMac ネットワーク for Windows

1 変更の許可等(都市計画法第35条の2)

ネットワーク 接 続 ガイド このガイドでは プリンターとパソコンをネットワーク 接 続 する 方 法 について 説 明 しています ネットワーク 接 続 無 線 LAN 接 続 接 続 の 準 備 プリンターの 設 定 設 定 方 法 の 選 択 AOSS 設 定 で 接 続 らくらく 無 線 ス

ESET Smart Security 8 リリースノート

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

AirStationPro初期設定

東京事務所BCP【実施要領】溶け込み版

エンドポイントにおける Web コントロール 概要ガイド

有 料 老 ホーム ( ) ( 主 として 要 介 護 状 態 にある を 入 居 させるも のに 限 る ) 第 29 条 ( 届 出 等 ) 第 二 十 九 条 有 料 老 ホーム( 老 を 入 居 させ 入 浴 排 せつ 若 しくは 食 事 の 介 護 食 事 の 提 供 又 はその 他 の

質 問 票 ( 様 式 3) 質 問 番 号 62-1 質 問 内 容 鑑 定 評 価 依 頼 先 は 千 葉 県 などは 入 札 制 度 にしているが 神 奈 川 県 は 入 札 なのか?または 随 契 なのか?その 理 由 は? 地 価 調 査 業 務 は 単 にそれぞれの 地 点 の 鑑 定

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

全設健発第     号

根 本 確 根 本 確 民 主 率 運 民 主 率 運 確 施 保 障 確 施 保 障 自 治 本 旨 現 資 自 治 本 旨 現 資 挙 管 挙 管 代 表 監 査 教 育 代 表 監 査 教 育 警 視 総 監 道 府 県 警 察 本 部 市 町 村 警 視 総 監 道 府 県 警 察 本 部

端 末 型 払 い 出 しの 場 合 接 続 構 成 図 フレッツ グループから 払 出 されたIPアドレス /32 NTT 西 日 本 地 域 IP 網 フレッツ グループ フレッツ グループから 払 出 されたIPアドレス /

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

ネットワーク 接 続 ガイド このガイドでは プリンターとパソコンをネットワーク 接 続 する 方 法 について 説 明 しています ネットワーク 接 続 無 線 LAN 接 続 接 続 の 準 備 プリンターの 設 定 設 定 方 法 の 選 択 AOSS 設 定 で 接 続 らくらく 無 線 ス

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ


CENTNET 導 入 の 手 引 き 変 更 履 歴 No. 変 更 日 変 更 番 号 変 更 枚 数 備 考 /07/ 版 発 行 - システムリプレースにより 全 面 刷 新 //07/ 版 発 行 3 誤 字 等 の 修 正 /


Microsoft Word - 個人情報保護方針.docx

<4D F736F F F696E74202D CA A837D F815B90A E096BE8E9197BF88C4>

iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

Transcription:

WPA2-Enterpriseについて 第 5 回 共 通 分 科 会 ( 実 態 把 握 情 報 共 有 分 科 会 ) 第 8 回 サイバー 攻 撃 対 策 分 科 会 合 同 分 科 会 2016/03/01 Ishimoto Katsuichi ishimoto@ginzado.co.jp

本 日 は WPA2-Enterpriseに 特 化 して 規 格 や 基 準 についての 確 認 認 証 の 流 れの 簡 単 な 確 認 検 証 方 法 製 品 選 定 の 範 囲 等 のご 紹 介 ができればと 思 っております

について 三 条 市 に 本 社 を 置 くインターネットサービスプロバイダ インターネット 接 続 サービス(フレッツ Ginzado 光 ) サーバホスティング( 共 用 サーバ 仮 想 サーバ) システム 開 発 クラウド 管 理 型 iphoneアプリ クラウド 型 従 事 者 業 務 評 価 支 援 システム 販 売 価 格 追 尾 システム 要 介 護 者 アクティブロガー 会 員 ポイントカード 連 動 POSレジ メール 警 報 通 知 グラフレポート 発 行 機 能 付 き 温 湿 度 監 視 システム ソフトウェアルータへのコマンド 機 能 追 加 実 装 (p2pフィルタ routeサーバ 機 能 ASAMAP) 大 手 キャリア 大 学 等 の 研 究 検 証 開 発 の 受 託 ハードディスクデータリカバリ (BIOS 不 認 識 モータ 不 良 に 対 応 します) 等 役 員 3 名 従 業 員 4 名

セキュリティ 基 準 について IEEE 802.11 規 格 のセキュリティ 部 分 WEP (Wired Equivalent Privacy) 暗 号 化 アルゴリズム RC4 WPA (Wi-Fi Protected Access) 暗 号 化 アルゴリズム RC4(TKIP) 暗 号 化 アルゴリズム AES(CCMP) (WEPの 見 直 し 版 TKIP を 採 用 過 渡 期 の 基 準 ) WPA2 (Wi-Fi Protected Access 2) 暗 号 化 アルゴリズム AES(CCMP) 暗 号 化 アルゴリズム RC4(TKIP) (WPAの 見 直 し 版 AESを 採 用 ) TKIP : Temporal Key Integrity Protocol ( 暗 号 化 アルゴリズム RC4) AES : Adanced Encryption Standard ( 暗 号 化 アルゴリズムCCMP) CCMP : Counter mode with Cipher-block chaining Message authentication code Protocol ( 一 番 強 い 暗 号 化 )

WEPはなぜ 問 題 なのか? WEPキー ( 共 通 鍵 )が 小 さい (40bit or 104bit) 両 端 の 共 有 鍵 が 不 変 WEPキーに 付 加 される24bitの 乱 数 IV(Initialization Vector)が パケットヘッダ 内 に 平 文 で 流 れる 数 時 間 で 乱 数 は 一 巡 する ことで 解 析 ヒントとなる WEPにとって 実 際 に 暗 号 化 を 行 うRC4アルゴリズムには 問 題 は ないが 現 在 では 脆 弱 性 が 見 つかっている

認 証 方 式 WPA/WPA2 PSK (Pre Shared Key 共 有 鍵 ) WPA/WPA2 Enterprise 802.1x EAP (Extensible Authentication Protocol) 拡 張 認 証 EAP-TLS (Transport Layer Security) 認 証 サーバに 証 明 書 無 線 端 末 にクライアント 証 明 書 が 必 要 EAP-TTLS (Tunneled Transport Layer Security) 認 証 サーバに 証 明 書 無 線 端 末 にIDとPWが 必 要 Windows8 以 降 で 利 用 可 能 EAP-PEAP (Protected Extensible Authentication) 認 証 サーバに 証 明 書 無 線 端 末 にIDとPWが 必 要 主 にCisco Microsoft RSASecurityで 策 定 認 証 サーバとの 認 証 プロトコル : PAP CHAP MSCHAPv2

WPA2 Enterpriseの 認 証 の 流 れ (EAP-PEAP MSCHAPv2の 場 合 ) 端 末 (サプリカント) アクセスポイント (オーセンティケータ) RADIUSサーバ ( 認 証 サーバ) 1EAPoL(EAP over LAN) 認 証 要 求 2EAP 認 証 要 求 (RADIUS) 3EAP-PEAPによる 認 証 を 要 求 4EAP-PEAPによる 認 証 を 受 諾 し SSL 通 信 を 要 求 5SSL 通 信 用 の サーバ 証 明 書 を 送 信 6SSLトンネル 内 で MSCHAPでの 認 証 8EAPoL(EAP over LAN) 認 証 返 答 7EAP 認 証 許 可 (RADIUS) 9AES 暗 号 化 通 信 開 始

WPA2 Enterpriseの 利 点 と 欠 点 利 点 アカウントとして1 人 ずつ あるいは1 台 ずつに 発 行 可 能 誰 が 接 続 したかのログ 管 理 が 可 能 認 証 側 の 証 明 書 を 端 末 に 通 知 する 事 によってアクセスポイントの なりすましを 防 止 できる 共 有 キーは 漏 れてしまうと だれでもつながってしまうので 不 正 接 続 の 防 止 対 策 になる アカウント 発 行 システムと 認 証 サーバを 連 携 することによって 公 衆 無 線 LANサービスなどの 基 盤 を 構 築 する 事 ができる 欠 点 管 理 コストがかかる ( 認 証 サーバの 準 備 対 応 機 器 の 価 格 運 用 )

検 証 環 境 認 証 サーバ MacBookPRO 上 のVirtualBoxで daloradius を 動 作 オーセンティケータ WPA2 Enterpriseの 機 能 を 実 装 しているアクセスポイント ASUS 社 RT-AC1200HP サプリカント Windows10 端 末 iphone (IOS9.2.1)

検 証 環 境 端 末 (サプリカント) Windows10 iphone6 アクセスポイント (オーセンティケータ) RADIUSサーバ ( 認 証 サーバ) daloradius 192.168.1.1/24 192.168.1.100/24 radiussecret : radiustest 無 線 設 定 SSID: test1 WPA2-Enterprise RADIUSサーバ: 192.168.1.100 RADIUSポート :1812 radiussecret : radiustest アカウント 作 成 ID:test01 PW:test01 ID:test02 PW:test02

認 証 サーバ (RADIUSサーバ) daloradius ( http://www.daloradius.com/ ) 難 しいインストール 作 業 を 必 要 としない VMイメージを 提 供 している そのままでは802.1xでの 認 証 ができないため 以 下 を 参 照 して EAP-PEAPに 対 応 ( Steven England's Weblog ) http://steven-england.info/2014/11/06/providing-802-1x-authentication-freeradius-peapv0eap-mschapv2-support-raspberry-pi/ Oracle VirtualBoxにて 検 証 Web Basic admin:admin Web I/F administrator:radius Console root:daloradius

認 証 サーバ 側 の 基 本 設 定 NAS(NetworkAccessServerの 意 味?)の 登 録 オーセンティケータ(アクセスポイント)の IPアドレス ( 192.168.1.1) radius secret (radiustest) ユーザアカウントの 作 成 ID : test01 ID : test02 PW : test01 PW : test02 割 愛 部 分 として SSL 証 明 書 のインストール /etc/freeradius/sites-enabled/inner-tunnel の 編 集 /etc/freeradius/eap.conf の 編 集 /etc/freeradius/modules/mschap の 編 集 等 が 必 要 です

認 証 サーバ 側 の 基 本 設 定

オーセンティケータ 側 の 基 本 設 定 LAN I/F の 設 定 IPアドレス (192.168.1.1) 無 線 セキュリティの 設 定 認 証 方 式 (WPA2-Enterprise) 暗 号 化 (AES) RADIUSサーバ (192.168.1.100) RADIUSサーバポート (1812) RADIUS Secret (radiustest)

オーセンティケータ 側 の 基 本 設 定

iphoneでの 接 続 状 況 daloradiusのインストールそのままのオレオレssl 証 明 書 を 使 っているため 信 頼 されずに 警 告 が 出 る パスフレーズだけでなく ユーザ 名 とパスワードを 聞 いてくる

Windows10での 接 続 状 況 接 続 を 続 けますか?の 旨 の 警 告 が 出 る

WPA2 Enterpriseに 対 応 したアクセスポイント 民 生 品 まわりでは 最 近 は 速 度 重 視 や 利 便 機 能 (フィルタリングやウイルスゲート)に 特 化 したものが 多 く WPA/WPA2 Enterpriseに 対 応 したものは 少 ない ( 数 年 前 は 結 構 ありました) 概 ねどこのメーカーも 法 人 向 け とうたっているものが 該 当 し 30,000 円 以 上 の 価 格 帯 となる 20,000 円 を 切 る 低 価 格 帯 ではNETGEAR 社 最 安 価 ではASUS 社 で6,000 円 以 下 (2016/02 銀 座 堂 調 べ) 大 規 模 導 入 や 低 予 算 を 強 いる 場 合 は RaspberryPi + USB 無 線 ユニット 等 で 自 作 もありますが 長 期 の 安 定 稼 働 には 相 当 の ノウハウが 必 要 です

RADIUSサーバ アプライアンス 製 品 大 手 メーカ 各 社 よりラインナップあり 利 用 アカウント 数 によりライセンス 料 金 が 変 化 するものが 多 い 数 百 万 円 ~ 数 万 円 WindowsServer2008 以 降 サーバ 機 能 の ネットワークポリシーサーバー(NPS) を 利 用 することにより RADIUSサーバとして 利 用 可 能 既 存 のWindowsServer 環 境 を 活 用 できる 場 合 あり アカウントをActiveDirectoryと 連 動 させる 場 合 には 便 利 各 種 NAS 製 品 QNAP 社 やSynology 社 のNAS(ネットワークアタッチドストレージ)の 一 機 能 として 実 装 されているので 安 価 に 構 築 可 能 簡 易 RADIUSサーバ 機 能 YAMAHA 社 のアクセスポイント WLX302 に 実 装 されているため 小 規 模 であれば RADIUSサーバを 別 途 準 備 する 必 要 がない FreeRADIUSやOpenSSLの 利 用 各 種 UNIXライクOS 上 にインストールし 構 築 できる ソフトウェア 部 分 の 費 用 発 生 がない

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック