ワイヤレスネットワークのセキュリティ保護

前回の記事では、有線ネットワークのセキュリティについて取り上げました。有線ネットワークは無線ほど面白くないかもしれませんが、人々が見たりやり取りしたりしているピースや2つだけでなく、ネットワーク全体のセキュリティ保護を検討する際には、アドレスを考えることが重要です。そこで、ワイヤレスネットワークのセキュリティについてお話しします。

802.11iの紹介

Wi-Fi AllianceがWi-Fi 5、Wi-Fi 6、Wi-Fi 6Eのマーケティング条件を作成するずっと前に、彼らは当時ほとんどの人がそれに気づいていなくても、私たちに別のマーケティング条件を導入しました。このマーケティング用語は、WPA、またはWi-Fi保護アクセスです。WPA は公式の IEEE 規格ではなく、Wi-Fi Alliance 認証です。WPA はワイヤレス・セキュリティの基盤ですが、IEEE 規格や修正ではありませんが、IEEE に大きく依存しています。

Wi-Fi で使用されたオリジナルの暗号化は Wired Equivalent Privacy (WEP) であり、WEP が aircrack.ng や John the Ripper などのツール2000で侵害されたことを誰もが知り、理解していることを願っています。WEPには、数秒でブルートフォースのハッキングを可能にするいくつかの致命的な欠陥が含まれており、2004年に正式に退職しました。WEPの問題はまだ存在するが、新しい暗号化をサポートしていないクライアントデバイスのおかげで、まだWEPを使用しているネットワークが野生で見つかっているので、私は \"正式に退職した\"と言います。

2003年、WEPが侵害された後、IEEEが正式に802.11i修正を導入する前に、Wi-Fi AllianceはWEPから移行する必要があるネットワークのストップギャップソリューションとしてWPAをリリースしましたが、802.11iが正式に批准されなければ、それは常にストップギャップソリューションに過ぎない運命でした。

確かに、これは重要な停止ギャップでしたが、それでもなお、802.11iが2004で批准されたとき、Wi-Fi Protected Access 2、または私たち全員が知っている802.11iの改訂に基づいてWPA2プロトコルによって\"置き換えられました。WEPが正式に引退した時です。WPA2は、WPA2018によって3年に交換が導入される前の14年間、Wi-Fi世界に素晴らしいサービスを提供できるいくつかの機能拡張を導入しましたWPA3。

後の投稿では、これらのプロトコルがどのように機能するか、そしてそれらを機能させるために必要なことについて、ナットとボルトをもう少し深く掘り下げていきますが、今のところ、この紹介では、後で参照できるようにいくつかの基本的な情報をカバーしたいと思います。

前世代の制限

WEPは暗号化プロセス中に1つのキーしか使用したことがないため、解読可能で、そのキーがキャプチャされた場合は、同じキーを再利用するだけで簡単なプロセスでした。また、暗号化に使用されるビット数も非常に限られていました。

覚えておいてください！ビット数が少ない = 解読の複雑さが小さい = 暗号化の解読の時間が短い。

WPA は、空中に送信された鍵を攻撃者が単にコピーするのを防ぐ、Temporal Key Integrity Protocol (TKIP) と呼ばれる概念を導入しました。TKIPにはマイナス面があり、2007年に802.11nが導入されるまでは実際には役に立たなかった。TKIPには、Wi-Fi速度を54Mbpsに制限する制限があります。802.11n 以前は、54 Mbps が最速だったため、TKIP の制限は PHY レートの制限と一致しました。問題なし。

幸いなことに、54 Mbps を簡単に超える 802.11n では、AES-CCMP 暗号化による WPA2 はすでに使用されていませんでした。AES-CCMPは、この速度制限を削除し、暗号化アルゴリズム全体を改善しました。

なぜ古いセキュリティ暗号化をカバーしているのですか？Wi-Fiの世界では、テクノロジーの観点からは素晴らしさをはるかに超えているものの、機能的な観点からは依然として期待通りに仕事をこなすデバイスをサポートすることが何度も求められています。

倉庫環境で使用されているバーコードスキャナがその好例です。これらのデバイスは、堅牢で、長持ちするバッテリーを持ち、バーコードをスキャンして比較的単純な番号を入力し、その情報をサーバーに送信する必要があります。たとえ人間が毎秒1タグをスキャンできたとしても、このデバイスのスループット要件は毎秒メガビット単位で測定されるわけではなく、速度の観点からは802.11bでも問題ありません。

ネットワーク設計者と管理者は、これらのレガシー・クライアントに対するサポートを維持しつつ、マネージャーと最新のタブレットとアプリケーション要件もサポートしようと狂っています。一方のデバイスは堅牢性と安定性を重んじ、他方はスピードと柔軟性を求めます。さらに重要なのは、この議論では、非常に古いセキュリティを使用する一方、最新の暗号化機能に近い可能性が高いことです。

WPA2の試行とテスト

WPA2は2004年以来、私たちの信頼できる友人であり、ほとんどの場合、私たちによく役立っています。確かに、こことそこにはしゃっくりがありました（KRACKを覚えていますか？）が、責任ある方法で展開および管理された場合、それは非常に安全でした。これは特に、パーソナルとエンタープライズの2つのバージョンのWPA2を比較し、WPA2-Enterpriseを見るときに当てはまります。WPA2-Enterprise は、堅牢な EAP タイプ (EAP は拡張認証プロトコル) を使用しており、無線ネットワークを保護するための非常に健全な方法です。802.1X プロトコルをベースに構築された EAP-TLS を搭載した WPA2-Enterprise は、今日でも非常に安全です。

WPA2-Personal using Pre-Shared Keys（PSK）を見ると、WPA3-SAEの導入につながったいくつかの問題が見え始めています。WPA2-Personal は、住宅やコーヒーショップなどの公共エリアで通常見られるタイプのネットワークで、公共エリアの看板に Wi-Fi パスワードを掲示します。WAP2-Personalが暗号化キーを構築する方法に固有の問題は、WPA3-SAEのような標準に移行する必要がありました。これについては、後ほど詳しく説明します。

WPA2が良い場合、なぜWPA3が必要だったのですか？

テクノロジーのあらゆる事柄と同様に、進歩はネットワークの攻撃者を、正規のネットワーク事業者やユーザーと同じくらい支援します。プロセッサの速度と能力が向上し、モバイルデバイスでより多くの作業を行えるようになったため、攻撃者はパスワードや認証情報を大量に取得する作業を高速化しました。クラウドコンピューティングとユビキタスなインターネット接続により、組織は攻撃者と同様にワークロードを迅速かつ簡単に分散できるようになりました。

数ヶ月かけてブルートフォースの亀裂を数日で起こすことができ、数週間かけていたものは、数分でなくても数時間で亀裂を起こせるようになりました。攻撃者が暗号化キーをワイルドに収集し、クラウドコンピューティングインスタンスに送信するか、中央クラッキングサーバーに送り返して作業を行う能力により、暗号化キーをクラッキングするコストは以前よりもはるかに安価です。

WPA3-SAE（Simultaneous Authentication of Equals）は、802.1X規格に似た新しい暗号化方法を導入し、現在のタスク用にカスタム構築されたブルートフォース暗号化クラッカーサーバーを使用して、ワイルドまたはオフラインでクラック処理を行うことをはるかに困難にしました。

その後の投稿では、この点についてさらに詳しく取り上げて、脆弱性が何であるか、あなたが直面しているリスク、そして新しい基準にアップグレードする上であなたの障害となる可能性のあるものは何かを人々が理解するのを助けます。

結論

常に最新で最高のものを手に入れることにプレッシャーを感じる世界では、いくつかのディテールがシャッフルで失われる可能性があります。WPA3-Enterprise は私たちが目指すべき場所ですが、すべてのデバイスがそのネットワーク上にあるわけではないとしても問題ありません。WPA2-Personalは“ベスト”ではないかもしれませんが、いくつかのベストプラクティスが投げ込まれた場合、それで十分であることを覚えておいてください。WEP は、有能な攻撃者によって数秒で解読できますが、それだけでもデバイスがすべてサポートされるのであれば十分かもしれません。WEPをなくすために、ほぼすべてのものにアップグレードすることを強くお勧めしますが、それは別の日の会話です。

ワイヤレスネットワークを保護する2つの主な方法、すなわちパーソナル/SAEとエンタープライズについて、もう少し詳しく説明します。