著者
Jim Palmer
カテゴリ
セキュリティパスフレーズを使用してワイヤレスネットワークにアクセスし、暗号化キーを構築して接続を保護するのは、それ自体が802.11と同じくらい古いです。もともと有線等価プロトコルまたはWEPとして導入された最新バージョンは、WPA3-SAEまたは同時等価認証です。多くのバックグラウンドプロセスと技術は変化していますが、エンドユーザーのための方法と使いやすさはそれほど変化していません。これにより、Wi-Fi接続を保護するために使用されているすべての技術の最も使用されている方法を簡単にします。
パスフレーズ
パスフレーズやパスワードを使って何かにアクセスするのは、人間自身と同じくらい古いものです。秘密の単語または一連の単語を適切な人に言うと、アクセスが許可されます。したがって、このようなタイプのネットワークが実際に発見された場合、パスワードバージョンのセキュリティを把握して使用することは非常に簡単です。
本当に速いサイドバーです・・・。ここで説明するパスフレーズは、キャプティブポータルに入力されているものと同じではありません。キャプティブポータルはセキュリティツールではありません。彼らは決して行ったことがないし、決してそうではないだろう。ここで説明されているのは、インターネットへのアクセスの障壁ではなく、クライアントと AP 間の接続を暗号化するために使用されるパスフレーズです。
Wi-Fiで使用された元の暗号化はWEPでした。aircrack.ng や John the Ripper などのツール2000で WEP が侵害されたことを誰もが知り、理解してくれることを願っています。WEPには、数秒でブルートフォースが攻撃されることを可能にするいくつかの致命的な欠陥が含まれており、2年に正式に退職しました2004。WEPの問題はまだ存在するものの、新しい暗号化をサポートしていないクライアントデバイスのおかげで、現在使用されているネットワークがまだWEPを利用しているので、私は“正式に退職した”と言います。
2003年、WEPが侵害された後、IEEEが正式に802.11i修正を導入する前に、Wi-Fi AllianceはWEPから802.11iへの移行が必要なネットワークのストップギャップソリューションとしてWPAをリリースし、WPA2がリリースされました。確かに、これは重要な停止ギャップでしたが、それでもそれでも、802.11iが2004で批准されたとき、Wi-Fi Protected Access 2、またはWPA2プロトコルによって置き換えられました。
WPA2-Personal
WEP は暗号化プロセス中に 1 つのキーしか使用しなかったため、簡単にクラックされ、そのキーがキャプチャされた場合、同じキーを再利用する簡単なプロセスでした。WEPは暗号化に使用されるビット数も非常に限られていました。原則として、ビット数が少ない = 解読の複雑さが少ない = 暗号化の解読の時間が短い。
幸いなことに、802.11i では AES-CCMP 暗号化による WPA2 を取得しました。AES-CCMPは、暗号化で使用されるビット数を含む、全体的な暗号化アルゴリズムを改善しました。ビット数の増加 = 解読の複雑さの増加 = 暗号化の解読の時間が長くなる。
しかし、すべてと同様に、Wi-Fiにはバランスのとれた行動があります。無料では何も得られません。古いデバイスは堅牢性と安定性を誇り、新しいデバイスはスピードと柔軟性を求めます。ネットワーク上で最も重要なデバイスの中には、常に最新かつ最高のセキュリティをサポートしているわけではないものの、接続とデータを確実に保護したいという欲求が真ん中に詰まっています。
同じSSIDでこれらの古いデバイスと新しいデバイスを操作しようとすると、管理者の狂気が湧く可能性があるため、異なるセキュリティ機能をサポートするために同じ無線に異なるSSIDを持つなど、古い機能と新しい機能の両方を維持するというバランスの取れた行為を達成するためにできることはおそらく起こり得ます。
今では、WPA2は2004年以来、私たちの信頼できる友人であり、ほとんどの場合、私たちの役に立っています。確かに、こことそこ(KRACKを覚えていますか?)にしゃっくりがありましたが、責任ある方法で展開および管理された場合、それは非常に安全でした。しかし、WPA2-PSKを詳細に調べたところ、暗号化キーの構築方法にいくつかの問題があることがわかりました。
また、WPA2が14年間出ている事に気付いたのはこの頃であり、おそらくリフレッシュの時期だったと思います。この更新は、WPA3の形式で2018で行われました。
WPA3-SAEのご紹介
テクノロジーのあらゆる要素と同様に、イノベーションはネットワークの攻撃者を、正規のネットワーク事業者やユーザーと同じくらい支援します。プロセッサの速度と能力が向上し、モバイルデバイスでより多くの作業を行えるようになったため、攻撃者はパスワードや認証情報を大量に取得する作業を高速化しました。クラウドコンピューティングとユビキタスなインターネット接続により、組織は攻撃者と同じようにワークロードを迅速かつ簡単に分散できるようになりました。
かつては数ヶ月かけて武力攻撃を数日で行え、かつては数週間かかっていた攻撃は数分でなくとも数時間で亀裂が起こりうる。攻撃者はどこからでも暗号化キーを収集し、クラウドコンピューティングインスタンスに送信するか、中央クラッキングサーバーに送り返して作業できるため、暗号化キーをクラッキングするコストは以前よりもはるかに安価です。
WPA3-SAE(Simultaneous Authentication of Equals)は、802.1Xで使用されているものと同様の新しい暗号化方法を導入し、現在のタスク用にカスタム構築されたブルートフォース暗号化クラッカーサーバーを使用して、ワイルドまたはオフラインのいずれかでクラックするのがはるかに困難になりました。変更されていないのは、WPA3-SAEが依然として、WPA2-Personal、WPA、さらにはWEPと同様に、ネットワーク事業者がエンドユーザーに提供するパスワードを使用していることです。バックエンドの暗号化はまったく異なりますが、エンドユーザーにとってはプロセスはまだ同じですが、ここでは取り上げない実際の技術的プロセスがあるため、より安全です。
このパスワードを路上で出会うすべての人と共有するつもりはありませんが、WPA3-SAEは当面の間、Elliptical Curve Cryptographyとして知られるものを使用して暗号化キーを生成し、攻撃者がキャプチャしてリバースエンジニアリングできる鍵の一部を空中に送信する必要はありません。そして今のところ、これは攻撃者がひび割れることは不可能です。しかし、以前の世代と同様に、今日のすべてのデバイスがWPA3をサポートしているわけではないので、以前からバランスを取る行動を取っています。
結論
常に最新で最高のものを手に入れることにプレッシャーを感じる世界では、いくつかのディテールがシャッフルで失われる可能性があります。WPA2/3-Enterprise は私たちが目指すべき場所ですが、すべてのデバイスがそのネットワーク上に現れるわけではないとしても問題ありません。WPA3-SAEでは、誤って、または意図的にソーシャルメディアで情報を共有していないと仮定して、エンタープライズバージョンに匹敵するパスワードベースのセキュリティ/暗号化方式を採用しています。
WPA2-Personalがベストではないかもしれませんが、いくつかのベストプラクティス(RUCKUS DPSKの使用など)が投げ込まれた場合でも、統合ソリューションは依然として本当に安全です。WEPは、有能な攻撃者によって数秒で解読できますが、ネットワーク上のすべての重要なデバイスがサポートされるのであれば、要件になりますが、WEPから抜け出すためにほとんどすべてのものにアップグレードすることを強くお勧めします。しかし、それは別の日のための会話です。
セキュリティについて考え、理解するのは圧倒的ですが、RUCKUS Networksは、必要なデバイスをネットワーク上に保持し、不要なデバイスが参加するのを防ぎ、管理者がネットワークをすべて同時に監視および管理できるように、組織を一生懸命に努力しています。RUCKUSがどのように役立つかの詳細については、他のセキュリティブログ、RUCKUSのネットワークセグメンテーション機能、安全なオンボーディングと認証機能、およびRUCKUS WANゲートウェイ(RWG)をご覧ください。
