- - PR -
無線による有線LANの盗聴は可能
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-04-01 16:53
以前から無線LANの様々な危険性について懸念している樫田と申します。
今回、新たな問題点を発見したので、問題提議を含め投稿させていただきます。 一般に単純なHUBで接続された環境では、Etherealなどのスニッファを使用すれば スニッフィングによる盗聴は容易です。しかしSWITCHにより接続することにより、 スニッフィングはかなり困難になります。このためパフォーマンスだけでなく "セキュリティ"上の理由でSWITCHによるネットワーク構成を行う場合がよくあります。 しかし技術的には、このようなSWITCHで構成されたネットワーク環境の場合でも、 ARPを汚染することによりスニッフィングは可能です。 GPLで提供されている"ある"ツールを使用すると、ARPで汚染した後にスニッフィングを 実行するので、このツールだけでもSWITCH環境下のスニッフィングは簡単に実現できます。 このツールではそのような使い方までしか紹介されていませんが、これをさらに すすめると、無線LANのステーションから有線LANのネットワーク情報をすべて スニッフィングできてしまいます。 通常、無線LANと有線LANはアクセスポイントと呼ばれる一種のブリッジに よって接続されます。このアクセスポイントをSWITCHにより有線LANと接続する 場合は、無線LAN環境から有線LANのスニッフィングは"ほぼ"不可能と考えら れており、セキュリティのプロにさえも対策はほとんど考慮されていません。 (わざわざコストをかけて暗号化やDMZを作らない"立派な"理由となります) また無線LANをWEPなどで暗号化しなかった場合、スニッフィングされてしまう 危険性は、最近様々なところで指摘されていますが、これまで指摘される 盗聴の対象は「無線LAN環境間の通信(ワイヤレス・スニッフィング)」を目的と したもので、その背後にある有線LAN環境の通信ではなかったはずです。 しかし先にあげたツールを利用すると、無線LANのステーション上で動作させた スニッファにより、有線LAN環境間で行われている通信を第3者として傍受 可能です。(テストしたところ容易に成功しました) アクセスポイントを不用意に公開することの危険は、有線LANのネットワークに 対するバックドアを作ってしまうことですが、先にあげたツールを使用すると、 有線LAN環境のスニッフィングをも許すことになります。つまりカジュアル・ ハッキングのレベルです。この危険性への指摘はこれまで無かったはずです。 以上の結論から、やはり有線/無線に限らずコストを考慮しても通信は基本的に暗号化 すべきという結論になりますが、同様の内容についての指摘や、他に望ましい解決方法に ついてご意見がある方はいらっしゃいますか? | ||||||||||||
|
投稿日時: 2003-04-01 20:43
ご指摘の危険性には非常に賛成なのですが、
>このアクセスポイントをSWITCHにより有線LANと接続する >場合は、無線LAN環境から有線LANのスニッフィングは"ほぼ"不可能と考えら >れており、 ここの部分で、”不可能と考えられていた”って根拠は何になりますか??? 私は「ウォードライビング等でアクセスポイントに接続出来た端末=LAN内端末」 という風にイメージしていました。 #アクセスポイントがLANに接続されていると仮定。 #それ以外の場合は色々な呼び方になるでしょうから割愛。 接続部分がLANケーブルであれ無線電波であれ、私が呼んだ書籍では 有線ではできるが無線では出来ないというのは特に無かったと思います。 #速度的な問題で実現できない場合を除いてLayer3上での差異は無いですよね??? 確かに仰るように無線経由で有線LANのスニッフィングの記事が無かったことは、 事実かもしれません。(ArpPoisonによる記事自体雑誌では見たこと無いですし<私) だからといって、 >セキュリティのプロにさえも対策はほとんど考慮されていません。 と言い切ってしまうのはどうでしょう???と思いました。 ちょっと、批判してしまっている内容になってしまいましたが >通信は基本的に暗号化すべきという結論 には、私的には賛成な意見です。ともう一度言っておきます。 #”コスト”はやっぱり大きな問題だと思います。 #決済者が理解できない事柄に関してはやはりOKはでないでしょうし・・・ で、私なりの意見としては 1.キャプチャ端末を発見できる技術者の育成w #時間かかるでしょうけど・・・ #Toolなんかは確かありましたよね?<プロミスキャスなNICを発見するやつ 2.Arpキャッシュ時間をユーザが設定できるような機器をデフォルトとする。 #キャッシュ時間0だと通信トラフィックとかの無駄がとてつもなさそうですが、 #構築者がユーザと議論の上設定するのであれば、それはお客様ポリシー次第に #なりますよね? 根本解決じゃないですが、こんな意見はどうでしょう??? | ||||||||||||
|
投稿日時: 2003-04-02 15:27
雑談レベルになりますが、
電波法の第五十九条(秘密の保護)で、 盗聴した情報を利用することを禁じています。 http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=%E9%9B%BB%E6%B3%A2%E6%B3%95+%E7%AC%AC%E4%BA%94%E5%8D%81%E4%B9%9D%E6%9D%A1+%E7%A7%98%E5%AF%86%E3%81%AE%E4%BF%9D%E8%AD%B7 私はネットワークやそのセキュリティは詳しくないのですが、 解釈によっては傍受のために、別に傍受した情報を使うことも、 これにあたるかもしれません。 #だからどうした、ということでもないのですが、 #過去記事を「電波法」をキーワードにして検索してもヒットしなかったので、 #ご存知のかたも多いとは思いますが、一応書きました。 | ||||||||||||
|
投稿日時: 2003-04-02 16:00
電波法と無線LANについては、24 時間常時接続メーリングリストの
以下のメールから続く流れがなかなか興味深かったです。 http://www.st.ryukoku.ac.jp/%7Ekjm/security/ml-archive/connect24h/2003.02/msg00066.html 実際に総務省の担当の方への(電波法と絡んだ)質問などもでていました。 | ||||||||||||
|
投稿日時: 2003-04-02 19:07
問題を提議させていただいた樫田です。まずはリプライありがとうございます。
無線LANから有線LANのスニッフィングが"出来ない"という根拠は何か?とのお話ですが、 確かにこれが"出来ない"と書かれた文章について私もお目にかかったことがありません。 しかし実はそうした指摘が行われていない事こそが問題なのです。また長くなります。 「無線LAN環境から有線LANのスニッフィングは"ほぼ"不可能」という表現を させていただいたのは、そもそもスニッフィングの仕組みを改めて考察いただければ、 良いかと思います。誤解を防ぐために簡単に整理させていただきますと、スニッフィングは 搭載されたPCなどのNICを、通常モードから"プロミスキャスモード"に変更する ことで実現されます。NICが通常モードの場合には、自分宛てのMACアドレスが含まれた データを取り込みますが、"プロミスキャスモード"により無作為にこの取り込みを実現 できます。これにより他者宛てのデータも取り込んでしまう"盗聴"が実現できるわけです。 次に無線LANでのスニッフィングになりますが、無線LANのNICについてもいくつかの カードでは、この"プロミスキャス"と同じようなモードを実現できます。 (モニタモードと表現されることもある) このモードにした場合には、既存のスニッファ プログラム(etherealなど)をそのまま使用して無線LAN環境のデータをスニッフィング 出来ます。無線専用のソフトウェアである必要はありません。実際に商用プロダクトなどで 扱われる無線LAN専用の侵入検知(NIDS)や、スニーファなどのシステムではこうした方法が 取られているはずです。ここまでは一般論として同意いただけるでしょう。 問題はこうした環境で有線LAN上を流れるデータをスニッフできるかということですが、 無線LANと有線LANを接続するアクセスポイントの存在が鍵になります。アクセスポイントは 無線LANのNICと有線LANのNICと、それらをブリッジさせるソフトウェアさえあれば構成 可能です。(実際の商品ではもっと複雑な構成になっているはずですが) 先の話で、スニッフを行うにはNICをプロミスキャスモードにする必要があったわけですが このアクセスポイントが仲介する場合には、まずアクセスポイントの持つ有線用のNICを プロミスキャスモードにしなければ、その先の無線環境には無作為データは伝わらない はずです。そうしたことは技術的には実装可能ですが、そのような実装を行う必要は まったくないので、市販のアクセスポイントが「有線LAN用のNIC部分をプロミスキャスで 動作させるモード」を標準でサポートしているとは考えられません。 最も簡単な確認方法は実際に試してみればわかります。有線LAN間のみで扱われる データは、無線LANのモードをどのように設定したところでスニフィング出来ません。 これはアクセスポイントの有線NICが、自分が管理する無線のステーションのMACアドレス 宛てのデータのみを選択的に取り込むように実装されていることが推測できます。 これを一種のプロミスキャスのようなモードと考えることは出来ますが、その後で 選択処理が行われるので、無作為データのスニッフィングには利用できないでしょう。 (アクセスポイントのベンダーの人間ではないので、すべては推測です) 以上の結果を踏まえた場合には、無線のステーションで実現できるスニッフィングは 同じ無線環境間の通信を対象としたもので、アクセスポイントの先にある有線環境の データをスニッフィングすることはそのままでは"ほぼ"不可能である、という結論がある 程度技術を把握している方から出てもそれほど間違ってはいないと思います。 無線のステーションを一般ユーザが使用する場合、"たまたま"アクセスポイントで 接続されただけのLAN内端末と考えることは出来ますが、セキュリティの考察を行う 場合には、アクセスポイントの実装やプロミスキャスモードによる実装の話も考慮 しなければ成らないので、「スニッフィングは難しい」という結論もありえます。 実際に今回の指摘では一般論では難しいが、ARPの汚染を行えば結果としてスニッ フィング出来ますよ、という結論なので「スニッフィングは出来る」のですが。 また今回いただいたご指摘では、「スニッフィングは出来ない」と明示的に書かれた 文章はご覧になったことが無い、とのお話ですが、逆に簡単に出来ますよ、と書かれた 文章がご存知の方がいらっしゃればご紹介ください。推測を含めた私の考えにも誤りが あるかもしれません。 さて対策の方ですが、 > 1.キャプチャ端末を発見できる技術者の育成w > #時間かかるでしょうけど・・・ > #Toolなんかは確かありましたよね?<プロミスキャスなNICを発見するやつ 確かにこれが出来れば良いのですが、なかなか実際には困難なことが予想されます。 有線環境でプロミスキャスなNICを発見するツールとして、"Promiscan"等がありますが これは有線に接続された物理的なNICを対象にスキャンするツールですから、アクセス ポイントの先にある無線NICをそのまま対象とするのは難しいでしょう。ただし論理的な スニッファの発見テクニックを使えば、見つけることが出来るかもしれません。 それよりも、DHCPサーバを監視したり、ARP汚染をIDSにより検出するほうが容易かも しれませんね。 | ||||||||||||
|
投稿日時: 2003-04-05 08:47
ども、BASEです。
レス遅くてゴメンなさい。寝不足なもので馬鹿なことかいていたらごめんさい。 >しかし実はそうした指摘が行われていない事こそが問題なのです。また長くなります。 確かに、できない・できるに関して”メリット”が強調されることは多いですが、 デメリットに関して説明される事はあまり無いですね・・・ #ダイレクトに聞いても話そらそうとするし・・・ #気持ちはわからなくも無いですが >このアクセスポイントが仲介する場合には、まずアクセスポイントの持つ有線用のNICを >プロミスキャスモードにしなければ、その先の無線環境には無作為データは伝わらない >はずです。そうしたことは技術的には実装可能ですが、そのような実装を行う必要は >まったくないので、市販のアクセスポイントが「有線LAN用のNIC部分をプロミスキャスで >動作させるモード」を標準でサポートしているとは考えられません。 この部分ですが、私のただの理解不足なだけなのでしょうが、 無線アクセスポイントの有線LAN側の口ですが、無線側のIP体系=有線側のIP体系 #無線側が192.168.1.0/24で有線側も192.168.1.0/24とか と勝手に思い込んでたところもありまして(汗 その場合、NICというよりは、通常のHUBと同じ働きをするよなぁと考えていたわけです。 ですので、先の >「ウォードライビング等でアクセスポイントに接続出来た端末=LAN内端末」 という発言になったわけでした。 >それよりも、DHCPサーバを監視したり、ARP汚染をIDSにより検出するほうが容易かも >しれませんね。 社内LANをIDSで監視する場合は、社内告知や社内規定の整備、監視するデータの限定 等の社内における調整が大変そうですね。 全部監視していたら、プライバシー侵害とか言われそうだし・・・ 無線アクセスポイントで、使えるMACを登録して、無線側からはARP参照のみ許可 後は全て拒否できると、ARP汚染は起こらない??? 最後に、自分の間違ってた認識も改められましたのでとめも勉強になりました。 | ||||||||||||
|
投稿日時: 2003-04-08 18:33
樫田です。
>無線アクセスポイントの有線LAN側の口ですが、無線側のIP体系=有線側のIP体系 >#無線側が192.168.1.0/24で有線側も192.168.1.0/24とか >と勝手に思い込んでたところもありまして(汗 IPアドレスは有線LANのDHCPサーバなどから割り当てられることも多いため、 有線側も無線側も同じネットワークセグメントに属するように見えるのが 普通です。セキュリティを考慮すれば、無線LANの環境は別のネットワーク セグメントを割り当てた方が、管理上都合が良いと思いますが、きちんと 無線LANを構築するのであれば、DHCPサービスでIPアドレスを切り分けるだけでなく、 無線LANの環境は、DMZなどの別セグメントとして切り離すべきですね。 >>それよりも、DHCPサーバを監視したり、ARP汚染をIDSにより検出するほうが容易かも >>しれませんね。 >社内LANをIDSで監視する場合は、社内告知や社内規定の整備、監視するデータの >限定等の社内における調整が大変そうですね。 >全部監視していたら、プライバシー侵害とか言われそうだし・・・ 通常は社内LANをIDSにより監視する事は、プライバシーの問題にはならないと思います。 メールシステムなどの社内のリソースは会社の利益を目的としたことに使われるのが 当然ですし、そのネットワークを個人のプライバシーに該当する用途に利用するのが そもそも問題でしょう。 ですから責任のある部署が「社員に説明をした上で」行うスニッフィングやIDSや メールのチェックは完全に合法ですし、倫理的にも問題はないはずです。 もちろん、部署ごとに機密として扱うべきデータがあり、それらのセキュリティを どのように保つか、という問題は別の次元になります。 もっとも、一般のプロバイダがセキュリティ管理の為に、契約ユーザの通信データを対象に スニッフィングなどを行った場合には、プライバシーの侵害となるかもしれませんが。 >無線アクセスポイントで、使えるMACを登録して、無線側からはARP参照のみ許可 >後は全て拒否できると、ARP汚染は起こらない??? 無線LANのセキュリティに必ず出てくるMACアドレスフィルタリングの手法ですが、 これは非常に簡単に偽造できます。(Linuxではコマンド1行指定するだけ、Windowsでも レジストリの修正で可能) そのためMACアドレスによる制限は、お手軽なだけに"やらない よりはやった方が良い"程度のセキュリティです。 結局、 1) 無線のアクセスポイントを無断で追加させない(定期的にアセスメントで検出) 2) 日々、IDSやDHCPサーバを監視することで外部からの違法接続を早期に発見 3) アクセスポイントを置く場合には、外部からのアクセスと認識してDMZに配置し、 さらにネットワーク参加にあたりRADIUSなどの認証を行う という、よく言われる方法でデザインすることになるのでしょう。むろん、コストは かかります。アクセスポイントが安く購入できる一面のみをとらえて、「無線LANの 構築にはコストがほとんどかからない」等とコメントすると痛い目にあいますね。 | ||||||||||||
|
投稿日時: 2003-04-08 23:06
実は説明しなくても違法じゃない。会社の資産だからそれをどうしようと会社の自由。 訴訟対策の意味でもメールチェックはむしろ当然。ハッキング対策で様々な監視を するのもセキュリティ上の理由から当然ですし。職場で18禁サイトを見られた日には 女性従業員にセクハラで裁判おこされても文句言えませんし。 最近じゃあリストラのよい理由にもなるみたいですね。 ただ、内容チェックを内緒にしておくと不信感が増すようですが。
なろどころか、たぶん通信の秘密を定めた電気通信事業者法により禁止されてます。 中身を見ることは許されないんです。
それと、外部の人間が違法に接続した場合(つまり通信のセッションが確立された 場合、その時点で)不正アクセス禁止法に違反します。つまり3-wayハンドシェイク といったセッションが確立される前の聞き耳を立てているだけの状態ならば問題なし ということみたいですね。まあ、法律に違反したからといって、その人を見つけるのは 大変だろうけど。まさか、警察に言って現行犯逮捕してくれるわけでもないでしょう から。 | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。