第4回 XP SP2環境下での安全な無線LAN環境構築
他力本願堂本舗
杉谷智宏
2005/4/15
クライアント側の対策 |
ここまでは主にアクセスポイント側の対策だったが、1ページ目で触れたように「わなのアクセスポイント」が存在した場合に問題とならないようクライアント側でも対策しておく必要がある。
無線LANが利用できるコンピュータで起動しているWindows XPは、自動的に無線LANアクセスポイントを探して接続する機能を持っている。そのため、標準状態の無線LANアクセスポイントにそのままつながる可能性が高い。この問題には、自動的に接続する機能を逆手に取ることで対処する。
最初に、「ワイヤレスネットワーク接続のプロパティ」を開く。続いて、「ワイヤレスネットワーク」タブをクリックして、「Windowsでワイヤレスネットワークの設定を構成する」にチェックが入っていることを確認する。さらに、画面下部のリストで利用したいネットワークを最上位に移動させ、優先的にそのネットワークに接続させる。
手続きは面倒だが、現在のところこのようにして接続するネットワークを意図的に選択するしか方法はないようだ。
Windowsファイアウォールの利用 |
Windows XP SP2のファイアウォール機能は第2回「Windows XP SP2の導入でセキュリティを向上」で述べたとおりSP1に比較して機能強化が図られている。また、標準の状態でファイアウォール機能が有効になるよう設定されている。
そのため、能動的なスキャン(Pingスキャンなど、端末を探すスキャン)までは防げないが、単純に「マイネットワーク」などで端末を探す方法ではコンピュータは捕捉されない。そのため、多少ではあるがファイル共有へのアタックを防止できる。
とはいえ、端末を全く探し出すことができないわけではない。見つけ出されてしまえばファイル共有へのアクセスが可能になるため、少なくともファイル共有に利用するアカウントについてはしっかりとしたパスワードを設定しておきたい。
また、筆者の検証環境ではWindows XPのインストール直後にSP1とSP2を連続して適用したが、それ以外の環境ではWindowsファイアウォールの設定が比較的「緩く」設定される。具体的には、すでにファイル共有が設定されている端末にSP2を適用した場合、適用時に共有の存在を検出してファイアウォールの初期設定で「Windows ファイル共有へのアクセス」を有効にしてしまう。
さらに、Windows XP SP1以前とWindows XP SP2で大きく違っているのが「管理共有へのアクセス」だ。同じように無線LANに接続した端末では、SP1環境では「\\コンピュータ名\c$」としてシステムドライブにアクセスし、管理者アカウントとパスワードを与えることでディスクにアクセスすることができた。SP2環境ではアカウントが正しくてもアクセスを拒否するように変更されている。ただし、これもすでに管理共有を設定していた端末ではこの限りではないことが予測できるため注意が必要だ。
追加の暗号化 |
これはWindows XP SP2とはあまり関係がないかもしれないが、重要な通信、特にアカウント情報などに関しては暗号化した通信経路を使えた方がいい。特に、無線LAN環境でアクセスするインターネットサービスといえば、主にWebかメールだと思うが、メールに関しては通常プレーンテキストでアカウント情報が送信されてしまう。そのため、盗聴が行われていればアカウント情報を盗み出されてしまう。
これを回避するには、Webメールを使うことが最も簡単だ。ほとんどのWebメールはSSLに対応している。SSLを使ってログインすればパケットが暗号化された状態になるため、万が一盗聴されていたとしてもアカウント情報は守られる。同様にSSL VPNやSSHトンネルを使って暗号化を行うという方法もある。
◆ ◇ ◆
Windows XP SP2では、無線LAN機能に特別な改善は見られなかった。そのため、大部分は従来と同様の対策を行うことになる。しかし、改善されたファイアウォール機能やファイル共有設定のセキュリティ化が施されているため、昨年秋のモデルから店頭で販売されている新型のコンピュータであれば端末そのものに対して不正アクセスが行われる可能性は激減している。
そのほか、無線LANの認証を行う方法としてRADIUSなどを利用する方法があるが、これはWindowsのトピックから外れるため触れなかった。興味のある方はぜひ調べてみてほしい。特に、企業で無線LANを利用する際には、RADIUSを利用した統一的な認証を行うなどの対策が必要となるだろう。
現在も無線によるネットワーキングは過渡期の技術であり、今後さらにセキュリティ技術の適用や新技術の登場があるだろう。また、モバイルネットワーキングの要求とともに関連技術の普及が図られることも予想できる。
過渡期の技術には問題が発見されることも多い。利便性の高い技術ではあるが、利用の際には十分な準備と注意、そしてリスクとメリットを比較したうえでの導入が必要だ。
3/3
|
|
Index | |
XP SP2環境下での安全な無線LAN環境構築 | |
Page1 第三者に無線LANを利用される危険性 脆弱な暗号化 Windows XPの無線クライアント機能 問題への対策と安全なネットワーク環境の構築 |
|
Page2 無線LANアクセスポイントの設定 WEPによる暗号化 厳密なアクセス制限 |
|
Page3 クライアント側の対策 Windowsファイアウォールの利用 追加の暗号化 |
関連記事 | |
クライアントセキュリティチャンネル | |
管理者のためのウイルス対策の基礎 | |
ネットワーク管理者のためのWindows XP SP2レビュー(後編)(Windows Server Insider) | |
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|