アカウント名:
パスワード:
無線LANにオマケでついているセキュリティ機能を信用するのは、まともなネットワーク技術者であれば、してはいけません。SSID/ESSIDの設定くらいではなーんにもならないのは言うに及ばず、MACアドレスでさえspoofingが可能なツールが出回っているのですから。
私の自宅では、NECのAtermWB7000Hという11B対応のブロードバンドルータ(PCカード付属)を使用しています(普及品の代表格だと思いますが)。
で、そのオマケについている128bitのWEPやMACアドレスフィルタリングを設定して、特に脅威は感じていなかったのですが、アマすぎる感覚でしょうか?
WEPとMACアドレスなんて解析できるし詐称できるから無駄だって来たので
と、いうことなので、心配になってちょっと調べてみたのですが、よく分からなかったので:-)、もし親切な人がいたら教えてください。
WEP解読等の関連記事はこのへん 無線LANに十分なセキュリティをもたらす「802.1x」 よんでみると良いかと
しかしWEP設計した人って…シロートさんだったんでしょうか。いやはや。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
自宅大丈夫です (スコア:0)
もちろん、自分のウチ用とは別にセグメントを切ってあり、ノードも別に用意してあります。もちろん、その他の対策もバッチリとってあるので、意図的に外部に解放している無線ノードから他のセグメントには行けなくなっております。
無線LANにオマケでついているセキュリティ機能を信用するのは、まともなネットワーク技術者であれば、してはいけません。SSID/ESSIDの設定くらいではなーんにもならないのは言うに及ばず、MACアドレスでさえspoofingが可能なツールが出回っているのですから。
だから、無線LAN使うときは、そのほかに、必ずまともな設定が可能な外部ルータを併用することをお勧めしますが。
Re:自宅大丈夫です (スコア:1)
そういった意味での「安全性」対策はどのようになさっているか、お聞かせ願えれば幸いです。
Re:自宅大丈夫です (スコア:1)
たとえばその無線LANから誰かが悪さをして損害賠償請求をされたとしましょう。
まず「自分でやったものではない」事を証明する必要があります。オープンになっているのは当然自分も知っていますから、誰でも使える=自分も使える、ということであり、オープンだから誰が使ったのかわからないというのはかえって不利になります。さて、仮にこれが証明できたとしても、管理者としての責任を問われます。これを否定する事はまず不可能ですから、結局は負けることになります。
まぁ、「無線LANのセキュリティは弱いから外部にルータが必要」なんて書いてある時点でよくわかってないんだと思いますが。とりあえず無線を止めて、もう少し勉強してからどうするか決めることをお勧めしたいところです。
Re:自宅大丈夫です (スコア:0)
BBSの荒らし対策まで考えるなら、ポート80にアプリケーションGW(≒プロキシ)入れて, HTTP POSTを禁止するとか, hoge.cgiへのアクセスを遮断するとか。。。
だめです! (スコア:1)
>ポート80以外を外に出さない設定にしてもだめですか?
port80オンリーにしても無駄です。
世の中、善意の第3者だけじゃありません。
ネットカフェだって、まともなところは、
身分証明を提出して会員証作るでしょ?
そんなに提供したいのならば、
無線LANで自前のコンテンツサーバも作れば?
「ご近所のうわさ」掲示板とか。
PCにECC Registeredメモリの利用を推奨します。
Re:自宅大丈夫です (スコア:0)
無線LANとISPとなると別です。
無線LANと自宅ネットワーク間がフリーで合った場合
自宅内に設置されたマシンのセキュリティホール対策を厳重に行わないで居た場合はセキュリティホールアタックの後、そのマシンを踏み台にして外に接続される恐れがあります
まぁ、そのへんもしっかりやるなら別で
Re:自宅大丈夫です (スコア:0)
80/tcpを利用した攻撃やワームは腐る程ありますから。
#httpdやCGIのBOは典型だし、逆にブラウザの脆弱性を突くのもこれですね。
> BBSの荒らし対策まで考えるなら、ポート80にアプリケーションGW(≒プロキシ)入れて, HTTP POSTを禁止すると
Re:自宅大丈夫です (スコア:1)
気にするのはアナタの「オープンな」ノードを踏み台にしてよそに迷惑がかかることかと。
#
禁煙の場所でタバコを吸いながら「ご心配なく、私は健康に気を遣って吸いすぎないようにしてます」
Re:自宅大丈夫です (スコア:0)
すべての無線LAN接続PCに外部ルータを付けるんですか?
無線LANで接続されたPCには侵入されてもOKとかいうことじゃないですよね?
Re:自宅大丈夫です (スコア:0)
そうすると、二つアクセスポイントが必要になりますよね。
それとも同じ物理ネットワーク上で二つのサブネットを運用?
Re:自宅大丈夫です (スコア:1)
Re:自宅大丈夫です (スコア:0)
「ノードも別に用意」ってことから無線LANアクセスポイントが2つ(以上)あるんでしょうね.
想像するに, 有線LANの口とは別に無線LANカード2枚挿したPCにlinuxなりFreeBSDなりをマルチホームのルータ兼ファイアウォールとして. 無線LANセグメントAを自宅用, 無線LANセグメントBを開放, 有線LANセグメントはインターネット接続とかしてるんじゃないですか?
その上で, 無線LANセグメントBからの無線LANセグメントAへのパケットを完全遮断として, 無線LANセグメントBからインターネットへの接続には
Re:ご自宅大丈夫です『か?』 (スコア:0)
私の自宅では、NECのAtermWB7000Hという11B対応のブロードバンドルータ(PCカード付属)を使用しています(普及品の代表格だと思いますが)。
で、そのオマケについている128bitのWEPやMACアドレスフィルタリングを設定して、特に脅威は感じていなかったのですが、アマすぎる感覚でしょうか?
Re:自宅大丈夫です (スコア:0)
盗聴されても大丈夫なように無線ネットワークからはIPSec+VPNのトンネリングを使用して内部ネットワークに接続するようになってますだと思ったら...(いやそこまで必要かどうかは別として(笑))
なんでルーターなんだろう
Re:自宅大丈夫です (スコア:0)
Re:自宅大丈夫です (スコア:0)
無線LANの内容を盗聴されても暗号化されてるから、接続端末ローカルネット間のデーターの秘密性は保障っと言うことは
Re:自宅大丈夫です (スコア:0)
"IPSec+VPN"の"+"の意味が説明できていないけど?
> 無線LANの内容を盗聴されても暗号化されてるから、接続端末ローカルネット間のデーターの秘密性は保障っと言うことは解って突っ込んでます?
ネットワーク情報は保護対象ではないとい
Re:自宅大丈夫です (スコア:0)
あぁ書き方がまずかったかな?"+"を"と"にでも置き換えてください
同時にVPNだけだと盗聴される恐れがあるので、無線LANに流すパケット事態を暗号化するって事ね
>ネットワーク情報は保護対象ではないということですかね?
このネットワーク情報が何を指すのかわかりませんが、VPNの受け口となるサーバーまたはルーターは判明しますね
でもIPSecで使用している鍵も、VPNの認証パスもわからないのでそこから先には行けないでしょう
電波を傍受されても、パケットのデーター部は暗号化されてるので問題はないでしょう
無論、暗号化されたデーターを解析してまで進入すると言うのなら別ですけど?
暗号強度にあわ
Re:自宅大丈夫です (スコア:0)
なんのためのIPsecなんだか、、、
ご自分で提示された「例とか [google.co.jp]」はちゃんと確認されましたか?
#「これ以上私に説明する気力はもう無いので自分でしらべてみてくださいな」はそのままお返しいたします。
Re:自宅大丈夫です (スコア:0)
PPTPやIPoverIPによるVPN(トンネリングVPN)とIPsecを『+』することに反対する理由を是非説明してください.
ソースだけでもぷり~ず
Re:自宅大丈夫です (スコア:0)
なぜそうしたいのでしょうか?通信内容を保護した上でVPNを張りたいのであればIPsecで十分ではないですか?
#IPsecでトンネリング [google.co.jp]が出来るのは、もちろんご存知ですよね?
あと、私は反対したつもりはないですよ。意味は何?と書いただけで。
#IPsecと
Re:自宅大丈夫です (スコア:0)
だと思ったんですけど, 今回(元ACの方の記述)のケースだと確かに当てはまりませんね.
失礼しました
教えてエライ人 (スコア:0)
と、いうことなので、心配になってちょっと調べてみたのですが、よく分からなかったので:-)、もし親切な人がいたら教えてください。
Re:教えてエライ人 (スコア:0)
無線LANに十分なセキュリティをもたらす「802.1x」 [zdnet.co.jp]
よんでみると良いかと
Re:教えてエライ人 (スコア:0)
しかしWEP設計した人って…シロートさんだったんでしょうか。いやはや。
Re:教えてエライ人 (スコア:0)
ビット長は確立論的に集めなければならない通信パケット量に依存しますが、40bitでは4~5時間程度で解析できます。104bitではどれくらい必要かためしたことはありませんが、40bitのWEPの解析時間を2倍にするには80bit必要だということはオライリージャパン「802.11セキュリティ」 [oreilly.co.jp]で述べられていますね。
#いい加減アホアホちっくすぎて確認しなかっただけなんですが、
#104bitでできたよーという人も数人知ってます。
>2. WEPを設定した場合、使用機器のM