アカウント名:
パスワード:
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、それは、社内のWiFiセキュリティが全くザルだという事を意味します。即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
MACアドレスは漏れるもの、という前提で設計されています。通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、中途半端な仕組みには出る幕はないという考え方です。何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:0)
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
Re: (スコア:5, すばらしい洞察)
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、
それは、社内のWiFiセキュリティが全くザルだという事を意味します。
即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
Re: (スコア:0)
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
MACアドレスは漏れるもの、という前提で設計されています。
通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。
パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、
パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。
全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、
仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。
仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、
中途半端な仕組みには出る幕はないという考え方です。
何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、
ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。