アカウント名:
パスワード:
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、それは、社内のWiFiセキュリティが全くザルだという事を意味します。即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
カジュアルな不正には有効っす。抜け道がある=効果がないとかバカの戯れ言っす。そんな論理でOKならヘルメットなんかいらないし、玄関の錠も必要ないことになるっす。ほんとバカの戯れ言っす。
だけどね、実際には、このMACアドレスセキュリティ破りができる人間の数は極めて少ないわけですよ。言ってみれば、鍵のないドアにチョウチョ結びしてあるのを見るだけで諦める人がほとんどなんです。彼らにとってはチョウチョ結びは難しすぎるんです。
もちろん、知識があり目的を持ってそのWi-Fi所有してる組織に近づく人には無力ですわ。絶対的な効果はないけど、素人クラッカーに対しては効果はあるよ。
全然理解出来てねーんだな、そんなゴミみたいな物をセキュリティとか有り難がってないで、今スグ窓から投げ捨ててもっとちゃんとしたセキュリティ対策したほうがいいぜって話でしょコレ。もっとちゃんとしたのをやれば素人クラッカーにも組織的なクラッキングにも効果があるわけで。
開けっ放しの扉を、セキュリティ意識があるんなら閉めてちゃんとした鍵を付けろよって話じゃよ。
ちゃんとした鍵はついてんだよ。それでも大型犬注意ってシール貼ってりゃ多少の泥棒避けにはなるだろうが。
ならないよ
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
MACアドレスは漏れるもの、という前提で設計されています。通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、中途半端な仕組みには出る幕はないという考え方です。何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
WiFiのMacアドレスは暗号化されません。今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
だから暗号化されないって言ってるじゃないですか。つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
日本語をまともに読めない人なんですね。通信を開始したら本来のMACアドレスの通信になるからiOS8でもばらまきますよ。ばらまくシチュエーションがほんの少し、わずかに減ったというだけ。
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
iOS8なら現実的ですよね。接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
WPAにしろWEPにしろ、どの組み合わせを選んでも暗号化されるのはペイロードだけSSIDとかMACアドレスはステルスにしようが暗号化しようが通信時に平文で送受信される
IEEE802.11の規格書を読み直してこい。http://standards.ieee.org/findstds/standard/802.11-2012.html [ieee.org]
セキュリティを考えるなら、× 漏れなければ○ 漏れた場合のと思考する方向に舵を切らないと駄目でしょうに。
IT業界は性悪説で運用設計しないと駄目だと思うんだ。
では代替案を提示して頂きたい。要件は・クライアント側に追加コストがかからない事。・AP側の追加コストはMACアドレスのフィルタリングがある一般的な機器を買う程度である事。・一度パスワードを知れば微小な手間すら無しに無制限にデバイスを増やせる事を防ぐ程度のセキュリティでよい事。です。
802.1xを使うか、上位層で対策する(webログインを要求する)か、ユーザ個別PSKでも使うか。
自分の無知とか怠慢を技術的欠陥だと言い張るのはやめてくれないかな。MACアドレスフィルタに意味があるわけないじゃない。
セキュリティは玉葱の皮。
MACアドレス「だけ」で認証するわけじゃないんだよ。対象のMACアドレス、OSバージョン、ウィルスチェッカー、それにユーザの証明書、こういうものを全部使って認証する。
そこまでやってるなら、それこそMACアドレスは無くても変わらないんじゃね?と思わなくもない
っつーか、証明書を使った802.1X認証とActiveDirectoryでいいんじゃね。元コメ主がこれだけやるなら、社員に持たせるPCも完全な管理下にあるんでしょ。OSバージョンとか無駄にチェックしてる気がする。
何のためにですか?
タイトル読め
社内WiFiのアクセス制限でMACアドレスによるフィルタリングを使用している理由が知りたいのですが・・・
未登録の個人端末の持ち込みやLANへの接続を禁止するセキュリティポリシーなんて、一般的ですよ。登録端末のMACアドレス以外に対する通信を全部監視対象にして、場合によっては、Arp応答の偽装で通信そのものを禁止してしまうなんてことをやっているところもある。
固定LAN用だけど、 ip-sentinelとかよく仕込んだなあ。Arp応答の偽装で登録済みのMACアドレスとIPアドレス組の端末以外事実上通信できなくできるしね。
この「俺が若かった頃はこれでよかった」っていうの、他の記事でも見たな。愚者は経験に学ぶってやつだなー
そりゃ、802.1xついた無線LAN APとか買えない(もしくは存在さえ知らない)からPSKをやめればいいだけじゃんか。
802.1X対応してないってことはコンシューマー向け?MACアドレス制限するにしても、エントリー数少なそう…。
ヤマハのでいいからSOHOクラス以上を買った方が幸せになれるんじゃないかな。
あれだよね、5000円そこそこで売られているものでもその10倍の値段の機器と変わらず機能するように見えるし、802.1xは認証サーバが要る。
普通の人は幸せを感じないよね。(この程度の知識でエンタープライズレベルの管理をやって、「一般的に行われている」とか言っちゃうのがいけないんだけど、もう治らないよ)
日本人の労働者の大半は中小零細企業勤務エンタープライズレベルという妄想はどこからでてきたのか
5000円そこそこの個人用でも802.1x対応してるから。老害は早く業界から出てって
>5000円そこそこの個人用でも802.1x対応してる
ちょっと探したんだが、なかなか見つからないです。#5000円の価格帯というのがなかなか見つからない。
よかったら一例を教えて頂ければうれしい。
うちのBYOD もmacアドレス登録が必須だからオワタ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:0)
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、
それは、社内のWiFiセキュリティが全くザルだという事を意味します。
即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1, 参考になる)
カジュアルな不正には有効っす。
抜け道がある=効果がないとかバカの戯れ言っす。
そんな論理でOKならヘルメットなんかいらないし、玄関の錠も必要ないことになるっす。
ほんとバカの戯れ言っす。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1, すばらしい洞察)
だけどね、実際には、このMACアドレスセキュリティ破りができる人間の数は極めて少ないわけですよ。
言ってみれば、鍵のないドアにチョウチョ結びしてあるのを見るだけで諦める人がほとんどなんです。
彼らにとってはチョウチョ結びは難しすぎるんです。
もちろん、知識があり目的を持ってそのWi-Fi所有してる組織に近づく人には無力ですわ。
絶対的な効果はないけど、素人クラッカーに対しては効果はあるよ。
Re: (スコア:0)
全然理解出来てねーんだな、そんなゴミみたいな物をセキュリティとか有り難がってないで、今スグ窓から投げ捨ててもっとちゃんとしたセキュリティ対策したほうがいいぜって話でしょコレ。
もっとちゃんとしたのをやれば素人クラッカーにも組織的なクラッキングにも効果があるわけで。
開けっ放しの扉を、セキュリティ意識があるんなら閉めてちゃんとした鍵を付けろよって話じゃよ。
Re: (スコア:0)
ちゃんとした鍵はついてんだよ。
それでも大型犬注意ってシール貼ってりゃ多少の泥棒避けにはなるだろうが。
Re: (スコア:0)
ならないよ
Re: (スコア:0)
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
MACアドレスは漏れるもの、という前提で設計されています。
通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。
パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、
パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。
全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、
仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。
仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、
中途半端な仕組みには出る幕はないという考え方です。
何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、
ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1)
WiFiのMacアドレスは暗号化されません。
今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。
そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
Re: (スコア:0)
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
Re: (スコア:0)
だから暗号化されないって言ってるじゃないですか。
つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
Re: (スコア:0)
日本語をまともに読めない人なんですね。
通信を開始したら本来のMACアドレスの通信になるからiOS8でもばらまきますよ。
ばらまくシチュエーションがほんの少し、わずかに減ったというだけ。
Re: (スコア:0)
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
Re: (スコア:0)
iOS8なら現実的ですよね。
接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
Re: (スコア:0)
WPAにしろWEPにしろ、どの組み合わせを選んでも暗号化されるのはペイロードだけ
SSIDとかMACアドレスはステルスにしようが暗号化しようが通信時に平文で送受信される
Re: (スコア:0)
IEEE802.11の規格書を読み直してこい。
http://standards.ieee.org/findstds/standard/802.11-2012.html [ieee.org]
Re: (スコア:0)
セキュリティを考えるなら、
× 漏れなければ
○ 漏れた場合の
と思考する方向に舵を切らないと駄目でしょうに。
IT業界は性悪説で運用設計しないと駄目だと思うんだ。
Re: (スコア:0)
では代替案を提示して頂きたい。
要件は
・クライアント側に追加コストがかからない事。
・AP側の追加コストはMACアドレスのフィルタリングがある一般的な機器を買う程度である事。
・一度パスワードを知れば微小な手間すら無しに無制限にデバイスを増やせる事を防ぐ程度のセキュリティでよい事。
です。
Re: (スコア:0)
802.1xを使うか、上位層で対策する(webログインを要求する)か、ユーザ個別PSKでも使うか。
自分の無知とか怠慢を技術的欠陥だと言い張るのはやめてくれないかな。MACアドレスフィルタに意味があるわけないじゃない。
Re: (スコア:0)
セキュリティは玉葱の皮。
Re: (スコア:0)
MACアドレス「だけ」で認証するわけじゃないんだよ。
対象のMACアドレス、OSバージョン、ウィルスチェッカー、それにユーザの証明書、
こういうものを全部使って認証する。
Re: (スコア:0)
そこまでやってるなら、それこそMACアドレスは無くても変わらないんじゃね?と思わなくもない
Re: (スコア:0)
っつーか、証明書を使った802.1X認証とActiveDirectoryでいいんじゃね。
元コメ主がこれだけやるなら、社員に持たせるPCも完全な管理下にあるんでしょ。
OSバージョンとか無駄にチェックしてる気がする。
Re: (スコア:0)
何のためにですか?
Re: (スコア:0)
タイトル読め
Re: (スコア:0)
社内WiFiのアクセス制限でMACアドレスによるフィルタリングを使用している理由が知りたいのですが・・・
Re: (スコア:0)
未登録の個人端末の持ち込みやLANへの接続を禁止するセキュリティポリシーなんて、一般的ですよ。登録端末のMACアドレス以外に対する通信を全部監視対象にして、場合によっては、Arp応答の偽装で通信そのものを禁止してしまうなんてことをやっているところもある。
Re: (スコア:0)
固定LAN用だけど、 ip-sentinelとかよく仕込んだなあ。Arp応答の偽装で登録済みのMACアドレスとIPアドレス組の端末以外事実上通信できなくできるしね。
Re: (スコア:0)
この「俺が若かった頃はこれでよかった」っていうの、他の記事でも見たな。愚者は経験に学ぶってやつだなー
Re: (スコア:0)
そりゃ、802.1xついた無線LAN APとか買えない(もしくは存在さえ知らない)から
PSKをやめればいいだけじゃんか。
Re: (スコア:0)
802.1X対応してないってことはコンシューマー向け?
MACアドレス制限するにしても、エントリー数少なそう…。
ヤマハのでいいからSOHOクラス以上を買った方が幸せになれるんじゃないかな。
Re: (スコア:0)
あれだよね、5000円そこそこで売られているものでもその10倍の値段の機器と変わらず機能するように見えるし、
802.1xは認証サーバが要る。
普通の人は幸せを感じないよね。
(この程度の知識でエンタープライズレベルの管理をやって、「一般的に行われている」とか言っちゃうのがいけないんだけど、もう治らないよ)
Re: (スコア:0)
日本人の労働者の大半は中小零細企業勤務
エンタープライズレベルという妄想はどこからでてきたのか
Re: (スコア:0)
5000円そこそこの個人用でも802.1x対応してるから。老害は早く業界から出てって
Re: (スコア:0)
>5000円そこそこの個人用でも802.1x対応してる
ちょっと探したんだが、なかなか見つからないです。
#5000円の価格帯というのがなかなか見つからない。
よかったら一例を教えて頂ければうれしい。
Re: (スコア:0)
うちのBYOD もmacアドレス登録が必須だからオワタ…
Re: (スコア:0)