アカウント名:
パスワード:
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、それは、社内のWiFiセキュリティが全くザルだという事を意味します。即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
MACアドレスは漏れるもの、という前提で設計されています。通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、中途半端な仕組みには出る幕はないという考え方です。何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
WiFiのMacアドレスは暗号化されません。今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
だから暗号化されないって言ってるじゃないですか。つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
日本語をまともに読めない人なんですね。通信を開始したら本来のMACアドレスの通信になるからiOS8でもばらまきますよ。ばらまくシチュエーションがほんの少し、わずかに減ったというだけ。
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
iOS8なら現実的ですよね。接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
WPAにしろWEPにしろ、どの組み合わせを選んでも暗号化されるのはペイロードだけSSIDとかMACアドレスはステルスにしようが暗号化しようが通信時に平文で送受信される
IEEE802.11の規格書を読み直してこい。http://standards.ieee.org/findstds/standard/802.11-2012.html [ieee.org]
セキュリティを考えるなら、× 漏れなければ○ 漏れた場合のと思考する方向に舵を切らないと駄目でしょうに。
IT業界は性悪説で運用設計しないと駄目だと思うんだ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:0)
MACアドレスによるフィルタリングとか普通にやってるとこ多い気がしますが。
Re: (スコア:5, すばらしい洞察)
良い機会なのでやめさせましょう。
MACアドレスは、ランダムに変えられるぐらいに信用できないので、そのフィルタリングのセキュリティ向上への寄与は極小です。
MACアドレスフィルタリングによる効果が、社内セキュリティの向上に役立っているのでしたら、
それは、社内のWiFiセキュリティが全くザルだという事を意味します。
即刻、まともなポリシーへと転換すべき事態です。
暗号化などまともなポリシーで運用しているのでしたら、MACアドレスフィルタリングには、追加の向上効果はほぼありませんので棄てましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:0)
MACアドレスが漏れなければ固定長パスワードと同じレベルのセキュリティーがあると思いますが違いますか?
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:5, すばらしい洞察)
MACアドレスは漏れるもの、という前提で設計されています。
通信時の全てのパケットに、MACアドレスは平文のまま乗っています。
主な理由はアクセスポイントの処理負荷の低減のためです。
パケットを受信したAPが、自身が処理すべきパケットかどうかを素早く確認できるようにするため、
パケットには暗号化されない部分が設けられており、MACアドレスはそこに入っています。
全体を暗号化すると、APは受信できたあらゆるパケットを復号して中身を確かめなければなくなります。
いくらなんでもだだ漏れは酷い、ちょっとぐらいなんとかしろよ、という気もしますが、
仕様は、中途半端なガードは最悪の攻撃者に対して無意味=全くの無駄、という思想で作られています。
仕様の別の部分で、最悪の攻撃者に対する十分なガードというハイレベルな戦いが可能なので、
中途半端な仕組みには出る幕はないという考え方です。
何しろ、仕様は、世界中のあらゆる無線LAN機器上に乗っていなければならない機能を策定するものなので、
ちょっとでも不要な機能があれば、計り知れない無駄が出てしまいますから。
それが何かも分からないまま、謎の信頼を寄せるのはやめましょう。
Re:社内WiFiのアクセス制限はどうすればいいのでしょうか (スコア:1)
WiFiのMacアドレスは暗号化されません。
今回話題になっているように、今まではアクセスポイントを探すだけでばら撒きます。
そんなものをパスワードと同じレベルと思うなんて誕生日パスワードを笑えませんよ
Re: (スコア:0)
だからMACアドレスをばら撒かないiOS8ならOKってことですよね。
Re: (スコア:0)
だから暗号化されないって言ってるじゃないですか。
つまり通信している電波を受信できる場所であればMacアドレスは駄々漏れなんですよ。
Re: (スコア:0)
日本語をまともに読めない人なんですね。
通信を開始したら本来のMACアドレスの通信になるからiOS8でもばらまきますよ。
ばらまくシチュエーションがほんの少し、わずかに減ったというだけ。
Re: (スコア:0)
> MACアドレスが漏れなければ
そういう非現実的な仮定をおけばなんでも言える
Re: (スコア:0)
iOS8なら現実的ですよね。
接続後にルータがクラックされたらダメですがその時点でMACアドレス漏洩以上の事故ですし。
Re: (スコア:0)
WPAにしろWEPにしろ、どの組み合わせを選んでも暗号化されるのはペイロードだけ
SSIDとかMACアドレスはステルスにしようが暗号化しようが通信時に平文で送受信される
Re: (スコア:0)
IEEE802.11の規格書を読み直してこい。
http://standards.ieee.org/findstds/standard/802.11-2012.html [ieee.org]
Re: (スコア:0)
セキュリティを考えるなら、
× 漏れなければ
○ 漏れた場合の
と思考する方向に舵を切らないと駄目でしょうに。
IT業界は性悪説で運用設計しないと駄目だと思うんだ。