皆様こんにちは。キューブ・エス中村です。

今回は無線LANについて、安全に使用する為の注意点をいくつか挙げさせていただきます。

 

■SSIDは秘匿する（ブロードキャストしない）

SSIDが秘匿できる製品の場合はブロードキャストしない事により

無用な攻撃を避ける事が可能です。

接続時には若干面倒ではありますが、SSIDを個別に設定して

ログインする必要がある為、悪意を持った外部のユーザからは

これだけでかなり強固な設定となります。

 

■MACアドレス制限をかける

社内のリソースにアクセスできるSSIDへの接続には

MACアドレス制限をつける事により指定した機器のみしか業務LANに

無線LAN経由で接続できなくすることが可能です。

※但し新規導入機器がある度にMACアドレスの棚卸が必要です。

 

■近隣に2台以上のAPを置かない

案外良くあるケースとして、2.4Ghzの無線LAN電波が競合するケースがあります。

昨今のAPでは自動チャンネル制御を備えており、自動的に競合しない

電波周波数に自動設定し直すものもありますが、

経験則、あくまで補助機能であり、完全ではありません。

電波競合を起こすと接続は弱くなり、まともに使えなくなります為、

出来る限りAP同士は離した上で、願わくばPC側も5Ghzの無線LANを

使用する用に心がけてください。

 

■暗号化方式にはWPA2パーソナル(AES)を使用する

現在の事情ではWPA2パーソナル（AES）が最も強い暗号化方式となります。

それでもWPA2について先日脆弱性が判明しましたが、

それでも限定的である事は誤認識頂き、

特定の場合を除き安心して頂いて良いかと思います。

WPA、WEP、TKIPは既に脆弱性が見つかっております。

のっぴきならない事情が無い限り選択は避けて下さい。

 

■中継器モードを備えた機器は「KRACKs」対応状況を確認して使用する

2017年11月、現段階で最強の暗号化特性を持ち安全と言われてきた

WPA2の脆弱性が発見され、「KRACKs」と名付けられました。

この脆弱性を受ける機器は

・ファームウェアが「KRACKs」に対応していない

・中継機能が使用されている

環境で起こり得るという事が判っています。

この為、もし中継器モードを備えた機器を使用する場合は

ファームウェアのアップグレード等も見据えた上で、

対応状況を確認しながら使用して下さい。

 

■可能であればIEEE802.1x認証を使用する

SSIDとPSKだけで認証をする場合、そのセットを持ち出しすれば

離職者も近くに来て使用する事が出来るようになってしまいます。

これを防ぐためには離職者が出る度にPSKを変更して

各接続PCの設定を変更するか、認証サーバを導入して

IEEE802.1x認証で認証をさせるかのいずれかが有効です。

特にIEEE802.1x認証を使用する場合は各ユーザにIDとパスワードが

割り当てした上で、接続時に使用するのはこの各ユーザのIDパスワードである為

離職者についてはIDを削除、または無効化してしまえばそれで

無線LANに接続が出来なくなるわけです。

 

無線LANも使い方次第では安全に、非常に便利に使用が可能です。

弊社にご連絡頂ければ、安全かつ非常に便利な使用についてご提案できます。

ご検討の企業様はお気軽にご連絡下さいませ。