【第五回】無線LAN設定での注意点
皆様こんにちは。キューブ・エス中村です。
今回は無線LANについて、安全に使用する為の注意点をいくつか挙げさせていただきます。
■SSIDは秘匿する(ブロードキャストしない)
SSIDが秘匿できる製品の場合はブロードキャストしない事により
無用な攻撃を避ける事が可能です。
接続時には若干面倒ではありますが、SSIDを個別に設定して
ログインする必要がある為、悪意を持った外部のユーザからは
これだけでかなり強固な設定となります。
■MACアドレス制限をかける
社内のリソースにアクセスできるSSIDへの接続には
MACアドレス制限をつける事により指定した機器のみしか業務LANに
無線LAN経由で接続できなくすることが可能です。
※但し新規導入機器がある度にMACアドレスの棚卸が必要です。
■近隣に2台以上のAPを置かない
案外良くあるケースとして、2.4Ghzの無線LAN電波が競合するケースがあります。
昨今のAPでは自動チャンネル制御を備えており、自動的に競合しない
電波周波数に自動設定し直すものもありますが、
経験則、あくまで補助機能であり、完全ではありません。
電波競合を起こすと接続は弱くなり、まともに使えなくなります為、
出来る限りAP同士は離した上で、願わくばPC側も5Ghzの無線LANを
使用する用に心がけてください。
■暗号化方式にはWPA2パーソナル(AES)を使用する
現在の事情ではWPA2パーソナル(AES)が最も強い暗号化方式となります。
それでもWPA2について先日脆弱性が判明しましたが、
それでも限定的である事は誤認識頂き、
特定の場合を除き安心して頂いて良いかと思います。
WPA、WEP、TKIPは既に脆弱性が見つかっております。
のっぴきならない事情が無い限り選択は避けて下さい。
■中継器モードを備えた機器は「KRACKs」対応状況を確認して使用する
2017年11月、現段階で最強の暗号化特性を持ち安全と言われてきた
WPA2の脆弱性が発見され、「KRACKs」と名付けられました。
この脆弱性を受ける機器は
・ファームウェアが「KRACKs」に対応していない
・中継機能が使用されている
環境で起こり得るという事が判っています。
この為、もし中継器モードを備えた機器を使用する場合は
ファームウェアのアップグレード等も見据えた上で、
対応状況を確認しながら使用して下さい。
■可能であればIEEE802.1x認証を使用する
SSIDとPSKだけで認証をする場合、そのセットを持ち出しすれば
離職者も近くに来て使用する事が出来るようになってしまいます。
これを防ぐためには離職者が出る度にPSKを変更して
各接続PCの設定を変更するか、認証サーバを導入して
IEEE802.1x認証で認証をさせるかのいずれかが有効です。
特にIEEE802.1x認証を使用する場合は各ユーザにIDとパスワードが
割り当てした上で、接続時に使用するのはこの各ユーザのIDパスワードである為
離職者についてはIDを削除、または無効化してしまえばそれで
無線LANに接続が出来なくなるわけです。
無線LANも使い方次第では安全に、非常に便利に使用が可能です。
弊社にご連絡頂ければ、安全かつ非常に便利な使用についてご提案できます。
ご検討の企業様はお気軽にご連絡下さいませ。