|
|
|
|
 |
ワイヤレス LAN への侵入によってもたらされる脅威は、空中を飛び交う無線伝送が組織の壁という物理的境界をスルリと抜けてしまうこと、さらにワイヤレスのクライアント機器が、見つけた信号の中で最も強力なものに自動的に接続する性質を持っていることが原因となっている。
「データの盗難やネットワークの不法侵入の場合は、一連のワイヤレス LAN セキュリティスタンダードの IEEE 802.11 の最新の延長である 802.11i の暗号化および認証対策を講じることが最大の防御になる」とシスコのテクニカル・マーケティング・エンジニアであるジェイク・ウッダムズ (Jake Woodhams) は言う。 「一方、そこここに存在する不正機器によって可能になるデータのハイジャックやサービス妨害の場合には、無認可の機器を識別してシャットダウンするための電波をスキャニングすることが最も重要な対策です」特にここでは、侵入の検知および防衛が何を緩和しようとしているのかを見てみよう。
イーサネットスイッチポートまたはワイヤレス LAN コントローラポートに直接つながっているこれらの無線は、企業をハッキングするために侵入者が悪意を持って設置したものかもしれない。 さらによくある例としては、ワイヤレスアクセスを容易にするために、従業員自身が無防備に設置してしまうケースがある。そして、クライアント機器が持つ自己展開という性質のために、近隣のオフィスや駐車場、あるいはコーヒーショップにあるクライアントが、意図的または偶然にこれらの不正なポイントに接続してしまうことがある。現在、ほとんどの企業がイーサネットスイッチ上に、オープンなレイヤ 2 のポートをもっている。したがって、有線 LAN インフラに不正な接続をすることで、そこにぶら下がるすべてのクライアントは少なくともいくつかの社内リソースにアクセスすることができてしまうのである。
大量の有害なトラフィックがワイヤレストランスポートパスに向けられ、その攻撃の種類によって管理フレーム、認証リクエスト、およびその他複数のパケットが適正なワイヤレス機器にフラディングを起こす。
クライアント同士が直接つながれた場合、一時的に特別なネットワークを形成する。このようなピア・ツー・ピア接続で、無認可のクライアントが機密データを記憶している正当なクライアントと自動的につながってしまった場合、その機器のハードディスクドライブにアクセスすることができるため、重大なリスクが発生する。さらにその結果、あるクライアントが別のコネクションに便乗して社内の固定回線に接続されたネットワークリソースに入り込む可能性がある。
これは、隣接するアクセスポイントのカバー範囲が適正な組織の範囲外に広がり、その組織の適正なワイヤレスクライアント機器が隣接するアクセスポイントに接続される場合に起こる。不適正な機器が一旦接続されてしまうと、適正なクライアント機器がパーソナルファイアウォールや Cisco Security Agent などのソフトウェアによって保護されていない限り、隣接するネットワーク上のクライアント機器は比較的簡単に適正なクライアントやその組織のリソースにアクセスすることができてしまう。Cisco Security Agent はさらに、無認可のネットワークにあるような、有効ではないサブネットの領域に接続されたクライアントを検出する機能を強化した。
センサーモードにあるシスコのアクセスポイントは、不正なアクセスポイントに接続された無認可のクライアントの振る舞いに対処するために、そのクライアントに認証取消し (deauthentication) パケットを送り、アソシエーションを解除して接続すべき適正なアクセスポイントを見つけるようにすることができる。
オープンなアクセスの脅威に加えて、Windows XP のノート PC には Zero Configuration というデフォルトの設定がある。 これは、比較的古いイーサネットスイッチではスパニングツリーのブリッジループの原因となり、ネットワーク全体を麻痺させてしまうことがある。
スパニングツリープロトコル情報が組織の壁の外に漏れた場合、たとえばフリーウェアのツールがそれを嗅ぎつけてスパニングツリー攻撃を仕掛け、実際にネットワークのバックボーンに対する DoS 攻撃を招くことがあるとウッダムスは警告する。 「ワイヤレス監視システムは、いかなるネットワークプロトコルでも企業の境界外の空間に漏れれば、それを検知してネットワーク・マネージャに是正措置を取るための知識を提供します」
