勉強日記

チラ裏

CCNA試験対策 ch28 Securing Wireless Networks


Anatomy of a Secure Connection

  • 何も考えないとパスワードが筒抜けになったりする

Authentication

  • clientの認証
  • APの認証

Message Privacy

  • 認証情報の暗号化

Message Integrity

  • MIC: Message Integrity Check
    • 完全性の担保

Wireless Client Authentication Method

  • 元々の802.11標準による認証方法は2択
    • Open Authentication
    • WEP

Open Authentication

  • チャレンジレスポンスといった、認証情報の難読化や暗号化のたぐい無し

WEP

  • WEP: Wired Equivalent Privacy
    • 共有鍵暗号
    • deprecated
  • WEP鍵 + チャレンジレスポンスで認証を行う

802.1x/EAP

  • 前述のものよりもセキュアなものが必要になった
  • EAP: Extensible Authentication Protocol
    • 特定の1つの認証方法からなるものではない
      • 【所感】EAPというinterfaceを実装する複数の認証方法が存在するかんじ
  • Supplicant
    • アクセスをリクエストしているclient
  • Authenticator
    • アクセスを提供してくれるデバイス
      • 通常、wireless LAN controller
    • 認証認可はASに委譲する
  • AS: Authentication Server
    • 実際に認可判定を行うサーバー
    • RADIUS Serverなど

LEAP

  • LEAP: Lightweight EAP
  • Cisco独自
  • 脆弱性につきdeprecated
  • username-password認証
  • チャレンジレスポンスでsupplicant/AS相互に認証する

EAP-FAST

  • EAP-FAST: EAP Flexible Authentication by Secure Tunneling
  • Cisco独自
  • PAC: Protected Access Credential
    • ASとの相互認証に用いるshared secret
  • 流れ
    1. PACをAS側で生成、clientにインストールしておく
    2. supplicantとASが相互に認証したら、TLSトンネルをつくる
    3. TLSトンネルを通じて鍵交換
      • 以降のデータの暗号化のため
  • 認証が2段階なのが特徴
    1. shared secretによるsupplicant/AS認証
    2. TLS tunnelを通じた鍵交換

PEAP

  • PEAP: Protected EAP
  • EAP-FAST同様、2段認証
    • 1段目の認証を証明書で行う
    • 2段目がTLS tunnelingなのは同じ
  • 証明書でASの認証は果たされる
  • ので、残るsupplicantの認証をTLS tunnelを通じて行えば良い

EAP-TLS

  • supplicantの認証も証明書で行う
    • 鍵交換のためのTLS tunnelは行う
  • もっとも堅牢な方法
  • だが、何百何千とあるclientの証明書を手作業で管理するのは非現実的である
  • PKI: Public Key Infrastructure
    • 証明書のsupply/revokeを効率的に行うための基盤
  • 自前で認証局を立てて信頼の連鎖を構築する必要あり

Wireless Privacy and Integrity Methods

TKIP

  • TKIP: Temporal Key Integrity Protocol
  • WEP時代の完全性担保
    • deprecated

CCMP

  • CCMP: Counter/CBC-MAC Protocol
    • 暗号化: AES Counter Mode
    • 完全性: CBC-MAC: Cipher Block Chaining Message Authentication Code

GCMP

  • GCMP: Galois/Counter Mode Protocol
    • 暗号化: AES Counter Mode
    • 完全性: GMAC: Galois Message Authentication Code
  • CCMPよりもセキュアで効率的

WPA, WPA2, and WPA3

WPA WPA2 WPA3
Encryption TKIP AES AES
MIC TKIP CCMP GCMP
  • 認証モードは2種類
    • PSK: pre-shared key
      • personal modeとも
    • 802.1x
      • enterprise modeとも

英語

  • eavesdrop
    • 盗聴
  • tampering
    • 改竄
  • ratify
    • 批准する