CCNA試験対策 ch28 Securing Wireless Networks
- Anatomy of a Secure Connection
- Wireless Client Authentication Method
- Wireless Privacy and Integrity Methods
- WPA, WPA2, and WPA3
- 英語
Anatomy of a Secure Connection
- 何も考えないとパスワードが筒抜けになったりする
Authentication
- clientの認証
- APの認証
Message Privacy
- 認証情報の暗号化
Message Integrity
- MIC: Message Integrity Check
- 完全性の担保
Wireless Client Authentication Method
- 元々の802.11標準による認証方法は2択
- Open Authentication
- WEP
Open Authentication
- チャレンジレスポンスといった、認証情報の難読化や暗号化のたぐい無し
WEP
- WEP: Wired Equivalent Privacy
- 共有鍵暗号
- deprecated
- 古く脆弱性がある
- WEP鍵 + チャレンジレスポンスで認証を行う
802.1x/EAP
- 前述のものよりもセキュアなものが必要になった
- EAP: Extensible Authentication Protocol
- 特定の1つの認証方法からなるものではない
- 【所感】EAPというinterfaceを実装する複数の認証方法が存在するかんじ
- 特定の1つの認証方法からなるものではない
- Supplicant
- アクセスをリクエストしているclient
- Authenticator
- アクセスを提供してくれるデバイス
- 通常、wireless LAN controller
- 認証認可はASに委譲する
- アクセスを提供してくれるデバイス
- AS: Authentication Server
- 実際に認可判定を行うサーバー
- RADIUS Serverなど
LEAP
EAP-FAST
- EAP-FAST: EAP Flexible Authentication by Secure Tunneling
- Cisco独自
- PAC: Protected Access Credential
- ASとの相互認証に用いるshared secret
- 流れ
- 認証が2段階なのが特徴
- shared secretによるsupplicant/AS認証
- TLS tunnelを通じた鍵交換
PEAP
- PEAP: Protected EAP
- EAP-FAST同様、2段認証
- 1段目の認証を証明書で行う
- 2段目がTLS tunnelingなのは同じ
- 証明書でASの認証は果たされる
- ので、残るsupplicantの認証をTLS tunnelを通じて行えば良い
- MSCHAPv2
- GTC: Generic Token Card
EAP-TLS
- supplicantの認証も証明書で行う
- 鍵交換のためのTLS tunnelは行う
- もっとも堅牢な方法
- だが、何百何千とあるclientの証明書を手作業で管理するのは非現実的である
- PKI: Public Key Infrastructure
- 証明書のsupply/revokeを効率的に行うための基盤
- 自前で認証局を立てて信頼の連鎖を構築する必要あり
Wireless Privacy and Integrity Methods
TKIP
- TKIP: Temporal Key Integrity Protocol
- WEP時代の完全性担保
- deprecated
CCMP
- CCMP: Counter/CBC-MAC Protocol
GCMP
- GCMP: Galois/Counter Mode Protocol
- 暗号化: AES Counter Mode
- 完全性: GMAC: Galois Message Authentication Code
- CCMPよりもセキュアで効率的
WPA, WPA2, and WPA3
WPA | WPA2 | WPA3 | |
---|---|---|---|
Encryption | TKIP | AES | AES |
MIC | TKIP | CCMP | GCMP |
- 認証モードは2種類
- PSK: pre-shared key
- personal modeとも
- 802.1x
- enterprise modeとも
- PSK: pre-shared key
英語
- eavesdrop
- 盗聴
- tampering
- 改竄
- ratify
- 批准する