2月になった。
自宅で何気なく使っている無線LANだが
暗号化についての知識を改めることになった。
今までWEP+MACアドレスフィルタリングでやってきたのだが、
WEPが数十秒で解読されることは周知の事実。
MACアドレスフィルタリングがあれば平気だろと思っていたが、
機器によっては書き換えができることを忘れていた。。
更に、MACアドレスはフレームヘッダに平文で記述されているため
無線LANの電波を傍受すればどのMACアドレスで通信しているかすぐわかるのだそうだ。
【WEP+MACアドレスフィルタリングの終焉】
1) 垂れ流されてる電波からMACアドレスを知る
2) 無線LAN子機のMACアドレスをそれに書き換える
3) WEPネットワークであれば解読開始する
4) 数分後、解読が完了し接続できるようになる
(もちろん、これらの事を行うと不正アクセス禁止法に触れる)
無線LANに詳しい友人によると、
そもそもMACアドレスフィルタリングはセキュリティとは関係がないらしい。
接続する機器を分けるために使うものだそうだ。
また、パスワードを設定し忘れているアクセスポイントがあった場合
接続、タダ乗りしても、アクセス制御を解除していないため、
不正アクセス行為にはならず、当然刑事責任も生じない。
つまり、無線LANのアクセスポイントを設置するのであれば、
設置者がしっかり暗号化する事が重要となる。
このままじゃまずい。
MACアドレスフィルタリングとSSIDステルス機能は当然使うとして
暗号化を考え直す必要がある。
無線にはいくつか暗号化方式がある。
・WEP
・WPA (TKIP)
・WPA2 (TKIP/AES)
WEPは上述した通り危険なので、実際はWPA/WPA2を選択する事になりそうだ。
ちなみに、WPA/WPA2にはパーソナルモード(PSK)とエンタープライズモードがある。
エンタープライズモードはその名の通り企業向けで、ID/PASSを入力し認証サーバを使う。
個人宅であればパーソナルモード(PSK)を使い、ネットワークのパスワードを1つ入力する方式をとる。
AESの強固な暗号化方式を用いるには、WPA2で接続する必要がある。
だが、うちにある無線機器はWPA2には対応していないのだった。
そこで、WEPよりマシなWPAを設定する事にした。
注意点として、古い機器や携帯機器はWPAに対応していない事がある。
例えばNintendo DSはWEPのみ対応となっている。
つまり、WPAの無線アクセスポイントには接続できない。
そのためか、今はダブルAPという機能を有するアクセスポイントが売っている。
2つのアクセスポイントを同時に作る事が出来、
片方をWEPのアクセスポイントにし、もう片方をWPAにできる。
ただ、メインAPと同じネットワークにならないのがメリットであるため
インターネットのただ乗りをされるリスクはWEPである限り変わらない。
DSiではWPAに対応するが、DS用ソフトを使う場合はWEPの対応となる。
DSi専用ソフトを使う時のみWPAに対応するので、まだまだ期待は出来ない。
(DSもPSPのようにファームウェアアップデートできればこんな無駄は無いのに)