Wi-Fiデータ集録セキュリティ入門

IEEE 802.11（Wi-Fi）ネットワークセキュリティ技術は、この10年の間にIT業界において飛躍的に進化し、現在ではワイヤレスデータ集録アプリケーションでも実用可能なソリューションとなっています。Wi-Fiでは“空気”が物理媒体となるため、有線システムにはない特有のセキュリティ上の難題を抱えています。本ドキュメントでは、NI Wi-Fiデータ集録（DAQ）でのデータ保護に使用できる業界標準のセキュリティテクニックの概要について説明します。

Wi-Fiセキュリティの歴史

最初のIEEE 802.11規格では、ワイヤレスネットワークの不正アクセスを防ぐ手段として、WEP（Wired Equivalent Privacy）が導入されていました。各クライアントコンピュータには、ネットワーク上のアクセスポイント用のパスワードがあります。このパスワードは、ネットワークにアクセスするためと、アクセスポイントとクライアント間で全てのメッセージを暗号化するためという2つの目的があります。

 

 

ほとんどの家庭用およびスモールオフィス用ネットワークでは、セットアップが簡単なためWEPを使用しています。ただし、WEPは正しい使い方をしないと、攻撃に対して脆弱です。WEPはRC4暗号化技術によってデータを暗号化し、40ビットのキーによりメッセージの符号化と複合化を行います。攻撃者はそのプロトコルの弱点を見つけ出し、正しく保護されていないWEPネットワークを破壊する方法を編み出しています。

• 辞書攻撃 – 多くのユーザはワイヤレスアクセスポイントやネットワークインタフェースカードの設定をデフォルトのままにしています。また他のユーザは、辞書に載っているような“脆弱な”WEPキーを使用しています。攻撃者は、セキュリティ設定を“推測”することで、そのようなネットワークに攻撃を仕掛けてきます。しらみつぶし方式に行われる場合もありますが、より高度なアルゴリズムも存在します。辞書攻撃は、複雑なパスワードを選ぶことで簡単に防ぐことができます。
• 介入者攻撃 – 多くのWi-Fiネットワークのアクセスポイントは、クライアントが簡単に検出し接続できるよう、SSIDを発信しています。離れたところにあるアクセスポイントが同じSSIDを発信していると、クライアントは誤ってセキュリティ情報を送信してしまい、攻撃者による実際のネットワークへのアクセスが可能になることがあります。最も良い対処法は、ルータのSSID発信をオフにすることです。
• リプレーアタック – リプレーアタックでは、攻撃者がワイヤレス通信パケットを傍受し、送信されたデータを記録することです。次に攻撃者はそのデータを使って、誤ったデータでメッセージをリプレーし、“騙された”アクセスポイントはさらにARP（アドレス解決プロトコル）パケットを送信してしまいます。十分なパケット数（50,000～100,000）があれば、WEPキーを解読することができます。

NI Wi-Fi DAQはWEPセキュリティに対応しています。ただし、多くのワイヤレスデータ集録アプリケーションでは、より強力なセキュリティプロトコルが求められます。

NI Wi-Fiデータ集録ネットワークセキュリティのコンポーネント

NI Wi-Fi DAQでは、WEP、WPA（Wi-Fi Protected Access）、IEEE 802.11i（通称WPA2）など、複数のワイヤレスセキュリティプロトコルをサポートしています。WPAは、リプレーアタックを防止できるため、安全性はWEPより優れています。WPA2は、データ保護（暗号化）とアクセス制御（認証）のどちらも強力な方法を採用しており、最も優れたワイヤレスネットワークセキュリティを提供します。

暗号化

ワイヤレスデータ通信を効果的に保護するには、強力な暗号化アルゴリズムや何らかのキー管理機能を備えたWi-Fiネットワークを使用する必要があります。Wi-Fiネットワークでは、TKIPとAESの2種類の暗号化規格が広く採用されています。

IEEE 802.11iタスクグループは、既存のWEPネットワークの応急策として、WPAとともにTKIP（Temporal Key Integrity Protocol）を開発しました。アクセスポイントとクライアントは、簡単なファームウェアやソフトウェアの変更でWEPをWPA/TKIPにアップグレードできます。WEPと比較してTKIPは、暗号化アルゴリズムは同じ（RC4）であるものの、WEPの40ビットキーに対しTKIPは128ビットキーを使用しているというメリットがあります。さらに重要な違いは、TKIPでは各メッセージパケットに異なるキーを使用する点です。名前に“Temporal”（一時）という語が入っているのはそのためです。このキーは、既知のPTK（pairwise transient key）をクライアントのMACアドレスと各パケットのシリアル番号と混ぜ合わせて、動的に作成されます。PTKは、クライアントがアクセスポイントに接続したときに、事前共有鍵（全ネットワークメンバーに知られているパスフレーズ）と乱数発生器を使って作成されます。シリアル番号は、新しいパケットが送信されるたびに増分されます。この方式では、いずれのパケットにも同じキーは使用されないため、リプレーアタックは不可能です。攻撃者が古いパケットをリプレーしようとすると、アクセスポイントはそれを見抜くことができます。

さらにIEEE 802.11iタスクグループは、Wi-Fiネットワークに最適な暗号化アルゴリズムとして、AES（Advanced Encryption Standard）を採用しました。TKIPと異なり、AESはプロセッサに負荷がかかるため、WEPからAESに変更する際にはハードウェアのアップグレードが必要です。AESは、TKIPやWEPで使用されているRC4アルゴリズムより解読しにくい128ビット暗号を使用しています。実際に米国標準技術局（NIST）は、全ての米国政府機関における暗号化標準としてAESを採用しました（詳細はFIPS publication 197を参照）。政府系機関でワイヤレスデータ集録を行う際は、AESを使用してデータを送信することになります。

 

認証

ネットワーク認証とは、原則的にクライアントアクセス制御です。クライアントがワイヤレスアクセスポイントに接続するためには、ネットワークによる認証が必要です。認証には、サーバによる認証とPSKによる認証の2つの基本方式があります。

多くの企業ネットワークには認証サーバが少なくとも1つはあり、通常RADIUS（Remote Authentication Dial-In User Service）が搭載されています。WPA2ネットワークセキュリティでは、ポートベースのIEEE 802.1X認証規格を採用しており、以下のコンポーネントが含まれています。

• サプリカント – ネットワークにアクセスするクライアントワイヤレスデバイス
• オーセンティケータ – サプリカントが何にアクセスできるかを管理するワイヤレスアクセスポイント
• 認証サーバ – オーセンティケータに認証サービス（通常RADIUS）を提供

 

 

サプリカントがネットワークへのアクセスを要求すると、オーセンティケータは非管理ポートへのアクセスを提供して認証を行います。オーセンティケータはそのアクセス要求を認証サーバに転送し、認証サーバはサプリカントによるアクセスを承認または拒否します。オーセンティケータは認証サーバからの応答をサプリカントに転送し、管理ポートへのアクセスを許可するか、あるいはアクセスを拒否されたサプリカントを引き続きブロックします。

認証プロセスがうまく行くと、ワイヤレストラフィックの暗号化に使用されるPMK（pairwise master key）が発行されます。このやり取りの詳細は、ネットワークがどのEAP（拡張可能認証プロトコル）方式をサポートしているかにより異なります。一般的なEAP方式について以下に説明します（全てNI Wi-Fiデータ集録デバイスに対応）。

• LEAP (Lightweight EAP) – Cisco Systems社が開発したEAP方式。Microsoft Windowsオペレーティングシステムではサポートされていません。
• EAP-TLS (EAP-Transport Layer Security) – 多くのワイヤレスベンダがサポートするオープン規格。EAP-TLSはサーバサイドとクライアントサイド両方での認証が必要なため、インストールはより複雑です。
• EAP-TTLS (EAP-Tunneled Transport Layer Security) – EAP-TLS方式からクライアントサイドの認証を省略したプロトコルで、ネットワークの拡張性が向上します。
• PEAP (Protected EAP) – Cisco Systems、Microsoft、RSA securityの3社が開発したオープン規格。サーバサイドの認証しか必要ないため、広く採用されているEAP方式です。この方式の中で最もよく使用されている型は、PEAPv0/EAP-MsCHAPv2です。

上述のEAP方式は全て相互認証をサポートしているため、クライアントとサーバは互いに認証する必要があり、介入者攻撃を防ぐことができます。離れた場所にあるワイヤレスアクセスポイントは、サーバサイドセキュリティ認証を偽ることができません。

全てのネットワークに認証サーバがあるわけではないため、上述の認証方式は不可能です。スモールオフィス、ホームオフィス（SOHO）ネットワークは、クライアント（ワイヤレスDAQデバイス）とアクセスポイントの間で事前共有鍵（PSK）を使用することができます。ネットワークの認証を開始するのは、ユーザが提供するパスフレーズです。

NI Wi-Fiデータ集録に安全なネットワークを実装

NI Wi-Fiデータ集録（DAQ）デバイスは、AES暗号化技術やEAP認証方式など、IEEE 802.11iセキュリティ規格に完全対応しています。市場に出ているワイヤレスネットワークセキュリティ技術としては最高性能を誇るもので、大切なデータを不正なアクセスから守ることができます。実際に、米国の政府機関で使用するアプリケーションでは、AES暗号化が義務付けられる可能性があります。通常のアプリケーションでは、既存のアクセスポイントハードウェアでWPAを使用することもできます。

 

Wi-Fi DAQクイックガイドへ

 

企業ネットワークに接続する場合は、サーバが対応しているセキュリティプロトコルとEAP方式をネットワーク管理者に確認する必要があります。NI Wi-Fi DAQデバイスはほとんどの一般的なEAP方式（LEAP、PEAP、EAP-TLS、EAP-TTLS）をサポートしていますので、アプリケーションとネットワークインフラに最も適した方式を自由に選ぶことができます。

Wi-Fi DAQデバイスのセキュリティ設定は簡単です。Measurement & Automation Explorer（MAX）で、「NI-DAQmxデバイス」からご使用のWi-Fi DAQデバイスを選び、画面下の「ネットワーク」タブを選択します。「ワイヤレス」タブを選択し、各ドロップダウンメニューでネットワークセキュリティオプションを構成します。

クライアントサイドの認証が必要なEAP方式の場合は、DAQデバイスをセットアップする前に認証を取得するようにしてください。認証サーバを使用せずに独自のネットワークをセットアップする場合は、極力複雑なPSKパスフレーズを使用するようにします（WPAとWPA2の両方）。

   
[+] 画像を拡大

MAXを使用して、Wi-Fi DAQの暗号化と認証を設定

MAXでは、ワイヤレス/Ethernet DAQデバイスにユーザ名、パスワード、クライアントサイド認証などの構成/設定データを送る際は、全て書き込み専用の暗号化プロセスを採用し、ネットワークの安全性を確保しています。

詳細については、NI WLS-9163ユーザマニュアルを参照してください。

Wi-Fi DAQネットワークセキュリティ チェックポイント

√  ネットワーク上に認証サーバ（RADIUSサーバなど）がない場合は、802.1X (EAP)を使用する。

√  認証サーバを使用していない場合は、複雑なパスワードを使用する。辞書に載っているような一般的な単語やフレーズを避け、大文字、小文字、数字などを組み合わせる。

√  ワイヤレスアクセスポイントまたはルータを設定する際は、よく使われるSSIDやデフォルトのままのSSIDは避ける。

√  使用しているアクセスポイントハードウェアがサポートしているなら、暗号化はTKIPではなくAESを使用する。

√  他に方法がある場合、極力WEPは使わない。アクセスポイントをWPAにアップグレードするか、Windows XP WPA2パッチをダウンロードする。

√  さらに安全性を高めるため、Wi-Fi DAQデバイスの設定をロックする。

 

その他関連リソース

Webイベント： NI LabVIEWおよびWi-Fi I/Oを使用したシンプルなリモート監視

Wi-Fi DAQクイックガイド（所要時間：7分）

Wi-Fi DAQの価格と仕様