無線LANって便利だけど、セキュリティが…
久しぶりです~。試験が終わったら急にアクセス数が減ってしまったので、モチベーションが駄々下がりでした。ただ、自分の勉強とも思って再開です。設問2は無線LANのセキュリティについてです。無線LANは便利だけど、通信が漏れまくりということは忘れてはいけません。設問2.[無線LAN接続の検討]について(1)~(3)に答えよ。
(1)本文中の下線①についてステルス機能の動作を25字以内で述べよ。
まずは下線①とその周りをじっくり読みます。
と言っても、「SSIDを隠蔽するステルス機能」とだけ。完全な知識問題ですな。ただ、どの参考書にも書いてます。無線LANって最近はほとんどの人が使ったことあるからわかると思いますが、なんか電波を発しているよね。あれは、ビーコン信号と言ってAP(アクセスポイント)が定期的に信号を出しているのです。これを拾ったパソコンなどの機械がLANに接続できるようになるんですね。信号を拾った後はPSK認証など、認証の手続きに入ります。
この方法をパッシブスキャンっていうらしい。なんか、どこかで聞いたことある。
それに対して、SSIDを隠してしまって、知っている人だけが使う方法があります。パソコンでSSIDを指定して、プローブ信号とやらを送信するとアクセスポイントが見つけてくれる。この方法はアクティブスキャンというらしい。何がアクティブなのか…
答え:定期的に送信するビーコン信号を停止する。
(2)本文中の下線②についてSSIDやMACアドレスは容易に取得される可能性がある。その理由を、電波を用いて通信を行う無線LANの特性に着目して、20字以内で述べよ。
まず、理由を聞かれているから、回答文の最後は「○○だから」となります。
(1)で説明したように、パソコン等の機械がプローブ信号を投げるんだよ。ここがポイント。頭の良い人は、そこら中に発信されるプローブ信号を盗み見ます。当然か。。
あと、もう1点。
よくする手がMACアドレスでフィルタリングをかける方法があるんだけど、これも、フレームを盗んだら、あまり意味がない。(MACアドレスって簡単に詐称できるし。そんなソフトもフリーであるし。)
ここで、問題文に戻るけど、暗号化して意味があるかと言われるとNOです。だって、認証が始まる前にSSIDとMACアドレスがばれてるー!
答え:SSIDやMACアドレスは暗号化できず、傍受されるから
(3)本文中の下線③について、重複してはいけないセグメントを図1中の(A)~(E)から選べ。
多分だけど、この問題ってテストだから構えてしまって答えられないんだよね。
まず、本文中の下線③「このプライベートIPアドレスは他のネットワークと重複しないように設計する」の中の「このプライベートIPアドレス」ってどこよ?っていう話ですが、タブレット端末があるところは、図1中の(A)です。
この(A)とのIPアドレスが重複するとNGであるところを探します。
まず、(A)についてですが、Wi-FiルータがDHCPサーバになって、タブレットにIPアドレスを配布します。(私ですと、192.168.1.1~200とかをDHCPで配布したりします。)
その際、他にもあるWi-Fiルータ配下のタブレット同士が同じIPになると困る!と判断しそうですが、タブレットはWi-FiルータのグローバルIPで外に抜けていくので、ここはあまり、意識する必要はありません。
次に(B)ですが、本文中(下線③より後の方)に「モバイルWi-Fiルータは電源投入時に…グローバルIPアドレスが割り当てられる」とあります。対象外です。
最後に(C)と(D)についてですが、本文中(下線③より更に後の方)に「E社データセンタのVPNサーバにはグローバルIPアドレスを割り当てる」とあります。なので、(C)と(D)もグローバルIPアドレスなので対象外です。
(E)ですが、(A)のタブレットではL2TPで仮想的なNICが作成され、そこに割当てられるアドレスが、通信先(E)と同じセグメントのネットワークアドレスとなります。
仮に、(A)のネットワークアドレスが(E)と同じ出会った場合、当然、Wi-Fiルータを経由して外に抜けようとしないため、通信ができません。
ヒントが下線部より後にあるとわかりづらいよね。
因みに今回のL2TP over IPSECでは、タブレットとVPN間がL2TP通信しているのをIPSECで更にカプセル化して暗号化していますね。
リモート接続する際によくやる方法でよくやる手としては、pppoeでインターネット接続した後にIPSECで暗号化します。
現場でも、流れるフレームの形まで意識できると、障害が発生した時に、より切り分けが早くなると思います。
最後に
2018年度試験終わりましたが、皆さんいかがでしたでしょうか。過去問解説は、来年までぼちぼち続けますので、残念だった方は、また、見てみてください。