"無線"カテゴリのアーカイブ

AESは壊れたに非常に近くなってきている

2009年7月30日

以前の記事で私は議論WPAで何が悪いのか、なぜその常に周りに標準をベースとする悪い考え暗号化の一つの方法、さらにAES Bruce Schneier氏は、に関して今日は彼のブログに投稿AESに対する新たな攻撃を 一言で言えば、紙の彼の参照が劇的にキーを取得するために必要な推測の数を削減する方法を識別します。 攻撃、そのまだ厄介なものを実行するために地下のハックのための今日の実用的ではありませんが。

問題の攻撃はと呼ばれるものである関連鍵攻撃 これにより、攻撃者は複数の関連のキーによって保護されたプレーンテキストの知識のいくつかのレベルを持っている必要があります。 言い換えれば、我々は既に保護されているかのビットとどこそれを探すために知っている必要があります。

これは、我々はIPトラフィックを保護するためにそれを使用しているために、VPNや無線の話をしている深刻な問題です。 IPは、いくつかの非常に一貫性のある値を使用しています。

  • バイト0はIPバージョン(通常は4)とIPヘッダー(通常20バイト)のサイズが含まれています
  • バイト1には、(通常は0に設定さそう使用されていない)サービスのフィールドの型が含まれています
  • (もしOSを知っていればARPパケットなどのトラフィックのための一貫した値)バイト2と3は、全体の長さフィールドが含まれています
  • バイト8は、TTLを(当たりOSベースで一貫性のある値)が含まれています
  • バイト12-15に、送信元IPアドレス(各特定のシステムに対して一貫性のある値)が含まれている

そして、それは単にIPヘッダだ...

で動作するように多くの反復的な値が存在するため、私たちは、ワイヤ上のトラフィックを保護するときに、関連鍵攻撃は、特に悪することができます。

それでは、何をすればよいですか? 私は私が上で参照される以前の記事に与えた同じアドバイスに頼るでしょう。 物事は全体の多くが悪くなるだけのケースでは、単に単一の暗号化アルゴリズムよりも多くのオプションがあることを確認してください。

コメントなし »

で掲示される1 - EMERGVPNワイヤレス

タグ:

パート2 -エンタープライズでWPAの必要性を排除

2009年7月22日

私の前回の記事で私は、エンタープライズ環境でWPAを展開することで、問題を議論した。 我々はワイヤレスネットワークを保護する理由のは、ビットとリストをバックアップしてみましょう:

  • 制御されていないアクセスを許可すると、妥協する可能性があります
  • 認証は、に接続する人物を確認するために必要です。
  • データは暗号化がデータプライバシーのために必要とされるので、盗聴することができます

かなりまっすぐ進む推論が、現在停止して、彼らはインターネットからの接続時に我々は、リモートユーザーを保護する理由を考えてみます。

  • 制御されていないアクセスを許可すると、妥協する可能性があります
  • 認証は、に接続する人物を確認するために必要です。
  • データは暗号化がデータプライバシーのために必要とされるので、盗聴することができます

理由は同じです注意してください。 私は、根本原因分析に大きな影響だ、と私たちの多くは、WPAとフープもジャンプの理由は、我々は丸い穴に四角いくいに合うようにしようとしているということです。 言い換えれば、無線信号が別々の管理されていないエンティティーであることを認識するのではなく、我々は、それが私たちのオフィスの壁の背後で保護さ有線セグメントと同じレベルで信頼できるように、簡単な修正で平手打ちすることが非常に困難してみてください。 本当に、我々は無線を確保するために与えられた最初のプロトコルが呼び出されたことを驚き与えられていないはWired Equivalent Privacy (WEP)プロトコル。 名前は、直接その無線、有線のスイッチポートと同様に安全にすることができる意味は言うまでもない。 歴史が示すように、それ以外の場合はしかし、表示し続けています。

図#1でのネットワーク図面を考慮してください。 私たちはより良い無線と根本原因の問題に対処するためにネットワークを再構成していることに注意してください。 無線はもはや有線のスイッチポートとして信頼できるとみなされていません。 そのは、最も近い一致するセキュリティゾーン、インターネットと同様の方法で扱われます。 我々は、単に別のファイアウォールのポートの我々のアクセスポイントをオフにハングアップすると同様のセキュリティポスチャを適用します。

wireless-vpn

そう誰かがアクセスポイントに接続したときに、何が起こりますか? なしで接続がセキュリティを有効にしてクリアテキストで行われます。 単に適切に接続するSSIDと行く。 ローカルのDHCPサーバは、システムにIPアドレスを渡します。 この時点で我々のセットアップは、他の非セキュアなネットワークのような役割を果たします。

無線システムは、しかしへのアクセスを取得するかを見てください。 ファイアウォールを介して、アクセスの唯一許可されている点は、VPNゲートウェイです。 これにより、ユーザーはインターネットから接続するときと同じです。 そうではなく、データのプライバシー(AES)のための単一の選択肢を持つ単一のセキュリティの実装(WPA)を信頼しなくても、あなたが適切であると感じるものをこれまで展開することができます。 の堅牢性と柔軟性SSHSSLIPSecは 、すべてのデータストリームを保護するための可能性となる。 各ソリューションは、データのプライバシーのためにAESをサポートしていますが、彼 ​​らはのような他の、いくつかの良い感じ、多くのオプションを開いフグTwofishはを

しかし、待って、攻撃者は私のアクセスポイントに接続しに接続しているノートPCの後に行くことができなかった? 絶対に。 再び、このゾーンは、同じルールが適用されますので、インターネットと同じセキュリティレベルを持っています。 しかし、典型的なワイヤレスユーザを考える。 彼らはまた、インターネットからの接続道路の戦士、になる傾向があります。 これは彼らのシステムはすでに、必要なVPNソフトウェアおよびパーソナルファイアウォールシステムを使用している必要があることを意味します。 ノートパソコンがインターネットからの接続に設定されているのであれば、そのようにもこのワイヤレス構成で行って準備ができて。

この構成について、私が本当に好きなことの一つは、それだけではなく、バックエンドの管理を(これ以上のWPAの管理)が削減されることですが、同様にデスクのサポート時間を助ける。 ユーザーはちょうど彼らのラップトップが仕事をしたいと彼らは一貫したプロセスに従うことができるときに、より効果的です。 我々は彼らが言うときは"の手順を実行し、次にB、次にインターネットからに接続するが、手順はD、そしてEそしてFあなたがオフィスにいる場合、C"、ある必然性は混乱になる。 上記の設定で、彼らは常に物理的な場所を問わず、同じ接続のプロセスに従ってください。

ないセキュリティソリューションはこれまで完璧でないので、いくつかマイナス面、右がなければならない? まず、ファイアウォール上でわずかに高い負荷を入れている。 無線システムとサーバ間の内部通信は、通常、ファイアウォールを伴うだろうが、今ではありません。 この問題は簡単しかし、番目のファイアウォールで解決することができます。

第二の問題は、セキュリティ関連ですが、我々は上記の構成を展開する方法に依存しています。 理想的な世界ではすべてのアクセスポイントは、単一の孤立したスイッチに接続されます。 大規模環境での現実は、しかしの使用必要とする可能性がVLANをアクセスポイントが地理的に互いに分散しているので。 VLANの使用は、VLANホッピングの可能性を開きます。 この著者は考えていませんが、攻撃者がで台無しことができるDTPトランク、誰かが賢い私はそれを把握可能性よりも、最終的には直接接続されたシステムから、その確かに可能へのアクセスを得るために、アクセスポイント経由で。 要するに、このセキュリティゾーンがインターネットと同じ信頼レベルを持っているし、それに応じて扱うことに注意してください。 DTPやベンダーがデフォルトでオンになっている他の自動VLANネゴシエーション機能をオフにシャットダウンします。

最後に、不正なアクセスポイントはまだ問題です。 このソリューションは、自宅からアクセスポイントにもたらし、あなたはまだ保持する必要があるインチそれを差し込むからエンドユーザーを停止するには何もしません監視の目をこの活動のために。 このソリューションはあなたのために約唯一の事は不正であり、対処する必要がある、 任意のアクセスポイントが有線ネットワークに接続されて知っている今です。

これは便利ですね!

C

2コメント »

で掲示される3 - errにVPNワイヤレス

タグ:

パート1 -エンタープライズでWPAの必要性を排除

2009年7月21日

エンタープライズ環境で無線を活用律儀だけでなく無線暗号化(WEPまたはWPA)を展開する私たちの多く。 それはシステムの整合性を維持するために時間とリソースの継続的なコミットメントを必要とするので、これは、簡単ではありません。 しかし、この支出が本当に必要である、またはそこに私たちのほとんどは、単に見落としている利用可能な、より効果的なソリューションです?

適切に無線を確保する必要性

私たちのほとんどは、ワイヤレス接続が適切に保護する必要がある理由を認識する。 大きく開いてアクセスポイントを実行すると、ちょうどあなたのネットワークが持つように懇願さに分割 無線は盗聴するのは簡単ですし、あるツールのトンあなたがそれを解読するために利用できるが。 良い無線のハックは、近さが少し保護を与えることを知っている。 私は個人的に5マイル以上の802.11ワーキングを取得することができました。 右のアンテナ 、他の人は遠く35マイルとして、これをプッシュしている。

WEPとWPAの何が問題になっています?

WEPは完全に壊れている理由を私たちのほとんどは理解しています。 されていない場合、 Googleはあなたの友達です WEPはその価値がある研究をする時間悪いですなぜあなたは理解していない場合。 そのすべてが間違って行う方法の良い例。

ようにワイヤレスセキュリティのための受け入れられたプロトコルは、今日はWPAです。 この記事の執筆時点では、WPAには躊躇いが完全に壊れていない。 研究では、実行する方法を考え出したの小さなパケットにキーリカバリを ベンダーは、のプロセスをスピードアップする方法を考え出したブルート強制的に鍵を 推奨WPAキーサイズは本日、48文字以上です。 これは、遠端のユーザに対して値がおそらく複数の場所で、クリアテキストで、下に書かれているので、必然的に覚えるには余りにも大きいです。

ここでも同様にリソースの問題があります。 無線セキュリティは、管理する必要があるインフラストラクチャ全体のシステムです。 キーと認証情報は保持される必要があります。 我々は簡単な方法を取ると展開した場合でも、EAP - TTLSを我々はまだ同期して保持するコンポーネントの健全な数字を持っている。 それは時々問題がさらに無線信号、資格情報またはDHCPかどうかを判断するのが難しいとして物事がうまくいかないときは、トラブルシューティングにも苦痛になることができます。

あなたのデータのプライバシーオプションを制限する

WPAを使用する場合、唯一のデータのプライバシーオプションがAESです。 AESは、NISTの標準となって広く展開される。 それは主要な脆弱性なしで8年間生存している一方で、 タイミングの攻撃はと一緒に発見されているAESの鎧に少しへこみ その決して一つのかごにすべ​​ての卵を配置することをお勧め。 これは、我々は、ミッションクリティカルなデータのバックアップや冗長経路を介してそれを送信する理由です。 最悪が発生すると、AESが破られることが判明した場合、新しいプロトコルが選択し、ベンダーにより援用されるまで、あなたは完全にまずいことになってされています。 解決策は、ほとんど確かにそれは同じように我々はWPAでAESにWEPでRC4で移動するときに、アクセスポイントのすべてを置き換えることが含まれます。

Execの概要

だから我々は絶対にワイヤレス接続を保護する必要がありますが、利用可能な現在のオプションのいずれか(WPA)(WEP)役に立たないか、非常に面倒なよりもわずかに優れています。 明らかに我々は政権を減らすだけでなく、データのプライバシー保護のための選択肢の数を増加させる追加の可能性を必要とする。 私の次の記事で私は、今日のエンタープライズ環境での展開のためのすぐに実行可能である1つの可能性を提案します。

コメントなし »

で掲示される3 - errにVPNワイヤレス

タグ: