防御方法まとめ


今回の検証結果を元に防御方法をまとめました。




結論(個人的見解)

無線LANのセキュリティ設定は2008年現在、ランダムで最大の長さの文字列(文字列であれば63文字、16進数であれば64文字)をキーに設定したWPA-PSKを設定するだけで十分です。
04無線LANの危険性で述べた危険は全て回避することは出来ます。ただ欠点として設定が面倒です。ランダムで最大の長さの文字列を無線LAN端末ごとに設定する必要があります。つまりいちいち手入力で行うことになります。 パスワード生成ツールを使用することでアクセスポイント、PCには設定できますがそれ以外の無線LAN端末は手入力で行うことになります。1文字でも違えば接続することが出来ないので、この面倒臭さが最大のネックでしょうか。ただ 最近ではAOSSという簡単にセキュリティ設定が出来る機器(主にBAFFALO製品)も登場しており、これを使用すれば無線LAN端末を追加したい場合でもセキュリティ設定も簡単に出来ます。これが普及すれば改善されます。


TKIPとAESどちらを使用すべきか(個人的見解)

結論から言うとどちらも使用できるのなら暗号強度の高いAESです。古い製品(といっても3,4年前の製品)と混在している環境であればTKIPを使用することになります。
以下TKIPとAESの特徴

TKIP
WEPの拡張なのでファームウェアアップデートで古い機器でも使用できるようになる(メーカーによって対応状況は異なる)ため汎用性があります。
処理はソフトウェアで行うためアクセスポイントに負荷がかかる。しかし通常使用する分にはさほど関係ない。


AES
ファームウェアのアップデートでは対応できない製品が多い。そのため使用するには対応している製品に買い換える必要がある。
処理はハードウェアで行うのでTKIPよりアクセスポイントの負荷が軽い。
TKIPより暗号強度は高い。


AESの方が暗号強度は高い。しかしAircrack-ngで行うWPA-PSKキーの解読は暗号化キーではなく認証キーを解読するため、どちらの暗号化を使用していても認証キーが解読されれば暗号化は復号できてしまう。 また2008年現在どちらの暗号化もランダムで最大の長さの文字列をキーにすれば解読は現実的には不可能に近いため、通常の使用方法であればどちらでも良いという見方も出来ます。
まだ古い製品を使用しているのであればファームウェアをアップデートしてTKIPに対応させましょう(対応できない製品もある)。
ニンテンドーDSは今のところWEPのみにしか対応 していません。ファームウェアのアップデートでTKIPに対応させるのは仕様上不可能なようです。どうしても使用するのであればPCに接続するDS用クライアントを使用した方が いいと思います。もしかしたら152bitWEPは破られない可能性があるので152bitWEPに対応したアクセスポイント(必要ならPC用無線LANアダプタも)を買うのも有りかもしれません。


TOPへ