家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

「Guidelines for Securing Wireless Local Area Networks(WLANs)」の概要 NIST SP800-153

Guidelines for Securing Wireless Local Area Networks(WLANs)

NIST Special Publication 800-153

発行年月日:2012年2月

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-153.pdf

 

 

 

概要

このガイドラインは、NISTが企業の無線LAN環境をセキュアに利用するための推奨事項をまとめたものです。

章構成は以下の通りです。

Executive Summary
1. Introduction
1.1 Authority
1.2 Purpose and Scope
1.3 Audience
1.4 Document Structure
2. WLAN Security Configuration
2.1 Configuration Design
2.1.1 Needs Gathering
2.1.2 WLAN Architecture
2.2 Configuration Implementation, Evaluation, and Maintenance
3. WLAN Security Monitoring
3.1 WLAN Security Monitoring Basics
3.1.1 Attack Monitoring
3.1.2 Vulnerability Monitoring
3.2 Monitoring Tools
3.3 Continuous Monitoring Recommendations
3.4 Periodic Assessment Recommendations

2章では無線LANの設計にかかわる内容が、3章には無線LANのモニタリングにかかわる内容が示されています。

f:id:iestudy:20200529135842p:plain

無線LANの基本構成

※無線LANの基本構成のうち、DS(Distribution System)は無線LANコントローラに相当するもの

 

2章のうち、2.1.1では無線LANの設計にあたって、無線LANを利用する組織が外部から要求される事項(法律等)の収集を示しています。
また、2.1.2以降では無線LANの原則をまとめています。

 

無線LANの原則 

一つ目の原則は、プロファイルの異なるWLAN(ゲストや社内LAN)を分けることです。

An important principle of WLAN security is to separate WLANs with different security profiles.

 


二つ目の原則は、デュアル接続クライアントデバイスへの対策です。
このガイドラインでは、「デュアル接続」を有線ネットワークと無線LANの両方に同時に接続されているデバイスとしており、デュアル接続端末を介して、無線側から有線側に攻撃できるリスクを示しています。上記については以下のような対策が示されています。

  • 使用が許可されていないすべてのネットワークインターフェイスを無効にする
  • ブリッジング(ネットワーク間のトラフィックの受け渡し)を無効にする

 

3章では、無線LANのモニタリングについて解説しています。

このガイドラインでは主に無線LAN特有の監視ポイントを解説しており、接続先のシステム(通常の有線LAN部分)については、NIST SP800-53及び94を参照としています。

 

無線LANの脅威として、以下のように整理がされています。

 

無線LANの脅威

パッシブな攻撃:攻撃者が無線LANを監視するタイプ

  • 盗聴
  • トラフィック分析

アクティブな攻撃:攻撃者が無線LANを攻撃するタイプ

  • マスカレード(なりすまし)
  • リプレイ(パッシブ攻撃により通信を監視し、メッセージを再送信)
  • メッセージの改ざん
  • サービス拒否(DoS)
  • 横領(無線LANの不正利用)

 

上記の脅威に対して、継続的なモニタリング定期的なモニタリングを解説しています。

継続的なモニタリング

  • 不正なAPおよび不正なクライアントデバイスの監視
  • 脆弱なプロトコルの利用
  • 異常な無線LAN利用
  • 無線LAN攻撃ツールの使用の有無
  • DoS攻撃
  • IPS等によるなりすましおよび中間者攻撃

 

定期的なモニタリング

以下の評価項目は少なくとも年1回の実施が示されています。

  • 無線LANで送信されるデータのセキュリティレベル
  • 無線LANクライアントが環境に接続/切断する頻度
  • 無線LANクライアントの一般的なトラフィック状況
  • 無線の電波強度