2018年3月8日
2018年3月8日
2018年3月8日(木)
セキュアなフリーWi-Fiネットワークづくり
株式会社ドワンゴ
第二サービス開発本部 DCS部 ネットワークセクション 東松 裕道
内閣サイバーセキュリティセンター
重要インフラグループ 参事官補佐 杉尾 憲
こんにちは、CODEBLUEの杉尾と東松です。
セキュリティ月間ということで、国際セキュリティカンファレンス「CODEBLUE」の会場ネットワーク構築のお話と、公衆Wi-Fiの危険性、そして対策について書きたいと思います。
CODEBLUEについては、こちらを参照してください。(https://codeblue.jp/)
快適なネット環境を求めたり、「ギガが減る」をできるだけ抑えるために公衆Wi-Fiスポットに接続する機会が増えてきました。とくにフリーWi-Fiの文字をみると、思わず接続する方も多いのではないでしょうか。
フリーWi-Fiは大手キャリア事業者が構築したものから、個人やお店の方が自宅用のネットワーク機器を使用してフリーWi-Fiを提供するなど様々なものがあり、中にはセキュリティ対策についても最低限を維持していないフリーWi-Fiも見受けられます。
そのようなフリーWi-Fiに接続した場合、接続した端末に不正アクセスを受けたり、通信の盗聴や改ざんを行われる場合があり危険です。
このようなリスクに配慮して、CODEBLUEの会場ネットワーク次のように作ってみました。
1.CODEBLUE NOCチーム
- CODEBLUEでは、会場ネットワークをCBNOCというネットワークチーム(CODEBLUE Network Operation Centor)で構築しており、会場内の無線LANやネットワーク環境や配信専用ネットワークを構築し提供しました。ボランティアのメンバーは、CODEBLUEのコアスタッフから一般公募を行い、学生、社会人で構成されております。
2.会場ネットワークのポイント
- 会場ネットワークとして、毎回注意を払っているところはこのあたりです。
まずは、同じセグメントにいる端末間の通信を不許可とします。最近の無線APやネットワーク機器では標準でついている機能です。これで同一セグメントからの不正アクセスやMITM攻撃を防ぎます。(もちろん端末側もFirewallで守ることが重要です) - 無線LANでの暗号化方式は、その時点で使用できる最も強度の高い方式を選択するようにしています。ちょうどCODEBLUEが開催される少し前にWPA2の脆弱性の問題が報道されメンバーもヒヤヒヤしておりました。
- 認証方式については、会場ネットワークということでパスワードを入力して接続できるようにしていますが、無線LANでのセキュリティを高める場合はMACアドレス認証や証明書認証をうまく使っていきましょう。
3.トラブルシュートもあり
- 特に無線LANは目に見えないこともあり専用の機材で調査を行います。こういった経験もいろいろなネットワークのトラブル解決に役立つので、学生さんやこれからネットワークエンジニアを目指す人には体験頂きたいです。
-
- (当日はWPA2の脆弱性へのハッキングコンテストなどもあり、会場の電波調査を行っている様子)
4.監視の重要性
- CBNOCの最大の特徴としては、会場ネットワークの構築運用の他に会場ネットワークトラフィックのセキュリティ的な監視を行っていることです。ネットワーク監視はお馴染のZabbixを利用し、セキュリティ監視ではSnortとElasticsearch+Kibanaを使用し、通信キャプチャーをフロー変換したものをElasticsearch+Kibanaで監視しています。ザクッとプロトコルベースや宛先ベースでKibana上でまとめて眺め、異なる通信を監視したところP2Pアプリでの不正コンテンツと思われるダウンロード通信をメンバーが見つけてくれました。
- 会場ネットワークなので通常時との通信比較などはできないので、ざっくり見るところと、あたりをつけて監視することで、不正な通信を検知することができました。やっぱり監視って必要ですね。
- ※あまり大きく発表はしていませんが、SOC班は毎年セキュリティ的インシデントを発見しています。発見した際には端末特定を行い、適切な処置を行うことで被害拡大を未然に防いでいます。
5.まとめ
- Wi-Fiネットワーク接続に関するリスク
どのようなネットワークでも一定のリスクがありますが、Wi-Fiは特に危険なことが多いと考えます。暗号化なしでのWi-Fiネットワーク接続はいうに及ばず、WPA2などのパスフレーズによる暗号化ネットワークも「KRACKs」等の脆弱性により解読可能なのが実態です。このため、Wi-Fiを利用する上では常に「盗聴されているかも」と考えて行動すべきです。
- リスクヘッジの方法(案)
一つの回避策としてルータなどに搭載されているVPN機能を用いることが挙げられます。これは、通信そのものを強固に暗号化するため、WiFi接続パスフレーズが解読されても通信そのものは暗号化されて盗聴することが極めて困難となります。
- セキュアなネットワークづくり楽しいよ
CBNOCは数日間開催されるCODEBLUEのために超短期間で物理、無線ネットワークの構築、及びセキュリティ的な監視システムを構築します。また様々な取り組みを失敗を恐れずを行うことが出来る土壌があり、時にはネットワーク障害を起こしてしまうこともあります。そこに様々な学びや経験、そして様々な業種の方との出会いがあり非常に刺激的です。これを読んでいただける読者の方でもしセキュアなカンファレンスネットワークに興味がある方はぜひご連絡ください。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。