無線LAN管理フレームの悪用を防ぐIEEE 802.11w:2009年半ばに確定の見込み
IEEE 802.11wは、無線VoIPなどのアプリケーションで十分な通話品質と可用性を実現しながら、無線セキュリティを保証するための無線暗号化規格だ。
無線LANデータのための強力な暗号化と認証の必要性は、既に2000年ごろから認識されていた。その結果、生まれたのが、2004年に策定されたIEEE 802.11iプロトコルだ。
IEEE 802.11iはデータフレームを保護するが、管理フレームは暗号化や認証が行われないまま送信される。この欠点に対処するために、2006年にIEEE 802.11w委員会が設立され、作業が開始された。同委員会は現在、提案標準のレビューを行っており、2009年半ばには規格が確定する見込みだとしている。
管理フレームワークを防御する機能の欠落は、初期の無線LANインプリメンテーションでは大きな問題にならなかった。ハッカーが「Disassociate」フレームや「Disauthentication」フレームを送信してステーション(無線端末)をネットワークから切断しても、深刻なダメージを与えることを可能にするような情報が管理フレームにはほとんど含まれていなかったからだ。それに、最初のセキュリティ標準であるWEPをまだ使用している場合は、再アソシエーションの作業も簡単だった。
管理フレームの防御が不可欠に
現在、ハッカーの攻撃はより深刻な問題になっている。IEEE 802.11iでアソシエーションと認証を再設定するのは、WEPの場合よりも複雑で時間のかかる作業が必要であるからだ。さらに重要なのは、無線LANが進化し、その役割が電子メールやWeb画面を送信するだけにとどまらなくなったことだ。無線VoIP(Voice over IP)や無線ビデオなどのアプリケーションの登場に伴い、新たなIEEE規格が必要となった。今日、管理フレームにはネットワークとアプリケーションのパフォーマンスを左右する極めて重要な情報が含まれている。
最近の無線LAN規格はセキュアな管理フレームに依存
2005年に策定されたIEEE 802.11eは、各種のアプリケーションの間で異なるQoS(Quality of Service)特性に対処するために開発された。例えば、VoIPと電子メールでは、遅延および帯域幅の保証に対する要求が大きく異なる。IEEE 802.11e規格は、サポートされたサービスクラスを宣言するためにアクセスポイント(AP)が利用する管理フレームを定義している。各ステーションはそれぞれのQoSリクエストを応答時に返す。
現在、管理パケットは暗号化されていないため、ハッカーはネットワークの動作を制御するパラメータ、ステーションのID、各ステーションの要求などを知ることができる。
管理フレームの認証が行われなければ、ハッカーは正規のステーションあるいはAPから送信されたものであるかのように偽装したフレームを送信することができる。これにより、特定のステーションからネットワークへのアクセスを阻害させる攻撃を行ったり、ネットワークパラメータを変更するパケットを送信してネットワークの動作を混乱させたりすることが可能になる。
Copyright © ITmedia, Inc. All Rights Reserved.