岐阜県庁でも半数のアクセスポイントで暗号化設定せず
いくつかツッコミ所があるので。
> 無線LANカードなどが旧式でWEPと呼ばれる最低限の暗号化処理を施すと
> 使用できなくなるパソコンが含まれているため、WEP処理をしていなかったという。
(;´ー`)y-~~~
あのな。そういうのはそもそもつないじゃダメなの。なんでかっつうとね。
- 無線LANのセキュリティレベルが下がる
- そもそもWEP対応しねえような端末はサポートされてなくてもおかしくない
ってことがあるから。LANカードは買え。OS レベルだったら入れ替えろ。特に OS レベルで対応してないのはマズいだろ。Windows ですら WEP に対応させるパッチ出してるじゃないのか?サポートされてるブツなら、だけど。
> 県は(中略)「MACアドレスフィルタリング」という方策を取っていた。
> しかしこれでは専門知識があれば不正アクセスが可能とされ、
んー。MACアドレスの偽装は専門知識になる・・・か。Air Snort とかそのへんでキャプチャして適当に生きてるパケット拾ってアドレス取ってから正規のブツを沈黙させてそれから MAC アドレス書き換えるって手順だね。
ググったら詳細な手順が出てきて*1笑えた。専門知識なくてもできるじゃんか。
> 県情報システム課は「ネットワークの常時監視を行っており
> 幹線ネットへの破壊行為は未然に防げる」などとしているが
ダウト。監視してても防げません。このあたり NIDS 知らない人は勘違いしやすいんだけどね。FireWall でサービスポート閉じてるなら該当サービスへのアタックを防げるだろうけどさ。
ネットワークの監視で「攻撃があった」ことを検出したとき、いくつかはすでに終了しているだろうからね。攻撃を検出と同時にネットワークを停止、という形でも難しい。攻撃者が MAC アドレスの偽装をスクリプトなんかで自動化していて、あらかじめ取得しておいた正規のアドレスを偽装したまま攻撃パケットを送出したとしたら。ね、DoS ができちゃうでしょ。しかも追跡は困難。
まあ、あれだ。そもそも変なのが接続できないように、かつ盗聴対策にも、ちゃんと WEP しときましょーねってことで。
*1:一箇所にまとまってるわけじゃないけど、何箇所か巡回すれば上記手順は簡単に気が付くし、やりかたもわかる