Time CapsuleとWEPな無線LAN環境は、どのように共存すべきか?

試行錯誤しながら設定したTime Capsule導入当初は、Time CapsuleをWDSメインとして、丸型AirMac ExtremeベースステーションをWDSリモートとして無線LANネットワークを拡張していた。しかし、この無線LANネットワークにOS9環境もAirMacで接続しようと考えて、ちょっと悩み始めた。OS9環境のAirMacでは、ワイヤレスセキュリティにWEPしかサポートされていないのだ...。
WEPによる暗号化は以前から問題視されていたが、昨年後半から、さらに気になる記事が出てきた。

知識を持っている人にとっては、WEPによる暗号化は簡単に解読できてしまう状況らしい。*1そうなると、可能な限りワイヤレスセキュリティにWEPは避けて、WPAを利用したくなるが、それではOS9環境で接続できなくなってしまう...。(Time CapsuleはWPA、丸型AirMac ExtremeベースステーションはWEPで接続というようにセキュリティーを区別しておきたかったが、現状のWDSネットワークの形態を利用する限り、ワイヤレスセキュリティーは、パスワードも含めてメインとリモートで同じ設定にする必要がある。)

WPAと共存可能なWEP(Transitional Security Network)

ところが、Time CapsuleのワイヤレスセキュリティでWEPを選択すると、「WEP(Transitional Security Network)」と表記されており、これは通常のWEPとはひと味違う動作をするらしい。

  • パスワードには13文字ちょうどの英数字を設定する。これがWEP、WPA共通のパスワードになる。
  • WEPしか対応していない無線LAN機器に対してはWEPで接続する。
  • WPAまたはWPA2に対応している場合は、WPAまたはWPA2で接続する必要がある。(対応している場合はWEPでは接続できなかった。)

うまい仕組みだ!最初はこれでいいじゃないか、と思った。しかし、冷静になって今一度よく考えてみると、パスワードが共通ということは、WEPで接続中にパスワードを解読されたら、そのパスワードでTime Capsuleにも接続できるし、WPAの通信内容も解読されてしまうのではないか?と心配になった。

パスワードが解読されて困ること

改めて考え直してみると、自分の心配ごとは以下の二つに分けることができる。

  1. 無線LAN接続ポイントに勝手に接続される。→ウィルス攻撃の踏み台にされてしまう?
  2. 通信内容を見られてしまう。→個人情報等の重要な情報が漏れる?

それぞれ、検証してみる。

  • 1.について
    • フリースポットFONのような不特定多数が接続可能な無線LAN接続ポイントって、数多く存在している。
    • 上記のような接続ポイントでは、同じ心配ごとは発生しないのだろうか?
    • そもそも、そんなこと心配する必要はない?(そんなことないと思うが、実際どうなんだろうか。)
  • 2.について
    • webブラウザでやり取りする重要な情報(クレジットカード番号や個人情報等)については、普通は「https」によって最初から保護されている*2。保護されていれば、例えWEPを解読されたとしても、大丈夫なはず。
    • 問題になってくるのは、ファイル共有で通信する内容を見られること?(ファイル共有にもパスワードが設定してあるので、HDにアクセスされる心配は無い。見られるのは、あくまでも通信中の内容だけだ。)
    • しかし、個人レベルではクレジットカード番号なんてファイルに保存しないし、個人情報もアドレス帳や年賀状印刷の住所録くらい...。
    • 有名人のアドレス帳や、会社レベルのインサイダー情報で無い限り、わざわざ覗き見ても誰も嬉しくないのでは?

このように考えてみると、個人で利用する限り、セキュリティ設定は重要だが、あまり神経質になり過ぎる必要も無いのではないか、と思い始めた。(一方、会社レベル考えれば、今後、WEPで無線LANネットワークを設定するなんて怖くて出来ないが...。)

WEPとWPAでネットワーク環境を分ける設定

個人のネットワークとはいっても、このような現状を知ってしまうと、WEPの無線LANネットワークではやはり心配だ。自分の環境で、利便性と安全性のバランスを考えながら、以下のように設定してみた。(結局、ベースステーション同士のWDSによる無線拡張をやめて、有線LANで接続しただけ。)

  • Time CapsuleAirMac Extremeベースステーション、どちらも「AirMac >> ワイヤレス >> ワイヤレスのモード:」で「ワイヤレスネットワークを作成」を選択して、独立したワイヤレスネットワークを作成した。
  • 独立しているので、ネットワーク名、無線モード、チャンネル、ワイヤレスセキュリティ、パスワードを個別に設定可能。
    • Time Capsuleには、「WPA/WPA2パーソナル」を選択。(「WPA2」だけだと、AirMacカードが「WPA」までしか対応していないので、自分の環境では問題あり。)
    • AirMac Extremeベースステーションには、「WEP 128 ビット」を選択。(OS9専用の接続環境とした。)
[ADSLモデム + LAN接続口] ==== [WAN接続口 + Time Capsule + LAN接続口] ==== [WAN接続口 + AirMac Extremeベースステーション]

暗号化以外のセキュリティの検証

  • 非公開ネットワーク(SSIDの)
    • KisMACでスキャンしてると、そのうち表示される...。そもそもSSIDはセキュリティに利用する目的のものでない。

どちらも、WEPを解読する技術を持っている人(またはツールを利用可能な環境の人)に対しては、無意味かもしれない。

*1:自分のMacBookで実際に試してはいないが...。Royal Windowsさんのページを読んでいると、Linux環境、対応する無線LANカード、aircrack-ngがあれば、限りなく自分でも出来る気になってしまう。すでに、一般的なGUIツールぽいKisMACというソフトウェアもある。

*2:保護されていないページから送信することは、無線か有線に関係なく、危険!