Time CapsuleとWEPな無線LAN環境は、どのように共存すべきか?
試行錯誤しながら設定したTime Capsule導入当初は、Time CapsuleをWDSメインとして、丸型AirMac ExtremeベースステーションをWDSリモートとして無線LANネットワークを拡張していた。しかし、この無線LANネットワークにOS9環境もAirMacで接続しようと考えて、ちょっと悩み始めた。OS9環境のAirMacでは、ワイヤレスセキュリティにWEPしかサポートされていないのだ...。
WEPによる暗号化は以前から問題視されていたが、昨年後半から、さらに気になる記事が出てきた。
知識を持っている人にとっては、WEPによる暗号化は簡単に解読できてしまう状況らしい。*1そうなると、可能な限りワイヤレスセキュリティにWEPは避けて、WPAを利用したくなるが、それではOS9環境で接続できなくなってしまう...。(Time CapsuleはWPA、丸型AirMac ExtremeベースステーションはWEPで接続というようにセキュリティーを区別しておきたかったが、現状のWDSネットワークの形態を利用する限り、ワイヤレスセキュリティーは、パスワードも含めてメインとリモートで同じ設定にする必要がある。)
WPAと共存可能なWEP(Transitional Security Network)
ところが、Time CapsuleのワイヤレスセキュリティでWEPを選択すると、「WEP(Transitional Security Network)」と表記されており、これは通常のWEPとはひと味違う動作をするらしい。
- パスワードには13文字ちょうどの英数字を設定する。これがWEP、WPA共通のパスワードになる。
- WEPしか対応していない無線LAN機器に対してはWEPで接続する。
- WPAまたはWPA2に対応している場合は、WPAまたはWPA2で接続する必要がある。(対応している場合はWEPでは接続できなかった。)
うまい仕組みだ!最初はこれでいいじゃないか、と思った。しかし、冷静になって今一度よく考えてみると、パスワードが共通ということは、WEPで接続中にパスワードを解読されたら、そのパスワードでTime Capsuleにも接続できるし、WPAの通信内容も解読されてしまうのではないか?と心配になった。
パスワードが解読されて困ること
改めて考え直してみると、自分の心配ごとは以下の二つに分けることができる。
- 無線LAN接続ポイントに勝手に接続される。→ウィルス攻撃の踏み台にされてしまう?
- 通信内容を見られてしまう。→個人情報等の重要な情報が漏れる?
それぞれ、検証してみる。
- 1.について
- 2.について
- webブラウザでやり取りする重要な情報(クレジットカード番号や個人情報等)については、普通は「https」によって最初から保護されている*2。保護されていれば、例えWEPを解読されたとしても、大丈夫なはず。
- 問題になってくるのは、ファイル共有で通信する内容を見られること?(ファイル共有にもパスワードが設定してあるので、HDにアクセスされる心配は無い。見られるのは、あくまでも通信中の内容だけだ。)
- しかし、個人レベルではクレジットカード番号なんてファイルに保存しないし、個人情報もアドレス帳や年賀状印刷の住所録くらい...。
- 有名人のアドレス帳や、会社レベルのインサイダー情報で無い限り、わざわざ覗き見ても誰も嬉しくないのでは?
このように考えてみると、個人で利用する限り、セキュリティ設定は重要だが、あまり神経質になり過ぎる必要も無いのではないか、と思い始めた。(一方、会社レベル考えれば、今後、WEPで無線LANネットワークを設定するなんて怖くて出来ないが...。)
WEPとWPAでネットワーク環境を分ける設定
個人のネットワークとはいっても、このような現状を知ってしまうと、WEPの無線LANネットワークではやはり心配だ。自分の環境で、利便性と安全性のバランスを考えながら、以下のように設定してみた。(結局、ベースステーション同士のWDSによる無線拡張をやめて、有線LANで接続しただけ。)
- Time Capsule、AirMac Extremeベースステーション、どちらも「AirMac >> ワイヤレス >> ワイヤレスのモード:」で「ワイヤレスネットワークを作成」を選択して、独立したワイヤレスネットワークを作成した。
- 独立しているので、ネットワーク名、無線モード、チャンネル、ワイヤレスセキュリティ、パスワードを個別に設定可能。
- Time Capsuleには、「WPA/WPA2パーソナル」を選択。(「WPA2」だけだと、AirMacカードが「WPA」までしか対応していないので、自分の環境では問題あり。)
- AirMac Extremeベースステーションには、「WEP 128 ビット」を選択。(OS9専用の接続環境とした。)
- ADSLモデムをブリッジモードにして運用しているので、ADSLモデムとTime Capsule、AirMac Extremeベースステーションの接続は、有線LANで以下のようにしておいた。
[ADSLモデム + LAN接続口] ==== [WAN接続口 + Time Capsule + LAN接続口] ==== [WAN接続口 + AirMac Extremeベースステーション]
-
- どちらも独立して管理されるLAN環境なので、WEPが解読されたとしても被害はAirMac Extremeベースステーションのネットワークに限定される。
- Time Capsuleネットワークからは、AirMac Extremeベースステーションは管理するLAN機器の一つなので、AirMacユーティリティで管理可能になる。
- そして、WEPが解読された場合の以下の心配ごとは無視することにした。
- OS9環境のマシンが無線LAN通信する内容を覗き見られること。
- AirMac Extremeベースステーションに勝手に接続されること。
暗号化以外のセキュリティの検証
どちらも、WEPを解読する技術を持っている人(またはツールを利用可能な環境の人)に対しては、無意味かもしれない。