2020/02/13

独立調査機関による Aruba 社の WIPS テスト結果は如何に?

2020 年 2 月 13 日 Milena Babayev-Gurvits 著

ヒューレット・パッカード・エンタープライズ傘下の Aruba Networks は、マーケットシェア第 2 位のアクセスポイント(AP)サプライヤとして、エンタープライズレベルの Wi-Fi 接続環境を世界中の企業に提供しています。同社の AP は、多くの学校、小売店、空港などの場所で使用されています。その証拠に、次にこのような建物に入る機会があったら、天井を見上げて AP のブランドを確認してみてください。なお、この遊びには中毒性があるのでご注意を。

Aruba 社はたしかに Wi-Fi 接続を専門に扱っている企業ですが、サイバーセキュリティとなるとどうでしょうか?Aruba 社の AP は、既知の 6 つの Wi-Fi 脅威カテゴリから企業を適切に保護できるのでしょうか? これら 6 つの脅威は、OSI 参照モデルのレイヤー 2 で実行され、すべての Wi-Fi 攻撃の起点となっています。つまり企業がこれら 6 つのレイヤーにおける脅威から保護されていれば、初心者が YouTube で手軽にやり方を学べるようなハッキングもありますが、組織は無数の Wi-Fi ハッキングから守られるということです。このようなハッキングは 20 年以上続いており、クライアントデバイス側(携帯電話やノート PC)で、Wi-Fi SSID が正規の AP(たとえば Aruba AP)の SSID なのか、違法性のない Wi-Fi Pineapple のような侵入テストツールなどのハッカーデバイスのものなのかを判断する方法がない、というWi-Fi の基礎技術に存在する欠陥を示しています。

Miercom の Wi-Fi プロフェッショナルは、Aruba 社の AP-303 AP が 6 つの既知の Wi-Fi 脅威を自動的に検出して防止できるかどうかをテストしました。レポートによると、AP-303 は 6 つのうち 2 つの脅威(悪魔の双子とアドホック接続)を自動で検出できました。しかし、他の 4 つは検出できませんでした。また、6 つの脅威のすべてから、自動的に保護することはできませんでした。Wi-Fi の脅威を防ぐということは、Aruba AP がワイヤレスフレームとワイヤードフレームの組み合わせを送信して、実害を受ける前に脅威を無効化するということを意味します。

結果は下図の通りで、テストの詳細は こちらからダウンロードできます。最初の 2 列は Aruba AP-303 単独での動作を示し、緑の列は WatchGuard AP125 をネットワークに追加し、Wi-Fi ハッキングから AP-303 を保護する場合を示しています。実を言うと、AP が ワイヤレス侵入防止システム(WIPS)を実装していると言えるために備えているべき能力や機能を厳密に定義したベンダー間の共通の基準はないことをご存知でしょうか?そのため、Aruba 社の WIPS 製品とウォッチガードの WIPS 製品とでは、包括性と保護性能のレベルがまったく違います。このような現状を主な理由として、セキュリティ業界に透明性をもたらし、Wi-Fi ハッキングの問題が看過されてきたことに注意喚起するため、 Trusted Wireless Environment Framework が作成されました。

check result ap aruba watchguard

Ubiquiti 社の UniFi WIPS テストの結果と同様に、Aruba 社の Web サイトを詳しく読み、どのような Wi-Fi セキュリティ機能が実装されていると謳われているのか見てみましょう(その際、実はこの機能はまだ開発中、というような但し書きにくれぐれも気をつけなければなりません)。一見して、RFProtect(Aruba 社の WIPS の名称)は信頼できるように見えます。

RFProtectTM ソフトウェアは、DoS 攻撃や中間者攻撃を防ぎ、ワイヤレスセキュリティの脅威を軽減します。Aruba 社のワイヤレス LAN を使用している場合、RF センサやセキュリティアプライアンスを個別に購入してインストールする必要はありません。

ここでは特に、あからさまな但し書きはありません。しかしよく見てみると、Aruba Central ユーザガイドの奥深く、35 ページに、かなり厄介な警告があります。それは以下の通りです。

連邦通信委員会(FCC)および一部の第三者は、特定の状況下で、封じ込め機能の使用が合衆国法典第 47 編第 333 条に違反していると主張しています。そのため、搭載された機能を使用する前に、該当する規則、規制、およびポリシーの下で、意図した使用が許可されていることを確認してください。弊社は、搭載された機能の使用に関連する請求、制裁、またはその他の直接的、間接的、特別な、その結果としての損害、または偶発的な損害についての責任を負いません。

これを踏まえた上で、組織が Aruba の WIPS 設定を積極的に有効にする気になるとは思えません。たしかに、他人が使っている正当な Wi-Fi 信号に干渉する行為は、ほとんどの国で違法であることは事実です。しかし、Wi-Fi 攻撃を無効にする権利もまた私たちにはあるはずです。Aruba や Cisco Meraki などのベンダーがこれらの種類の警告を掲載する理由の 1 つは、WIPS の種類によっては誤検知が発生する可能性があるためです。たとえば、WIPS 機能が周囲の正当な AP を不正な AP として認識し、接続を妨害してしまう、といった例があります。このような誤検知に悩まされる WIPS の実装の 1 つは、有線/ワイヤレス MAC アドレスの紐付けです。Miercom はこれについて、Apple Airport AP が、ほとんどすべてのベンダーの不正 AP 検出 WIPS 機能を回避できる、と言う事実の理由をレポートの中で説明しています。

Wi-Fi セキュリティソリューションの多くでは、MAC アドレスの紐付けを利用して、同じネットワーク上のデバイスを識別しています。このテストで不正 AP として使用された Apple AirPort AP では、ワイヤレスインターフェイスと有線インターフェイス間で 5 ビット以上の差があります。この違いによって紐付けのアルゴリズムが適切に動作せず、AP をネットワークで検出できなくなり、不正 AP としても検出できなくなる可能性があります。AP がテスト対象デバイスと同じネットワークに接続されていることを検出できない製品は、このテストでは「失敗」という結果になり、Apple AirPort のような製品を使用する攻撃者や、カスタマイズしたツールで MAC アドレスを偽装する攻撃に対して脆弱になります。ウォッチガードは、より信頼性の高い検出方法で同じネットワークデバイスを識別する、特許取得済みの「Marker Packets」テクノロジーでこの問題を克服しています。

Aruba AP を導入して使用している場合、ウォッチガード製品によってハッキングから保護できる

Miercom のテストプロフェッショナルは、ウォッチガードが独自のセキュリティ機能によってクラウドマネージドの AP ロードマップを調整していることを評価しています。Miercom は、AP-303 を既知の 6 つの Wi-Fi 脅威から保護する WatchGuard AP125 AP をセキュリティセンサとして構成し、既存の Aruba Wi-Fi ネットワークが Trusted Wireless Environment にどれほど準拠できるかを確かめました。結果、6 つの Wi-Fi 脅威に対して脆弱であった Aruba は、WatchGuard AP125 AP が追加されたことにより 100% 保護されるということが示されました。これはネットワーク管理者とセキュリティ管理者にとっても簡単に設置できるソリューションであり、WatchGuard AP がワイヤレス侵入防止システム(WIPS)として機能するので、Aruba AP が通常どおり Wi-Fi ユーザへのネットワークアクセスを提供しつつ、ワイヤレス環境や有線ネットワークに 6 つの脅威のいずれかが存在していないかどうか監視することもできます。

既存の Aruba Wi-Fi ネットワークに何台の WatchGuard AP を追加すればいいかわからない場合は、各地域ウォッチガードの販売代理店にお問い合わせください。ウォッチガードのプロフェッショナルサービスと連携し、調査を行い、推奨される WatchGuard AP の数とインストール場所、WIPS/Wi-Fi のカバレッジ範囲を調査いたします。

Wi-Fi ハッキングの脆弱性に対する Wi-Fi ネットワークのテスト

自身の Aruba Wi-Fi ネットワークを Trusted Wireless Environment 準拠のためにテストしたい場合は、Trusted Wireless Environment のテストガイドに従って操作してください。Web サイトを通じて Miercom に連絡を取れば、実際のクライアントワークロードをシミュレーションしながら、厳密にテストすることができます。悪魔の双子をテストする手順は以下のとおりです。他の 5 つ脆弱性に対するテスト方法は、テストガイドをご覧ください。

悪魔の双子アクセスポイント

悪魔の双子とは、悪意のあるユーザがネットワークの範囲内で、正当な AP と同じ SSID 名を複製して偽の AP を配信する種類の AP です。悪魔の双子は、正当な AP の MAC アドレスをスプーフィングすることもできます。Wi-Fi クライアントは、これが正当なAPではないことを知らずに悪魔の双子 AP に接続します。Wi-Fi クライアントが疑いを持たずに悪魔の双子 AP に接続した場合、悪意のあるユーザはさまざまな中間者攻撃を実行して、クライアントの通信やデータを傍受できます。

要件:

    • 悪魔の双子 AP として使用する AP
      • これは、WiFi Pineapple や任意のハードウェア、ソフトウェアベースのアクセスポイント、または MAC スプーフィングが可能なモバイルホットスポットでも構いません。
        注意:WiFi Pineapple Nano は 2.4 GHz でのみ動作します。最良の結果を得るためには、2.4 GHz と 5 GHz の両方で動作する WiFi Pineapple Tetra を使用してください。
  • 認証された AP
    • 有線ネットワークに繋がれた、既知で信頼されている正当な AP
  • 認証されたワイヤレスクライアント
  • 有線ネットワークに接続する ping 要求を受け取ることのできるホスト

テスト手順:

  1. 認証された AP で SSID を構成します。この SSID を 正当な SSID として使用します。認証されたネットワークのサブネットを確認してください(192.168.x.x など)。
  2. この正当な SSID が、Wi-Fi セキュリティシステムから認証された AP として検出されることを確認します。
  3. Wi-Fi セキュリティシステムの保護(封じ込め)機能をオンにします。
  4. 悪魔の双子として使用する AP で、スプーフィングのための悪魔の双子 AP を構成し、認証された AP と同一 SSID をブロードキャストします(大文字と小文字を区別)。その際、悪魔の双子 AP のサブネットを認証されたネットワークとは違うものにします。(172.16.42.xなど)
  5. 悪魔の双子 AP が、自身のワイヤレスクライアントからの接続のみを許可するように構成します(MAC フィルタリング)。これは、テストを行っている正当な Wi-Fi ネットワークが中断されないために重要です。
  6. NetSpot や inSSIDer といったソフトウェアを使い、ネットワーク上にある悪魔の双子 AP の SSID を見られるようにしておきます。
  7. タイマーをセットして、Wi-Fi セキュリティシステムが悪魔の双子 AP の存在を検出するまでにかかる時間が測れるようにします。
  8. 定期的に Wi-Fi セキュリティシステムの管理ユーザインターフェースを更新し、悪魔の双子 AP を検出するまでのおおよその時間を測ります。
  9. 認証されたワイヤレスクライアントから悪魔の双子 AP の SSID に接続し、関連付けます。悪魔の双子 AP からクライアントが受け取った、DHCP によって割り当てられた IP アドレスのサブネットを記録します(172.16.42.50 など)。
  10. 認証されたワイヤレスクライアントが、その IP アドレスサブネットを悪魔の双子 サブネットから(172.16.42.x)正当な認証された AP のサブネット(192.168.x.x)に変更されるまでのおおよその時間を記録します。これにより、Wi-Fi セキュリティ機能が、認証されたクライアントによる、悪魔の双子のスピーフィングされた SSID への接続をいつ自動で検出し、阻止し、その後にクライアントを強制的に正当な、認証された AP に最接続させたかがわかります。

悪魔の双子 AP テストの合否の基準

検出:

もしステップ 7 で悪魔の双子 AP が検出されたら、Wi-Fi セキュリティシステムはテストに合格したことになります。

保護:

認証されたクライアントの IP サブネットが、自動的に悪魔の双子サブネットから認証された AP サブネットに変更された場合、Wi-Fi セキュリティシステムはテストに合格したことになります。

Wi-Fi ハッキングから AP を保護する方法の詳細については、https://www.watchguard.com/wifi-wips-report をご覧ください。