2020/01/27

Meraki の Air Marshal の助け舟となる新しい WIPS

WLAN WiFi Wi-Fi wifi

2020年 1 月 27 日 Ryan Orsi 著

Wi-Fi ハッキングが話題になっていますが、この用語は曖昧で、ときに矛盾した意味にさえ誤解されることのある専門用語です。Wi-Fiに対する攻撃手法に共通の定義がない状況だったのですが、Trusted Wireless Environment という解決策が提示されています。この Trusted Wireless Environment というフレームワークは、今日ほぼすべてのビジネスに影響を与える、レイヤ 2 Wi-Fi の 6 つのハッキング手法を簡潔に定義し、Wi-Fi が各種の攻撃から保護されているかどうかを確かめるシンプルなテスト基準も提供します。

セキュリティとパフォーマンスの、グローバルな独立調査機関である Miercom の Wi-Fi 専門家は最近、Cisco Meraki の MR33 アクセスポイント(AP)をテストし、既知の 6 つの Wi-Fi 脅威を自動的に検出、および防止できるかを判定しました。結果、MR33 が検知することができたのは 6 つの脅威のうちたった 1 つ、「悪魔の双子」の AP だけでした。他の 5 つに関しては、自動的に検出できませんでした。しかしこれは Wi-Fi セキュリティ研究者や、その分野に強く興味を持っている人にとっては、驚くに値することではありません。なぜなら Wi-Fi 業界が、Wi-Fi 製品の速度、容量、ネットワーク効率を向上させるため、セキュリティ保護のプライオリティを下げる状況が常態化しているのを目の当たりにしているからです。

Miercom のテストプロフェッショナルは、Trusted Wireless Environment の基準に照らし合わせて、ウォッチガードが独自のセキュリティ機能を提供し、クラウドマネージドの AP ロードマップを調整していることを評価しています。既存の Cisco Meraki ネットワークが Trusted Wireless Environment に準拠する方法を判断するため、 Miercom はMeraki MR33 を既知の 6 つの Wi-Fi 脅威から保護する専用のセキュリティセンサーとして、WatchGuard AP125 AP を構成しました。結果、6 つの Wi-Fi 脅威に対して脆弱であった Meraki Wi-Fi ネットワークが、WatchGuard AP125 APが追加されたことにより 100% 保護されるということが示されました。これは、ネットワーク管理者とセキュリティ管理者にとってシンプルなソリューションであり、設置の観点からは、Meraki AP が通常どおり Wi-Fi ユーザへのネットワークアクセスを提供し、WatchGuard AP が一種のワイヤレス侵入防止システム(WIPS)として機能し、ワイヤレス環境や有線ネットワークに上記の 6 つの脅威のいずれかが存在していないかどうかを監視します。

Meraki の Wi-Fi ネットワーク管理者に私と同じような好奇心があるなら、おそらく Air Marshal(ほとんどの Meraki AP に含まれる WIPS ソリューション)が実際のネットワークでどのように機能するかを理解しようと、机に座って頭を抱えていることでしょう。Air Marshal の封じ込め機能を有効にすることに不安を抱く人は多く、シスコからの警告メッセージを読んで完全に無効にすることもよくあります。

ですが Meraki 管理者の皆さんに朗報があります。WatchGuard AP は Wi-Fi の攻撃対象領域に存在する深刻なセキュリティギャップを解消するために特化して設計されているので、Air Marshal を完全に無効にした上で、WIPS を安全にオフロードすることが可能です。

自社の Meraki Wi-Fi ネットワークを Trusted Wireless Environment 準拠のためにテストしたいという方は、Trusted Wireless Environment のテストガイドに従って操作してください。Web サイトを通じて Miercom に連絡を取れば、実際のクライアントワークロードをシミュレーションしながら、厳密にテストすることもできます。最後になりますが、既存の Meraki Wi-Fi ネットワークに何台の WatchGuard AP を追加すればいいかわからない場合は、各地域ウォッチガードの販売代理店にお問い合わせください。ウォッチガードのプロフェッショナルサービスと連携し、調査を行い、推奨される WatchGuard AP の数と、インストール場所、WIPS/Wi-Fi のカバレッジ範囲を調査いたします。