MACアドレスフィルタリングにおける注意
MACアドレスは、デバイスマネージャやツールを使用することで、簡単に変更することができます。このことは、MACアドレスは、簡単に偽装できるということを意味しています。
MACアドレスフィルタリングを行っている場合、MACアドレスの偽装が脅威となります。
「MACアドレスの偽装なんて、自宅のネットワークでは関係ないのでは?」
と思われるかもしれませんが、身近なところで、MACアドレスのフィルタリングは、行われています。
今では、自宅でも高速無線LANを構築する次代です。
皆さんの自宅でも、無線ルータに登録したMACアドレス以外は、無線LANのアクセスポイントに接続しないように設定していないでしょうか?
登録したMACアドレスを持つ端末だけしか、無線アクセスポイントに接続できないようにする設定は、非常に簡単で手軽ではありますが、MACアドレスを偽装されて、接続された場合は無力です。
MACアドレスは、ネットワーク上を流れてくるトラフィックをモニターしていれば、MACアドレスは、暗号化されないので、容易に見つけ出すことができます。有線ネットワークと違い、無線ですから、電波の届く範囲であれば、物理的に接続することなく電波を傍受することができます。
無線アクセスポイントや無線クライアントに「SSID」(メーカーによっては、「ESSID」)を設定して、セキュリティを高める方法もありますが、SSIDを設定しても、SSIDは暗号化されないため、悪意のある第三者にSSID傍受されてしまう可能性があります。
また、SSIDは、ANYキーでアクセスされるとSSIDを知らなくても接続されてしまいます。特にネットワークの知識がなくとも、Windowsの無線LANクライアントでは、SSIDがリストの一覧に表示されるので、SSIDを見つけるのに苦労しません。
つまり、MACアドレスによるフィルタリングも、SSIDによる制限も完璧なものではありません。
自宅のネットワークでは、セキュリティを高めるために、SSIDを見えなくするためのステルス機能を利用したり、AESやTKIPまたは、WEPなどの認証と暗号化を施したり、大切なデータは、OSが持つファイルへのアクセス権で守るなどの対策を施す必要があります。
また、企業のネットワークにおいては、IEEE802.1Xなどによる認証の強化も検討しておく必要があります。