カテゴリー: ネットワーク

ついでなので、Wi-Fiの場合もRADIUS認証（EAP-TLS）での接続方法を記録しておく。

まずは、Wi-Fiアクセスポイント（オーセンティケータ）の設定。ここでは、Aruba Instant On AP22 を使っている。

ネットワーク名（SSID）は好きに設定。セキュリティはWPA2エンタープライズを選択。RADIUSサーバーとしてYAMAHA SWX3100-10GのIPアドレスを指定。秘密共有キーは、SWX3100で指定したRADIUSクライアントの物（SWX3100に設定した「シークレット文字列」）を使う。内部RADIUSサーバーに接続するときのデフォルトシークレットキー（secret_local）ではないので注意。

Wi-Fi APのIPアドレスが固定じゃなかったら「ネットワークアドレスを指定する」の方でも良い。

次にWindowsの設定から、「ダイヤルアップ→新しい接続を設定する」に進む。ネットワーク名はオーセンティケータに設定したSSIDを、セキュリティの種類はWPA2-エンタープライズを選択して次へ。（余談だが、Windows10でWPA3エンタープライズを設定しようとするとなぜかダイアログがエラー終了するので、WPA2にしておく。まあ、PSKじゃないからWPA2もWPA3も変わんないだろう…）

正常に終了した後、設定を変更するか聞かれるので、そのまま変更へ進む。

するとワイヤレスネットワークのプロパティが開くので、「セキュリティ」タブをクリック。ここから先は有線LANの場合と変わらない。ネットワークの認証方法の選択に「Microsoft: スマートカードまたはその他の証明書」を選択し、YAMAHAオレオレ証明局にチェックを入れ、認証モードをユーザーまたはコンピューターの認証に変更する。

以上で、Wi-Fi接続の設定は終了。

OS標準の操作で設定したSSIDに接続しようとすると、「パスワードが必要です」と通知が出てくるが、実はパスワードではなくて証明書の選択が必要になる。選ぶだけでOK。

あ、もちろんクライアント証明書のインストールは、有線LANの場合と同じように事前にすませておく。じゃないと、ここで証明書がないので未認証になるからね。

さらに、既存のWi-Fi接続設定を設定変更でここまで持っていくのは不可能なので、途中でミスしたり既存の設定を変更しようと思ったら、毎回「ダイヤルアップ→新しい接続を設定する」からやり直す必要がある。なんでだろう？

セキュリティはめんどくさいなあ…と思ったそこのあなた、そうですセキュリティはめんどくさいんです。

ねんがんのネットワークスペシャリストになれたぞ！　コロしてでもうばいとる、のはカンベンしてくれ！

本日の発表で、IPAの令和3年春期ネットワークスペシャリスト試験に合格が判明しました。来月には経済産業大臣署名入りの合格証書が送られてくるぜ！（欲を言えば世耕さんの揮毫が良かったのだが、在任当時は不合格だったものでね…）

官報にも公示されるらしいぞ、ワクワク！

※官報は受験番号だけの掲載だった…＿|￣|○

そして、高度試験群で一番受かりそうなNWを終えてしまったので、あとはどうするか迷っている俺様。情報処理安全確保支援士試験はNWと試験範囲がだいぶ重なるので80%ぐらい行けるかと思うが、データベースとかになるとわかるのは半分以下、システムアーキテクトとかエンベデットシステムになるとさらにその半分、サービスマネージャ・プロジェクトマネージャ・ITストラテジストの文系群にいたってはハァーサッパリサッパリてなもんだからな。

誰か安全確保支援士の登録料と研修料（3年で16万？）出してくれないかな。出してもらえたら受験のモチベーションが上がる…。

NEC の UNIVERGE IX2105 というルータを新品で買ったので、最新のファームウェアをダウンロードしてアップデートしました。

Ver.9.7.16 にしたついでに、事務所と自宅の間に張っていた VPN を IKE version1 から IKE version 2 へと張り直しました。IKEv2 はデフォルトプロファイルでネゴシエーションしてくれるので楽ちんだという話だったんですが、何度やってもつながらない…そして、三日目にしてつ・い・に！ source address と destination address が違っていたことが発覚しました。そりゃ、ログを調べてみても NO RESPONSE になるはずですね（笑）

ちょこちょこっと直してやったら、無事 IPv4 over IPv6 の ipsec-ikev2 トンネリングが動作しました(^-^)

3/14のブログで書いた AMD プロセッサの脆弱性に関する CTS Labs のレポートですが、案の定あちこちからツッコミが入り、とても信頼に値するものではないと言えそうです。

およそ、業界で公に認識された脆弱性には CVE-ID という通し番号がつくのですが、上記の CTS Labs が主張する13もの脆弱性には、ひとつとして CVE-ID は発行されていません。Meltdown(CVE-2017-5754)やSpectre（CVE-2017-5753,CVE-2017-5715）にはあるのに。

このレポートの目的は結局、内容が正しいかどうかを議論したいのではなく、センセーショナルな情報を効果的なタイミングで流すことによる株価操作を狙ったものではないか、とする説が現在主流を占めているようです。株価操作目的でガセ情報を流すの、今回が初めてじゃないようですしね…。

給与支払報告書（統括表、個人別明細書）と普通徴収申請書を提出しようと思って、eLTAX なるものに手を出してみましたよ。先年のうちに使えるようにはしておいたはずなんですが…いざ今日やろうと思ったら、ク○おせえ！

おっと、お下品だったので、方言で言い直しますね。ばりおせえ！

バージョンアップ処理中の間に、印刷した紙を久留米市役所市民税課に持っていって提出して、もう帰ってきたではないか。しかも、ブログ書いてる間にもまだバージョンアップ処理終わらんし…

ちなみに、似たようなシステムの e-TAX はここまで時間かかりませんでしたよ(*sigh*)

http://www.aterm.jp/product/atermstation/info/2017/info1130.html

正直、諦めていた。1800HP2が発売されてから、1800HPはなかったもの扱いされていたので。機能アップのファームウェアもHP2には提供されるのにHPには提供されなかったり。でも、今回のKRACKs騒動は大々的に報道されたので、全機種網羅的に対応したのかな。日本企業の底力を感じた。（おおげさ？）

昨日、栃木県在住の妹家から、無線LANルーターを買い換えるので機種選定をやってほしいとの依頼があり、快く引き受けたところです。しかし、時期が悪い。冗談じゃなくて、時期が悪い。
↓こういう記事がちょうど出回っているタイミングだからです。

Wi-Fiを暗号化するWPA2に脆弱性発見 ～対応のあらゆる機器が影響（PC Watch）

昔から無線LANのセキュリティと、それを突破しようとする技術とはいたちごっこの関係ではありますが、ついに現時点で最強の無線セキュリティであるはずの WPA2 に、脆弱性が発覚しました。後継規格が決まる前に WPA2 が完全突破されるようなことになると大変まずいのではないかと、あちこちで大騒ぎです。

上記の記事にさらっと書いてありますが、今回脆弱性が発見されたのは WPA2 の暗号技術の核である AES暗号ではなく、暗号の鍵を配布するプロトコルに不備があったのだというお話です。これがなぜいけないかというと、同じ鍵をずっと使い続けている暗号は、傍受され続けることで解読のヒントを与えてしまうからです。大量のデータを傍受した上に、暗号鍵が同一であることを仮定すると、統計的に暗号を解くヒントが得られます。

これはかつての WEP のときからあった問題です。WEP では常に同一の鍵を使うので、解読が容易になる（後発の規格に比べて）という問題がありました。その為、パケットごとに鍵を変更する TKIP を採用した WPA、さらに暗号を強化した WPA2 と進化してきたわけですが、ついにその最強の牙城が崩れたことになります。

元記事の最後には、影響範囲についての記述があります。

また、今回発見された攻撃手法は、クライアントを対象としたものであり、家庭向けのアクセスポイントやルーターは影響を受けない可能性はあるという。ルーターによっては脆弱性を持つものもあるが、クライアント機能および802.11r機能を無効にすることで、ある程度問題を緩和できるとしている。

当初の影響範囲はやや限定的なようですが、安心はできません。ご使用の機器にメーカーからのファームウェアアップデートの提供があった場合は忘れずに適用しましょう。え？ メーカーがアップデートしてくれないんならどうするかって？ そりゃあ買い換えるしかないでしょうね。世の中には、無線LANケーブルと呼ばれる不思議な商品があるらしいですよ、有線なのか無線なのか、はっきりしろ！ってね(^-^;)

※正式名称は「漏洩同軸ケーブル（LCX）無線LANシステム」というらしいです。