hgot07 Hotspot Blog

主に無線LANや認証連携などの技術についてまとめるブログです。ネコは見る専。

OpenRoamingとは何か ~前夜編~

何のひねりもないタイトルですが、そういうことです。

2019年春にCisco OpenRoamingとして登場して以来、1年間ほど実態が謎だったのですが、やっと形が見えてきました。とは言えまだ開発中で、流動的なところが多々あります。詳細はWireless Broadband Alliance (WBA)からのアナウンスを待つとして、これまでの経緯と、執筆時点で判明していることを紹介します。
(つうか、どんな人が読むの、このニッチなブログ……)

まずは現状から。Ciscoから始まったOpenRoamingは、2020年3月にWBAに移譲されて、Wi-Fi業界で中立的なローミングフェデレーションとして再出発しました

本稿の内容は、次世代ホットスポット(NGH)やPasspointなどの知識を前提としているので、馴染みのない人はこちら↓を先にどうぞ。

hgot07.hatenablog.com

Cisco OpenRoaming

2019年春、Ciscoからちょっと驚きの発表がありました。Wi-Fi 6や5Gの話題が盛り上がっていた頃で、当時のブログのタイトルからも、これらに絡めたプロモーションだったことがうかがえます。
(ちなみに、国内では政府を筆頭にセルラーばかり語られていますが、海外ではセルラーWi-Fiを組み合わせて5Gとしてプロモーションすることが多いのです。これには反対する人々も多いのですが)

OpenRoaming: Automatic and Seamless Roaming Across Wi-Fi 6 and 5G - Cisco Blogs

blogs.cisco.com

Roamingとあるので、

  • eduroamみたいな無線LANローミング基盤なのかな?
  • それともWi-Fiと5Gを結ぶシステムなのかな?
  • Openとあるけど自社製品に有利な何かではないのかな?
などと、色々な憶測が飛び交いましたが、結局ふんわりとした情報ばかりで、実態がよく掴めませんでした。何より驚いたのは、もしローミング基盤なら、WBAが計画中だったものとぶつかりそうという点です。CiscoWBAのメンバーなので、知らなかったわけはないでしょう。

プロジェクトのポータルサイトも立ち上がりましたが、詳しい話はなく、情報が欲しければ登録してねという程度のものでした。こちら↓ですが、既にWBAに譲渡後の情報が入っており、当時の情報は消えていくのでしょう。

openroaming.org

さて、メールアドレスを登録してみたのですが、一度だけあまり実践的でないメールが飛んだ後、さっぱり連絡が来ません。そうこうしているうちに、不動産業界のCanary Wharf GroupがOpenRoamingに参加したとか、情報が流れてくる。しかし、技術情報はいつまでも謎。これはいったい何?

悶々として待っていたら、既に2019年秋、WBA Wireless Global Congressがやってきました。発表を聞いても、まだはっきりとした形が掴めません。DNA Spacesに登録して、あちらから声をかけてもらうしかない?そんなのでopenなの?……色々と疑問が渦巻いたのですが、徐々に見えてきたのが、どうやら基地局周りの設定を自動化する機能が含まれているらしいということ。なるほど、ローミング基盤よりも少し低いレイヤで、基地局周りの管理の標準化?🤔

Ciscoの人曰く、他のベンダにもOpenRoamingの参加を促しているとのこと。うーん、でも大手他社は動いていませんよね?

……と、こんな具合のまま2020年を迎えたのでした。もしかしたら、DNA Spacesに登録していた人たちは、もう少し詳しい情報を得ていたのかもしれません。誰でも参加できる"open"なインフラにするという話だったのですが、全然openではないですよねぇ。

Cisco OpenRoamingからWBA OpenRoamingへ

2020年3月、WBAより、

突然の
_人人人_
> 発表 <
 ̄Y^Y^Y ̄

WBA Assumes Control of OpenRoaming - Wireless Broadband Alliance

wballiance.com

この発表によると、

OpenRoaming, a technology for seamless Wi-Fi onboarding developed by Cisco, is built upon a set of standards and guidelines developed by the WBA and now adopted as an industry wide initiative led by the WBA.

とのことです。ということは、OpenRoamingは「技術」なの? "Wi-Fi onboarding"って何?……と、新たな疑問が。

内部でもOpenRoamingの定義が揺れていたようなので、仕方ないところもあります。そのうちしっかりした定義が出てくるでしょうが、おそらく技術や運用システムではなく、ローミングフェデレーションを指すことになると思われます。

この発表だけでは見えにくいですが、OpenRoamingの名前ごと完全にWBAに移管されるようです。つまり、名実ともにベンダ中立になるはずです。

WBA OpenRoamingとは何か

NDAがあるので公表前のことは書けませんが、現時点で公表されていることは以下のとおりです。(詳しくは後日、別記事で)

まずOpenRoamingが指すものですが、最近公開されたFAQには "OpenRoaming is a global Wi-Fi roaming federation" と書かれており、eduroamと同様に、ローミングフェデレーションやその基盤ということになるでしょう。実際に裏で動いている認証連携ネットワークや、付随するシステムは、区別されるはずです。(これまでの乱の元だった)

wballiance.com

2016年から2018年に渡ってWBAが実施したCity Wi-Fi Roaming trialでは、世界中のキャリアやWi-Fi ISP、City Wi-Fiなどを結んで、次世代ホットスポット(NGH)によるローミング基盤の実証実験が行われました。国内ではセキュア公衆無線LANローミング研究会 (NGHSIG)が2017, 2018年のトライアルに参加しました。WBAでは、このトライアルを発展させて、より高機能で汎用的なローミング基盤を開発する計画があったものの、しばらく決まった名称がありませんでした。最近はGlobal Roaming Federation (GRF)と呼ばれていました。

あぁ、それだとOpenRoamingとぶつかるのでは?🤔

えぇ、これがまさにこの一年間悶々としていたところなのですが、要するに同じものになります! (Ω ΩΩ<な、なんだってー!!)

だんだん見えてきましたね?

"open"とありますが、OpenRoamingに個人で参加することはできるのでしょうか?つまり、自前のIdPを立てて、自宅に基地局を置いてローミングユーザを受け入れるというのは? ― 無理です。一般に、ローミング基盤に参加する場合、認証連携の技術ばかりではなく、事業者間の信頼関係が必要です。通信事業者か相応の組織が前提となります。

OpenRoamingの技術仕様は、WBA WRIXが基本になっています。また、従来の認証連携ネットワークで主流だったRADIUS + IPsecに代わり、RadSecが使われることも公表されています。

これ以上のことは、WBAからの公表をお楽しみに。

 

おわり

XREAの無料SSLのウェブサイトを他所に移設してみる

※ Let's Encryptのcertbotを、見よう見まねでも使ったことがある人限定です。

突然ですが、ドメイン登録のvalue-domainはちょっと癖があって、初心者には厳しい感じです。私は海外のバイヤーからeNom経由でドメインを買いたかったこともあって、value-domainを長いこと使っています。小規模なウェブサイトには、value-domainと連携しているXREAを使っています。デジロックがGM○に買われてからは気持ち悪い所もありますが、噂を聞く限りにおいて、お名なんとかよりはずっとマシな気がします (個人の感想です)。

XREAでは、Let's Encryptを用いた無料SSLチェックボックス一つで有効にできることから、この機能が付いてからは大変便利に使っていました。とあるウェブサイトでも無料SSLを有効にしていたのですが、事情により、さくらのVPSに丸ごと移設することになりました。

ここで悩んだのが、サーバ証明書の移設です。XREAから新サーバに、ウェブ閲覧者に影響を与えないでシームレスに移行できるのでしょうか。

結論を述べると、同じホスト名で新サーバでもLet's Encryptの証明書を使うことはできました。ただし、Let's Encryptの「ドメイン認証」では、新サーバで数分間、不正な証明書の状態になることが避けられませんでした。

「3分間待ってやる……」(古い)

Let's Encryptには「DNS認証」という認証方式もあり、こちらならば、先にサーバ証明書を取得して新サーバに組み込むことで、シームレスな移行が可能になるでしょう (正攻法)。今回は、アクセスがほとんどないサイトであること、DNSの設定をいじっているうちに数分などすぐに過ぎてしまうことから、不幸にも移行中に新サーバにアクセスした人には「ごめんなさい」することにして、ドメイン認証を強行します(ぉぃ

XREAからサーバ証明書を抜き出せるのか?

Let's Encryptで取得したXREA上のサーバ証明書をエクスポートして、新サーバに事前に仕込むことができれば、あとはDNSのレコードを新サーバに向けて少し待つだけで、シームレスに移行できるはずです。

色々と探し回ってみたのですが、残念ながら、XREAサーバ証明書をエクスポートする機能を見つけることはできませんでした。

同じドメインでLet's Encryptの証明書を取得できるか?

同じホスト名・ドメイン名でLet's Encryptのサーバ証明書を取得できるのでしょうか?重複しているとダメとか、あるのでしょうか?

結果を述べると、問題なく証明書が発行されました。ただし、今回はLet's EncryptのDNS認証ではなくドメイン認証の方を使ったので、DNSのA/AAAAレコードの変更が必要です。

手順

まず、DNSのA/AAAAレコードはXREAの方を向けたまま、TTLだけ最短にしておきます。value-domainで取得したJP汎用ドメインでは初期値が1200秒だったので、20分間ですね。これを120に変更しておきます。

Set minimum TTL

20分以上待たないといけないので、この時間を利用して、新サーバのhttpdやらcertbotやらをきっちり設定しておきます。ついでに、20分後ぐらいに誰もサイトにアクセスしてこないことを天に祈っておきます (オプション)。

(Let's Encryptは初めてですか?……それならDNS認証の方でやった方が無難でしょう)

時間が来たら、A/AAAAレコードを新サーバに向けます。

120秒ちょっと経ったら、Let's Encryptのサーバが新サーバを向いているはずなので、certbotで証明書取得チャレンジ!

# certbot certonly --agree-tos --non-interactive \
# -d <example>.jp --webroot -w /srv/www/htdocs \
# --email piyopiyo@<example>.jp

叩いてみたのはこれだけです。(<example>はもちろんダミー)

うまくいきましたか?……え、だめ? (ムチャしやがって)

(万一うまくいかなかったら、すかさずA/AAAAレコードを元に戻して、この雑ブログのことは忘れて、Let's Encryptについて勉強してください)

取得できた証明書をhttpd等に仕込みます。digやnslookupなどのコマンドを使って、自分の端末が新サーバを向いていることを確認します。移設した(はずの)サイトにアクセスして、正常に閲覧できることを確認します。

TTLの値を元に戻します。

XREAの無料SSLをオフにします。XREA上のドメイン設定は、後日外すのでよいでしょう。

 

おわり

キャリアWi-Fiやeduroamで使われているWPA2-Enterpriseの無線LANは何がどれぐらい安全なのか (プライバシー編)

以下のセキュリティ編の続編です。先にセキュリティ編に目を通して、無線LANシステムの概要を掴んでおくと、当記事の内容が理解しやすいでしょう。

hgot07.hatenablog.com

無線LANの安全性と言ったとき、通信内容や認証情報の保護はもちろんですが、利用者の実名や、アクセスしたウェブサイト、利用場所や移動経路(行動)といった個人情報の保護も、プライバシーの観点から重要なものでしょう

もし、利用者アカウントを発行する事業者が、無線LANサービスも一緒に提供しているなら、利用者のプライバシーはすべてその事業者のプライバシーポリシーに応じて取り扱われていることでしょう。この記事では、事業者が分かれているような、ローミング環境を想定して解説します。

結論として、どこまでプライバシーが保護されるかは、事業者のポリシーに依存するとしか言えません。ただし、WPA2 Enterprise (WPA3も同じ) には優れたプライバシー保護機構があり、条件によっては、アカウント発行者以外に対してある程度のプライバシー保護を強制できます

例えばeduroamでは、訪問先機関に対して、所属機関は秘密にできませんが、実際の利用者の特定につながるアカウントは秘密にできます。

無線LANローミングシステムの基本

最初に、当記事で想定する無線LANローミングシステムの基本構成を見てみましょう。下図のように、無線LANを提供する機関と、アカウントを発行する機関、そして、場合によってはそれを仲介する機関があります。

Wireless LAN Roaming

IdP

アカウントを発行し、認証処理を行うAuthentication/Authorization/Accounting (AAA)サーバ、もしくは、その運用に責任のある機関を指します。Wi-Fi業界では同様の機関をHome Service Provider (HSP)と呼ぶことがあります。

SP

無線LANや、場合によっては有線LANの接続サービスを提供する機関のことを指します。Wi-Fi業界ではVisited Network Provider (VNP)と呼ぶことがあります。複数のアクセスポイントがある場合は、それを集約するための中間プロキシを持っているのが普通です。

RO (Roaming Operator, ローミング事業者)

IdPとSPを結び、認証連携によるローミングを実現するための、仲介業者を指します。中間プロキシが主な構成要素です。

EAP

Extensible Authentication Protocol (拡張認証プロトコル)の略です。セキュリティ編で説明したとおり、様々な認証方式をサポートし、TLSによる認証情報の保護も可能です。

[2024/2/24追記] すべてのEAP方式でTLSによる情報保護ができるわけではありません。PEAP, EAP-TTLSでは可能ですが、EAP-TLSでは十分な保護ができません。EAP-TLSにはトンネルがなく、クライアント証明書の内容 (発行先、つまりユーザ名など) を秘匿できません。

 

実際の利用者を知ることができるのは誰か?

現代的な無線LANローミングシステムでは、セキュリティとプライバシーの観点から、EAPを使うのが一般的です。それでは、EAPを利用している環境下で、実際の利用者を把握している、もしくは、知ることができるのは、誰でしょうか?

まず、IdPについては、自らアカウントを発行している立場上、実利用者を知っているのは当然でしょう。(本人確認をしないザルなシステムは論外として)

SPとROについてはどうでしょう?実際は、SPとIdPの間の契約に依存しますが、標準的なRADIUSの仕組みでは、IdPが明示的に実利用者の情報をSPやROに通知しない限り、SPもROも実利用者を知ることができません。SPとROは、EAPトンネルの外側にあるouter identityを見ることができても、実際に認証に使われるinner identityを見ることができません。これがEAPトンネルによるプライバシー保護の仕組みです。

[2021/5/31追記] キャリアWi-FiPEAPを使う場合はこの説明のとおりですが、SIM認証の場合はEAPトンネルがないので、別の保護が必要になります。

Outer identityには、利用者の実際のユーザ名(アカウント)を入れておくこともできます。しかし、SPやROがこの内容を見ることができても、それが実世界の誰に紐付けられているのかを知る手段はなく、また、outer identityは自由に書き換えられるので、証拠にもなり得ません

Androidの設定画面では、「匿名ID」がouter identityに設定されます。ここをブランクのままにすると、実際のアカウント(この例ではpiyopiyo@~)が用いられます。

1x config on Android

ユーザIDの @ 以下にあるレルム名は、どのIdPに認証情報を送るかをROが知るために用いられます。そのため、outer identityのレルム名は変更できません。もし利用者を匿名にしたい場合は、@ の前を anonymous という文字列にすることが推奨されています

まとめると、

  1. 利用者の所属機関が訪問先機関やローミングオペレータに利用者の個人情報を提供していない
  2. outer identityに匿名IDを使用している
  3. 端末側で「サーバ証明書の検証」を有効にしている (SPやROが不正にEAPを終端できないように)

のすべて満たされていれば、利用者は自分の所属機関以外に対して匿名でいられます。

eduroamでは、端末の接続設定にeduroam CAT (Configuration Assistant Tool)を用いることが推奨されています。手作業ではouter identityが変更できないiOSでも、CATを使うと匿名が用いられるようになります。

所属機関はバレるの?

前項に書いたとおり、レルム部分は匿名化できないため、訪問先機関は利用者の所属機関を知ることができます。これは、万一、利用者が訪問先機関のネットワーク上で悪事を働いてしまった場合に、機関間で連携して問題解決を図るために、必要な仕組みです。

通信内容は訪問先機関に見られる?

訪問先機関のネットワークを利用している以上、技術的には、その機関がネットワーク上の通信を傍受することは容易にできます。しかしながら、大学と言えども、通信事業者と同様に通信内容の守秘義務があります。

利用者が閲覧したサイトの情報はどうでしょうか?実はこれ、ちょっと注意が必要です。まず、端末のアクセス先のIPアドレスは、もちろん、通信事業者が容易に知ることができます。ドメイン名の検索状況と組み合わせれば、どのウェブサイトにアクセスしたかも把握できます。通信事業者にはもちろん守秘義務がありますが、社内にダメな奴がいないとは限らないので、それなりに覗かれている可能性は覚悟しておくべきでしょう。

(ここまで気にするなら、VPNを使い、DNS無線LANサービスのものを使わないぐらいの慎重さが必要でしょう)

[2022/4/22追記] 最近のウェブはHTTPSで暗号化されているのが一般的です。これにより、端末利用者とウェブサーバの管理者を除いて、間にある通信事業者や大学は、通信内容を解読することができません。これらの機関が取得できるのは、「機関○○の誰か(匿名)が、何時頃、どこそこのIPアドレスにアクセスした」程度の情報に限定されます。

利用者と契約のあるプロバイダや携帯電話会社の場合は、利用者情報を自前で持っているため、具体的に誰(の端末)か判ります。一方、ローミング環境で、ID提供と端末利用場所の機関が異なる場合は、不正利用時の追跡を除いて、基地局側のみで利用者を特定することは困難です。

 

行動情報は取られる?

特にフリーWi-Fiにおいては、利用者が匿名であっても、「どの人(端末)がどこそこの店をハシゴした」といった行動情報は、スポンサーや通信事業者のビジネス上の大きな関心事です。こういった行動情報は、取得されてしまうのでしょうか?

EAPを適切に使うことで、IdP以外の事業者に対して、利用者は匿名にできます。しかし、利用者認証の方式や有無に関わらず、無線LANシステムを使っている限り、行動情報はある程度取得されてしまいます無線LANでは、端末ごとに固有のMACアドレスが振られており、これを利用(悪用?)して、端末の追跡が可能です。端末が基地局を探す際のプローブ動作で、この電波に含まれるMACアドレスを利用する行動解析システムが存在します。この手のシステムは、利用者がそもそもサインアップすらしていないので、オプトアウトすらできないという問題があります。行動追跡を確実に拒否したいならば、端末の無線LAN機能をオフにして街を歩くしかないでしょう。

IdPに対してはどうでしょう?これはローミング契約の内容に依存します。SPがIdPに対して、アクセスポイントの情報や位置情報を提供している場合、IdPは実利用者の情報とともに、行動追跡が可能となります。ローミング環境で、認証が前提ならば、オプトインなりオプトアウトの手段は用意されるでしょう。

無線LAN機器による行動情報の取得・利用については、さすがに利用者の反発も大きく、最近では状況が刻々と変化していますAppleGoogleMicrosoftといった、端末側のOSベンダがプライバシー保護に舵を切ったことが大きいでしょう。詳しくは別の記事で解説するつもりですが、オプトイン無しの行動情報の利用は、以前と比べてだいぶ制限されるようになってきました。

具体的な対策としては、MACアドレスランダム化があります。端末のMACアドレスをランダム化することで、同一端末の追跡を困難にするというものです。一方で、行動情報には、都市計画や災害対策といった有益な利用目的もあります。そのため、人々に無断でコソコソとデータマイニングするのではなく、十分な広報の上で、確実なオプトインまたはオプトアウトが可能になるような技術および運用ルールの開発が必要でしょう

 

おわり

データ解析におけるプライバシー保護 (機械学習プロフェッショナルシリーズ)

データ解析におけるプライバシー保護 (機械学習プロフェッショナルシリーズ)

  • 作者:佐久間 淳
  • 発売日: 2016/08/25
  • メディア: 単行本(ソフトカバー)
 
RADIUS―ユーザ認証セキュリティプロトコル

RADIUS―ユーザ認証セキュリティプロトコル

 
パケットキャプチャ無線LAN編(Wiresharkによる解析)

パケットキャプチャ無線LAN編(Wiresharkによる解析)

  • 作者:竹下 恵
  • 発売日: 2016/04/13
  • メディア: 単行本(ソフトカバー)
 

【学生・生徒・学校向け】無線LANが切れる!音声・映像が途切れる!そんな時にチェックすべきこと

新型コロナウイルス感染症のために、オンライン授業の受講を余儀なくされている人も多いと思います。あれ、学生さん生徒さんにはつらいでしょうが、授業の準備をする教員も、システムを作る職員も、死ぬほど大変なんですよ_(゚。3」∠)_

ところで、自宅の無線LANや、場合によっては最寄り店舗のフリーWi-Fi、うまく使えていますか?無線LANが突然切れたり、反応しなくなったり、音声が途切れたり、映像がカクカクしたりといったことはありませんか?

もしかして、それ、無線LANに干渉する何かがそばにあるかも。以下のことをチェックしてみましょう。

(もちろん有線の方が安定するので、自宅などで有線接続ができる場合は、なるべくそちらを使いましょう。分からなかったら無理しないで)

無線LANに干渉するもの

無線LANには、大まかに、2.4GHz帯の電波と5GHz帯を使う二種類があります。それぞれに、以下のようなモノが電波干渉を引き起こし、無線LANのトラブルにつながります。

2.4GHz帯

  • Bluetooth機器
  • USB3.x機器 (3.0, 3.1, 3.2を含めて3.xと書きます)
  • 電子レンジ

5GHz帯

  • 気象レーダー、航空レーダー等

無線LANと一緒に使わない方がよいもの

Bluetooth機器

無線LANの調子が悪いとき、Bluetoothで接続するキーボードやマウス、イヤホン、ヘッドホンなどを使っていませんか?Bluetooth無線LANと同じ2.4GHz帯を使うため、干渉することがあります。できるだけ有線接続のものを使いましょう。

もしどうしても一緒に使わなければならないときは、無線LANで5GHz帯だけを使うようにするのも一手です。しかし、5GHz帯には、後に述べるようにレーダーが干渉する問題があります。

小中高でタブレット端末を導入することがあるのですが、Bluetoothのキーボードが無線LANと干渉する問題があり、有線接続のものを用意したり、タブレットではなくキーボード付きの端末を調達することがあります。学校関係者はご注意を。

USB3.xの外付け機器

USB3.x対応の外付けハードディスクやSSDUSBメモリなどを使っていませんか?USB3.xは2.4GHz帯に干渉することがあります。

もしどうしても一緒に使いたい場合は、シールド効果の高いUSB3.xケーブルに交換してみる、無線LANを5GHz帯に限定するなどの対策を試してみましょう。

電子レンジ

こいつは凶悪です。日本の電子レンジでは、加熱するのに2450MHzのマイクロ波を使います。これが、わずかですが漏れ出しています。同じ部屋で電子レンジを使うと、2.4GHz帯の無線LANや、Bluetooth機器が軒並み使い物にならなくなったりします(機種による)。電子レンジ側では対策のしようがないので、使わないようにするか、5GHz帯の無線LANを使うようにするしかありません。

なんでこんなものが無線LANと干渉するところに居るのかというと、実は話が逆で、電子レンジが先にあって、この周波数帯が汚染されて使いにくくなったので、無線免許不要で使えるように他の機材で使えるようにしたということです。2.4GHz帯周辺は、ISMバンド (産業科学医療用バンド) と呼ばれています。

5GHz帯利用における注意点

2.4GHz帯には干渉する機材が沢山あります。そこで、5GHz帯の無線LANを使うように薦めることも多いのですが、いくつか注意点があります。

まず、5GHz帯の電波は、2.4GHz帯と比べて障害物に弱く、到達距離が短いという性質があります。周波数が高くなるにつれて、光に似た性質が強くなってきます。従って、無線LANアクセスポイントに見通しがよく、距離の短いところで使うのがコツです。

次に、5GHz帯は、ごくたまにですが、突然接続が切れてSSIDすら見えなくなることがある点に注意が必要です。5GHz帯は気象レーダーや航空レーダーでも使用されており、もし近くでレーダーが利用され、無線LANで使用しているチャネルとぶつかってしまった場合、アクセスポイントは即座に電波を停止して、別のチャネルに移動する必要があります。DFS (Dynamic Frequency Selection)と呼ばれている機能で、利用者がオフにすることはできません。

自宅のアクセスポイントは電波を弱くして使うもの

[スキルのある人向け / 分からなかったらいじらないほうが無難]

意外に思われるかもしれませんが、集合住宅に住んでいる人は特に注意すべき点です。Wifi Analyzerのようなアプリで見ると、お隣さんから、無線LANの強力な電波が飛び込んでいたりしませんか?同じことがあちらでも起きているということです。ハイパワーをうたう製品が巷にあふれてしまい、お互いに電波干渉で潰しあう結果になったのです。

自宅の無線LANルーターの設定に、電波強度の設定があるはずです。回線が混雑していない早朝などに

https://www.speedtest.net/

https://fast.com/

などで速度を測定し、影響しない程度まで無線LANの強度を下げるとよいでしょう。自宅でネットワークストレージ(NAS)やVRゴーグルなどを使っている場合は、それに必要な速度に合わせましょう。

お隣さんが、理解ある知り合いだといいですね。出力を下げてもらえるかもしれません。

モバイルルータースマートフォンテザリングはなるべく有線接続で使う

モバイルルーター(ポケットWi-Fiなどとも呼ばれる)や、iPhone/Androidテザリングを利用する場合、無線LANよりは有線接続の方が安定します。これらの機材にUSB端子がある場合、PCにUSBケーブルで接続すると、有線でネットワークが接続できることがあります。これなら、Bluetoothの機器を併用しても大丈夫でしょう。

テザリングでPCを使う場合、データ転送量に十分注意しましょう。PCは一般に通信量が大きいため、データ通信料が高額になりやすいです。

 

おわり

 

P.S.
学校で無線LANシステムを構築する人は、こちらもどうぞ。

hgot07.hatenablog.com

 

キャリアWi-Fiやeduroamで使われているWPA2-Enterpriseの無線LANは何がどれぐらい安全なのか (セキュリティ編)

🤔キャリアWi-Fiやeduroamで使われているWPA2-Enterpriseによる無線LANは、「安全」だとよく言われるけど、いったい何が、どれぐらい、安全なのだろう?🤔

そんな疑問に答えられるように、Q&A形式で説明します。(そこっ、うまくまとめられなかったんだろうとか言わない!)

プライバシー保護については、別の記事で執筆予定です。 (2020/5/15追記: 書きました)

まずは、結論のサマリから。WPA3-Enterpriseも同様です。

キャリアWi-Fi

WPA2-Enterprise (1X認証とも呼ばれる)に対応したサービスならば、認証情報も通信内容も保護されていると考えてよいでしょう。大手キャリアのWi-Fiなら、SSIDが0001docomo、au_Wi-Fi2、0002softbankのものがこれに対応します。

公衆無線LANサービス

WPA2-Enterprise (1X認証とも呼ばれる)に対応したサービスならば、認証情報も通信内容も保護されていると考えてよいでしょう。ただし、認証情報の保護には、以下の両条件が必要です。

共通の鍵を使うWPA2-Personalや、暗号化なしのSSIDもありますが、こちらの安全性は低いので、利用を避けるべきです。

eduroam

eduroamでは、WPA2-Enterprise (1X認証とも呼ばれる) の利用が義務付けられています。認証情報は保護されており、通信内容も概ね保護されていると考えてよいでしょう。大学のIT部門が運用していることが多いので、基地局の設置方法に問題があるかもしれません。認証情報の保護には、以下の両条件が必要です。

Passpoint (Hotspot 2.0)

Passpointは、WPA2-Enterpriseを基本に作られた規格です。通信事業者が提供するサービスならば、認証情報も通信内容も保護されていると考えてよいでしょう

 

認証情報の安全性

Q.
無線LANサービスの利用者認証において、無線通信を傍受された場合に、パスワードなどの認証情報が漏れることはありますか?

A.
利用者認証に用いられるパスワードやクライアント証明書は、端末と基地局の間で暗号化されてやり取りされ、通信が傍受されても内容が漏洩することはないようにシステムが設計・構築されています (暗号強度のレベルによる)。もし認証情報が漏洩するなら、問題のある無線LANサービスとして広く知られることになるでしょう。

WPA2-Enterpriseでは様々な拡張認証プロトコル(EAP)が利用でき、保護の強度は方式によって若干の違いがあります。よく利用されるプロトコルのうち、EAP-TTLSやPEAPではパスワードが、EAP-TLSでは公開鍵暗号を利用したクライアント証明書が使われます。キャリアWi-Fiで用いられるEAP-AKA, AKA'では、SIMに書き込まれた共有秘密鍵が使われます。

 

Q.
端末が誤って偽の基地局と無線接続された場合に、パスワードなどの認証情報が漏れることはありますか?

A.
一般に、端末と認証サーバ (AAAサーバ) の間では、EAPTLSトンネルによって認証情報が保護されます。しかし、EAP基地局や途中の任意のプロキシでも強制的に終端できることから、使用するEAPの種類によっては、偽基地局を設置した攻撃者や、悪意あるプロキシ管理者にパスワードが漏洩することがあります。

EAP-TTLSやPEAPではMS-CHAPv2 (チャレンジハンドシェイク認証プロトコルの一種) を利用するのが一般的です。この場合、MS-CHAPv2の強度でパスワードが保護されます。ただし、MS-CHAPv2には実装上の脆弱性が見つかっており、エクスプロイトのコードが存在することから、巧妙に細工された偽基地局によってパスワードが解析・奪取される危険性があります。そのため、カジュアルな攻撃には耐えられるかもしれませんが、十分な安全性を保つためには、後述する「サーバ証明書の検証」を併用する必要があります

EAP-TLSでは、証明書が漏洩するような攻撃は知られていません。

 f:id:hgot07:20200417222852p:plain

Q.
サーバ証明書の検証」とは何ですか?必要性は何ですか?

A.
サーバ証明書の検証」は、基地局が接続されている認証サーバが正規のものであるかどうかを、端末側から検証する処理です。WPA2-Enterpriseでは、サーバ証明書の検証によるサーバ認証 (基地局認証を兼ねる)と、利用者(クライアント)認証の二段階で、認証処理が行われます。

無線LANでは、正規の基地局のそばに偽の基地局を置いて、端末の接続を誘導するという攻撃が考えられます。端末が誤って偽の基地局に接続(アソシエーション)された場合、認証情報や通信内容が漏洩する危険性が生じます。前述のとおり、EAPの種類によっては、パスワード等の認証情報が漏洩することがあります。

WPA2-Enterpriseを用いる無線LANシステムでは、ローミング環境を含めて、正規の基地局のみが認証ネットワークに接続できるような設計・運用がなされるのが通例です。利用者(クライアント)認証の前に、サーバ証明書の検証を行うことによって、端末が自動的に偽基地局を見破り、利用者認証の段階に進まないことで認証情報の保護が可能となります。

PEAPでは、サーバ証明書の検証を省略する設定も可能です。しかし、前述のように脆弱性が見つかっていることから、サーバ証明書の検証を有効にすることが強く推奨されます

 

Q.
ローミング環境において、認証ネットワークはどのように保護されていますか?

A.
キャリアWi-Fiやeduroamでは、RADIUSプロトコルに基づいた認証連携ネットワークが広く利用されています。このネットワークは、サービス提供者のRADIUSプロキシや、アカウント発行者のAAAサーバを、相互接続するものです。

プロキシとサーバの接続方法には幾つか種類がありますが、いずれも共有鍵または電子証明書により相互を認証する仕組みになっており、任意の攻撃者がこのネットワークに参加することはできません

(なお、ローミングシステムの仕様を公開していない企業や組織もありますが、そのような場合、認証ネットワークの安全性が大勢の専門家によって検証されておらず、安全ではない可能性があります。)

 

通信内容の安全性

無線区間

Q.
盗聴により通信内容が盗み見られることがありますか?

A.
利用者以外の端末によって無線通信が傍受(盗聴)されることは避けられません。WPA2-Enterpriseでは、端末と基地局の間で通信が暗号化されており、他人が通信内容を盗み見ることは暗号強度のレベルで難しいとされています。

 

Q.
同じ基地局を使う別の利用者に通信内容が盗み見られることがありますか?

A.
WPA2-Enterpriseでは、利用者ごとに個別の暗号化が行われます。そのため、同じ基地局に無線接続された端末であっても、通信内容を盗み見ることは困難です。

なお、家庭などで利用されるWPA2-Personalの場合は、同じ暗号鍵を知る他の利用者が通信内容を盗み見ることが可能です。そのため、大勢で暗号鍵を共有することは避ける必要があります。誰かが鍵を漏らした場合に、利用者全員が内容漏洩のリスクを負うことになります。

 

有線区間

Q.
インターネットに出るまでの通信はどのように保護されますか?

A.
(同じ基地局に接続された端末による盗聴については次項を参照)

端末と基地局の間で暗号化が有効な場合であっても、基地局から上流ネットワークにつながる有線LANは暗号化されていないことが多いです。このため、店舗などでケーブルに容易に触れられるような設置の場合は、悪意ある客やロケーションオーナーによって盗聴用のデバイスを挟まれる危険性があります

このような問題を避けるために、ケーブルを容易に触られないように施工したり、VPNによって通信内容を保護するなどの対策が必要です。そこまで注意深く基地局を設置していない公衆無線LANサービスがあるなら、それは安全と言えないでしょう

コントローラ型の基地局の中には、利用者の通信を暗号化した状態でコントローラに収容できる製品があります。スタンドアロン型の基地局でも、VPN機能を持つ製品があります。

インターネットに出れば、通信事業者による通信内容保護の対象となります。

 

Q.
同じ基地局に接続している別の利用者によって、通信内容が盗み見られることがありますか?

A.
使用する基地局のモデルや設定によっては、通信内容が漏洩する場合があります

一般に、複数の端末は同じサブネットに収容されます。基地局内部のネットワークスイッチには、内部のテーブルを溢れさせる攻撃によってダムハブの状態にできるものが存在するかもしれません。このような場合は、通信内容が盗聴される恐れがあります。

この手の攻撃ができない場合でも、サブネット内の端末が相互に通信可能な状態ならば、OSのセキュリティホールを突かれたり、設定の甘いファイル共有機能などを悪用されるかもしれません。「安全」と言われるWPA2-Enterpriseであっても、端末のセキュリティには十分気を付ける必要があります

エンタープライズ向けの基地局には、別の端末との通信をブロックし、それぞれの端末が上流ネットワークのみと疎通できるようにする、セパレータ機能を搭載したものがあります。この機能が有効になっている場合は、サブネット内からの攻撃は阻止されます

 

終わり

 

学外のネットワークで電子ジャーナルを閲覧する方法

大学・研究所など、自分の所属する機関に電子ジャーナルのサイトライセンス契約があると、論文などを無償で読むことができます。多くの場合、所属機関内のネットワークでは、特にログイン操作などをしなくても電子ジャーナルにアクセスできます。当然ながら、所属機関外のネットワークでは、このような利用はできません。

自宅や出張先などで、電子ジャーナルにアクセスしたい機会は多々あるでしょう。一般的にどのようなアクセス手段があるのかを紹介します。

 

所属機関のVPNを使う

所属機関がVPNサービスを提供している場合は、それを利用することで、契約している電子ジャーナルを閲覧できるかもしれません。

電子ジャーナルの契約は、キャンパスネットワークと紐付けてアクセスが管理されていることが多いです。そのため、外部のネットワークからでは閲覧できなくとも、VPNでキャンパスネットワークに接続されていれば、電子ジャーナルにアクセスできることになります。

ただし、VPN経由でのアクセスが禁止されているジャーナルもあるので、所属機関に確認しましょう。

 

学認のフェデレーションログインを使う

古くは、キャンパスネットワークと紐付けて電子ジャーナルを契約する方法が一般的でしたが、この10年ほどで、認証連携(フェデレーション)を利用したアクセス方法が普及してきました。この仕組みを使うと、学外のネットワークを利用している場合でも、所属機関が契約している電子ジャーナルを閲覧できます。

日本の場合、通称「学認」と呼ばれる学術認証フェデレーションに大学・研究機関が参加していることが必要です。出版社との購読契約ももちろん必要です。

電子ジャーナルを閲覧しようとして、論文のダウンロードが有償表示になったりした場合は、近くに「Federation login」や「Institution login」「Log in via Shibboleth」といった項目がないかどうか探してみましょう。そこからログイン操作に進んで、所属機関から取得したアカウントでログインできれば、その論文は無償で閲覧できるかもしれません。

例えばSpringerの場合、こんなイメージです。(Shibbolethのカタカナ表記は「シボレス」です)

f:id:hgot07:20200331131456p:plain

 

IEEE Xploreの場合は、Institutional Sign Inから。

f:id:hgot07:20200417174029p:plain

この方法、意外と研究者にもあまり知られていないようですが、現代的な学術情報システムとして重要ですから、未導入の機関はぜひ学認への参加をお奨めします。eduroam参加と併せて。

www.gakunin.jp

 

他学のeduroamを使う

国内ではあまり例がないと思いますが、海外事例では、eduroamに接続したらそこの大学で契約している電子ジャーナルが閲覧できることがあります。

附属図書館が市民の利用も認めている場合がありますが、上記の場合、図書館の利用と同様に、walk-in userと見なして電子ジャーナルのアクセスが可能になっているものです。

このような手段で電子ジャーナルを閲覧する場合は、その機関における電子ジャーナル利用ルールを事前によく確認してください。

特に、多数の論文を短時間でダウンロードすることは、多くの電子ジャーナルで不正アクセスと見なされることに注意が必要です。所属機関でも同様の注意があるはずですが、訪問先機関での利用は特に注意すべきです。(eduroamでは利用者まできちんと追跡できるので、個人として不正利用の責任を問われることがあります)

 

電子ジャーナルには、一般に様々な利用条件が付いています。不正アクセスとみなされないように、自機関でも他機関でも、十分に注意して利用しましょう。

新型コロナウイルス対策でいかに学生の移動・集合を減らしつつ学習・研究を進められるようにするか (ネットワーク活用編, ソーシャルディスタンシング前提)

[2020/4/7追記] 外出自粛が指示されている地域では、その指示に従い、無線LANを求めて出歩くことは避けましょう。

[2020/4/6追記] 政府要請により、携帯3社より追加データ(50GB程度)無償化の支援策(25歳以下対象, 4月ないし5月末まで)が出ているので、内容確認の上で活用しましょう。

 

f:id:hgot07:20200330182841p:plain(絵 пён)

新型コロナウイルス感染症対策として、普段なら「学校にきちんと通ってきなさい」と指導している学校も、今ばかりは「できるだけ学校に来ないように」と言わなければならず、教員にとってはなかなか歯痒い状況でしょう。遠隔授業を充実させようという動きが急に起こったわけですが、普段からギガ不足()にあえいでいる学生のネットワーク環境をどうすべきかという、頭の痛い問題が生じました。

本稿では、いかに学生の移動・集合を減らしつつ、学習・研究を進められるようにするかという観点で、利用できるネットワーク環境やサービスを紹介します。

学生に限らず、社会人でさえも、自宅に固定回線を引いている人は限られています。学生は、登校すればキャンパス無線LANが使えるでしょうが、登校を控えるようにと言われたら、遠隔授業に必要な大きな通信量を、どこのネットワークで確保すればよいのでしょうか?自分の学校に通えないとなれば、学習や研究に必要な文献調査も、満足にできないと思ってしまうかもしれません。

幸い最近では、図書館に行かなくても電子ジャーナルだけで済む分野も少なくないのですが、普段はキャンパスネットワーク・無線LANを利用していて、学外からの利用方法を知らない人も沢山いるのではないかと思います。使える環境やサービスを知ることで、ネットワークさえ確保できれば、学習・研究へのインパクトを抑えられる可能性があります。学校によって利用可否が分かれますが、使えるものは積極的に活用して、学習・研究に役立てましょう。

[2020/3/31追記]
カフェや他学に集まらせて何が対策だという厳しい意見も頂いておりますが、固定回線を引けない(経費の問題以外に、そもそもすぐ引けるようなものではない)、大学が通信費の手当をするわけでもない、そのくせ通学を控えてオンライン受講しろと言われて窮地に陥るような学生を少しでも救済することが、本稿の目的の一つです。

 

最寄りの学校や公園でeduroamを使う

基本は、ソーシャルディスタンシング (social(←古い表現) physical distancing) で!
絶対に集まらないこと。
(屋外の花見でも感染例あり)

自宅に固定回線がないなら、公衆無線LANを探して、やむを得ず外出することになると思います (外出自粛指示の地域ではダメ)。大学・研究機関等(最近は小中高も対応)のキャンパス無線LANとして世界標準のeduroamがありますが、所属機関がeduroamに参加しているなら、よその学校でも無線LANを利用できます。ここで、最寄りの学校のeduroamを使わせてもらうというのが重要です。「うちが混雑するんじゃない?」(大学)……いえいえ、お互いさま。

キャンパス内のカフェなど、なるべく混雑していない所を探しましょう。キャンパスに隣接する店舗でも、もしかしたら電波を拾えるかもしれません。学校ばかりではなく、市街地にも若干の基地局があります。

自分の学校に行くには電車を乗り継いで大変という場合でも、近所でノマドワークできるのであれば、他人と接する移動はずっと減らせますよね。

「カフェのフリーWi-Fiではだめなの?」……はい、もちろんそれでもよいのですが、いわゆる一般のフリーWi-Fiはセキュリティ的に問題が多いのです。詳しくは次項で。

eduroamでは、安全で自動接続可能な無線LAN環境が得られます。eduroamの基地局は、すべて、学校など正規の参加機関や、通信事業者によって設置されています。暗号化のないオープンなフリーWi-Fiと違って、通信内容が保護され、偽の基地局に誘導される危険性も回避できます。

www.eduroam.jp

「うちの学校にはeduroamがないよ」「学生にはアカウントないよ」……学校に強く要望しましょう!

 

最寄りの公園やカフェ、コワーキングスペース無線LANを使う

わざわざ電車を乗り継いで遠方に行ったのでは、感染症対策として本末転倒です。最寄りの公園や店を探しましょう。それも、あまり混雑していなくて、空気の良さそうなところを。

キャリアWi-Fiか契約型公衆無線LANサービスを使おう

多くのカフェやコワーキングスペースが無料で利用できる無線LANを提供していますが、できれば契約型の公衆無線LANか、キャリアWi-Fiのある店を選びましょう。これらの無線LANならば、偽基地局に誘導されて悪さされる危険性は低くなります。

特に、WPA2-Enterprise (1X認証とも呼ばれる)に対応した無線LANシステムがある場合は、それを使うのが安全です。大手キャリアのWi-Fiなら、SSIDが0001docomo、au_Wi-Fi2、0002softbankがこれに対応します。共通の鍵を使うWPA2-Personalや、暗号化なしのものは、盗聴や偽基地局で悪さされることがあるので、避けるべきです

大手キャリアのスマートフォン契約があれば、キャリアWi-Fiが付属しているでしょう。ノートPCからの接続は少し設定が面倒かもしれません。注意点として、複数の機器から同時に利用できないことがあります。もしノートPCで使いたければ、スマートフォンWi-Fiをオフにして、数分待つ必要があります。反対も同様。ノートPCを使い終わったら、スマートフォンWi-Fiをオンに戻すことを忘れずに。(忘れてLTEのまま使い続けると、せっかく温存した通信量が吹き飛んでしまう)

フリーWi-Fiの利用には要注意

多くの店舗で無償の無線LAN、いわゆるフリーWi-Fiが提供されていますが、そのほとんどが暗号化なしや、共通鍵を利用するものです。このような無線LANの利用には、相応のリスクがあります。

悪意を持った人が偽の基地局を置いていた場合、自分のスマートフォンやノートPCは、簡単にそちらに誘導、接続させられてしまいます。偽基地局では、通信内容の改ざんや盗聴、閲覧したサイトの分析、利用者端末への攻撃、偽装されたウェブサイトへの誘導など、様々な攻撃が可能です。

従って、このようなフリーWi-Fiは本来利用すべきではありません。本当にどうしても使わなければならない場合、もし所属機関がVPNサービスを提供しているならば、それを使うようにしましょう。(詳しくは所属機関に問い合わせ)

公衆無線LAN利用におけるセキュリティをうたったVPNサービスが多数ありますが、悪質なものが少なくないようです。いくらVPN経由でも、利用者の通信内容は暗号化なしでその会社の回線を通過します。すなわち、VPNサービスの提供会社が悪意を持てば、すべて盗聴できるということです。信頼できる会社のVPNサービスを選ぶ必要があります

 

学外から電子ジャーナルを閲覧する方法

[2020/3/31追記] 別記事として切り分けました。

hgot07.hatenablog.com

 

それでは、よい引きこもり学術ライフを!