目次に戻る

セキュリティの概要: インテル(R) PRO/Wireless 2915ABG ネットワーク コネクション ユーザ ガイド



WEP 暗号化

IEEE 802.11 規格の WEP(Wired Equivalent Privacy)暗号化を使用すると、無線データの不正受信を防ぐことができます。 WEP 暗号化は、64 ビット キー(40 ビットとして表記される場合もあります)または 128 ビット キー(104 ビットとも呼ばれます)を使用した 2 つのレベルのセキュリティを提供します。 セキュリティを強化するには、128 ビット キーを使用してください。 暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。

WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。

WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。 TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。

オープン キーと共有キーの認証

802.11 では、オープン システムと共有キーの 2 つのタイプのネットワーク認証方法がサポートされています。


802.1x 認証

802.1x 認証の仕組み
802.1x の機能

 

概要

802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。 802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。 詳しくは802.1x 認証の仕組みを参照してください。 802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。 認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。 802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。 802.1x では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。

無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。 認証システム (アクセス ポイント)、サプリカント (クライアント ソフトウェア)、および認証サーバ (リモート認証ダイヤルイン ユーザ サービス サーバ - RADIUS) です。 802.1x 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。 このRADIUS サーバは、(パスワードや証明書により)ユーザ、または( MAC アドレスにより)マシンを認証できます。 理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。 802.1x ではいくつかの認証アルゴリズムを使用します。 例えば、MD5-チャレンジ、EAP-TLS、EAP-TTLS、PEAP (Protected EAP)、および EAP Cisco ワイヤレス LEAP (Light Extensible Authentication Protocol) などがあります。 これらはすべて、ワイヤレス クライアントを RADIUS サーバに識別させるための方法です。 RADIUS 認証では、ユーザの ID はデータベースで検証されます。 RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。 RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。 IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。 ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。

RADIUS とは

RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。 通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。 AAA フェーズは次のように説明されます。


802.1x 認証の仕組み

802.1x 認証は、簡単に言うと次のように機能します。

  1. クライアントからアクセス ポイントに、「アクセスをリクエスト」するメッセージが送信されます。 アクセス ポイントからクライアントに、ID がリクエストされます。

  2. クライアントが ID パケットで応答し、このパケットが認証サーバに送られます。

  3. 認証サーバからアクセス ポイントに、アクセスの「許可」を通知するパケットが送信されます。

  4. アクセス ポイントでクライアントのポートが認証された状態になり、データ トラフィックの送受信が可能になります。


802.1x の機能

詳細は、セキュリティ設定を参照してください。


WPA/WPA2

WPA/WPA2 (Wi-Fi Protected Access) は、データ保護とワイヤレス ネットワークへのアクセス制御を大幅に向上するセキュリティ方式です。 WPA では 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。 データの暗号化を強化するために、WPA では TKIP(Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。 TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、Michael と呼ばれる MIC(Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。 これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。

IEEE TGi 仕様に準拠する WPA の第2世代は WPA2 と呼ばれます。

WPA/WPA2 - エンタープライズは、 802.1x RADIUS サーバを使った企業ネットワークにこの水準のセキュリティを提供します。 認証タイプは 802.1x サーバの認証プロトコルに一致するものが選択されます。

WPA/WPA2 - パーソナルは、小規模ネットワークまたは家庭環境でこの水準のセキュリティを提供します。 PSK (Pre-Shared Key)とも呼ばれるパスワードを使用します。 このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。 ご使用のワイヤレス アクセス ポイントやルータが WPA/WPA2 パーソナル(WPA-PSK)をサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。 アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。


Cisco の機能

Cisco LEAP

Cisco LEAP(Cisco Light EAP)は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアント 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)サーバ) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。

高速ローミングを許可する (CCKM)

無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。 CCKM(Cisco Centralized Key Management)の使用により、WDS(Wireless Domain Services)を提供するために設定されたアクセス ポイントが RADIUS サーバの代わりになり、音声アプリケーションまたは他の時間に依存するアプリケーションでのかなりの遅延なしにクライアントの認証を行います。

CKIP

CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。 CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。

 

EAP-FAST

 

EAP-FAST では、EAP-TTLS や PEAP 同様、トンネルを使ってトラフィックを保護します。 主な違いは、EAP-FAST では認証に証明書を使用しないことです。

 

EAP-FAST でのプロビジョニングは、サーバから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。  クライアント側が事前共有済みの秘密のPAC(Protected Access Credential)を持たない場合は、サーバから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始するよう要求できます。

 

EAP-FAST には、 アウトオブバンドのセキュアなメカニズムを通した手動デリバリと自動プロビジョニングの 2 つの PAC デリバリ方法があります。

EAP-FAST 方法は、 プロビジョニングと認証の 2 つの段階に分けられます。

プロビジョニングの段階では、PAC がクライアントに最初にデリバリされます。 この段階は 1 クライアントとユーザ毎に 1 回だけ実行します。

 

 

混合セル モード

 

Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。 これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。 これらのアクセス ポイントはネットワークが暗号化を使用しないことをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。 プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。  詳細情報は、Cisco Compatible Extensions オプションを参照してください。

 

無線管理

 

この機能を有効にすると、ワイヤレス アダプタが Cisco のインフラストラクチャへの無線管理を提供します。 そのインフラストラクチャで Cisco の [無線管理] ユーティリティを使用すると、無線パラメータを設定し、干渉および非認識のアクセス ポイントを検出します。

 

 


 

目次に戻る