IEEE 802.11 規格の WEP(Wired Equivalent Privacy)暗号化を使用すると、無線データの不正受信を防ぐことができます。 WEP 暗号化は、64 ビット キー(40 ビットとして表記される場合もあります)または 128 ビット キー(104 ビットとも呼ばれます)を使用した 2 つのレベルのセキュリティを提供します。 セキュリティを強化するには、128 ビット キーを使用してください。 暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。
WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。 TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。
802.11 では、オープン システムと共有キーの 2 つのタイプのネットワーク認証方法がサポートされています。
[オープン システム] の認証を使用すると、任意のワイヤレス ステーションが認証をリクエストできます。 別のワイヤレス ステーションとの認証が必要なステーションは、送信ステーションの ID を含む認証管理フレームを送信します。 受信ステーションまたはアクセス ポイントは、すべてのリクエストを認証します。 オープン システム認証では、すべてのデバイスがネットワークにアクセスできます。 ネットワークで暗号化が無効の場合は、アクセス ポイントの SSID を持つデバイスすべてが、ネットワークにアクセスできます。
[共有キー] の認証を使用すると、各ワイヤレス ステーションが、802.11 ワイヤレス ネットワーク通信チャネルから独立した保護されたチャネルを通じて、秘密の共有キーを受け取ったものとみなされます。 共有キー認証では、クライアントに静的な WEP キーが設定されていることが必要です。 クライアントは、認証に基づくチャレンジを送信した場合のみ、アクセスを許可されます。
概要
802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。 802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。 詳しくは802.1x 認証の仕組みを参照してください。 802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。 認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。 802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。 802.1x では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。
無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。 認証システム (アクセス ポイント)、サプリカント (クライアント ソフトウェア)、および認証サーバ (リモート認証ダイヤルイン ユーザ サービス サーバ - RADIUS) です。 802.1x 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。 このRADIUS サーバは、(パスワードや証明書により)ユーザ、または( MAC アドレスにより)マシンを認証できます。 理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。 802.1x ではいくつかの認証アルゴリズムを使用します。 例えば、MD5-チャレンジ、EAP-TLS、EAP-TTLS、PEAP (Protected EAP)、および EAP Cisco ワイヤレス LEAP (Light Extensible Authentication Protocol) などがあります。 これらはすべて、ワイヤレス クライアントを RADIUS サーバに識別させるための方法です。 RADIUS 認証では、ユーザの ID はデータベースで検証されます。 RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。 RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。 IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。 ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。
RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。 通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。 AAA フェーズは次のように説明されます。
認証フェーズ: ローカル データ ベースにユーザ名とパスワードを検証します。 クリデンシャルの検証後、認証処理が開始されます。
許可フェーズ: リクエストにリソースへのアクセスを許可するかを決定します。 ダイヤルアップ クライアントに IP アドレスが割り当てられます。
アカウンティング フェーズ: トレンド分析、監査、セッション時間の請求、または費用の割り当てを目的としたリソースの使用状況に関する情報を収集します。
802.1x 認証は、簡単に言うと次のように機能します。
クライアントからアクセス ポイントに、「アクセスをリクエスト」するメッセージが送信されます。 アクセス ポイントからクライアントに、ID がリクエストされます。
クライアントが ID パケットで応答し、このパケットが認証サーバに送られます。
認証サーバからアクセス ポイントに、アクセスの「許可」を通知するパケットが送信されます。
アクセス ポイントでクライアントのポートが認証された状態になり、データ トラフィックの送受信が可能になります。
802.1x サプリカント プロトコル サポート
EAP (Extensible Authentication Protocol) - RFC 2284 のサポート
サポートされている認証方法:
MD5 - RFC 2284
EAP TLS 認証プロトコル - RFC 2716 および RFC 2246
EAP トンネル TLS (TTLS)
Cisco LEAP
EAP-FAST
EAP-SIM
PEAP
Windows XP と 2000 をサポート
詳細は、セキュリティ設定を参照してください。
WPA/WPA2 (Wi-Fi Protected Access) は、データ保護とワイヤレス ネットワークへのアクセス制御を大幅に向上するセキュリティ方式です。 WPA では 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。 データの暗号化を強化するために、WPA では TKIP(Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。 TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、Michael と呼ばれる MIC(Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。 これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。
IEEE TGi 仕様に準拠する WPA の第2世代は WPA2 と呼ばれます。
WPA/WPA2 - エンタープライズは、 802.1x RADIUS サーバを使った企業ネットワークにこの水準のセキュリティを提供します。 認証タイプは 802.1x サーバの認証プロトコルに一致するものが選択されます。
WPA/WPA2 - パーソナルは、小規模ネットワークまたは家庭環境でこの水準のセキュリティを提供します。 PSK (Pre-Shared Key)とも呼ばれるパスワードを使用します。 このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。 ご使用のワイヤレス アクセス ポイントやルータが WPA/WPA2 パーソナル(WPA-PSK)をサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。 アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。
Cisco LEAP(Cisco Light EAP)は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアント 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)サーバ) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。
無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。 CCKM(Cisco Centralized Key Management)の使用により、WDS(Wireless Domain Services)を提供するために設定されたアクセス ポイントが RADIUS サーバの代わりになり、音声アプリケーションまたは他の時間に依存するアプリケーションでのかなりの遅延なしにクライアントの認証を行います。
CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。 CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。
KP(Key Permutation)
MIC(Message Integrity Check)
メッセージのシーケンス番号
EAP-FAST では、EAP-TTLS や PEAP 同様、トンネルを使ってトラフィックを保護します。 主な違いは、EAP-FAST では認証に証明書を使用しないことです。
EAP-FAST でのプロビジョニングは、サーバから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。 クライアント側が事前共有済みの秘密のPAC(Protected Access Credential)を持たない場合は、サーバから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始するよう要求できます。
EAP-FAST には、 アウトオブバンドのセキュアなメカニズムを通した手動デリバリと自動プロビジョニングの 2 つの PAC デリバリ方法があります。
手動デリバリ メカニズムは、ネットワークの管理者がネットワークを十分に保護できると判断する限り、任意のデリバリ メカニズムを使用できます。
自動プロビジョニングはクライアントの認証と、PAC のクライアントへのデリバリを保護するため暗号化されたトンネルを確立します。 このメカニズムは手動メカニズムほど安全度は高くありませんが、LEAP で使われる認証方法より安全です。
EAP-FAST 方法は、 プロビジョニングと認証の 2 つの段階に分けられます。
プロビジョニングの段階では、PAC がクライアントに最初にデリバリされます。 この段階は 1 クライアントとユーザ毎に 1 回だけ実行します。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。 これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。 これらのアクセス ポイントはネットワークが暗号化を使用しないことをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。 プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。 詳細情報は、Cisco Compatible Extensions オプションを参照してください。
この機能を有効にすると、ワイヤレス アダプタが Cisco のインフラストラクチャへの無線管理を提供します。 そのインフラストラクチャで Cisco の [無線管理] ユーティリティを使用すると、無線パラメータを設定し、干渉および非認識のアクセス ポイントを検出します。