目次に戻る

セキュリティの概要:PRO/Wireless LAN Mini PCI Adapter ユーザ ガイド


WEP 暗号化と認証
暗号化の概要
ネットワークの保護
認証の種類
802.1x 認証
RADIUS とは
WPA(Wi-Fi Protected Access)
PEAP
Cisco LEAP


WEP 暗号化と認証

WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワークのデータを保護します。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。認証は、アダプタからアクセス ポイントへの追加検証を提供します。

サポートされる認証スキーマは、オープン認証と共有キー認証です。

ネットワーク キー

データの暗号化 (WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。ネットワーク キーは自動的に提供される (ワイヤレス ネットワーク アダプタに提供されている場合など) こともあれば、自分でキーを入力し、キーの長さ (64 ビットか 128 ビット)、キーの形式 (ASCII 文字か16 進数の値)、キー インデックス (特定のキーが保管される場所) を指定することもできます。キーの長さが長いほど、安全性も高くなります。キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。

暗号化における静的キーと動的キーのタイプ

802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。静的暗号化キーは手作業で変更され、安全性は低くなります。MD5 認証では、静的な暗号化キーのみが使用されます。動的な暗号化キーは、定期的に自動更新されます。このため、暗号化キーはより安全です。動的な暗号化キーを使用するには、TLS、TTLS、PEAP などの 802.1x 証明書に基づく認証方法を使用することが必要です。


暗号化の概要

WLAN のセキュリティは、WEP(Wireless Encryption Protocol)を使用するデータの暗号化を有効にして強化できます。64 ビットまたは 128 ビットのレベルの暗号化を選択できます。また、キーを使用してデータを暗号化することもできます。キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。ただし、一度に 1 つのキーのみを使用できます。また、プライバシーを確実にするためにプロファイルをパスワードで保護できます。WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するか選択できます。64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キーを 26 個の 16 進数で入力して、適切なネットワークに接続できます。

注: ワイヤレス ネットワークにある他のデバイスが使用するのと同じ暗号化の種類、キー インデックス番号と WEP キーを使用する必要があります。また、802.1x 認証を使用する場合は、WEP 暗号化を無効にしなくてはなりません。


ネットワークの保護


認証の種類

IEEE 802.1x 規格は 802 LAN に全般的な認証のフレームワークを提供し、さまざまな種類の認証プロトコルで LAN のトランスポートを実行するために EAP (Extensible Authentication Protocol、拡張可能認証プロトコル) を指定します。WLAN クライアントはアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP 準拠の RADIUS サーバに認証させます。このRADIUS サーバは、パスワードによりユーザ、または MAC アドレスによりマシンを認証できます。802.1x 認証は、802.11 認証プロセスとは独立しています。802.1x 規格では、認証のフレームワークが提供されます。802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、いずれも同じ 802.1x のプロトコルとフレームワークを使用して、クライアントとアクセス ポイント間の通信を行います。ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。

802.1x プロファイルの設定については、クライアントを WEP と MD5 の認証用に設定するを参照してください。


802.1x 認証

802.1x の機能

802.1x 認証に関する注意事項

概要

802.1x 認証は、802.11 認証プロセスとは独立しています。802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。詳細については、802.1x とデータの暗号化を参照してください。

802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。802.1x では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。認証システム (アクセス ポイント)、サプリカント (クライアント ソフトウェア)、および認証サーバ (リモート認証ダイヤルイン ユーザ サービス サーバ - RADIUS) です。802.1x 認証セキュリティは WLAN クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。このRADIUS サーバは、パスワードや証明書によりユーザ、または MAC アドレスによりマシンを認証できます。理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。802.1x ではいくつかの認証アルゴリズムが使用されています。 MD5-チャレンジ、EAP-TLS、EAP-TTLS、PEAP (Protected EAP)、および EAP Cisco ワイヤレス LEAP (Light Extensible Authentication Protocol) です。これらはすべて、WLAN クライアントを RADIUS サーバに識別します。RADIUS 認証では、ユーザの ID はデータベースで検証されます。RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。

802.1x 認証のしくみ

802.1x 認証は、簡単に言うと次のように機能します。

  1. クライアントからアクセス ポイントに、アクセスをリクエストするメッセージが送信されます。アクセス ポイントからクライアントに、ID がリクエストされます。
  2. クライアントが ID パケットで応答し、このパケットが認証サーバに送られます。
  3. 認証サーバからアクセス ポイントに、アクセスの許可を通知するパケットが送信されます。
  4. アクセス ポイントでクライアントのポートが認証された状態になり、データ トラフィックの送受信が可能になります。

RADIUS とは

RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用するAAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。AAA フェーズは次のように説明されます。


WPA(Wi-Fi Protected Access*)

WPA (Wi-Fi Protected Access) は、データ保護と WLAN へのアクセス制御を大幅に向上するセキュリティ方式です。WPA モードでは 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。データの暗号化を強化するために、WPA では TKIP (Temporal Key Integrity Protocol:一時キー統合プロトコル) を使用しています。TKIP では、データ暗号化の重要な強化が行われます。 これには、パケットごとのキー混合機能、Michael と呼ばれる MIC (Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター (IV)、およびキーの再発行メカニズムが含まれます。これらの強化された機能により、TKIPWEP の既知の弱点を強化します。


PEAP

PEAP は新しい EAP (Extensible Authentication Protocol:拡張可能認証プロトコル) IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS (EAP-トランスポート層セキュリティ) を利用して、さまざまな認証方法をサポートします。 たとえば、ユーザのパスワードと 1 回のみ使用するパスワードや、一般的なトークン カードなどです。


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアントの 802.1x 認証です。ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)サーバ) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。

Cisco Rogue AP セキュリティ機能

Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。

CKIP

CKIP (Cisco Key Integrity Protocol) は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。
CKIP では次の機能を使用して、インフラストラクチャ
モードにおける 802.11 セキュリティを向上します。

目次に戻る


制約と免責に記述されているすべての情報をお読みください。