データの暗号化と認証の設定
暗号化の概要
WEP 暗号化を有効にする
システム管理者のタスク
クライアントを WEP と MD5 の認証用に設定する
WEP または TKIP 認証を使用してクライアントを WPA-PSK 用に設定する
TKIP 暗号化と TLS 認証を使用してクライアントを WPA 用に設定する
TKIP 暗号化と TLS 認証または PEAP 認証を使用してクライアントを WPA 用に設定する
CKIP 暗号化と LEAP 認証を使用してクライアントを CCX 用に設定する
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でのデータの保護を支援します。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。認証は、アダプタからアクセス ポイントへの追加検証を提供します。 WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。
802.11 では、オープン システムと共有キーの 2 つのタイプのネットワーク認証方法がサポートされています。 サポートされる認証スキーマは、オープン認証と共有キー認証です。
データの暗号化 (WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。ネットワーク キーは自動的に提供される(ワイヤレス ネットワーク アダプタに提供されている場合など)こともあれば、自分でキーを入力し、キーの長さ(64 ビットか 128 ビット)、キーの形式(ASCII 文字か 16 進数の値)、キー インデックス(特定のキーが保管される場所)を指定することもできます。キーの長さが長いほど、安全性も高くなります。キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。
802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。
802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。静的暗号化キーは手作業で変更され、安全性は低くなります。MD5 認証では、静的な暗号化キーのみが使用されます。動的な暗号化キーは、定期的に自動更新されます。このため、暗号化キーはより安全です。動的な暗号化キーを使用するには、TLS、TTLS、PEAP、LEAP などの 802.1x 認証方法を使用することが必要です。
WLAN のセキュリティは、WEP(Wireless Encryption Protocol)を使用するデータの暗号化を有効にして強化できます。64 ビットまたは 128 ビットのレベルの暗号化を選択できます。また、キーを使用してデータを暗号化することもできます。キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。ただし、一度に 1 つのキーのみを使用できます。また、プライバシーを確実にするためにプロファイルをパスワードで保護できます。
WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するかを選択できます。64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キーを 26 個の 16 進数で入力して、適切なネットワークに接続できます。
注: ワイヤレス ネットワークにある他のデバイスが使用するのと同じ暗号化の種類、キー インデックス番号と WEP キーを使用する必要があります。また、802.1x 認証を使用する場合は、WEP 暗号化を無効にしなくてはなりません。
次の例では、既存のプロファイルを編集する方法と、WEP 暗号化を適用する方法について説明します。
WEP 暗号化を有効にするには:
- パス フレーズの使用:[パス フレーズの使用] をクリックして有効にします。パス フレーズのフィールドに、テキスト フレーズを 5文字(64 ビットの場合) または 13文字 (128 ビットの場合)までの英数文字(0-9、a-z または A-Z)で入力します。
- 16 進キーの使用:[16 進キーの使用] をクリックして有効にします。16 進キーのフィールドに、10 文字 (64 ビットの場合) までの英数文字(0-9、A-F)、または 26 文字 (128 ビットの場合) までの英数文字(0-9、A-F)を入力します。
![]() |
注:ワイヤレス ネットワークにある他のデバイスが使用するのと同じ暗号化の種類、キー インデックス番号と WEP キーを使用する必要があります。 |
![]() |
注: 次の情報は、システム管理者を対象に書かれています。 |
EAP-TLS や EAP-TTLS の証明書がない場合は、認証を行うためにクライアント証明書を入手する必要があります。一般的に、ネットワークで証明書を取得する方法については、システム ネットワーク管理者に問い合わせてください。証明書は、Internet Explorer か Windows の [コントロール パネル] からアクセスできる [インターネット オプション] で管理できます。[インターネット オプション] の [コンテンツ] ページを使用します。
Windows XP と 2000 を使用する場合: クライアント証明書を入手する際に、[秘密キーの保護を強力にする] を選択しないでください。証明書で秘密キーの保護を強力にすると、この証明書を使用するたびに、パスワードの入力が必要になります。TLS/TTLS 認証のサービスを設定する際は、このオプションを必ずオフにします。オンにすると、プロンプト ダイアログを表示する対象となるログインしたユーザが存在しないため、802.1x サービスで認証に失敗します。
スマート カードに関する注意事項
スマート カードをインストールすると、証明書は自動的にコンピュータにインストールされ、個人証明書ストアとルート証明書ストアから選択できるようになります。
手順 1:証明書を入手する
TLS 認証を行うには、ログインしたユーザのアカウントに対し、ローカル データベースに有効なクライアント(ユーザ)証明書が必要です。また、ルート ストアにトラステッド CA の証明書が必要です。
証明書は、次の 2 つの方法で入手できます。
Windows 2000 サーバに実装されている証明機関から入手する。
Internet Explorer の証明書のインポート ウィザードを使用して、ファイルから証明書をインポートする。
注: 初めて証明書を入手する場合は、トラステッド CA の証明書をルート ストアにインストールするかどうかを尋ねられます。ダイアログには、これがトラステッド CA の証明書であることは表示されませんが、証明書の名前が、CA のホストであるトラステッド CA の証明書であることを示します。[はい]をクリックします。この証明書は、TLS と TTLS の両方に必要です。
次の例で、TTLS 認証または PEAP 認証を使用して、TKIP 暗号化と WPA を使用する方法を説明します。
手順 2:Intel(R) PROSet で使用する証明書を指定する
クライアント証明書を入手して、インストールします。 詳しくは手順 1 を参照するか、システム管理者に問い合わせてください。
[全般] ページで、[ネットワーク] タブをクリックします。
[追加] ボタンをクリックします。
プロファイルとネットワーク (SSID) 名を入力します。
操作モードに [インフラストラクチャ] を選択します。
[次へ] をクリックします。
[ネットワーク認証] に [オープン システム] を選択します。これ以外の任意の認証モードを選択することもできます。
データ暗号化に [WEP] を選択します。これ以外の任意の暗号化タイプを選択することもできます。
[802.1x 有効] チェックボックスをクリックします。
この接続で使用する認証タイプを [TLS] に設定します。
[設定] ボタンをクリックして、設定のダイアログを開きます。
[ユーザ名] フィールドにユーザ名を入力します。
リストから [証明書発行元] を選択します。デフォルトとして、[トラステッド CA のいずれか] を選択します。
中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
サーバ名を入力します。
サーバ名がわかっている場合は、その名前を入力します。
サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
[クライアント証明書] オプションの [選択] ボタンをクリックして、インストールされている証明書の一覧を表示します。
証明書に関する注意事項:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。証明書は、認証サーバに対して「有効」であることが必要です。このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。ログイン時には、証明書のインストール時と同じユーザ名を使用します。
一覧から証明書を選択し、[OK] をクリックします。[クライアント証明書] に、クライアント証明書の情報が表示されます。
[閉じる] をクリックします。
[完了] ボタンをクリックして、プロファイルのセキュリティ設定を保存します。
WEP 認証と MD5 認証を新しいプロファイルに追加するには:
注: この作業を始める前に、システム管理者から RADIUS サーバーのユーザ名とパスワードを入手してください。
認証サーバを使用していない場合は、WPA-PSK(Wi-Fi Protected Access - Pre Shared Key) を使用します。このモードは 802.1x 認証プロトコルは使用しません。次の暗号化タイプとともに使用できます。WEP または TKIP。WPA-PSK では、PSK (Pre-Shared Key) の設定が必要です。PSK には、長さ 256 ビットのパス フレーズか、64 の 16 進文字を入力します。データの暗号化キーは、PSK から取得されます。
WPA-PSK を使用してプロファイルを設定するには:
[全般] ページで、[ネットワーク] タブをクリックします。
[追加] ボタンをクリックします。
プロファイルとネットワーク (SSID) 名を入力します。
操作モードに [インフラストラクチャ] を選択します。
[次へ] をクリックします。
ネットワーク認証に [WPA-PSK] を選択します。また、認証モードを選択することもできます。
データ暗号化に [WEP] を選択します。
次のいずれかを選択します。
パス フレーズの使用:[パス フレーズの使用] をクリックして有効にします。テキスト フレーズを 8 から 63 個の英数半角文字(0-9、a-z または A-Z) で入力します。
16 進キーの使用:[16 進キーの使用] をクリックして有効にします。16 進キーのフィールドに64 個までの英数半角文字 0-9、A-F で入力します。
[802.1x 有効] チェックボックスをクリックします。
この接続で使用する認証タイプを [TLS] に設定します。
[完了] ボタンをクリックして、プロファイルのセキュリティ設定を保存します。
TKIP 暗号化と TLS 認証を使用してクライアントを WPA 用に設定する
TLS、TTLS、PEAP では、WPA(Wi-Fi Protected Access)モードを使用できます。この 802.1x 認証オプションでは、データの暗号化オプションに WEP か TKIP を使用します。WPA (Wi-Fi Protected Access) モードは、802.1x 認証にバインドします。データの暗号化キーは、802.1x キー交換から取得されます。 データ暗号化を向上するために、WFP (Wi-Fi Protected) アクセスでは TKIP (Temporal Key Integrity Protocol) が使用されます。TKIP では、キーの再発行を含む、重要なデータ暗号化の強化が行われます。
クライアント証明書の入手とインストールについては、クライアントを TLS 認証用に設定するを参照するか、システム管理者に問い合わせてください。
[全般] ページで、[ネットワーク] タブをクリックします。
[追加] ボタンをクリックします。
プロファイルとネットワーク (SSID) 名を入力します。
操作モードに [インフラストラクチャ] を選択します。
[次へ] をクリックします。
[ネットワーク認証] に [WPA] を選択します。
データ暗号化に [TKIP] を選択します。
この接続で使用する認証タイプを [TLS] に設定します。
[設定] ボタンをクリックして、設定のダイアログを開きます。
[ユーザ名] フィールドにユーザ名を入力します。
リストから [証明書発行元] を選択します。デフォルトとして、[トラステッド CA のいずれか] を選択します。
中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
サーバ名を入力します。
サーバ名がわかっている場合は、その名前を入力します。
サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
クライアント証明書: このオプションでは、Windows のログインしたユーザーの個人用証明書ストアから、クライアント証明書が選択されます。この証明書がクライアントの認証に使用されます。インストールされている証明書のリストを表示するには、[選択] ボタンをクリックします。
証明書に関する注意事項:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。証明書は、認証サーバに対して「有効」であることが必要です。このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。ログイン時には、証明書のインストール時と同じユーザ名を使用します。
一覧から証明書を選択し、[OK] をクリックします。[クライアント証明書] に、クライアント証明書の情報が表示されます。
[閉じる] をクリックします。
[完了] ボタンをクリックして、プロファイルのセキュリティ設定を保存します。
TTLS認証を使用する:これらの設定では、ユーザーの認証に使用されるプロトコルと必要な情報が定義されます。TTLS では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。クライアントは、この暗号化チャネルを通じたサーバの検証で、別の認証プロトコルを使用することもできます。 一般的にパスワードに基づくプロトコルが使用されます。チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。
PEAP 認証を使用する:PEAP 設定は、クライアントを認証サーバで認証する際に必要になります。PEAP では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。クライアントは、この暗号化チャネルを通じたサーバの検証で、別の EAP プロトコルを使用することもできます。 たとえば、MSCHAP (Microsoft Challenge Authentication Protocol) バージョン 2 などです。チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。
次の例で、TTLS 認証または PEAP 認証を使用して、TKIP 暗号化と WPA を使用する方法を説明します。
クライアント証明書の入手とインストールについては、クライアントを TLS 認証用に設定するを参照するか、システム管理者に問い合わせてください。
[全般] ページで、[ネットワーク] タブをクリックします。
[追加] ボタンをクリックします。
プロファイルとネットワーク (SSID) 名を入力します。
操作モードに [インフラストラクチャ] を選択します。
[次へ] をクリックします。
[ネットワーク認証] に [WPA] を選択します。
データ暗号化に [TKIP] を選択します。
この接続で使用する認証タイプを [TTLS] または [PEAP ] に設定します。
[設定] ボタンをクリックして、設定のダイアログを開きます。
[ローミング ID] フィールドにローミング ID 名を入力します。 このオプションの機能は、認証システムに 802.1X ID を供給します。このフィールドには実際の ID ではなく、適当な領域 (anonymous@myrealm など) を使用することを推奨します。
リストから [証明書発行元] を選択します。デフォルトとして、[トラステッド CA のいずれか] を選択します。
中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
サーバ名を入力します。
サーバ名がわかっている場合は、その名前を入力します。
サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
認証プロトコル:
PEAP: [MS-CHAP-V2] を選択します。このパラメータは、PEAP トンネルで使用されている認証プロトコルを指定します。次のプロトコルがあります:MS-CHAP-V2 (デフォルト)、GTC、および TLS。
TTLS:[PAP] を選択します。このパラメータは、TTLS トンネルで使用されている認証プロトコルを指定します。次のプロトコルがあります:PAP (デフォルト)、CHAP、MD5、MS-CHAP、および MS-CHAP-V2。
ユーザ名を入力します。 このユーザ名は、クライアントの認証に先立って、IT 管理者が認証サーバに設定したユーザ名と一致する必要があります。ユーザ名では大文字と小文字が区別されます。このユーザ名で、TLS トンネルの認証プロトコルで認証の際に送信される ID が指定されます。このユーザ ID は、暗号化チャネルが検証および確立された後に、サーバーに安全に転送されます。
ユーザ パスワードを入力します。ユーザのパスワードを指定します。 このパスワードは、認証サーバに設定されているパスワードと一致することが必要です。
ユーザ パスワードを再入力します。 確認された場合は、[パスワード] フィールドに入力されたパスワードの文字が表示されます。
クライアント証明書: このオプションでは、Windows のログインしたユーザーの個人用証明書ストアから、クライアント証明書が選択されます。この証明書がクライアントの認証に使用されます。インストールされている証明書のリストを表示するには、[選択] ボタンをクリックします。
証明書に関する注意事項:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。証明書は、認証サーバに対して「有効」であることが必要です。Windows のログインしたユーザの個人用証明書ストアからのクライアント証明書。この証明書がクライアントの認証に使用されます。これは、認証サーバが証明機関として証明書の発行者を知っている必要があることを意味します。ログイン時には、証明書のインストール時と同じユーザ名を使用します。
一覧から証明書を選択し、[OK] をクリックします。[クライアント証明書] に、クライアント証明書の情報が表示されます。
[閉じる] をクリックします。
[完了] ボタンをクリックして、プロファイルのセキュリティ設定を保存します。
[全般] ページで、[ネットワーク] タブをクリックします。
[追加] ボタンをクリックします。
プロファイルとネットワーク (SSID) 名を入力します。
操作モードに [インフラストラクチャ] を選択します。
アクセス ポイントは WLAN 環境に従って異なる認証のタイプを選択するための設定を提供します。クライアントは、802.11 規格で接続を確立するためにクライアントとアクセス ポイント間で行われる認証ハンドシェーク中に認証アルゴリズム フィールドを送信します。CCX を有効にしたアクセス ポイントによって認識される認証アルゴリズムの値は、認証タイプによって異なります。たとえば、LEAP を指示する「Network-EAP (ネットワーク EAP)」は 0x80 の値を持ち、802.11 で指定されたオープン システムの認証である「Open (オープン システム)」とEAP ハンドシェークを必要とする 「Required EAP (必須 EAP)」では 0x0 の値を持ちます。
アクセス ポイント:[Network-EAP] チェックボックスをチェックし、[Open] と [Required EAP] チェックボックスのチェックマークを外して設定する LEAP 認証タイプのみを使用して CCX を有効にしたネットワークです。これにより、アクセス ポイントは LEAP クライアントのみを認証と接続に許可するように設定されます。この場合、アクセス ポイントは 802.11 認証アルゴリズムが 0x80 (LEAP) に設定されていることを予期し、認証アルゴリズムの値に 0x0 を持つクライアントが認証を試行すると拒否します。
クライアント:クライアントが認証アルゴリズム値 0x80 を送信しない場合、802.11 認証ハンドシェークは失敗します。起動中にワイヤレス LAN ドライバがすでにロードされサプリカントがまだロードされていない場合には、クライアントは認証アルゴリズム値 0x0 を持つ 802.11 認証を送信します。Intel(R) PROSet のファイルがロードされ、LEAP プロファイルが実行されると、認証アルゴリズム値 0x80 を持つ 802.11 認証を送信します。ただし、[Rogue AP] チェックボックスがチェックされている場合のみ、サプリカントは 0x80 の値を送信します。
Network-EAP、Open、Required EAP
アクセス ポイント:[Network-EAP]、[Open]、[Required EAP] チェックボックスがチェックされている場合、802.11 認証アルゴリズム値 0x0 と 0x80 の両方を受け入れます。ただし、クライアントが関連付けられ認証されると、アクセス ポイントは EAP ハンドシェークが実行されることを予期します。EAP ハンドシェークがただちに行われない場合、アクセス ポイントは約 60 秒間クライアントに応答しません。
クライアント:この場合は、クライアントは認証アルゴリズム値 0x80 または 0x0 を送信します。両方の値は受け入れが可能で、802.11 認証ハンドシェークは成功します。起動中にワイヤレス LAN ドライバがすでにロードされると、クライアントは 認証アルゴリズム値 0x0 で 802.11 認証を送信します。これは認証を受けるには適していますが、接続を確立するには対応する EAP または LEAP クリデンシャルがアクセス ポイントと通信する必要があります。
[Open] および [Required EAP only]
アクセス ポイント:[Network-EAP] チェックボックスがチェックされずに [Open] および [Required EAP] チェックボックスがチェックされてアクセス ポイントが設定されている場合、アクセス ポイントは認証アルゴリズム値 0x80 を使用する 802.11 認証を試行するすべてのクライアントを拒否します。アクセス ポイントは認証アルゴリズム値 0x0 を使用するクライアントを受け入れ、EAP ハンドシェークがただちに実行されることを予期します。この場合、クライアントは特定のネットワーク設定に適した MD5、TLS、LEAP または他の EAP 方式を使用します。
クライアント:この場合、クライアントは認証アルゴリズム値 0x0 を送信する必要があります。前述したように、最初の 802.11 認証ハンドシェークが繰り返されます。まず、ワイヤレス LAN ドライバは認証アルゴリズム値 0x0 を使用して認証を開始し、サプリカントが処理を繰り返します。ただし、サプリカントが使用する認証アルゴリズムは、[Rogue AP] チェックボックスの状態により異なります。[Rogue AP] チェックボックスがチェックされていない場合、クライアントはサプリカントがロードされ LEAP プロファイルが実行された後も認証アルゴリズム値 0x0 を使用して 802.11 認証を送信します。
この場合、インテル以外のクライアントは、LEAP に設定された場合に認証できません。ただし、[Rogue AP] チェックボックスがチェックされていない場合、インテル ワイヤレス LAN クライアントは認証できます。
[Rogue AP] チェックボックスがチェックされると、クライアントが CCX により必要とされる Rogue AP 機能を実装します。クライアントは、認証に失敗したアクセス ポイントを記録して、その情報を認証と接続が可能なアクセス ポイントに送信します。また、[Rogue AP] チェックボックスがチェックされている場合、サプリカントは認証アルゴリズムを値 0x80 に設定します。実装されるネットワーク設定と上述の [Open] および [Required EAP] のみ での設定が必要になる可能性があります。この設定を使用可能にするには、クライアントは、認証アルゴリズム値 0x80 を必要とする上述の Network-EAP only と反対に、認証アルゴリズム値 0x0 を使用する必要があります。そのため、[Rogue AP] チェックボックスをチェックすると、クライアントは [Network-EAP only]、 [Open] および [Required EAP only] をサポートします。
Cisco 必須クライアント準拠仕様バージョン 1.0:
802.11 のすべての必須アイテムに準拠
MSDU および MMPDU のデフラグ
RTS への応答で CTS を生成
オープン キーと共有キーの認証のサポート
アクティブ スキャンのサポート
Wi-Fi 準拠
Windows プラットフォームで Microsoft 802.11 NIC 準拠
802.1X-2001 準拠
Windows XP で EAP-TLS (トランスポート レベル セキュリティ、RFC 2716) をサポート
Windows XP で EAP-MD4 (RFC 1320) をサポート
暗号化なしで送信される EAP パケットのサポート
ブロードキャスト キー ローテーションのサポート
CKIP のサポート
WEP/RC4 のサポート
WEP に 4 つのキーをサポート
WEP40 キーと WEP128 キーの両方をサポート
LEAP サポート必須
Rogue AP レポートのサポート
Cisco Extension:Aironet 相互接続エレメントのサポート - CWmin および CWmax フィールド
カプセル化変換ルール相互接続エレメントのサポート
Cisco Extension:アクセス ポイント IP アドレス 相互接続エレメント
Cisco Extension:シンボル相互接続エレメント
混合 (WEP および 非 WEP) セル
アクセスポイントが複数の SSID に応答可能 - VLAN 識別
ステルス モードのサポート - クライアントはビーコンで欠落 SSID を無視
複数の SSID のサポート - クライアントは最高 3 つの SSID を使用可能
クライアントはプローブ リクエストで設定された SSID を使用
注:詳細は、www.cisco.com にある Cisco Client extensions バージョン 1.0 ドキュメントを参照してください。
制約と免責に記述されているすべての情報をお読みください。