ワイヤレス ネットワーク デバイスは無線電波で情報を伝送するので、セキュリティを設定して情報を保護するのは必須です。次の 3 つの主要なコンポーネントを合わせて使用して、ワイヤレス ネットワークを保護することができます。
次の作業は、ワイヤレス ネットワークのセキュリティを最大にするのに役立ちます。
IEEE 802.1x 規格は、802 LAN に全般的な認証フレームワークを提供し、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)を指定して多種の認証プロトコルに対する LAN での送受信を有効にします。
802.11 規格は、クライアントのトラフィックを保護するために、固定された暗号キーおよび 3 つ のオプショナル キーの長さで WEP(Wireless Encryption Privacy)を定義します。 固定キーの使用により、WEP に対するいくつかの種類の攻撃への対応が容易になりました。詳細はネットワーク キー を参照してください。
IEEE 802.11 規格の WEP(Wired Equivalent Privacy)を使用すると、ワイヤレス データの不正受信防止を強化することができます。標準は、64 ビットキー(40 ビットとして表記される場合もあります)または 128 ビットキーを使用した 2 つのレベルのセキュリティです。セキュリティを強化するには、128 ビット キーを使用してください。暗号化を使用する場合は、無線 LAN のすべてのワイヤレス デバイスが同一の暗号化設定を使用する必要があります。WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。
詳細は、WEP 暗号化の設定を参照してください。
WAN クライアントは認証リクエストをアクセス ポイントに開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。このRADIUS サーバは、パスワードによりユーザを、または MAC アドレスによりマシンを認証できます。802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 規格では、認証のフレームワークが提供されます。
802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、いずれも同じ 802.1x のプロトコルとフレームワークを使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。
802.1x プロファイルの設定については、クライアントを WEP と MD5 の認証用に設定するを参照してください。
IPSEC 通信セキュリティ ベースのソフトウェア
WPA(Wi-Fi Protected Access)は、データ保護と WLAN へのアクセス制御を大幅に向上するセキュリティ方式です。WPA モードでは、802.1x 認証とキー交換が強化されます。このモードは、動的な暗号化キーのみを使用できます。
暗号キーを頻繁に変更する、fast-packet rekeying(高速パケットの再入力)と呼ばれる暗号化方式を使用します。
PEAP は新しい EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS(EAP-トランスポート層セキュリティ)を利用して、さまざまな認証方法をサポートします。たとえば、ログオン パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。
Intel(R) PROSet では、次の VPN クライアント ソフトウェアがサポートされています。 詳細は、VPN(仮想プライベート ネットワーク)を参照してください。
VPN セキュリティは TCP/IP ベースのサービスを保護できます。IPSec と PPTP VPN トンネリングプロトコルは、無線 LAN を介して送信するデータに強力な暗号化を提供します。VPN は、ネットワーク管理者が、認証されたユーザの既存のデータベースを共有しながら、すべてのユーザを既存の VPN サーバを通じて認証する必要がある場合に役立ちます。非 VPN クライアントと VPN クライアントの両方に適応するために、すべての WLAN トラフィックはゲートウェイにダイレクトできるので、クライアントを事前定義されたネットワークリソースに制限できます。たとえば、ゲスト ユーザはインターネットのアクセスを許可され、認証された VPN クライアントのトラスティッド ユーザはイントラネットとインターネットのアクセスを許可されます。このような対処法では、ユーザを特定の認証方法に従ってダイレクトして、一般のユーザがアクセスするアプリケーションでセキュリティを強化します。
注:802.11a と 802.11b を VPN セキュリティで拡張すれば、TCP/IP ベースのサービスを保護を図ることができます。
Cisco LEAP(Cisco Light EAP)は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアント 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS(Cisco Secure Access Control Server(ACS)サーバ)と通信する場合、Cisco LEAP によりクライアント ワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。
Cisco Rogue AP セキュリティ機能
Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。 標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。
CKIP
CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。
CKIP では次の機能を使用して、インフラストラクチャ
モードにおける 802.11 セキュリティを向上します。
Copyright (c) 2003 Intel Corporation.