目次に戻る

セキュリティの概要

無線のセキュリティ

ワイヤレス ネットワーク デバイスは無線電波で情報を伝送するので、セキュリティを設定して情報を保護するのは必須です。次の 3 つの主要なコンポーネントを合わせて使用して、ワイヤレス ネットワークを保護することができます。

セキュリティのガイドライン

次の作業は、ワイヤレス ネットワークのセキュリティを最大にするのに役立ちます。

  1. ワイヤレス ネットワークで WEP を有効にして WEP キーを毎日または毎週変更します。
  2. ドライブとフォルダをパスワードで保護します。
  3. デフォルトの SSID を変更します。
  4. 可能な場合、各セッションごとに WEP キーを変更します。
  5. 可能な場合、MAC アドレスのフィルタを有効にします。
  6. VPN(仮想プライベート ネットワーク)システムを実装してセキュリティを強化します。VPN クライアントは、ほとんどのオペレーティング システムに含まれています。

ネットワークの保護

認証の種類

IEEE 802.1x 規格は、802 LAN に全般的な認証フレームワークを提供し、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)を指定して多種の認証プロトコルに対する LAN での送受信を有効にします。

暗号キー

802.11 規格は、クライアントのトラフィックを保護するために、固定された暗号キーおよび 3 つ のオプショナル キーの長さで WEP(Wireless Encryption Privacy)を定義します。 固定キーの使用により、WEP に対するいくつかの種類の攻撃への対応が容易になりました。詳細はネットワーク キー を参照してください。

WEP 暗号化

IEEE 802.11 規格の WEP(Wired Equivalent Privacy)を使用すると、ワイヤレス データの不正受信防止を強化することができます。標準は、64 ビットキー(40 ビットとして表記される場合もあります)または 128 ビットキーを使用した 2 つのレベルのセキュリティです。セキュリティを強化するには、128 ビット キーを使用してください。暗号化を使用する場合は、無線 LAN のすべてのワイヤレス デバイスが同一の暗号化設定を使用する必要があります。WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。

詳細は、WEP 暗号化の設定を参照してください。

802.1x

WAN クライアントは認証リクエストをアクセス ポイントに開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。このRADIUS サーバは、パスワードによりユーザを、または MAC アドレスによりマシンを認証できます。802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 規格では、認証のフレームワークが提供されます。

802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、いずれも同じ 802.1x のプロトコルとフレームワークを使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。

802.1x プロファイルの設定については、クライアントを WEP と MD5 の認証用に設定するを参照してください。

IPSEC

IPSEC 通信セキュリティ ベースのソフトウェア

WPA(Wi-Fi Protected Access)

WPA(Wi-Fi Protected Access)は、データ保護と WLAN へのアクセス制御を大幅に向上するセキュリティ方式です。WPA モードでは、802.1x 認証とキー交換が強化されます。このモードは、動的な暗号化キーのみを使用できます。

TKIP(Temporal key Integrity Protocol)

暗号キーを頻繁に変更する、fast-packet rekeying(高速パケットの再入力)と呼ばれる暗号化方式を使用します。

PEAP

PEAP は新しい EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS(EAP-トランスポート層セキュリティ)を利用して、さまざまな認証方法をサポートします。たとえば、ログオン パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。

VPN(仮想プライベート ネットワーク)

Intel(R) PROSet では、次の VPN クライアント ソフトウェアがサポートされています。 詳細は、VPN(仮想プライベート ネットワーク)を参照してください。

VPN セキュリティは TCP/IP ベースのサービスを保護できます。IPSec と PPTP VPN トンネリングプロトコルは、無線 LAN を介して送信するデータに強力な暗号化を提供します。VPN は、ネットワーク管理者が、認証されたユーザの既存のデータベースを共有しながら、すべてのユーザを既存の VPN サーバを通じて認証する必要がある場合に役立ちます。非 VPN クライアントと VPN クライアントの両方に適応するために、すべての WLAN トラフィックはゲートウェイにダイレクトできるので、クライアントを事前定義されたネットワークリソースに制限できます。たとえば、ゲスト ユーザはインターネットのアクセスを許可され、認証された VPN クライアントのトラスティッド ユーザはイントラネットとインターネットのアクセスを許可されます。このような対処法では、ユーザを特定の認証方法に従ってダイレクトして、一般のユーザがアクセスするアプリケーションでセキュリティを強化します。

注:802.11a と 802.11b を VPN セキュリティで拡張すれば、TCP/IP ベースのサービスを保護を図ることができます。

Cisco LEAP

Cisco LEAP(Cisco Light EAP)は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアント 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS(Cisco Secure Access Control Server(ACS)サーバ)と通信する場合、Cisco LEAP によりクライアント ワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。

Cisco Rogue AP セキュリティ機能

Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。 標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。

CKIP

CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。
CKIP では次の機能を使用して、インフラストラクチャ
モードにおける 802.11 セキュリティを向上します。

目次に戻る


Copyright (c) 2003 Intel Corporation.