このセクションは、ワイヤレス ネットワークの保護に使用されるさまざまなセキュリティ方式について説明します。
ワイヤレス ネットワークを保護しないままにしておくと、他のコンピュータからのアクセスに脆弱になります。 このセクションで説明するセキュリティ方式を使用して、ほとんどすべての種類の無許可のアクセスから、ホーム ネットワークとスモール ビジネス ネットワークを簡単に保護することができます。
認証は、ネットワークのアクセス ポイントでネットワークにアクセスするクライアント (通常はノート PC) からの要請を識別して承認する処理です。 認証が完了してアクセスが許可されると、クライアントはネットワークにアクセスできます。
ワイヤレス ネットワーク上に送信する情報とデータを暗号化する暗号化アルゴリズムを選択できます。 事前共有キー (PSK) を持つコンピュータのみで、送受信されるデータを暗号化し暗号解除を行えます。 暗号キーは、64 ビットと 128 ビットの 2 つのレベルのセキュリティで使用できます。 セキュリティを強化するには、128 ビットのキーを使用してください。
ネットワークのセキュリティを向上するための簡単な方法は、ネットワーク アクセス ポイントでサービス セット ID (SSID) をブロードキャストしないように設定することです。 SSID はアクセスするために必要です。 SSID を知っているコンピュータのみがネットワークにアクセスできます。 (これは、インテル(R) PROSet/Wireless WiFi 接続ユーティリティを使用するアダプタには設定されません。アクセス ポイントで設定されます。)
IEEE 802.11 では、2 つのタイプのネットワーク認証方法がサポートされています。オープン システムと共有キーです。
Wired Equivalent Privacy (WEP) は暗号を使用して、ワイヤレス データの無許可の受信を防ぎます。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスして他のコンピュータによって送信されたデータの暗号を解除できます。 WEP 暗号化は、64 ビット キー(40 ビットとして表記される場合もあります)または 128 ビット キー(104 ビットとも呼ばれます)を使用した 2 つのレベルのセキュリティを提供します。 セキュリティを強化するには、128 ビット キーを使用する必要があります。暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。
WAP データ暗号化では、ワイヤレス ステーションに 4 つまでのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。特定のキー インデックスに保管されているキーを使用して、アクセス ポイント (AP) かワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。 受信側の AP やワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の暗号解除に使用されます。
WEP 暗号化アルゴリズムは、ネットワークへの攻撃に脆弱なため、WPA - パーソナルまたは WPA2 - パーソナル セキュリティの使用を検討してください。
WPA パーソナル モードは、ホームおよびスモール ビジネス環境向けです。 WPA パーソナルでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。認証サーバーは必要ありません。アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。 セキュリティは、パスワードの強度と秘密性に依存します。このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。ご使用のワイヤレス アクセス ポイントやルータが WPA パーソナルおよび WPA2 パーソナルをサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。 WPA パーソナルは、TKIP と AES-CCMP データの暗号化アルゴリズムを使用可能にします。
WPA2 パーソナルでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。認証サーバーは必要ありません。アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。 セキュリティは、パスワードの強度と秘密性に依存します。このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。 WPA2 は WPA を改善した方式で、完全な IEEE 802.11i 規格を実装しています。 WPA2 は WPA とコウホウ互換性があります。 WPA2 - パーソナルは、TKIP と AES-CCMP データの暗号化アルゴリズムを使用可能にします。
注:WPA - パーソナルと WPA2 - パーソナルは相互接続可能です。
このセクションは、さらに規模の大きな企業でよく使用されるセキュリティについて説明します。
概要
Radius とは
802.1X 認証の仕組み
802.1X の機能
802.1X 認証は、802.11 認証プロセスとは独立しています。802.11 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。 802.1X 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.11 のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1X 認証プロセスが完了すると、クライアントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。詳しくは802.1X 認証のしくみを参照してください。 802.1X 認証では、クライアントと、アクセス ポイントに接続されたサーバー (たとえば、RADIUS (Remote Authentication Dial-In User Service: リモート認証ダイアルイン ユーザー サービス) サーバー) の間で、認証方法が使用されます。 認証プロセスでは、ユーザーのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。 802.1X のほとんどのタイプでは、キーによるセキュリティを強化するために、ユーザーごと、セッションごとの動的キーが使用されます。 802.1X 認証では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。
ワイヤレス ネットワークの 802.1X 認証は、3 つの主要なコンポーネントで構成されます。
802.1X 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバーに認証させます。このRADIUS サーバーは、パスワードや証明書によりユーザー、または MAC アドレスによりマシンを認証できます。理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。 (認証方式によっては、RADIUS サーバーを使用しません。 WPA - パーソナルと WPA2 - パーソナルは、アクセス ポイントとネットワークへのアクセスを要請するすべてのデバイスで入力する必要のある共通のパスワードを使用します。)
802.1X ではいくつかの認証アルゴリズムを使用します。例:EAP-TLS、EAP-TTLS、Protected EAP (PEAP)、EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP) 。これらはすべて、ワイヤレス クライアントを RADIUS サーバーに識別させるための方法です。RADIUS 認証では、ユーザーの ID はデータベースで検証されます。RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。 RADIUS 認証は、複数サーバーの環境でクライアントを検証するプロキシの処理を含みます。 IEEE 802.1X 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのメカニズムを提供します。ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。
RADIUS は、リモート認証ダイアルイン ユーザー サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバーへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバー プロトコルです。通常は、RADIUS サーバーはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。AAA フェーズは次のように説明されます。
次に 802.1X 認証の仕組みを簡単に説明します。
Windows XP では次の認証方式がサポートされています。
オープン 認証を参照してください。
共有認証を参照してください。
WPA パーソナルを参照してください。
WPA2 - パーソナルを参照してください。
エンタープライズ モードの認証は、企業および政府機関環境向けです。 WPA エンタープライズは、RADIUS またはその他の認証サーバーを使用してネットワーク ユーザーを確認します。WPA は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティーを保護します。認証タイプは 802.1X サーバーの認証プロトコルに一致するものが選択されます。
WPA エンタープライズ認証は、企業および政府機関環境向けです。 WPA2 エンタープライズは、RADIUS またはその他の認証サーバーを使用してネットワーク ユーザーを確認します。 WPA2 は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティーを保護します。認証タイプは 802.1X サーバーの認証プロトコルに一致するものが選択されます。エンタープライズ モードは、企業および政府機関環境向けです。 WPA2 は WPA を改善した方式で、完全な IEEE 802.11i 規格を実装しています。
AES - CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) は IEEE 802.11i 標準が指定したワイヤレス送信のプライバシー保護用の新技術です。AES-CCMP は、TKIP より強力な暗号化メソッドを提供します。強力なデータ保護が重要な際には、データの暗号化として AES-CCMP を選択します。 AES-CCMP は WPA/WPA2 パーソナル/エンタープライズ ネットワーク認証で使用できます。
注:一部のセキュリティ ソリューションは、ご使用のコンピュータのオペレーティング システムではサポートされていない可能性があり、その他のソフトウェアやハードウェア、無線 LAN インフラストラクチャ サポートを必要とする場合があります。詳細は、コンピュータの製造元に確認してください。
TKIP (Temporal Key Integrity Protocol) はパケットごとのキー混合、メッセージ統合性チェック、およびキーの再発行メカニズムを提供します。 TKIP は WPA/WPA2 パーソナル/エンタープライズ ネットワーク認証で使用できます。
CKIP を参照してください。
Wired Equivalent Privacy (WEP) は暗号を使用して、ワイヤレス データの無許可の受信を防ぎます。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスして他のコンピュータによって送信されたデータの暗号を解除できます。 エンタープライズ WEP は、[オープン システム] ネットワーク認証を選択して、[802.1X 認証を有効にする] を選択してすべてのクライアント認証方式から選択できる点がパーソナル WEP と異なります。 パーソナル WEP では認証方式の選択肢はありません。
EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と TLS(Transport Layer Security、トランスポート層セキュリティ)というセキュリティ プロトコルを使用する認証方法のタイプ。EAP-TLS では、パスワードを使う証明書が使用されます。EAP-TLS 認証では、動的な WEP キー管理がサポートされています。TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティの強化と認証を意図しています。TLS ハンドシェーク プロトコルは、サーバーとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。
これらの設定では、ユーザーの認証に使用されるプロトコルと必要な情報が定義されます。TTLS (Tunneled Transport Layer Security) では、クライアントが EAP-TLS を使用してサーバーを検証し、クライアントとサーバー間に TLS 暗号化チャネルが作成されます。クライアントは、別の認証プロトコルを使用できます。パスワード ベースのプロトコルは、保護された TLS 暗号化チャネルで送信されます。TTLS の実装は現在 EAP で定義されたすべてのメソッドと数種の古いメソッド(PAP、CHAP、MS-CHAP、および MS-CHAP-V2)をサポートします。TTLS は、新しいプロトコルをサポートするために新しい属性を定義して、新しいプロトコルで動作するように容易に拡張できます。
PEAP は新しい EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)IEEE 802.1X 認証タイプで、サーバー側の EAP-TLS(EAP-トランスポート層セキュリティ)を利用して、さまざまな認証方法をサポートします。たとえば、ユーザー パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。
EAP (Extensible Authentication Protocol) の改良版。 Light Extensible Authentication Protocol (LEAP) はシスコによって開発された独自の拡張認証プロトコルで、チャレンジ-レスポンス認証メカニズムと動的鍵割り当てを提供します。
EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) とは、認証とセッション鍵の配信メカニズムの一種です。これは、GSM (Global System for Mobile Communications) の Subscriber Identity Module (SIM) を使用します。EAP-SIM は、クライアント アダプタと RADIUS サーバーから派生した動的セッション ベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、 Subscriber Identity Module (SIM) カードと通信するのにユーザーの確認コード、または PIN を入力する必要があります。SIM カードは、GSM (Global System for Mobile Communications) ベースのデジタル携帯ネットワークで使用される、特殊なスマート カードです。RFC 4186 は EAP-SIM を説明しています。
EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) は、USIM (UMTS Subscriber Identity Module) を使用する、認証およびセッション鍵配布用の EAP メカニズムです。USIM カードは、携帯ネットワークでユーザー認証に使用されるスマート カードです。
CHAP (Challenge Handshake Authentication Protocol) は 3 方向ハンドシェイク プロトコルで、パスワード認証プロトコルよりセキュアとみなされています。 TTLS 認証方式でのみ使用できます。
RSA Message Digest 4 challenge-and-reply protocol の Microsoft 版を使用します。これは Microsoft システムでしか機能せず、データの暗号化を有効にします。この認証方式を選択すると、すべてのデータが暗号化されます。 TTLS 認証方式でのみ使用できます。
MS-CHAP-V1 や標準的な CHAP 認証方式では利用できない機能であるパスワードの変更機能を提供します。この機能を使用すると、RADIUS サーバーがパスワードの期限が切れたことを通知したときにクライアントはアカウントのパスワードを変更できます。 TTLS および PEAP 認証タイプで使用できます。
認証用のユーザー独自のトークン カードを使用します。GTC の主機能は、デジタル証明書/トークン カード ベースの認証です。また、TLS 暗号化トンネルが確立されるまでユーザー名を隠すこともできます。これによって認証フェーズでユーザー名がブロードキャストされなくなるので、さらなる機密保護が提供されます。 PEAP 認証方式でのみ使用できます。
TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティの強化と認証を意図しています。TLS ハンドシェーク プロトコルは、サーバーとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。 PEAP 認証方式でのみ使用できます。
Cisco LEAP(Cisco Light EAP)は、ユーザーがログオン時に入力したパスワードを使用する、サーバー/クライアント 802.1X 認証です。ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザー用の暗号化キーが提供されます。
Cisco 不正 AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザーの認証情報や認証プロトコルなど、セキュリティーに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。詳細は、LEAP 認証を参照してください。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。
注: CKIP は WPA/WPA2 パーソナル/エンタープライズ ネットワーク認証では使用できません。
注: CKIP は Windows XP で WiFi 接続ユーティリティを使用する場合のみサポートされています。
無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバーの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。CCKM(Cisco Centralized Key Management)の使用により、WDS(Wireless Domain Services)を提供するために設定されたアクセス ポイントが RADIUS サーバーの役割を代行し、音声アプリケーションなどの本来ローミングに時間のかかるアプリケーションを使用している場合でも、少ないタイムラグでローミングされます。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
この機能を有効にすると、ワイヤレス アダプタが Cisco のインフラストラクチャへの無線管理を提供します。そのインフラストラクチャで Cisco の [無線管理] ユーティリティを使用すると、無線パラメータを設定し、干渉および非認識のアクセス ポイントを検出します。
EAP-TTLS および PEAP などの EAP-FAST は、トラフィックを保護するためにトンネルを使用します。主な違いは、EAP-FAST は認証のための証明書を使用しないことです。EAP-FAST でのプロビジョニングは、サーバーから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。クライアント側が事前共有済みの秘密のPAC(Protected Access Credential)を持たない場合は、サーバーから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始できます。
EAP-FAST には、アウトオブバンドのセキュアなメカニズムを通した手動配信と自動提供の 2 つの PAC 配信方法があります。
EAP-FAST 方法は、プロビジョニングと認証の 2 つの段階に分けられます。プロビジョニング フェーズでは、PAC のクライアントへの初期のデリバリが含まれます。このフェーズには、各クライアントおよびユーザーで 1 度のみ実行する必要があります。