このセクションでは、ワイヤレス ネットワークへの接続に使用されるセキュリティの種類について説明します。
IEEE 802.11 規格の WEP(Wired Equivalent Privacy)暗号化を使用すると、無線データの不正受信を防ぐことができます。WEP 暗号化は、64 ビット キー(40 ビットとして表記される場合もあります)または 128 ビット キー(104 ビットとも呼ばれます)を使用した 2 つのレベルのセキュリティを提供します。セキュリティーを強化するには、128 ビット キーを使用してください。暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。認証は、アダプタからアクセス ポイントへの追加検証を提供します。
WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。
注:CKIP は、Windows XP のインテル(R) PROSet/Wireless ソフトウェアを使用する場合にのみサポートされています。
IEEE 802.11 では、2 つのタイプのネットワーク認証方法がサポートされています。オープン システムと共有キーです。
802.1X 認証は、802.11 認証プロセスとは独立しています。802.11 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。802.1X 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.11 のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。ほとんどのプロトコルでは、802.1X 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。詳しくは802.1X 認証のしくみを参照してください。802.1X 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザー サービス)サーバーの間で、認証方法が使用されます。認証プロセスでは、ユーザーのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。802.1X のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザーごと、セッションごとの動的キーが使用されます。802.1X では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。
ワイヤレス ネットワークの 802.1X 認証は、3 つの主要なコンポーネントで構成されます。
802.1X 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバーに認証させます。このRADIUS サーバーは、パスワードや証明書によりユーザー、または MAC アドレスによりマシンを認証できます。理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。
802.1X ではいくつかの認証アルゴリズムを使用します。例:EAP-TLS、EAP-TTLS、Protected EAP (PEAP)、EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP) 。これらはすべて、ワイヤレス クライアントを RADIUS サーバーに識別させるための方法です。RADIUS 認証では、ユーザーの ID はデータベースで検証されます。RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。RADIUS 認証は、複数サーバーの環境でクライアントを検証するプロキシの処理を含みます。IEEE 802.1X 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。
RADIUS は、リモート認証ダイアルイン ユーザー サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバーへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバー プロトコルです。通常は、RADIUS サーバーはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。AAA フェーズは次のように説明されます。
802.1X 認証は、簡単に言うと次のように機能します。
WPA と WPA2 (Wi-Fi Protected Access) は、データ保護とワイヤレス ネットワークへのアクセス制御を大幅に向上するセキュリティー方式です。WPA では 802.1X 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。データの暗号化を強化するために、WPA では TKIP(Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、「Michael」と呼ばれる MIC(Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。
IEEE TGi 仕様に準拠する WPA の第2世代は WPA2 と呼ばれます。
エンタープライズ モード:エンタープライズ モードは、RADIUS またはその他の認証サーバーを使用してネットワーク ユーザーを確認します。WPA は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティーを保護します。エンタープライズ モードは、企業および政府機関環境向けです。
パーソナル モード:パーソナル モードでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。PSK は、クライアント ステーションとアクセス ポイントの両方でユーザーのパスワードまたは ID コードを認証します。認証サーバーは必要ありません。パーソナル モードは、ホームおよびスモール ビジネス環境向けです。
WPA - エンタープライズと WPA2 - エンタープライズ:802.1X RADIUS サーバーを使った企業ネットワークにこの水準のセキュリティを提供します。認証タイプは 802.1X サーバーの認証プロトコルに一致するものが選択されます。
注:WPA - エンタープライズと WPA2 - エンタープライズは相互接続可能です。
WPA - パーソナルと WPA2 - パーソナル:小規模ネットワークまたは家庭環境でこの水準のセキュリティーを提供します。PSK (Pre-Shared Key)とも呼ばれるパスワードを使用します。このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。ご使用のワイヤレス アクセス ポイントやルータが WPA パーソナルおよび WPA2 パーソナルをサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。
注:WPA - パーソナルと WPA2 - パーソナルは相互接続可能です。
AES-CCMP:AES-CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) は、IEEE 802.11i 標準で指定されたワイヤレス送信のプライバシー保護の新しい方法です。AES-CCMP は、TKIP より強力な暗号化メソッドを提供します。強力なデータ保護が重要な際には、データの暗号化として AES-CCMP を選択します。
注:一部のセキュリティ ソリューションは、ご使用のコンピュータのオペレーティング システムではサポートされていない可能性があり、その他のソフトウェアやハードウェア、無線 LAN インフラストラクチャ サポートを必要とする場合があります。詳細は、コンピュータの製造元に確認してください。
TKIP:TKIP (Temporal Key Integrity Protocol) は、WEP (Wired Equivalent Privacy) セキュリティを大幅に向上します。TKIP はパケットごとのキー混合機能、メッセージの統合性チェックおよびキーの再発行メカニズムが含まれ、WEP の弱点を修正します。
EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と TLS(Transport Layer Security、トランスポート層セキュリティ)というセキュリティ プロトコルを使用する認証方法のタイプ。EAP-TLS では、パスワードを使う証明書が使用されます。EAP-TLS 認証では、動的な WEP キー管理がサポートされています。TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティの強化と認証を意図しています。TLS ハンドシェーク プロトコルは、サーバーとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。
EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) とは、認証とセッション鍵の配信メカニズムの一種です。これは、GSM (Global System for Mobile Communications) の Subscriber Identity Module (SIM) を使用します。EAP-SIM は、クライアント アダプタと RADIUS サーバーから派生した動的セッション ベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、 Subscriber Identity Module (SIM) カードと通信するのにユーザーの確認コード、または PIN を入力する必要があります。SIM カードは、GSM (Global System for Mobile Communications) ベースのデジタル携帯ネットワークで使用される、特殊なスマート カードです。RFC 4186 は EAP-SIM を説明しています。
これらの設定では、ユーザーの認証に使用されるプロトコルと必要な情報が定義されます。TTLS (Tunneled Transport Layer Security) では、クライアントが EAP-TLS を使用してサーバーを検証し、クライアントとサーバー間に TLS 暗号化チャネルが作成されます。クライアントは、別の認証プロトコルを使用できます。パスワード ベースのプロトコルは、保護された TLS 暗号化チャネルで送信されます。TTLS の実装は現在 EAP で定義されたすべてのメソッドと数種の古いメソッド(PAP、CHAP、MS-CHAP、および MS-CHAP-V2)をサポートします。TTLS は、新しいプロトコルをサポートするために新しい属性を定義して、新しいプロトコルで動作するように容易に拡張できます。
PEAP は新しい EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)IEEE 802.1X 認証タイプで、サーバー側の EAP-TLS(EAP-トランスポート層セキュリティ)を利用して、さまざまな認証方法をサポートします。たとえば、ユーザー パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。
注:CKIP は、Windows XP のインテル(R) PROSet/Wireless ソフトウェアを使用する場合にのみサポートされています。
Cisco LEAP(Cisco Light EAP)は、ユーザーがログオン時に入力したパスワードを使用する、サーバー/クライアント 802.1X 認証です。ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザー用の暗号化キーが提供されます。
Cisco 不正 AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザーの認証情報や認証プロトコルなど、セキュリティーに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。詳細は、LEAP 認証を参照してください。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。
無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバーの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。CCKM(Cisco Centralized Key Management)の使用により、WDS(Wireless Domain Services)を提供するために設定されたアクセス ポイントが RADIUS サーバーの役割を代行し、音声アプリケーションなどの本来ローミングに時間のかかるアプリケーションを使用している場合でも、少ないタイムラグでローミングされます。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
この機能を有効にすると、ワイヤレス アダプタが Cisco のインフラストラクチャへの無線管理を提供します。そのインフラストラクチャで Cisco の [無線管理] ユーティリティを使用すると、無線パラメータを設定し、干渉および非認識のアクセス ポイントを検出します。
EAP-TTLS および PEAP などの EAP-FAST は、トラフィックを保護するためにトンネルを使用します。主な違いは、EAP-FAST は認証のための証明書を使用しないことです。EAP-FAST でのプロビジョニングは、サーバーから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。クライアント側が事前共有済みの秘密のPAC(Protected Access Credential)を持たない場合は、サーバーから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始できます。
EAP-FAST には、アウトオブバンドのセキュアなメカニズムを通した手動配信と自動提供の 2 つの PAC 配信方法があります。
EAP-FAST 方法は、プロビジョニングと認証の 2 つの段階に分けられます。プロビジョニング フェーズでは、PAC のクライアントへの初期のデリバリが含まれます。このフェーズには、各クライアントおよびユーザーで 1 度のみ実行する必要があります。