目次に戻る

セキュリティの概要:インテル(R) PRO/Wireless 2200BG ユーザ ガイド


暗号化の概要
WEP 暗号化と認証
802.1x 認証
RADIUS とは
WPA(Wi-Fi Protected Access)
PEAP
Cisco LEAP


暗号化の概要

WLAN では、WEP (Wireless Encryption Protocol) によるデータの暗号化を使用にしてセキュリティを強化できます。64 ビットまたは 128 ビットのレベルの暗号化を選択できます。また、キーを使用してデータを暗号化することもできます。 キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。ただし、一度に 1 つのキーのみを使用できます。 インテル(R) PROSet for Wireless のプロファイルをパスワードで保護してプライバシーを確実にできます。WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するか選択できます。64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キーを 26 個の16進数で入力して、適切なネットワークに接続できます。


WEP 暗号化と認証

WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。認証は、アダプタからアクセス ポイントへの追加検証を提供します。

サポートされる認証スキーマは、オープン認証と共有キー認証です。

ネットワーク キー

データの暗号化 (WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。ネットワーク キーは自動的に提供される (ワイヤレス ネットワーク アダプタに提供されている場合など) こともあれば、自分でキーを入力し、キーの長さ (64 ビットか 128 ビット)、キーの形式 (ASCII 文字か16 進数の値)、キー インデックス (特定のキーが保管される場所) を指定することもできます。キーの長さが長いほど、安全性も高くなります。キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。

暗号化における静的キーと動的キーのタイプ

802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。静的暗号化キーは手作業で変更され、安全性は低くなります。MD5 認証では、静的な暗号化キーのみが使用されます。動的な暗号化キーは、定期的に自動更新されます。このため、暗号化キーはより安全です。動的な暗号化キーを使用するには、TLS、TTLS、PEAP などの 802.1x 証明書に基づく認証方法を使用することが必要です。


802.1x 認証

802.1x の機能

802.1x 認証に関する注意事項

概要

802.1x 認証は、802.11 認証プロセスとは独立しています。802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。

802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS (リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。802.1x では、EAP (Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。認証システム (アクセス ポイント)、サプリカント (クライアント ソフトウェア)、および認証サーバ (リモート認証ダイヤルイン ユーザ サービス サーバ - RADIUS) です。802.1x 認証セキュリティは WLAN クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。このRADIUS サーバは、パスワードや証明書によりユーザ、または MAC アドレスによりマシンを認証できます。理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。802.1x ではいくつかの認証アルゴリズムが使用されています。 MD5-チャレンジ、EAP-TLS、EAP-TTLS、PEAP (Protected EAP)、および EAP Cisco ワイヤレス LEAP (Light Extensible Authentication Protocol) です。これらはすべて、WLAN クライアントを RADIUS サーバに識別します。RADIUS 認証では、ユーザの ID はデータベースで検証されます。RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング)の一式の規準で構成されます。RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク)のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。

802.1x 認証のしくみ

802.1x 認証は、簡単に言うと次のように機能します。

  1. クライアントからアクセス ポイントに、アクセスをリクエストするメッセージが送信されます。アクセス ポイントからクライアントに、ID がリクエストされます。
  2. クライアントが ID パケットで応答し、このパケットが認証サーバに送られます。
  3. 認証サーバからアクセス ポイントに、アクセスの許可を通知するパケットが送信されます。
  4. アクセス ポイントでクライアントのポートが認証された状態になり、データ トラフィックの送受信が可能になります。

インテル(R) PROSet for Wireless ユーティリティを使用して 802.1x プロファイルを設定する詳細については、クライアントを WEP と MD5 の認証用に設定するを参照してください。


RADIUS とは

RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用するAAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP) が AAA タスクを実行するのに使用されています。AAA フェーズは次のように説明されます。


WPA (Wi-Fi Protected Access*)

WPA (Wi-Fi Protected Access) は、データ保護と WLAN へのアクセス制御を大幅に向上するセキュリティ方式です。WPA モードでは 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。データの暗号化を強化するために、WPA では TKIP (Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。 TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、「Michael」 と呼ばれる MIC (Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。


PEAP

PEAP は新しい EAP (Extensible Authentication Protocol:拡張可能認証プロトコル) IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS (EAP-トランスポート層セキュリティ) を利用して、さまざまな認証方法をサポートします。たとえば、ユーザのパスワードと 1 回のみ使用するパスワードや、一般的なトークン カードなどです。


Cisco LEAP

Cisco LEAP (EAP Cisco Wireless) は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアントの 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)サーバ) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。

Cisco Rogue AP セキュリティ機能

Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。 標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。

CKIP

CKIP (Cisco Key Integrity Protocol) は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。
CKIP では次の機能を使用して、インフラストラクチャ
モードにおける 802.11 セキュリティを向上します。

 

混合セル

 

Cisco 350 または Cisco 1200 などのアクセス ポイントでは、WEP 暗号化をサポートするすべてのクライアント ステーションをサポートしない環境に対応しており、これは混合セル モードと呼ばれます。 これらの無線ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードに接続されたクライアント ステーションは、暗号化されたすべてのメッセージを送信し、標準モードを使用して接続されたステーションは、暗号化されていないすべてのメッセージを送信します。 これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。 プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。

 

注: プロファイルで [Cisco Client Extensions を有効にする] を使用する場合は、[詳細設定] [混合セル有効 (Cisco CCx オプションが必要)] が有効になっていることを確認してください。 Cisco CCX を有効にしたプロファイルは、CKIP データ暗号化および 802.1x LEAP 認証を使用します。

目次に戻る


制約と免責に記述されているすべての情報をお読みください。