暗号化の概要
WEP 暗号化と認証
802.1x 認証
RADIUS とは
WPA(Wi-Fi Protected Access)
PEAP
Cisco LEAP
WLAN では、WEP (Wireless Encryption Protocol) によるデータの暗号化を使用にしてセキュリティを強化できます。 64 ビットまたは 128 ビットのレベルの暗号化を選択できます。 また、キーを使用してデータを暗号化することもできます。 キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。 ただし、一度に使用できるキーは 1 つのみです。 Intel(R) PROSet for Wireless のプロファイルをパスワードで保護してプライバシーを確実にできます。 WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するかを選択できます。 64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。 128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キーを 26 個の16進数で入力して、適切なネットワークに接続できます。
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。
サポートされる認証スキーマは、オープン認証と共有キー認証です。
データの暗号化 (WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。 ネットワーク キーは自動的に提供される (ワイヤレス ネットワーク アダプタに提供されている場合など) こともあれば、自分でキーを入力し、キーの長さ (64 ビットか 128 ビット)、キーの形式 (ASCII 文字か16 進数の値)、キー インデックス (特定のキーが保管される場所) を指定することもできます。 キーの長さが長いほど、安全性も高くなります。 キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。 802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。 特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。 受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。
802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。 静的暗号化キーは手作業で変更され、安全性は低くなります。 MD5 認証では、静的な暗号化キーのみが使用されます。 動的な暗号化キーは、定期的に自動更新されます。 このため、暗号化キーはより安全です。 動的な暗号化キーを使用するには、TLS、TTLS、PEAP などの 802.1x 証明書に基づく認証方法を使用することが必要です。
802.1x 機能
802.1x サプリカント プロトコル サポート
EAP (Extensible Authentication Protocol) - RFC 2284 のサポート
サポートされている認証方法
MD5 - RFC 2284
EAP TLS 認証プロトコル - RFC 2716 および RFC 2246
EAP トンネル TLS (TTLS)
Cisco LEAP
PEAP
Windows XP と 2000 をサポート
802.1x 認証に関するメモ
802.1x の認証方法では、パスワード、証明書、およびスマート カード(データを保管するプラスチック製のカード)を使用します。
802.1x 認証オプションは、 インフラストラクチャ モードでのみ使用できます。
ネットワーク認証モードには、 EAP-TLS、EAP-TTLS、MD5 チャレンジ、LEAP(Cisco Compatible Extensions のみ)、PEAP(WPA モードのみ)があります。
概要
802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。 802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。
802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。 認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。 802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。 802.1x では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。 無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。 認証システム (アクセス ポイント)、サプリカント (クライアント ソフトウェア)、および認証サーバ (リモート認証ダイヤルイン ユーザ サービス サーバ - RADIUS) です。 802.1x 認証セキュリティは WLAN クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。 このRADIUS サーバは、パスワードや証明書によりユーザ、または MAC アドレスによりマシンを認証できます。 理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。 802.1x ではいくつかの認証アルゴリズムが使用されています。 MD5-チャレンジ、EAP-TLS、EAP-TTLS、PEAP (Protected EAP)、および EAP Cisco ワイヤレス LEAP (Light Extensible Authentication Protocol) です。 これらはすべて、WLAN クライアントを RADIUS サーバに識別します。 RADIUS 認証では、ユーザの ID はデータベースで検証されます。 RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。 RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。 IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。 ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。
802.1x 認証のしくみ
802.1x 認証は、簡単に言うと次のように機能します。
Intel(R) PROSet for Wireless ユーティリティを使用して 802.1x プロファイルを設定する詳細については、クライアントを WEP と MD5 の認証用に設定するを参照してください。
RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用するAAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。 通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。 AAA フェーズは次のように説明されます。
認証フェーズ: ローカル データ ベースにユーザ名とパスワードを検証します。 クリデンシャルの検証後、認証処理が開始されます。
許可フェーズ: リクエストにリソースへのアクセスを許可するかを決定します。 ダイヤルアップ クライアントに IP アドレスが割り当てられます。
アカウンティング フェーズ: トレンド分析、監査、セッション時間の請求、または費用の割り当てを目的としたリソースの使用の情報を収集します。
WPA (Wi-Fi Protected Access) は、データ保護と WLAN へのアクセス制御を大幅に向上するセキュリティ方式です。 WPA モードでは 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。 データの暗号化を強化するために、WPA では TKIP(Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。 TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、「Michael」 と呼ばれる MIC (Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。 これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。
PEAP は新しい EAP (Extensible Authentication Protocol:拡張可能認証プロトコル) IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS (EAP-トランスポート層セキュリティ) を利用して、さまざまな認証方法をサポートします。 たとえば、ユーザのパスワードと 1 回のみ使用するパスワードや、一般的なトークン カードなどです。
Cisco LEAP (EAP Cisco Wireless) は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアントの 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)サーバ) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。
Cisco Rogue AP セキュリティ機能
Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。 この機能は、Cisco の LEAP 認証でのみ使用できます。 標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。
CKIP
CKIP (Cisco Key Integrity Protocol) は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。
CKIP では次の機能を使用して、インフラストラクチャ
モードにおける 802.11 セキュリティを向上します。