IEEE 802.11 規格の WEP(Wired Equivalent Privacy)暗号化を使用すると、無線データの不正受信を防ぐことができます。 WEP 暗号化は、64 ビット キー(40 ビットとして表記される場合もあります)または 128 ビット キー(104 ビットとも呼ばれます)を使用した 2 つのレベルのセキュリティを提供します。 セキュリティを強化するには、128 ビット キーを使用してください。 暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でデータを保護します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。
WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。 TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。
IEEE 802.11 では、2 つのタイプのネットワーク認証方法がサポートされています。 オープン システムと共有キーです。
802.1x 認証は、802.11 認証プロセスとは独立しています。 802.1x 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。 802.1x 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.1x のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。 ほとんどのプロトコルでは、802.1x 認証プロセスが完了すると、サプリカントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。 詳しくは802.1x 認証のしくみを参照してください。 802.1x 認証では、クライアントと、アクセス ポイントに接続された RADIUS(リモート認証ダイアルイン ユーザ サービス)サーバの間で、認証方法が使用されます。 認証プロセスでは、ユーザのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません。 802.1x のほとんどのタイプでは、静的キーによるセキュリティを強化するために、ユーザごと、セッションごとの動的キーが使用されます。 802.1x では、EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と呼ばれる既存の認証プロトコルを利用しています。
無線 LAN の 802.1x 認証は、3 つの主要なコンポーネントで構成されます。
802.1x 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)準拠の RADIUS サーバに認証させます。 このRADIUS サーバは、パスワードや証明書によりユーザ、または MAC アドレスによりマシンを認証できます。 理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。
802.1x ではいくつかの認証アルゴリズムを使用します。 例: EAP-TLS、EAP-TTLS、Protected EAP (PEAP) これらはすべて、ワイヤレス クライアントを RADIUS サーバに識別させるための方法です。 RADIUS 認証では、ユーザの ID はデータベースで検証されます。 RADIUS 認証は、AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) の一式の規準で構成されます。 RADIUS 認証は、複数サーバの環境でクライアントを検証するプロキシの処理を含みます。 IEEE 802.1x 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのものです。 ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。
RADIUS は、リモート アクセス ダイアルイン ユーザ サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting:許可、認証、アカウンティング) クライアント サーバ プロトコルです。 通常は、RADIUS サーバはインターネット サービス プロバイダ(ISP)が AAA タスクを実行するのに使用されています。 AAA フェーズは次のように説明されます。
802.1x 認証は、簡単に言うと次のように機能します。
WPA と WPA2 (Wi-Fi Protected Access) は、データ保護とワイヤレス ネットワークへのアクセス制御を大幅に向上するセキュリティ方式です。 WPA では 802.1x 認証とキー交換が強化され、動的な暗号化キーでのみ機能します。 データの暗号化を強化するために、WPA では TKIP(Temporal Key Integrity Protocol:一時キー統合プロトコル)を使用しています。 TKIP では、データ暗号化の重要な強化が行われます。これには、パケットごとのキー混合機能、「Michael」と呼ばれる MIC(Message Integrity Check:メッセージの統合性チェック)、シーケンス規則付きの拡張された初期化ベクター(IV)、およびキーの再発行メカニズムが含まれます。 これらの強化された機能により、TKIP は WEP の既知の弱点を強化します。
IEEE TGi 仕様に準拠する WPA の第2世代は WPA2 と呼ばれます。
エンタープライズ モード: エンタープライズ モードは、RADIUS またはその他の認証サーバを使用してネットワーク ユーザを確認します。 WPA は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティを保護します。 エンタープライズ モードは、企業および政府機関環境向けです。
パーソナル モード:パーソナル モードでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。 PSK は、クライアント ステーションとアクセス ポイントの両方でユーザのパスワードまたは ID コードを認証します。 認証サーバは必要ありません。 パーソナル モードは、ホームおよびスモール ビジネス環境向けです。
WPA - エンタープライズと WPA2 - エンタープライズ: 802.1x RADIUS サーバを使った企業ネットワークにこの水準のセキュリティを提供します。 認証タイプは 802.1x サーバの認証プロトコルに一致するものが選択されます。
WPA - パーソナルと WPA2 - パーソナル: 小規模ネットワークまたは家庭環境でこの水準のセキュリティを提供します。 PSK (Pre-Shared Key)とも呼ばれるパスワードを使用します。 このパスワードは長ければ長いほど、ワイヤレス ネットワークのセキュリティが強化されます。 ご使用のワイヤレス アクセス ポイントやルータが WPA パーソナルおよび WPA2 パーソナルをサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。 アクセス ポイントに入力したパスワードは、このコンピュータと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。
注:WPA - パーソナルと WPA2 - パーソナルは相互接続できません。
AES-CCMP - (Advanced Encryption Standard - Counter CBC-MAC Protocol) 標準で指定されたワイヤレス通信のプライバシーを保護するための新しい方法です。 AES-CCMP は、TKIP より強力な暗号化メソッドを提供します。 強力なデータ保護が重要な際には、データの暗号化として AES-CCMP を選択します。
注:一部のセキュリティ ソリューションは、ご使用のコンピュータのオペレーティング システムではサポートされていない可能性があり、その他のソフトウェアやハードウェア、ワイヤレス LAN インフラストラクチャ サポートを必要とする場合があります。 詳細は、コンピュータの製造元に確認してください。
TKIP (Temporal Key Integrity Protocol) は、WEP (Wired Equivalent Privacy) セキュリティを大幅に向上します。 TKIP はパケットごとのキー混合機能、メッセージの統合性チェックおよびキーの再発行メカニズムが含まれ、WEP の弱点を修正します。
Message Digest 5 (MD5) は、ユーザ名とパスワードを使用する、一方向の認証方法です。 この方法ではキーの管理はサポートされていませんが、データの暗号化を使用する場合は、キーがあらかじめ設定されていることが必要です。 EAP トンネル方式の内部でワイヤレス認証用に安全に使用できます。
EAP(Extensible Authentication Protocol、拡張可能認証プロトコル)と TLS(Transport Layer Security、トランスポート層セキュリティ)というセキュリティ プロトコルを使用する認証方法のタイプ。 EAP-TLS では、パスワードを使う証明書が使用されます。 EAP-TLS 認証では、動的な WEP キー管理がサポートされています。 TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティの強化と認証を意図しています。 TLS ハンドシェーク プロトコルは、サーバとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。
これらの設定では、ユーザの認証に使用されるプロトコルと必要な情報が定義されます。 TTLS (Tunneled Transport Layer Security) では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。 クライアントは、この暗号化チャネルを通じたサーバの検証で、別の認証プロトコルを使用することもできます。 一般的にパスワードに基づくプロトコルが使用されます。 チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。 TTLS の実装は現在 EAP で定義されたすべてのメソッドと数種の古いメソッド(PAP、CHAP、MS-CHAP、および MS-CHAPv2)をサポートします。 TTLS は、新しいプロトコルをサポートするために新しい属性を定義して、新しいプロトコルで動作するように容易に拡張できます。
PEAP は新しい EAP(Extensible Authentication Protocol:拡張可能認証プロトコル)IEEE 802.1x 認証タイプで、サーバ側の EAP-TLS(EAP-トランスポート層セキュリティ)を利用して、さまざまな認証方法をサポートします。たとえば、ユーザ パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。
Cisco LEAP(Cisco Light EAP)は、ユーザがログオン時に入力したパスワードを使用する、サーバ/クライアント 802.1x 認証です。 ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server(ACS)) と通信する場合、Cisco LEAP により、クライアントのワイヤレス アダプタとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザ用の暗号化キーが提供されます。
Cisco Rogue AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザの認証情報や認証プロトコルなど、セキュリティに影響を与える情報の詐取が試みられます。 この機能は、Cisco の LEAP 認証でのみ使用できます。 標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。 詳細は、LEAP 認証を参照してください。
無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。 CCKM(Cisco Centralized Key Management)の使用により、WDS(Wireless Domain Services)を提供するために設定されたアクセス ポイントが RADIUS サーバの役割を代行し、音声アプリケーションなどの本来ローミングに時間のかかるアプリケーションを使用している場合でも、少ないタイムラグでローミングされます。
CKIP(Cisco Key Integrity Protocol)は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティ プロトコルです。 CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。 これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。 これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。 プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
EAP-TTLS および PEAP などの EAP-FAST は、トラフィックを保護するためにトンネルを使用します。 主な違いは、EAP-FAST は認証のための証明書を使用しないことです。 EAP-FAST でのプロビジョニングは、サーバから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。 クライアント側が事前共有済みの秘密のPAC(Protected Access Credential)を持たない場合は、サーバから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始できます。
EAP-FAST には、 アウトオブバンドのセキュアなメカニズムを通した手動配信と自動提供の 2 つの PAC 配信方法があります。
EAP-FAST 方法は、 プロビジョニングと認証の 2 つの段階に分けられます。 プロビジョニング フェーズでは、PAC のクライアントへの初期のデリバリが含まれます。 このフェーズには、各クライアントおよびユーザで 1 度のみ実行する必要があります。
Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。 これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。 これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。 プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。
この機能を有効にすると、ワイヤレス アダプタが Cisco のインフラストラクチャへの無線管理を提供します。 そのインフラストラクチャで Cisco の [無線管理] ユーティリティを使用すると、無線パラメータを設定し、干渉および非認識のアクセス ポイントを検出します。