セキュリティーの概要

このセクションは、WiFi ネットワークの保護に使用されるさまざまなセキュリティー方式について説明します。

• オープン システムと共有キーの認証
• WEP 暗号化
• WPA - パーソナル
• WPA2 - パーソナル

802.1X 認証 (エンタープライズ セキュリティー)

• 概要
• RADIUS とは
• 802.1X 認証の仕組み
• 802.1X の機能

ネットワーク認証方式

• 開く
• 共有
• WPA - パーソナル
• WPA2 - パーソナル
• WPA-エンタープライズ
• WPA2 - エンタープライズ

データ暗号化方式

• AES - CCMP
• TKIP
• CKIP

認証方式

• TLS
• TTLS
• PEAP
• LEAP
• EAP-SIM
• EAP-FAST
• EAP-AKA

認証プロトコル

• PAP
• CHAP
• MS-CHAP
• MS-CHAP-V2
• GTC
• TLS

Cisco の機能

• Cisco LEAP
• Cisco 不正 AP セキュリティー機能
• 802.11b および 802.11g 混合環境での保護プロトコル
• CKIP
• 高速ローミングを許可する (CCKM)
• 無線管理

オープン システムと共有ネットワーク認証

IEEE 802.11 では、2 つのタイプのネットワーク認証方法がサポートされています。オープン システムと共有キーです。

• [オープン システム] の認証を使用すると、任意のワイヤレス ステーションが認証をリクエストできます。別のワイヤレス ステーションとの認証が必要なステーションは、送信ステーションの ID を含む認証管理要求を送信します。受信ステーションまたはアクセス ポイントは、すべてのリクエストを認証します。オープン システム認証では、あらゆるデバイスがネットワークへのアクセスを取得できます。ネットワークで暗号化が無効の場合は、アクセス ポイントの SSID (Service Set Identifier) を持つデバイスすべてが、ネットワークにアクセスできます。
• 共有キーの認証を使用すると、各ワイヤレス ステーションが、802.11 ワイヤレス ネットワーク通信チャネルから独立した保護されたチャネルを通じて、秘密の共有キーを受け取ったものとみなされます。この秘密キーは有線イーサネット接続を使用するか、USB メモリ スティックまたは CD を使用して物理的に共有できます。共有キー認証では、クライアントに静的な WEP キーが設定されていることが必要です。クライアントは、チャレンジに基づく認証を送信した場合のみ、アクセスを許可されます。

WEP

Wired Equivalent Privacy (WEP) は暗号を使用して、ワイヤレス データの無許可の受信を防ぎます。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピューターのみがネットワークにアクセスして他のコンピューターによって送信されたデータの暗号を解除できます。WEP 暗号化は、64 ビット キー（40 ビットとして表記される場合もあります）または 128 ビット キー（104 ビットとも呼ばれます）を使用した 2 つのレベルのセキュリティーを提供します。セキュリティーを強化するには、128 ビット キーを使用する必要があります。暗号化を使用する場合は、ワイヤレス ネットワークのすべてのワイヤレス デバイスが同一の暗号化キーを使用する必要があります。

WAP データ暗号化では、ワイヤレス ステーションに 4 つまでのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。特定のキー インデックスに保管されているキーを使用して、アクセス ポイント (AP) かワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。受信側の AP やワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の暗号解除に使用されます。

WEP 暗号化アルゴリズムは、ネットワークへの攻撃に脆弱なため、WPA - パーソナルまたは WPA2 - パーソナル セキュリティーの使用を検討してください。

WPA - パーソナル

WPA パーソナル モードは、ホームおよびスモール ビジネス環境向けです。WPA パーソナルでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。認証サーバーは必要ありません。アクセス ポイントに入力したパスワードは、このコンピューターと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。セキュリティーは、パスワードの強度と秘密性に依存します。長いパスワードを使用すると、短いパスワードを使用するよりもネットワークのセキュリティーが強化されます。ご使用のワイヤレス アクセス ポイントやルーターが WPA パーソナルおよび WPA2 パーソナルをサポートする場合は、アクセス ポイントで有効にし、長い強力なパスワードを設定するとよいでしょう。WPA パーソナルは、TKIP と AES-CCMP データの暗号化アルゴリズムを使用可能にします。

WPA2 - パーソナル

WPA2 パーソナルでは、アクセス ポイントとクライアントで PSK (Pre-Shared Key、事前共通鍵) を手動で設定する必要があります。認証サーバーは必要ありません。アクセス ポイントに入力したパスワードは、このコンピューターと、同一ワイヤレス ネットワークにアクセスするすべてのワイヤレス デバイスで使用します。セキュリティーは、パスワードの強度と秘密性に依存します。長いパスワードを使用すると、短いパスワードを使用するよりもネットワークのセキュリティーが強化されます。WPA2 は WPA を改善した方式で、完全な IEEE 802.11i 規格を実装しています。WPA2 は WPA とコウホウ互換性があります。WPA2 - パーソナルは、TKIP と AES-CCMP データの暗号化アルゴリズムを使用可能にします。

802.1X 認証 (エンタープライズ セキュリティー)

このセクションは、さらに規模の大きな企業でよく使用されるセキュリティーについて説明します。

概要
RADIUS とは
802.1X 認証の仕組み
802.1X の機能

概要

802.1X 認証は、802.11 認証プロセスとは独立しています。802.11 標準では、さまざまな認証とキー管理のプロトコルに対する、基本構造が提供されます。802.1X 認証にはいくつかのタイプがあり、それぞれ認証において異なるアプローチを取りますが、すべて同じ 802.11 のプロトコルと基本構造を使用して、クライアントとアクセス ポイント間の通信を行います。ほとんどのプロトコルでは、802.1X 認証プロセスが完了すると、クライアントがキーを受け取り、このキーを使ってデータベースの暗号化が行われます。詳しくは802.1X 認証のしくみを参照してください。802.1X 認証では、クライアントと、アクセス ポイントに接続されたサーバー (たとえば、RADIUS (Remote Authentication Dial-In User Service: リモート認証ダイアルイン ユーザー サービス) サーバー) の間で、認証方法が使用されます。認証プロセスでは、ユーザーのパスワードの認証情報が使用され、これらの情報はワイヤレス ネットワーク上では転送されません 。802.1X のほとんどのタイプでは、キーによるセキュリティーを強化するために、ユーザーごと、セッションごとの動的キーが使用されます。802.1X 認証では、EAP（Extensible Authentication Protocol、拡張可能認証プロトコル）と呼ばれる既存の認証プロトコルを利用しています。

ワイヤレス ネットワークの 802.1X 認証は、3 つの主要なコンポーネントで構成されます。

• 認証システム（アクセス ポイント）
• サプリカント（クライアント ソフトウェア）
• 認証サーバー

802.1X 認証セキュリティはワイヤレス クライアントからアクセス ポイントに認証リクエストを開始し、アクセス ポイントはそのクライアントを EAP（Extensible Authentication Protocol、拡張可能認証プロトコル）準拠の RADIUS サーバーに認証させます。このRADIUS サーバーは、パスワードや証明書によりユーザー、または MAC アドレスによりマシンを認証できます。理論的には、ワイヤレス クライアントは、トランザクションが完了するまでネットワークに接続できません。(認証方式によっては、RADIUS サーバーを使用しません。WPA - パーソナルと WPA2 - パーソナルは、アクセス ポイントとネットワークへのアクセスを要請するすべてのデバイスで入力する必要のある共通のパスワードを使用します。)

802.1X　ではいくつかの認証アルゴリズムが使用されます。例として、次があげられます。EAP-TLS、EAP-TTLS、Protected EAP (PEAP)、EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP) 。これらはすべて、ワイヤレス クライアントを RADIUS サーバーに識別させるための方法です。RADIUS 認証では、ユーザーの ID はデータベースで検証されます。RADIUS 認証は、AAA (Authorization、Authentication、Accounting：許可、認証、アカウンティング) の一式の規準で構成されます。RADIUS 認証は、複数サーバーの環境でクライアントを検証するプロキシーの処理を含みます。IEEE 802.1X 標準は、ポート ベースの 802.11 ワイヤレス/有線イーサネット ネットワークへのアクセスを、制御および認証するためのメカニズムを提供します。ポートベース ネットワークのアクセス制御は、スイッチ付きの LAN (ローカル エリア ネットワーク) のインフラストラクチャーと似ています。スイッチ付きの LAN では、LAN ポートに接続されたデバイスを認証し、認証プロセスが失敗した場合にはそのポートのアクセスが拒否されます。

RADIUS とは

RADIUS は、リモート認証ダイアルイン ユーザー サービスの略で、AAA ダイアルアップ クライアントがネットワーク アクセス サーバーへのログインまたはログアウトの際に使用する AAA (Authorization、Authentication、Accounting：許可、認証、アカウンティング) クライアント サーバー プロトコルです。通常は、RADIUS サーバーはインターネット サービス プロバイダ（ISP）が AAA タスクを実行するのに使用されています。AAA フェーズは次のように説明されます。

• 認証フェーズ： ローカル データ ベースにユーザー名とパスワードを検証します。クリデンシャルの検証後、認証処理が開始されます。
• 許可フェーズ： リクエストにリソースへのアクセスを許可するかを決定します。ダイヤルアップ クライアントに IP アドレスが割り当てられます。
• アカウンティング フェーズ： トレンド分析、監査、セッション時間の請求、または費用の割り当てを目的としたリソースの使用状況に関する情報を収集します。

802.1X 認証の仕組み

次に 802.1X 認証の仕組みを簡単に説明します。

1. クライアントからアクセス ポイントに、アクセスをリクエストするメッセージが送信されます。アクセス ポイントからクライアントに、ID がリクエストされます。
2. クライアントが ID パケットで応答し、このパケットが認証サーバーに送られます。
3. 認証サーバーからアクセス ポイントに、アクセスの許可を通知するパケットが送信されます。
4. アクセス ポイントでクライアントのポートが認証された状態になり、データ トラフィックの送受信が可能になります。

802.1X の機能

Windows* XP では次の認証方式がサポートされています。

• 802.1X サプリカント プロトコル サポート
• EAP (Extensible Authentication Protocol) のサポート - RFC 2284
• Windows* XP でサポートされている認証方法：
  • EAP TLS 認証プロトコル - RFC 2716 および RFC 2246
  • EAP トンネル TLS (TTLS)
  • Cisco LEAP
  • PEAP
  • EAP-SIM
  • EAP-FAST
  • EAP-AKA

ネットワーク認証

開く

オープン 認証を参照してください。

共有

共有認証を参照してください。

WPA - パーソナル

WPA パーソナルを参照してください。

WPA2 - パーソナル

WPA2 - パーソナルを参照してください。

WPA エンタープライズ

エンタープライズ モードの認証は、企業および政府機関環境向けです。WPA エンタープライズは、RADIUS またはその他の認証サーバーを使用してネットワーク ユーザーを確認します。WPA は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティーを保護します。認証タイプは 802.1X サーバーの認証プロトコルに一致するものが選択されます。

WPA2 エンタープライズ

WPA エンタープライズ認証は、企業および政府機関環境向けです。WPA2 エンタープライズは、RADIUS またはその他の認証サーバーを使用してネットワーク ユーザーを確認します。WPA2 は 128 ビットの暗号化鍵と動的セッション鍵を使用して、ワイヤレス ネットワークのプライバシーとエンタープライズ セキュリティーを保護します。認証タイプは 802.1X サーバーの認証プロトコルに一致するものが選択されます。エンタープライズ モードは、企業および政府機関環境向けです。WPA2 は WPA を改善した方式で、完全な IEEE 802.11i 規格を実装しています。

データ暗号化

AES - CCMP

AES - CCMP (Advanced Encryption Standard - Counter CBC-MAC Protocol) は IEEE 802.11i 標準が指定したワイヤレス送信のプライバシー保護用の新技術です。AES-CCMP は、TKIP より強力な暗号化メソッドを提供します。強力なデータ保護が重要な際には、データの暗号化として AES-CCMP を選択します。AES-CCMP は WPA/WPA2 パーソナル/エンタープライズ ネットワーク認証で使用できます。

TKIP

TKIP (Temporal Key Integrity Protocoｌ) はパケットごとのキー混合、メッセージ統合性チェック、およびキーの再発行メカニズムを提供します。TKIP は WPA/WPA2 パーソナル/エンタープライズ ネットワーク認証で使用できます。

CKIP

CKIP を参照してください。

WEP

Wired Equivalent Privacy (WEP) は暗号を使用して、ワイヤレス データの無許可の受信を防ぎます。WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。同じ暗号キーを使用するコンピューターのみがネットワークにアクセスして他のコンピューターによって送信されたデータの暗号を解除できます。エンタープライズ WEP は、[オープン システム] ネットワーク認証を選択して、[802.1X 認証を有効にする] を選択してすべてのクライアント認証方式から選択できる点がパーソナル WEP と異なります。パーソナル WEP では認証方式の選択肢はありません。

認証方式

TLS

EAP（Extensible Authentication Protocol、拡張可能認証プロトコル）と TLS（Transport Layer Security、トランスポート層セキュリティー）というセキュリティー プロトコルを使用する認証方法のタイプ。EAP-TLS では、パスワードを使う証明書が使用されます。EAP-TLS 認証では、動的な WEP キー管理がサポートされています。TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティーの強化と認証を意図しています。TLS ハンドシェーク プロトコルは、サーバーとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。

TTLS

これらの設定では、ユーザーの認証に使用されるプロトコルと必要な情報が定義されます。TTLS (Tunneled Transport Layer Security) では、クライアントが EAP-TLS を使用してサーバーを検証し、クライアントとサーバー間に TLS 暗号化チャネルが作成されます。クライアントは、別の認証プロトコルを使用できます。パスワード ベースのプロトコルは、保護された ＴＬＳ 暗号化チャネルで送信されます。TTLS の実装は現在 EAP で定義されたすべてのメソッドと数種の古いメソッド（PAP、CHAP、MS-CHAP、および MS-CHAP-V2）をサポートします。TTLS は、新しいプロトコルをサポートするために新しい属性を定義して、新しいプロトコルで動作するように容易に拡張できます。

PEAP

PEAP は新しい EAP（Extensible Authentication Protocol：拡張可能認証プロトコル）IEEE 802.1X 認証タイプで、サーバー側の EAP-TLS（EAP-トランスポート層セキュリティ）を利用して、さまざまな認証方法をサポートします。たとえば、ユーザー パスワード、1 回のみ使用するパスワードや、一般的なトークン カードなどです。

LEAP

EAP (Extensible Authentication Protocol) の改良版。Light Extensible Authentication Protocol (LEAP) はシスコによって開発された独自の拡張認証プロトコルで、チャレンジ-レスポンス認証メカニズムと動的鍵割り当てを提供します。

EAP-SIM

EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) とは、認証とセッション鍵の配信メカニズムの一種です。これは、GSM (Global System for Mobile Communications) の Subscriber Identity Module (SIM) を使用します。EAP-SIM は、クライアント アダプターと RADIUS サーバーから派生した動的セッション ベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、 Subscriber Identity Module (SIM) カードと通信するのにユーザーの確認コード、または PIN を入力する必要があります。SIM カードは、GSM (Global System for Mobile Communications) ベースのデジタル携帯ネットワークで使用される、特殊なスマート カードです。RFC 4186 は EAP-SIM を説明しています。

EAP-AKA

EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) は、USIM (UMTS Subscriber Identity Module) を使用する、認証およびセッション鍵配布用の EAP メカニズムです。USIM カードは、携帯ネットワークでユーザー認証に使用されるスマート カードです。

認証プロトコル

PAP

パスワード認証プロトコルは双方向ハンドシェイク プロトコルで、PPP と共に使用するように設計されたものです。PAP (Password Authentication Protocol) は、古い SLIP システムで使用されるテキストのみのパスワードです。セキュアではありません。TTLS 認証方式でのみ使用できます。

CHAP

CHAP (Challenge Handshake Authentication Protocol) は 3 方向ハンドシェイク プロトコルで、パスワード認証プロトコルよりセキュアとみなされています。TTLS 認証方式でのみ使用できます。

MS-CHAP (MD4)

RSA Message Digest 4 challenge-and-reply protocol の Microsoft 版を使用します。これは Microsoft システムでしか機能せず、データの暗号化を有効にします。この認証方式を選択すると、すべてのデータが暗号化されます。TTLS 認証方式でのみ使用できます。

MS-CHAP-V2

MS-CHAP-V1 や標準的な CHAP 認証方式では利用できない機能であるパスワードの変更機能を提供します。この機能を使用すると、RADIUS サーバーがパスワードの期限が切れたことを通知したときにクライアントはアカウントのパスワードを変更できます。TTLS および PEAP 認証タイプで使用できます。

Generic Token Card (GTC)

認証用のユーザー独自のトークン カードを使用します。GTC の主機能は、デジタル証明書/トークン カード ベースの認証です。また、GTC では TLS 暗号化トンネルが確立されるまでユーザー名を隠すこともできます。これによって認証フェーズでユーザー名がブロードキャストされなくなるので、さらなる機密保護が提供されます。PEAP 認証方式でのみ使用できます。

TLS

TLS プロトコルは、データ暗号化を通じて公衆ネットワーク上の通信のセキュリティーの強化と認証を意図しています。TLS ハンドシェーク プロトコルは、サーバーとクライアントが相互認証を提供し、データの送信前に暗号化アルゴリズムと暗号キーをネゴシエートできるようにします。PEAP 認証方式でのみ使用できます。

Cisco の機能

Cisco LEAP

Cisco LEAP（Cisco Light EAP）は、ユーザーがログオン時に入力したパスワードを使用する、サーバー/クライアント 802.1X 認証です。ワイヤレス アクセス ポイントが Cisco LEAP 対応の RADIUS (Cisco Secure Access Control Server （ACS）) と通信する場合、Cisco LEAP により、クライアントの WiFi アダプターとワイヤレス ネットワーク間の相互認証によってアクセス制御が行われ、データ転送のプライバシーを守るために動的な個々のユーザー用の暗号化キーが提供されます。

Cisco 不正 AP セキュリティー機能

Cisco 不正 AP 機能では、不正なアクセス ポイントの追加を防ぐことができます。不正なアクセス ポイントでは、ネットワーク上の正規のアクセス ポイントを偽装して、ユーザーの認証情報や認証プロトコルなど、セキュリティーに影響を与える情報の詐取が試みられます。この機能は、Cisco の LEAP 認証でのみ使用できます。標準の 802.11 テクノロジでは、ネットワークを不正なアクセス ポイントの追加から保護することはできません。詳細は、LEAP 認証を参照してください。

802.11b および 802.11g 混合環境での保護プロトコル

Cisco 350 または Cisco 1200 など、一部のアクセス ポイントでは、WEP 暗号化をサポートしないクライアント ステーションも混在する環境に対応しており、これは混合セル モードと呼ばれます。これらのワイヤレス ネットワークが「オプションの暗号化」モードで稼動している場合、WEP モードで接続されたクライアント ステーションはすべてのメッセージを暗号化して送信し、標準モードで接続されたステーションはすべてのメッセージを暗号化せずに送信します。これらのアクセス ポイントは暗号化を使用しないネットワークをブロードキャストしますが、クライアントは WEP モードを使用して接続できます。プロファイルで「混合セル」が有効になると、「オプションの暗号化」に設定されたアクセス ポイントに接続できます。

CKIP

CKIP（Cisco Key Integrity Protocol）は、802.11 メディアにおける暗号化のための Cisco 社独自のセキュリティー プロトコルです。CKIP では次の機能を使用して、インフラストラクチャ モードにおける 802.11 セキュリティを向上します。

• KP（Key Permutation）
• メッセージのシーケンス番号

高速ローミングを許可する (CCKM)

無線 LAN が高速再接続に設定された場合、LEAP を有効にしたクライアント デバイスは、メイン サーバーの介入なしに 1 つのアクセス ポイントから別のアクセス ポイントにローミングすることができます。CCKM（Cisco Centralized Key Management）の使用により、WDS（Wireless Domain Services）を提供するために設定されたアクセス ポイントが RADIUS サーバーの役割を代行し、音声アプリケーションなどの本来ローミングに時間のかかるアプリケーションを使用している場合でも、少ないタイムラグでローミングされます。

無線管理

この機能を有効にすると、ワイヤレス アダプターが Cisco のインフラストラクチャーへの無線管理を提供します。そのインフラストラクチャーで Cisco の [無線管理] ユーティリティーを使用すると、無線パラメーターを設定し、干渉および非認識のアクセス ポイントを検出します。

EAP-FAST

EAP-TTLS および PEAP などの EAP-FAST は、トラフィックを保護するためにトンネルを使用します。主な違いは、EAP-FAST は認証のための証明書を使用しないことです。EAP-FAST でのプロビジョニングは、サーバーから EAP-FAST が要求されたときに、最初のコミュニケーション交換としてクライアント側のみからネゴシエートされます。クライアント側が事前共有済みの秘密のPAC（Protected Access Credential）を持たない場合は、サーバーから動的に取得するよう、EAP-FAST エクスチェンジのプロビジョニングを開始できます。

EAP-FAST には、 アウトオブバンドのセキュアなメカニズムを通した手動配信と自動提供の 2 つの PAC 配信方法があります。

• 手動配信メカニズムは、ネットワークの管理者がネットワークを十分に保護できると判断する配信メカニズムです。
• 自動提供はクライアントの認証と、PAC のクライアントへの配信を保護するため暗号化されたトンネルを確立します。このメカニズムは、手動メソッドより安全ではありませんが、LEAP で使用される認証メソッドよりも安全です。

EAP-FAST 方法は、 プロビジョニングと認証の 2 つの段階に分けられます。プロビジョニング フェーズでは、PAC のクライアントへの初期のデリバリーが含まれます。このフェーズには、各クライアントおよびユーザーで 1 度のみ実行する必要があります。