Info kplace.plala.jpから移設しました

■目的
  無線LANのAP(アクセスポイント)の4~5割はセキュリティ機能を設定してない調査結果もあり、通信内容を傍受されたり、不正アクセスや、 インタネット接続のタダ乗りなどを許してしまいます。セキュリティで何をどう設定するのか明らかにします。

■WEP(Wired Equivalent Privacy)など
 現在市販されている無線LAN製品(IEEE802.11a、IEEE802.11b、IEEE802.11g)のセキュリティを確保するには WEP(Wired Equivalent Privacy)などの機能を設定します。ただしこれでも問題点が完全に解決されるわけではありませんが、設定することで盗聴や不正アクセスを難しくしま す。
 (IPA) 「無線LANのセキュリティに関す る注意2003/7/29」はこちら
設定項目 説明 内容
SSID AP識別ID 工場出荷時設定値を変更します
WEPキー 暗号化の機能 WEPキーを有効にし、また定期的に変更します。
MACアドレス
フィルタリング
MACアドレスによる接続PCの限定 接続するPCのMACアドレスを登録します。未登録のPCは接続できなくなります
■WPA(WiFi Protected Access)
 SSID+WEP+MACアドレスフィルタリングでも問題点が報告されています。
・WEPの暗号化は簡単に解読されてしまう
・MACアドレス偽造等により、なりすましが容易に行える
 そこで次期無線LANセキュリティ強化規格IEEE802.11iを先取りする形で2003年末にWPAが登場しました。実装にはWPA対応の機器が必 要で すが、WinXPでは SP1+WPAパッチでサポートされます。
設定項目 説明 内容
TKIP
(Temporal Key Integrity Protocol)
暗号化の機能 WEPでは固定のAP/PC共有キーを使用していたのに対し、TKIPではPCごとに認証サーバからキーの交付を受け、交付後は一定 時間ごとにキーの更新を行う方式に変更 されました。また認証サーバの設置が難しいホームユースでは、PSK(Pre Shared Key)と呼ばれる共有キーを一定時間ごとに更新するホームモードがサポートされました。
■AES(Advanced Encryption Standard)
  WPAの暗号化方式はWEPと同じRC4ですが、AESでは暗号化方式がさらに強固な方式に強化され128/192/256bitの3種類の鍵長を持 ちます。 ただRC4にくらべて暗号化の計算量は格段に増大します。WPA+AESでIEEE802.11i規格完全対応ということになります。2004年6月には 標準 化が完了の予定です。

■EAP(Extensible Authentication Protocol )
 企業向けの無線LAN ではユーザ認証に認証サーバが用いられますが、クライアントPCと認証サーバ間のユーザ認証に用いられる認証方式をEAPと呼びます。EAPではサーバが クライアントの正 当性、また逆にクライアントがサーバの正当性を検証する双方向認証をサポートすることで、クライアントとサーバ、双方の「なりすま し」を防止できるようになります。なおEAPの方式にはマイクロソフトのPEAPなど6つの方式が存在します。

■結果
 無線LANのセキュリティの設定の問題として、
1.ほとんどのメーカの「簡易マニュアル」にセキュリティ設定の方法が記載されていない
2.ほとんどのメーカがセキュリティ機能をOFFで出荷している
という現実があります。(2004/4月現在)
(詳細はJEITA「無 線LANに関するセキュリティガイドライン改訂版2004/4」)を参照下さい)

 このような状況で不正アクセスやなりすましにより他のシステムへの不正アクセスや破壊行為の踏み台などにされないようにセキュリティの設定をもれなく実 施する することは必須です。
今回はセキュリティ対策として
1.最低限WEPなどの設定を行いWPA対応機器ならさらにTKIPを使用する。
2.IEEE802.11i対応(2004/6月より)の機器ならWPA(TKIP)、AESを使用する
3.認証サーバを使用する企業内無線LANではEAPを使用する
の方向性を確認できました。
ホームユーザならWEP、WPA、AESの3段階でセキュリティを向上できます。

 実際の適用にあっては現状WEPにしか対応していないPCを無線LANに接続しなければならないなどの問題もあり、VPNなどとの組み合わせによるセ キュリ ティ向上や、PCの用途をプレゼン時のWeb検索に限定するなど運用面での工夫が必要になるようです。

参考資料
認 証サーバ+IEEE802.1xを使った大規模無線LAN構築方法 ~いまのアクセスポイントがダメな理由~
・ 無線LANセキュリティの本命IEEE 802.11i登場

  blog    MovableType