無線LANの脅威

無線LAN IEEE802.11の動作はこちらを参照ください。

一般にインターネット経由でLANに接続する場合は、ファイアウォールを設置して 侵入に備えることができますが、無線LANを社内の一部に設置してしまうと、 無線LAN経由による情報が漏れてしまいます。
電波なので外部からでも、電波がとどけば受信できてしまいます。
しかし、その内容が解読されて盗聴されても、それをチェックする手法はありません。
そして、盗聴で得た情報で侵入される危険が高いのです。
よって無線LANで暗号化したデータで通信するのが普通です。 この初期の暗号は「WEP(Wired Equivalent Privacy)」 と呼ばれます。
しかし、WEP は、いくつかのセキュリティ面での脆弱性があります。 WEPでは、無線LAN クライアントと無線LAN アクセスポイントが共通の暗号鍵 を長期間にわたって用いると、暗号鍵が解読される危険性があるのです。

このWEP に代わる規格として登場したのがWPA(Wi-Fi Protected Access)です。 これは、WPA ではTKIP(Temporal Key Integrity Protocol)と呼ばれる暗号鍵を 一定の時間ごとに自動的に変更するという改良がなされています。(データはRC4ストリーム暗号で暗号化)
そしてWPA2 では、新たにAES(共通鍵暗号方式)ベースにしたCCMP (Counter mode with Cipher-block chaining Message authentication code Protocol) と呼ばれるプロトコルを導入している

よって、無線LAN アクセスポイント(親機)で、WEPは使用するべきではなく、 WPAかWPA2を設定すべきです。

また、可能ならSSID送出しない設定や、 空白又はANY 端末からの接続を拒否する設定にするとよいでしょう。 また、MAC アドレスによるフィルタリングを設定するべきです。

以下は、無線子機に付属する設定ツールで、親機を探して設定している画面の一部です。 親機選んで、親機の暗号に合わせて「WPA-PSK-TKIP」を設定しようしている画面です。 (BUFFALO様製品の例です。)

WPAやWPA2には、パーソナルモードとエンタープライズモードがあります。
パーソナルモード(PSK:Pre-Shared Key、または事前共有鍵モード)は、個人宅や小規模の会社向けに設計されたものですが、 エンタープライズモードは、以下で示すように、認証サーバを使ってクライアント個別の認証を実現できます。

IEEE 802.1x(WPAエンタープライズモード:Enterprise mode)

IEEE 802.1x は、電子証明書を使う認証サーバーを利用して、複数のユーザーを認証する規格です。
イーサーネットでも利用されていますが、セキュリティを重視する無線LANでも利用されます。
IEEE 802.1x には、下記イメージのように ユーザーID、パスワード、証明書を管理して認証する「RADIUS認証サーバ」、と「サプリカント(Supplicant)」と呼ばれる認証クライアントソフトが必要です。 また「サプリカント」と「RADIUS認証サーバ」()の間で、 EAP(Extensible Authentication Protocol:PPPを拡張した認証プロトコル)により「RADIUS認証サーバ」とやり取りした結果から 「サプリカント」のアクセスを制御を行うオーセンティケータ( Authenticate )も必要です。

なおRADIUSプロトコル(rfc2138 Remote Authentication Dial In User Service)は、 UDPプロトコルを利用し、認証機構をサポートします。それは次の項目です。
『利用者が誰であるかを識別する認証(Authentication)』、
『認証済み利用者へのサービス提供の有無を判断する承認(Authorization)」、
『利用の事実を記録するアカウンティング(Accounting)』を可能にします。