無線LAN IEEE802.11の動作はこちらを参照ください。
一般にインターネット経由でLANに接続する場合は、ファイアウォールを設置して
侵入に備えることができますが、無線LANを社内の一部に設置してしまうと、
無線LAN経由による情報が漏れてしまいます。
電波なので外部からでも、電波がとどけば受信できてしまいます。
しかし、その内容が解読されて盗聴されても、それをチェックする手法はありません。
そして、盗聴で得た情報で侵入される危険が高いのです。
よって無線LANで暗号化したデータで通信するのが普通です。
この初期の暗号は「WEP(Wired Equivalent Privacy)」
と呼ばれます。
しかし、WEP は、いくつかのセキュリティ面での脆弱性があります。
WEPでは、無線LAN クライアントと無線LAN アクセスポイントが共通の暗号鍵
を長期間にわたって用いると、暗号鍵が解読される危険性があるのです。
このWEP に代わる規格として登場したのがWPA(Wi-Fi Protected Access)です。
これは、WPA ではTKIP(Temporal Key Integrity Protocol)と呼ばれる暗号鍵を
一定の時間ごとに自動的に変更するという改良がなされています。(データはRC4ストリーム暗号で暗号化)
そしてWPA2 では、新たにAES(共通鍵暗号方式)ベースにしたCCMP
(Counter mode with Cipher-block chaining Message authentication code Protocol) と呼ばれるプロトコルを導入している
よって、無線LAN アクセスポイント(親機)で、WEPは使用するべきではなく、
WPAかWPA2を設定すべきです。
また、可能ならSSID送出しない設定や、
空白又はANY 端末からの接続を拒否する設定にするとよいでしょう。
また、MAC アドレスによるフィルタリングを設定するべきです。
以下は、無線子機に付属する設定ツールで、親機を探して設定している画面の一部です。
親機選んで、親機の暗号に合わせて「WPA-PSK-TKIP」を設定しようしている画面です。
(BUFFALO様製品の例です。)
WPAやWPA2には、パーソナルモードとエンタープライズモードがあります。
パーソナルモード(PSK:Pre-Shared Key、または事前共有鍵モード)は、個人宅や小規模の会社向けに設計されたものですが、
エンタープライズモードは、以下で示すように、認証サーバを使ってクライアント個別の認証を実現できます。
IEEE 802.1x は、電子証明書を使う認証サーバーを利用して、複数のユーザーを認証する規格です。
イーサーネットでも利用されていますが、セキュリティを重視する無線LANでも利用されます。
IEEE 802.1x には、下記イメージのように
ユーザーID、パスワード、証明書を管理して認証する「RADIUS認証サーバ」、と「サプリカント(Supplicant)」と呼ばれる認証クライアントソフトが必要です。
また「サプリカント」と「RADIUS認証サーバ」(例)の間で、 EAP(Extensible Authentication Protocol:PPPを拡張した認証プロトコル)により「RADIUS認証サーバ」とやり取りした結果から 「サプリカント」のアクセスを制御を行うオーセンティケータ( Authenticate )も必要です。
なおRADIUSプロトコル(rfc2138 Remote Authentication Dial In User Service)は、
UDPプロトコルを利用し、認証機構をサポートします。それは次の項目です。
『利用者が誰であるかを識別する認証(Authentication)』、
『認証済み利用者へのサービス提供の有無を判断する承認(Authorization)」、
『利用の事実を記録するアカウンティング(Accounting)』を可能にします。