特集:Voice over Wireless LANの実現
無線IP電話の思わぬ落とし穴
小宮 博美アルバワイヤレスネットワークス
2004/11/13
|
コストの優位性と音声品質の向上から企業へのIP電話の導入が促されるようになって久しい。一方で、セキュリティを強化した企業向け無線LANシステムの導入も進んでいる。 最近では、この両者を組み合わせた無線IP電話、つまりVoice over Wireless LAN(VoWLAN)の実現を検討している企業も少なくない。そこで、前編でVoWLANを実現するための注意点を、後編で機器選択のポイントを解説する。 |
| VoWLANの注意点 |
有線でのVoIP(Voice over IP)はかなり普及していることから、利用に際してのノウハウは十分蓄積されていると思う。
しかしながら、このVoIPを無線LAN(WLAN)で実現しようとした場合、無線ならではの注意点が出てくる。その最たるものがセキュリティである。
セキュリティは企業の考え方によりレベルが異なるが、企業として最低限必要なセキュリティ・レベルを確保しておかなければならない。このほか、RF(Radio Frequency)管理、シームレスなローミング、帯域管理などを考慮する必要がある。
| 無線利用の注意点 |
無線IP電話では、電波を使い無線LANのアクセス・ポイントと通信を行う。この無線通信に何のセキュリティ対策も施していない場合、電波が届く範囲であれば誰にでも受信できてしまい、会話を簡単に盗聴できる。
さらに、無線IP電話のために設置したアクセス・ポイントを利用し、外部から社内ネットワークへの侵入も可能になってしまう。この盗聴や侵入から音声データやネットワークを守る必要があり、それを実施するのが無線LANシステムである。
一般に量販されているブリッジ型アクセス・ポイントでは、盗聴を防ぐための暗号化技術が搭載されているものもあるが、企業ネットワークを保護するには機能不足のものもある。無線を利用するようになると、電波が送受信されるため第三者から無線通信の存在を容易に検知されてしまう。インターネットと同様に、企業ネットワークは外部からいつ攻撃を受けるか分からない。
有線の場合でも、ネットワークは可視することができないため、ファイアウォールやIDSで各種の攻撃を検知、防御している。無線LANも同様に、無線は可視することができないため、ファイアウォールやIDS、そしてRFモニタ機能を備えた無線LANシステムの導入が必要になる。
さらに、ノートPCよりはるかに多く移動しながらの通信が考えられる無線IP電話では、音声が途切れない高速なハンドオーバー機能、移動先への認証情報等の引き継ぎ、ユーザーが移動しても不変のファイアウォール・ポリシーが無線LANシステム全体で必要になる。
有線ネットワークでIP電話を利用する場合、遅延対策さえ施していれば品質の良い通話が実現可能であるが、多くの無線IP電話で利用されている802.11bの標準では、遅延とともに帯域の容量も考慮しなければならない。
100Mbpsが当然と考えられている高速なLAN環境とは異なり、802.11bの無線LANでは、11Mbpsでアソシエーションしても無線通信のためのオーバーヘッドで実際にデータが使える帯域は6Mbps程度しかない。さらに、無線LANでは同一チャンネルを利用する機器間では帯域を共有しているため、この6Mbpsですら保証されているわけではない。
無線IP電話が通話に利用する帯域自体は数百Kbpsであるが、100Mbpsの有線LANから6Mbpsの無線LANにデータを転送するアクセス・ポイントで輻輳(ふくそう)が発生し、遅延の原因となる。また、データが混在しているような環境では、QoSも考慮する必要がある。
| 暗号化 |
無線LANで利用している電波は、受信だけなら誰にでもできてしまう。例えば、近くで話している会話が自然に聞こえてしまうのと同じである。
無線のレベルでは、送信される電波の方向性を考慮する程度のことしかできず、第三者が電波を受信できないようにすることは難しい。そこで、たとえ無線を盗聴されてもデータの内容が読み取られないよう暗号化を施しておくことが必要になる。
802.11bの標準では、WEPの実装が義務付けられているが、簡単な暗号化アルゴリズムを利用しているWEPは、暗号が解読可能であることが周知の事実である。そこで登場した暗号化技術がWPA/TKIPである。しかしながら、現在出荷されている無線IP電話では、WEPより高度な暗号化アルゴリズムを用いるTKIPがほとんどサポートされていない。
今年に入って相次いで発表された多くの製品では、WEPのほかにIEEE 802.1xをサポートしている。802.1xで利用している暗号化は、WEPがほとんどだが、暗号化キーのローテーションがサポートされている。このキーのローテーションを行うWEPをダイナミックWEPと呼ぶ。
WEPの暗号を解読するには、ある程度の量のデータパケットを収集し、暗号化キーの解読から行うが、ダイナミックWEPでは、暗号化キーが解読される前にキーを変更してしまうことが可能であるため、通常のWEPに比べはるかに安全といえる。
| 認証 |
認証とは無線LANシステムに接続要求してきたユーザーが誰なのか、正しいユーザーなのかを確認するためのものであり、接続を許可する、しないのフィルターとは機能が異なる。無線LANシステムでは、接続要求してきたユーザーを何らかの方法で認証し、接続の可否を判断している。Windowsなどを搭載したPCと異なり、無線IP電話を認証する方法はMACアドレスによる認証と802.1xしかない。
MACアドレスは無線パケットのヘッダーから第三者が読み取ることができ、詐称することも比較的簡単なため、認証機能としてはかなり弱い。これに対し802.1xでは、クライアント証明書を利用するEAP-TLSやユーザー名、パスワードで認証するPEAPなどの方法があり、認証機能として十分といえる。
| ネットワークの保護 |
無線LANのアクセス・ポイントを設置した場合、無線経由での社内ネットワークの入り口を作成したようなものである。このアクセス・ポイントでアクセス制限を行っていないと、誰でもネットワークに侵入できてしまう。
そこで、企業ネットワークをインターネットに接続したときと同様、企業ネットワークを保護するためにファイアウォールやIDSの導入が必要になってくる(図1)。企業で導入するような規模の無線LANでは、すべてのアクセス・ポイントでポリシーを設定しファイアウォールを動作させるということは現実的でなければ製品もない。
 |
| 図1 企業ネットワークの保護……企業ネットワークをインターネットへ接続したときと同様に、社内ネットワークに無線アクセス・ポイントを設置したら、外部からの侵入、攻撃に備えファイアウォール、IDSを設置する |
やはり、ファイアウォールやIDS機能をサポートしている無線LANシステムの利用が必要である。無線LANシステムを導入し、適切なポリシーを設定することにより、外部からの侵入も防げるし、内部からの情報漏えいも防ぐことができる。
| 目次:Voice over Wireless LANの実現 | |
 |
IP電話実現のための最低必須条件とは? |
| RF管理/シームレスなローミング | |
| 無線QoS/無線IP電話の接続制御 | |
| 無線IP電話の選択/無線LANシステムの選択 | |
 |
「Master of IP Network総合インデックス」 |
- 完全HTTPS化のメリットと極意を大規模Webサービス――ピクシブ、クックパッド、ヤフーの事例から探る (2017/7/13)
2017年6月21日、ピクシブのオフィスで、同社主催の「大規模HTTPS導入Night」が開催された。大規模Webサービスで完全HTTPS化を行うに当たっての技術的、および非技術的な悩みや成果をテーマに、ヤフー、クックパッド、ピクシブの3社が、それぞれの事例について語り合った - ソラコムは、あなたの気が付かないうちに、少しずつ「次」へ進んでいる (2017/7/6)
ソラコムは、「トランスポート技術への非依存」度を高めている。当初はIoT用格安SIMというイメージもあったが、徐々に脱皮しようとしている。パブリッククラウドと同様、付加サービスでユーザーをつかんでいるからだ - Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか (2017/7/4)
Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか - ifconfig 〜(IP)ネットワーク環境の確認/設定を行う (2017/7/3)
ifconfigは、LinuxやmacOSなど、主にUNIX系OSで用いるネットワーク環境の状態確認、設定のためのコマンドだ。IPアドレスやサブネットマスク、ブロードキャストアドレスなどの基本的な設定ができる他、イーサネットフレームの最大転送サイズ(MTU)の変更や、VLAN疑似デバイスの作成も可能だ。
 |
|
|
|
|
注目のテーマ
Master of IP Network 記事ランキング
転職/派遣情報を探す
