特集
無線LAN構築のABC

3. 無線LANで必須のセキュリティ設定

デジタルアドバンテージ
2002/07/31


セキュリティ設定を行う

 チャンネルとSSIDを設定すれば、これで無線LANによるネットワーク接続が行える。ただし、この状態では外部の意図しない人でも簡単にネットワークに接続できてしまうし、電波を傍受できれば通信中の情報もまる見えになってしまっている。そこで、何らかのアクセス制限の設定や暗号化を行う必要がある。

■WEPの設定は必須
 IEEE 802.11では、「WEP(Wired Equivalent Privacy)」と呼ぶ暗号機能が規定されている。WEPとは、アクセス・ポイントと無線LANクライアントの双方に同じキー(暗号鍵)を設定する「共通鍵暗号方式」による暗号化方式のことである。これにより、通信中のパケットが暗号化できるだけでなく、WEPのキーが正しく設定されていない無線LANクライアントはアクセス・ポイントに接続できないためアクセス制限にも使える。

 WEPのキーとしては、40bitもしくは104bitの2種類が設定可能である。WEPのキーは、40bitの場合は5文字、104bitの場合は13文字の文字列(16進数の場合は40bitで10けた、104bitで26けた)で設定する。実際の暗号化には、これに乱数によって内部で生成される24bitのIV(Initialization Vector:初期化ベクタ)を付加した、64bitあるいは128bit長とした値を暗号化に用いる。ただ、古い無線LAN製品では、40bitしか対応していないものも多いので注意が必要だ(104bitに対応した機種では、40bitの設定も可能)。またWEPのキーは、機種によってASCII文字列だけ、あるいは16進数だけしか設定できないものがあり、異なるベンダの製品では同じ値を設定してもうまく認証が行えない場合がある。最近では、WEPの実装においても互換性が高くなっているが、古い機種の場合は注意した方がいいだろう。

 さらに企業向けのアクセス・ポイントは、4つ程度のキーが登録できるのが一般的である(家庭向けでは1つしか設定できないものが多い)。本来は、複数のWEPのキーを使い分け、曜日によって変更するなどした方がセキュリティは高められるのだが、無線LANクライアント側の設定も変更しなければならず現実的ではないだろう。なおWEPのキーは、パスワードと同様、類推可能な文字列(辞書に載っている単語など)を使うと簡単に破られてしまうので注意したい。さらに念を入れて、1カ月単位でキーを変更するなどした方がよい。

■MACアドレスによるアクセス制限も有効に
 もう1つ、アクセス・ポイントでほぼ標準機能となっているMACアドレスによるアクセス制限を行えば、最低限のセキュリティは確保できる。アクセス・ポイントに接続する無線LANクライアントのMACアドレスを登録し、それ以外の無線LANクライアントからのアクセスを拒否する機能である。アクセス・ポイントによって登録可能な無線LANクライアント数は異なるが、最低でも16台程度は登録できるようだ。不正な無線LANクライアントのアクセスを防ぐためにもぜひとも設定したい。

メルコのアクセス・ポイント「AirStatrion WLA-S11G」のMACアドレス登録画面
「無線LANパソコンの接続」の「制限する」にチェックすることで、MACアドレスによるアクセス制限が行える。WLA-S11Gでは最大256台の登録が行える。
  MACアドレスによるアクセス制限を行うには「制限する」にチェックする
  接続を許可する無線LANクライアントのMACアドレスを入力する
  登録済みのMACアドレスが表示される

IEEE 802.1xの導入でさらなるセキュリティ対策

 WEPを有効にし、MACアドレスによるアクセス制限を行うことで、ある程度のセキュリティは確保できる。しかし、すでにWEPの脆弱性がいくつか報告されているうえ、40bitという短い暗号キーでは総当り的な手法で破られてしまう可能性があるため、万全とはいえない。MACアドレスによるアクセス制限も、MACアドレスが偽装されてしまうと意味をなさない。そこで、さらにセキュリティ機能を強化した「IEEE 802.1x」という規格が有力視されている。IEEE 802.1xの仕組は、無線LANクライアントとアクセス・ポイントの双方でIEEE 802.1xプロトコルを使い、RADIUS(Remote Authentication Dial-In User Service)*1サーバを利用することで、無線LANの利用に認証機能を付加しようというものだ。これにより、無線LANの使い始めには必ず認証が必要になるので、不正アクセスを排除できる。また、RADIUSシステムを利用して、WEPのキーを定期的に変更することで、安全性を高めるといったことも可能だ。RADIUSサーバとIEEE 802.1xに対応した無線LAN機器が必要になるが、セキュリティの向上を考えれば導入を検討したいところである。

*1 Livingston Enterprise社が開発したダイヤルアップのための認証システムならびに認証プロトコル。IETF(Internet Engineering Task Force)によってRFC2138/RFC2139として標準化され、RADIUSサーバのソース・コードは公開されている。ユーザーは、ユーザーIDとパスワードをアクセス・サーバに経由してRADIUSサーバへ伝送する。このときRADIUSプロトコルが利用され、この間もセキュリティが保たれる。RADIUSサーバでは、ユーザーIDとパスワードなどから認証を行い、アクセス・サーバにユーザーの利用許可を発行する仕組みである。RADIUSサーバでは、ユーザーIDとパスワードだけでなく、課金情報なども統合することができる。

イーサネットとの接続は各種設定を確認してから

 以上の点を簡単にまとめておこう。

  • IEEE 802.11aとIEEE 802.11bの選択は、通信速度と公衆無線LANアクセス・サービスの利用の有無で決まる
  • 導入コストと管理の手間は増えるがIEEE 802.11aとIEEE 802.11bの両方のアクセス・ポイントを導入する、という方法もある
  • アクセス・ポイントは無線チャンネルのオーバーラップがないように設定する(最大4台まで設置可能)
  • 1台のアクセス・ポイントに対して無線LANクライアントは5〜6台程度が望ましい
  • SSIDは無線LANのグルーピングのための文字列でしかなく、セキュリティ機能ではない
  • 「ANY」や空欄のSSIDに対しては無線LANアクセス・ポイントに接続しない設定を有効にする
  • WEPは必ず有効にして小まめにキーを変更する
  • アクセス・ポイントにはMACアドレスによるアクセス制限を設定する
  • さらにセキュリティを向上させるにはIEEE 802.1xの導入を検討する

 これらを守ることで、最低限の設定とセキュリティの確保が行えるはずだ。無線LANは、イーサネット・ケーブルの敷設を不要にするため、特に移動して利用可能なノートPCの場合は便利なことが多い。しかし、一方で前述のようにセキュリティ面では、有線のイーサネットに比べて危険性が高い点ももう一度認識しておきたい。社内のサーバとのやりとりには、IPSecを導入して、パケットの中身を暗号化するなど、さらにセキュリティを高める工夫も必要だろう。

 また、有線、無線に限らないことだが、万一、無線LANに侵入されても、不正アクセスを防ぐために、ファイルの共有設定やID/パスワードの管理には十分に注意したい。特に公衆無線LANアクセス・サービスを利用するような場合には、ネットワーク・アダプタのプロパティから「ファイルとプリンタの共有サービス」を削除しておくくらいの気持ちが重要だ。

 これらを確認して、さらにオフィスの外に電波が漏れていないか、WEPやMACアドレスによるアクセス制御が働いているか、もう1度確認しておきたい。それが確認できたら、初めて社内LANにアクセス・ポイントを接続しよう。記事の終わり

  関連記事
運用:WEP暗号化の基礎と実践
Insider's Eye:無線LANの情報漏えいに注意せよ
 
 

 INDEX
  [特集]無線LAN構築のABC
    1.アクセス・ポイントのチャンネル設定
    2.SSID設定のコツ
  3.無線LANで必須のセキュリティ設定
 
 「System Insiderの特集」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間