企業向け無線LAN

企業向けの無線LANは家庭内無線LANをそのまま活用出来ますが、多くの人が使うためセキュリティに考慮したり利便性を高める必要があります。本項では企業向け無線LANについて説明します。

家庭内無線LANとの違い

 家庭内無線LANでは通常、1台の無線親機を数人の家族で使うため、複数の無線親機の利用を想定しなくて済みます。

 企業や研究所等多数の人が利用する場合、1台の無線親機で賄えないため、複数の無線親機を設置して共同で利用する事になります。このため、セキュリティに考慮したり複数の無線親機を使う時の利便性を高める仕組みが必要になります。

企業向け無線LAN1

 尚、無線親機はアクセスポイントとも呼ばれ、企業向けの製品では特にアクセスポイントと呼ばれる事が多いため、本ページでも以降はアクセスポイントと記述します。

認証や暗号化の概要

 基本編の「家庭内無線LAN」では認証と暗号化のために事前共有キーを設定すると説明しました。多くの人が利用する場合に事前共有キーを採用すると、パソコンで設定してもらうために公開しなければいけません。公開の仕方によっては事前共有キーが外部の人に知られてしまう可能性があり、その場合は盗聴や内部ネットワークへの接続を許してしまいます。無線では特に建物内部に侵入しなくても盗聴・接続出来るため、非常に危険です。又、アクセスポイントが多くなると、全ての機器に事前共有キーを設定するのは大変手間がかかりますし、キーが漏えいした時には全てのアクセスポイント、パソコンで設定変更が必要になります。

 これに対応するにはユーザーIDとパスワードでサーバーが認証する仕組みを用います。認証するサーバーをRADIUSサーバーと言います。

企業向け無線LAN2

 動作の詳細ですが、まずはパソコンから通信が発生するとアクセスポイントはRADIUSサーバーと通信を行います。RADIUSサーバーはアクセスポイントに鍵を送信し、アクセスポイントはパソコンにその鍵を送信します。この鍵自体は暗号化されておらず、誰でも傍受出来ます。

企業向け無線LAN3

 パソコンではランダムな値を作成し、基本編の「家庭内無線LAN」で説明した事前共有キーと同様な共通鍵を作成します。同時に作成したランダムな値をRADIUSサーバーから送られてきた鍵を元に暗号化して送信します。RADIUSサーバー側では受信したランダムな値を元にパソコンと同じ共通鍵を作ります。

企業向け無線LAN4

 互いに共通鍵が出来れば暗号化してユーザーIDとパスワードを送り認証します。

企業向け無線LAN5

 その後は、RADIUSサーバーからアクセスポイントに共通鍵を送信し、パソコンとアクセスポイントの間で暗号化して通信を開始します。

企業向け無線LAN6

 家庭内無線LANではWPA-PSK、又はWPA2-PSKでしたが、上記方式はWPA-EAP、WPA2-EAPという方式になります。又、ユーザーIDとパスワードを用いて認証する方法をWPA-EAP、及びWPA2-EAPの中でもEAP-TTLS、若しくはEAP-PEAPと言います。EAP-PEAPはWindowsXP SP1以降標準で組み込まれています。

【WPAの規格と方式】
規格 方式 説明
WPA-PSK 事前共有キー 事前共有キーを使いWEPを強固にしたTKIPという鍵を自動的に変更する技術を採用しています。
WPA2-PSK 事前共有キー 事前共有キーを使いAESという暗号化を採用しており最も強固と言われています。
WPA-EAP TTLS ユーザーIDとパスワード認証を行い、WEPを強固にしたTKIPという鍵を自動的に変更する技術を採用しています。
PEAP ユーザーIDとパスワード認証を行い、WEPを強固にしたTKIPという鍵を自動的に変更する技術を採用しています。WindowsXP SP1以降標準で組み込まれています。
WPA2-EAP TTLS ユーザーIDとパスワード認証を行いAESという暗号化を採用しており最も強固と言われています。
PEAP ユーザーIDとパスワード認証を行いAESという暗号化を採用しており最も強固と言われています。WindowsXP SP1以降標準で組み込まれています。

 尚、パソコンからアクセスポイントまでの通信を802.1x認証、アクセスポイントからRADIUSサーバまでの通信をRADIUS認証と言います。又、AESに対応した機器ではWPA-PSKやWPA-EAPでもAESが使える場合がありセキュリティを強化可能ですが、アクセスポイントとパソコン両方が対応している必要があります。

 通信開始時にRADIUSサーバーから鍵が送られてきますが、これは暗号化されていないため誰でも傍受出来ると説明しました。このため、この鍵を傍受されると暗号化したランダムな値を解読して共通鍵を作成され、その後の通信が解読されてしまうのではないかと考えるかもしれません。

 結論から言うとこれは傍受されても解読されません。

 サーバーから送られてくる鍵は公開鍵と言って、サーバー側で持っている鍵でしか解読出来ないようになっています。サーバー側で持っている鍵を秘密鍵と言います。

企業向け無線LAN7

 この方式を公開鍵暗号方式と言い、秘密鍵と一対になった公開鍵をサーバーは持っていて要求に応じて送信します。公開鍵は誰でも利用出来ますが、公開鍵で暗号化されたデータは一対になっている秘密鍵でしか解読出来ません。

 この方法は無線だけでなく、Webサーバー等でも用いられています。

 URLでhttp://www.aa.bbと記入すると通常の通信になりますが、https://www.aa.bbと入力するとサーバーから公開鍵が送られてきて通信を開始するため、ユーザーID/パスワードを入力する画面、クレジットカードを使う画面等で使われています。

 パソコン、サーバー共に同じ鍵を作成して通信する方式を共通鍵暗号方式と言います。基本編の「家庭内無線LAN」で説明した事前共有キーを設定する方式も同様に共通鍵暗号方式です。

 つまり、WPA-PSKやWPA2-PSKでは共通鍵暗号方式だけを使っていますが、WPA-EAPやWPA2-EAPでは公開鍵暗号方式を使って共通鍵を作成し、その後共通鍵暗号方式に切り替えて通信を行っています。

 無線だけでなくWebサーバー等でもhttpsで通信する際は同様に公開鍵暗号方式から共通鍵暗号方式に切り替えて通信を行います。

 無線LANでは公開鍵を使って送ったランダムな値から同じ鍵である共通鍵を作成します。

 尚、通常は共通鍵はそのままでは暗号化用の共通鍵として使われません。4ウェイハンドシェイクというやりとりを経て暗号化用の共通鍵が生成されます。

企業向け無線LAN8

 最初に作成される共通鍵をPMKと言い、マスターとなる鍵になります。PMKが一致していれば暗号化用の共通鍵は通信途中でも変更可能でセキュリティが強化されます。

パソコンの認証

 ユーザーIDとパスワードで認証する場合、外部の人に知られてしまう可能性があります。このため、使ってよいパソコンかどうかを判断する仕組みもあります。

 パソコン側で秘密鍵を保持し、サーバー側に公開鍵を送信する方法です。公開鍵は単体で送られるのではなく、デジタル証明書という形で送られてきます。証明書にはFQDN等の情報や、認証局というサーバーで作成した秘密鍵で送られてきた内容自体を暗号化した署名が付属してます。

企業向け無線LAN9

 この署名を認証局が公開している公開鍵で解読します。公開鍵で暗号化したデータは秘密鍵でしか解読出来ないと説明しましたが、逆に秘密鍵で暗号化したデータは一対になっている公開鍵でしか解読出来ません。このため、署名を認証局の公開鍵で解読して送られてきたFQDNや公開鍵等の情報と一致すれば認証局が認めた証明書である事が確認出来ます。

企業向け無線LANa

 その後、パソコンから秘密鍵で暗号化したデータが送られて来て、この公開鍵で解読出来れば、通信してきたパソコンは認証局が認めた証明書の正当な持ち主である事が確認出来ます。

 これがデジタル証明書を使った認証ですが、実際にはもう少し処理を複雑化しています。

 これまで説明したEAP-TTLSやPEAPに対して、無線LANでパソコンの認証も行う方法をEAP-TLSと言います。EAP-TLSではパソコンの秘密鍵を盗まれない限り安全ですが、パソコン1台1台に秘密鍵を作成するのは面倒なため、セキュリティ強度との兼ね合いになります。

 尚、「公開鍵暗号方式」で示したサーバー側から送られてくる公開鍵も実際にはデジタル証明書として送られてきます。このため、EAP-TTLS、EAP-PEAP、EAP-TLS共に常にサーバーの認証は行われます。

 認証局が認めた秘密鍵を持っている相手しか解読出来ない事が保障されると説明しましたが、認証局が無暗に認めた場合はどうでしょう?

 例えばwww.xx.yyに対してwww.aa.bbの署名をした場合、www.xx.yyはwww.aa.bbに成りすます事が可能です。

企業向け無線LANb

 結論から言えば、これは可能です。認証局は誰でも作る事が出来、署名したデジタル証明書を配布出来ます。但し、そのデジタル証明書を信頼するかどうかは通信する側の判断に任されています。

 有名な認証局を運営しているベリサイン等のデジタル証明書はパソコンに最初から信頼される機関として登録されており、署名する機関のデジタル証明書を発行する前に内容等を審査します。このため、ベリサインの署名があれば安全と判断されます。httpsでの通信が成り立っているのはこのためです。

 勝手に作った認証局はパソコンに登録されていないため、危険と判断されます。このため、認証局を作った場合は通信を行うサーバーやパソコンにその公開鍵を信頼出来る機関として登録する必要があります。

 例えばInternetExplorer9ではインターネットオプションでコンテンツタブを選択し、証明書をクリックします。

企業向け無線LANc

 証明書ウィンドウで信頼されたルート証明機関タブを選択すると現在信頼している機関が表示されます。

企業向け無線LANd

 認証局を自分で作成した場合、インポートをクリックして証明書を信頼出来る機関として登録しておく必要があります。

 認証後はアクセスポイントが接続されたスイッチのインターフェースに割り当てられたVLANを使えますが、認証後にユーザ単位でVLANを割り当てる事も可能です。これを認証VLANと言います。

企業向け無線LANe

 認証VLANを利用する場合、利用するVLANはアクセスポイントまでタグVLANで接続されている必要があります。

企業向け無線LANf

 アクセスポイントが複数ある環境では移動によりパソコンが接続しているアクセスポイントの無線範囲から外れて、違うアクセスポイントの無線範囲になる事があります。例えばノートブックや携帯端末を持って移動する時等です。

 このような場合は近くのアクセスポイントに再接続可能です。これをローミングと言います。

企業向け無線LANg

 ローミングする際、新たに接続するアクセスポイントはパソコンが認証されているか分からないためすぐに接続出来ません。これを防ぐために、接続可能な範囲になると認証しておき、ローミングが行われるとすぐに使えるように出来ます。これを事前認証と言います。

 認証自体を省略する方法もあります。一回認証をするとアクセスポイントはPMKを一時的にキャッシュします。同じパソコンが接続範囲に戻ってくるとキャッシュしたPMKを利用して暗号化通信が可能です。

ローミングのポイント

 ローミングで通信を途切れさせないようにするためには2台のアクセスポイントの無線範囲を重複させる必要があります。

企業向け無線LANh

 但し、チャンネルは重複しないようにする必要があります。又、余り重複させると不安定になります。重複した範囲ではどちらのアクセスポイントに接続するかはパソコン側の判断によるため、場合によっては切り替えが何度も行われるようになります。

無線LANコントローラ

 認証や暗号化の取決めを集約している製品もあります。この場合、専用のコントローラやスイッチがアクセスポイントの代わりに認証や暗号化の方式を決めます。

企業向け無線LANi

 1台のコントローラやスイッチで複数のアクセスポイントを管理出来るため、ローミング時にも再認証が不要です。

サイト関連1

基本編「家庭内無線LAN
トラブル対応「inSSIDer

キーマンズネット1

今週の立ち読み製品「スグ解る!「無線LAN」
ネットワーク早わかり講座「第33回 無線LANを支える「暗号と認証」技術
初級ネットワーク講座「第24回 暗号化と認証の仕組み
  • このエントリーをはてなブックマークに追加