【無線LANのセキュリティ(認証)について】
このHPは無線LANのセキュリティ(認証)について
APでSSIDステルスやMACアドレスフィルタリングを行っても、完全に第三者のアクセスを防げるわけでは無い。意図しないユーザーをアクセスさせないためには、「認証」を行う。
1-1 無線LANの認証
無線LANの認証には、「事前共有鍵方式(PSK認証)」と「認証サーバー方式(IEEE802.1x方式)」が使用される。
◆事前共有鍵認証(PSK認証)
事前共有鍵認証(PSK認証)は、APとSTAで同じパスフレーズを事前に設定する。APとSTA間で無線暗号化を行う場合に用いる。WEPやWPAといった暗号化規格を利用する場合、APとSTAで同じパスワードを設定しておくことで、無線通信路が確立される。
STAとAPは、パスフレーズから「マスターキー」と呼ばれる共有鍵の素を生成する。事前共有鍵を知らないSTAはAPに接続することが出来ない。
◆認証サーバー方式(IEEE802.1x方式)
認証サーバー方式(IEEE802.1x)は、ユーザー認証とアクセス制御を行い、無線LANのみではなく、有線LANでも利用可能。認証サーバーで一元的に認証できることから、企業の無線LAN環境等で良く使用される。
「IEEE802.1x」は、「EAP」という認証プロトコルを使用して、認証を行う。
IEEE802.1x認証は、「サプリカント」、「オーセンティケータ」、「認証サーバー」の3つの要素で行われる。
オーセンティケータは、サプリカントから受信したEAPメッセージをRADIUSフレームに載せ替えて認証サーバーとのやり取りを中継する。
認証サーバーによる認証が成功すると、オーセンティケーターは、その通知をサプリカントへ送るとともに、それ以降は認証済み端末として、当該サプリカントからMACフレームをLAN上の他端末やインターネットゲートウェイへ転送できるようにする。
EAPは、認証方法によって、さらにたくさんのプロトコルに細分化できる。
最近使用されている代表的なのは、下記の3種類。
・EAP-TLS
・PEAP
・EAP-SIM/AKA
■EAP-TLS
EAP-TLSは、デジタル証明書で双方向に認証を行うプロトコル。
サーバーとクライアント間で電子証明書による認証を行う。クライアント側はクライアント証明書をインストールしておき、サーバー側はサーバー証明書をインストールしておくことで、接続するときにお互いが持っているデジタル証明書を交換し合い証明書による認証ができる。
■PEAP
PEAPは、ID/パスワードで無線LAN端末を認証し、デジタル証明書で認証サーバーを認証するプロトコル。PEAPは、端末の認証をID/パスワードにすることによって、証明書管理を省略している。
■EAP-SIM/AKA
EAP-SIM/AKAは、SIMカードの情報を利用して、双方向に認証を行うプロトコル。EAP-SIM/AKAは、携帯電話事業者と加入者しか知り得ない情報で認証を行うため、高いセキュリティ強度を維持することができる。
このHPは無線LANのセキュリティ(認証)について
APでSSIDステルスやMACアドレスフィルタリングを行っても、完全に第三者のアクセスを防げるわけでは無い。意図しないユーザーをアクセスさせないためには、「認証」を行う。
1-1 無線LANの認証
無線LANの認証には、「事前共有鍵方式(PSK認証)」と「認証サーバー方式(IEEE802.1x方式)」が使用される。
◆事前共有鍵認証(PSK認証)
事前共有鍵認証(PSK認証)は、APとSTAで同じパスフレーズを事前に設定する。APとSTA間で無線暗号化を行う場合に用いる。WEPやWPAといった暗号化規格を利用する場合、APとSTAで同じパスワードを設定しておくことで、無線通信路が確立される。
STAとAPは、パスフレーズから「マスターキー」と呼ばれる共有鍵の素を生成する。事前共有鍵を知らないSTAはAPに接続することが出来ない。
◆認証サーバー方式(IEEE802.1x方式)
認証サーバー方式(IEEE802.1x)は、ユーザー認証とアクセス制御を行い、無線LANのみではなく、有線LANでも利用可能。認証サーバーで一元的に認証できることから、企業の無線LAN環境等で良く使用される。
「IEEE802.1x」は、「EAP」という認証プロトコルを使用して、認証を行う。
IEEE802.1x認証は、「サプリカント」、「オーセンティケータ」、「認証サーバー」の3つの要素で行われる。
オーセンティケータは、サプリカントから受信したEAPメッセージをRADIUSフレームに載せ替えて認証サーバーとのやり取りを中継する。
認証サーバーによる認証が成功すると、オーセンティケーターは、その通知をサプリカントへ送るとともに、それ以降は認証済み端末として、当該サプリカントからMACフレームをLAN上の他端末やインターネットゲートウェイへ転送できるようにする。
EAPは、認証方法によって、さらにたくさんのプロトコルに細分化できる。
最近使用されている代表的なのは、下記の3種類。
・EAP-TLS
・PEAP
・EAP-SIM/AKA
■EAP-TLS
EAP-TLSは、デジタル証明書で双方向に認証を行うプロトコル。
サーバーとクライアント間で電子証明書による認証を行う。クライアント側はクライアント証明書をインストールしておき、サーバー側はサーバー証明書をインストールしておくことで、接続するときにお互いが持っているデジタル証明書を交換し合い証明書による認証ができる。
■PEAP
PEAPは、ID/パスワードで無線LAN端末を認証し、デジタル証明書で認証サーバーを認証するプロトコル。PEAPは、端末の認証をID/パスワードにすることによって、証明書管理を省略している。
■EAP-SIM/AKA
EAP-SIM/AKAは、SIMカードの情報を利用して、双方向に認証を行うプロトコル。EAP-SIM/AKAは、携帯電話事業者と加入者しか知り得ない情報で認証を行うため、高いセキュリティ強度を維持することができる。
