Windows XP でのワイヤレス 802.11 セキュリティ

Microsoft, データベース コメントはまだありません

 
 
 
 
 

 
 
 
 
 
1. はじめに IEEE 802.11、802.11a、および 802.11b (Wi-Fi とも呼ばれます) は、1 Mbps 以上の帯域幅を提供するワイヤレス ローカル エリア ネットワーク (LAN) 標準規格です。これらのネットワークは、配線によ り接続された LAN とは異なるため、ワイ...

 
 
 
 
 

 
 
 
 
 
1. はじめに IEEE 802.11、802.11a、および 802.11b (Wi-Fi とも呼ばれます) は、1 Mbps 以上の帯域幅を提供するワイヤレス ローカル エリア ネットワーク (LAN) 標準規格です。これらのネットワークは、配線によ り接続された LAN とは異なるため、ワイ...

1. はじめに

IEEE 802.11、802.11a、および 802.11b (Wi-Fi とも呼ばれます) は、1 Mbps 以上の帯域幅を提供するワイヤレス ローカル エリア ネットワーク (LAN) 標準規格です。これらのネットワークは、配線によ り接続された LAN とは異なるため、ワイヤレス LAN の展開に固有のいくつかの問題について検討する必要があります。

IEEE 802.11 ワイヤレス LAN の展開に関する重要な問題としては、ネットワークへのアクセスの管理、およびワイヤレス トラフィックのプライバシの管理が挙げられます。IEEE 802.11 標準規格は、アクセス制御およびプライバシのための WEP 事前共有キーの使用方法を定義します。ただし、数千ものワークステーションがある場合、事前共有キーを管理することは不可能です。

IEEE 802.11 標準規格

IEEE 802.11 は、共有ワイヤレス ローカル エリア ネットワーク (LAN) の標準規格です。メディア アクセス制御 (MAC) プロトコルである搬送波感知多重アクセス/衝突回避方式 (CSMA/CA) を使用します。この標準規格では、物理層において、直接拡散 (DS) および 周波数ホッピング (FH) の両方のスペクトル拡散通信方式を使用できます。この標準規格によって最初に提供された最大データ レートは 2 Mbps でした。802.11b 仕様で物理層定義とともに提供された、より高速なバージョンでは、DS スペクトル拡散伝送により最大 11 Mbps のデータ レートが実現します。IEEE (Institute of Electrical and Electronics Engineers 英語情報) の標準化委員会は、 802.11a 仕様についても、物理層の規準を定義しました。これは、最大 54 Mbps のデータ転送レートを可能にする直交周波数分割多重 (OFDM) 方式に基いています。

セキュリティについて

802.11 は、ワイヤレス ローカル エリア ネットワーク (LAN) 環境において急速に成長してきましたが、ワイヤレス ネットワーク全般に関して、いくつかのセキュリティ上の問題点が指摘されています。

802.11 ワイヤレス LAN 標準規格では、Wired Equivalent Privary (WEP) アルゴリズムに基いた認証および暗号化サービスが定義されています。WEP アルゴリズムは、認証および暗号化のための 40 ビット秘密キーの使用方法を定義しています。802.11 実装の多くは、104 ビットの秘密キーの使用も許可しています。ただしこの標準規格ではキー管理プロトコルは定義されておらず、秘密、共有キーが、802.11 からは独立した安全なチャネルを介して 802.11 ワイヤレス ステーション (STA) に配信されていると見なします。

WEB キー管理プロトコルがないという点は、802.11 セキュリティの提供における重大な制限事項となります。特に、ワイヤレス インフラストラクチャ ネットワーク (配線されたネットワークとの相互動作のためにアクセス ポイントを使用して構築されたワイヤレス ネットワーク) で多くのステーションを持つ場合に影響します。このようなタイプのネットワークには、企業の敷地内に配備されたネットワークや、空港、モールといった公共スペースのネットワークなどがあります。手動で構成した共有キーが使用される場合、キーは、長期間にわたってその場にとどまる傾向にあるため、ハッカーがさまざまな攻撃を仕掛けてキーを取得し、トラフィックを解読する 時間が増えます。認証と暗号化サービスがないことは、たとえば会議室などの環境で、ユーザーがピアツーピアの共同作業コミュニケーションを行いたい場合、ワイヤレスのアドホック ネットワーク (ピアツーピアのワイヤレス ネットワーク) での操作にも影響します。

その結果、ワイヤレス環境での認証および暗号化のさらなる重要性により、802.11 でのキー管理プロトコル定義を含む、アクセス制御およびセキュリティ機構の必要性が証明されました。

特定の WEP 関連問題

キー管理プロトコルがない点以外にも、WEP に関する問題点がいくつか指摘されており、提供されるセキュリティのレベルが懸念されています。以下のような問題点があります。

  • 初期ベクトル (IV) の衝突。最も問題となるのは、ワイヤレス データ トラフィックの暗号化に使用される擬似乱数ジェネレータを動作させるためのキーを作成するときに使用する RC4 初期ベクトル (IV) を WEP が割り当てる方法です。WEP の IV は 24 ビット フィールドであり、再利用を保証する小さなスペースであるため、キーが再利用されます。WEP の標準規格では、これらの IV の割り当て方法も指定されていません。ワイヤレス ネットワーク カードの多くは、これらの IV をゼロにリセットしてから、使用のたびに 1 つずつ増やしていきます。ハッカーが同じ IV (キーが変更されていない場合は同じキー) を使って 2 つのパケットを取得できる場合、機構を利用して、元のパケットの部分を決定することができます。

    この点とほかの弱点によりキーが再利用されるため、使用されているキーの特定が容易になり、攻撃に対する脆弱性の原因となります。このような攻撃で WEP キーを完全に引き出すには 500 ~ 600 万もの大量のパケットが必要ですが、負荷の高い大規模ネットワークでは、10 分ほどの短い時間でこの程度のパケットが発生することがあります (ただし最大規模の企業ネットワークでさえ、充分なパケットを集めるためにより長い時間を必要とする場合もあります)。WEB 保護されたワイヤレス ネットワークでは、多くの場合、複数のステーションまたはすべてのステーションが同じ共有キーを使用しています。このため、IV 衝突の可能性が格段に増加します。その結果、WEP キーが頻繁に変更されない場合、ネットワークが安全でなくなります。このことからも、WEP キー管理プロトコルの必要性がさらに高まります。

  • 不正パケットの注入。ハッカーが暗号化パケットの構造 (知られているプロトコル ヘッダ フィールドなど) を認識している場合、いくつかのビットを投入することで不正パケットを作成して、パケットを変更し、コマンドやアドレスなどを変えることができます。暗号化パケットは改ざんされていないことを証明するために整合性チェックを受けますが、WEP 内でこれが実行される方法のため、新しいパケットに対して有効になるよう整合性チェックを修正することが可能であり、宛先で受け入れられてしまいます。ハッカーがこのパケット内での宛先アドレスの場所を知っている場合、アドレスは、知られていないパケット上で変更できます。そしてハッカーが制御するマシンを宛先に指定されてしまいます。パケットがワイヤレス ネットワーク上で送信される場合、AP がパケットを解読し、不正な宛先に送信します。
  • リアルタイムの解読と IV テーブル。IV のサイズが小さいこととキーが長期間再利用されることで、ハッカーは、IV とキー ストリームのテーブルを作成することができるようになり、このテーブルを、解読するパケットに追加することができます。やがてこのテーブルには、すべての可能な IV が記載され、すべてのトラフィックをリアルタイムで解読できるようになってしまいます。

以下に、802.11 に存在するセキュリティ上の問題点をまとめます。

  • パケットのソースを特定するためのパケットごとの認証機構が存在しません。
  • 802.11 は分離攻撃に対して脆弱で、ユーザーをワイヤレス ネットワークから追い出してしまいます。
  • ユーザー識別およびユーザー認証が行われません。
  • 中央制御による認証、承認およびアカウント サポートがありません。
  • RC4 ストリーム暗号は、上に示したような攻撃に対して脆弱です。
  • パスワードから WEP キーを取り出す実装もあり、これはパスワードの脆弱性の原因にもなります。
  • トークン カード、証明書/スマートカード、一時パスワード、バイオメトリックスといった拡張認証機能をサポートしていません。
  • グローバル キーの再キーイングや、ステーションごとまたはセッションごとの動的キー管理機構がない、といったキー管理の問題点があります。

2. 802.1X – キー管理に関する問題の解決

Microsoft は、Port Based Network Access Control (802.1X) ドラフト版標準規格の定義のため、IEEE 標準化グループのほかの企業と密接に協力し合ってきました。また、802.1X をどのようにして 802.11 ベースのワイヤレス ネットワークに適用できるかを定義するため、IEEE 内でも作業してきました。

802.11 では、すべてのステーションで同じ WEP キーを使用する必要はなく、また 1 つのステーションで、ステーションごとのユニキャスト セッション キーおよびマルチキャスト/グローバル キーの 2 組の共有キーを保持することができます。現在の 802.11 実装は、共有マルチキャスト/グローバル キーを主にサポートしていますが、近い将来、ステーションごとのユニキャスト セッション キーをサポートする予定です。これらすべてのキーの管理と更新は、大変な手間のかかる作業になる場合があります。

現在の 802.11 の、アクセス制御に関するセキュリティ オプションは、大規模インフラストラクチャ ネットワークやアドホック ネットワークでは適切に拡張できません。また、ステーションが 1 つのアクセスポイント(AP)から別の AP に移動する場合、アクセス間ポイント プロトコル (IAPP) がなければ、認証を新たに始めなければならないため、キー管理がさらに難しくなります。

802.1X は、ポート ベースのネットワーク アクセス制御の標準規格草案です。802.1X は、イーサネット ネットワークに認証済みネットワーク アクセスを提供するために使用されています。ポートベースのネットワーク アクセス制御では、スイッチ型 LAN インフラストラクチャの物理特性を利用して LAN ポートに接続されたデバイスの認証手段を提供し、認証プロセスが失敗したときにはそのポートへのアクセスを防止します。

802.1X の動作

これ以降のセクションでは、ケーブル接続ネットワークとワイヤレス ネットワークへのアクセスを制御し、暗号化のキーを提供するために、802.1X がどのように使用されているかについて概説します。

認証システムとアクセスの要求

LAN ポートは、ネットワーク アクセス制御の対話の中で、認証システムまたはアクセスを要求するポートにいずれかの役割を持つことができます。

認証システムとは、ポートを介して利用可能なサービスへのアクセスを許可する前に認証を 「強制」 するポートのことです。アクセスを要求するポートとは、認証システムのポートを介して利用可能なサービスへのアクセスを 「要求」 するポートのことです。

認証サーバーも認証機能を実行します。認証サーバーは、認証システムの代わりにアクセスを要求するポートの資格情報を確認します。その後認証サーバーは、アクセスを要求するポートが認証システムのサービスにアクセスする権限を持っているかどうかを認証システムに知らせます。認証サーバーは、個別のエンティティとしても存在できますし、その認証サーバー機能を認証システムと同じ場所に置くこともできます。

制御対象ポートと非制御対象ポート

認証システムのポートベースのアクセス制御は、次の図 1 に示すように、単一の物理 LAN ポートを介して、LAN への 2 つの論理アクセス ポイントを定義しています。

「非制御対象ポート」 とラベル付けされた最初の論理アクセス ポイントでは、システムの認証状況に関係なく、認証システムと LAN 上のほかのシステムとの間で非制御のデータ交換を許可します。「制御対象ポート」 とラベル付けされた 2 番目の論理アクセス ポイントでは、システムが認証されている場合のみ、LAN 上のシステムと認証システムのサービスとの間でデータ交換を許可します。

非制御対象ポートの用途の 1 つは、認証システムとアクセスを要求するポートとの間にデータ交換経路を提供することです。

制御対象ポートの認証状況によって、このポートを介してアクセスを要求するポートから LAN へトラフィックを送信できるかどうかが決まります。認証状況は通常、最初は未承認です。その後アクセスを要求するポートの認証を経て、認証済に変更されます。

単純な 802.1X データ交換

拡張認証プロトコル (EAP) は、複数の認証機構での認証情報の通信をサポートするプロトコルです。802.1X では、EAP は、アクセスを要求するポートと認証サーバーとの間で認証情報をやり取るするための手段として使用されます。このため EAP メッセージは、LAN メディア上で直接カプセル化される必要があります。この目的で、EAP over LAN (EAPOL) が定義されました。認証システムは、アクセスを要求するポートと認証サーバーとの間でこれらのメッセージをリレーする役割を持ちます。認証サーバーは、リモート認証ダイヤル イン ユーザー サービス (RADIUS) サーバーである場合があります。

注 802.1X の規格では、認証を EAP と RADIUS に限定していませんが、これが一般的な機構であると記載されています。

次に、アクセスを要求するポートの認証のために実行されるデータ交換の例を示します。

  • 認証システムが EAP – 要求/識別メッセージをアクセスを要求するポートに送信します。
  • アクセスを要求するポートが、自身の ID を付けて、EAP – 要求/識別メッセージを認証システムに送信します。認証システムはこれを認証サーバーに転送します。
  • 認証サーバーは、認証システムを介して、パスワード チャレンジを含む EAP – 要求パケットをアクセスを要求するポートに送信します。
  • アクセスを要求するポートは、認証システムを介して、チャレンジに対するレスポンスを認証サーバーに送信します。
  • 認証に成功すると、認証サーバーが、認証システムを介して、EAP – 成功メッセージをアクセスを要求するポートに送信します。認証システムは、この成功によって、制御対象ポートの状態を認証済に設定することができます。

使用される認証機構によって、メッセージ フローは異なる可能性があり、これ以外のメッセージ フローもいくつか存在します。

802.1X を使用したワイヤレス認証

リモート認証ダイヤル イン ユーザー サービス (RADIUS) サーバーを使用することで、802.1X をワイヤレス認証に適用して、クライアントの資格情報を認証できます。

ワイヤレス アクセス ポイントが特定のクライアントのトラフィックを安全に識別するには、基本 802.1X プロトコルに加えて拡張機能が必要となります。これを実行するには、認証手続きの一部として、認証キーをクライアントに渡し、ワイヤレス アクセス ポイントに渡します。認証キーを知っているのは認証されたクライアントだけであり、この認証キーによって、クライアントから送信されるすべてのパケットが暗号化されます。

802.1X は、LAN のネットワーク アクセス制御のための IEEE 標準規格です。この標準規格には、イーサネットおよびトークン リング ネットワークのネットワーク アクセス制御が定義されています。802.11 のために 802.1X を使用する方法については定義されていません。次の 3 つの変更により、802.1X を、802.11 ネットワークへのアクセス制御に使用できます。

802.11 が定義する “associate” および “dissociate” は、イーサネット ポートの “connect” および “disconnect” と同じで、認証が行われる際、制御を行います。
アクセス ポイントからクライアントに送信される 801.1X メッセージは、802.1X MAC アドレスではなく、クライアントの宛先 MAC アドレスを使用して送信される必要があります。クライアントは、自身の MAC アドレスまたは 802.1X MAC アドレス宛の 802.1X メッセージのみを処理しなければなりません。
アクセス ポイントは、クライアントが認証済みかどうかに基き、クライアントごとに制御対象ポートを使用してネットワークへのアクセスを制御する必要があります。

ワイヤレス ステーションの認証

以下に、AP および RADIUS サーバーがステーションを認証する際の基本的な手順を示します。

有効な認証キーがない場合、AP は自身を通じたすべてのトラフィック フローを禁止します。

  • ワイヤレス ステーションがワイヤレス AP 認証システムの領域内にくると、ワイヤレス AP がワイヤレス ステーションにチャレンジを送信します。
  • AP からチャレンジを受け取ると、ステーションは ID を返します。
  • 次に、認証サービスを開始するため、AP がステーションの ID を RADIUS (認証) サーバーに転送します。
  • その後 RADIUS サーバーは、ステーションの ID を確認するために必要な資格情報の種類を指定して、ステーションの資格情報を要求します。
    ステーションは資格情報を RADIUS サーバーに送信します。
  • RADIUS サーバーは、ステーションの資格情報を検証した後、AP に認証キーを送信します。認証キーは、AP しかアクセスできないように暗号化されます。
    (ステーションは RADIUS サーバーに直接アクセスできないため、ステーションと RADIUS サーバーの間でやり取りされる要求は、AP の 「非制御対象」 のポートを介して行われることに注意してください。STA ステーションは認証されていないため、AP は、「制御対象」 ポートを介した通信を許可しません。)
  • AP は、RADIUS サーバーから受け取った認証キーを使用して、ステーションごとのユニキャスト セッション認証キーおよびマルチキャスト/グローバル認証キーを安全にステーションに送信します。

グローバル認証キーは暗号化される必要があります。そのためには、使用する EAP 方式に、認証プロセスの一環として暗号キーを生成する機能が含まれていなければなりません。トランスポート レベル セキュリティ (TLS) は、整合性保護、暗号スイート ネゴシエーション、および 2 つのエンドポイント間でのキー交換などの相互認証を提供します。このことから見て、EAP での TLS 機構の提供に EAP-TLS を使用することがでるということになります。

802.1X での WEP 問題の解決

先に説明した WEP への攻撃は、以下の方法によって阻止することができます。

  • ステーションごとまたはセッションごとにキーを供給することで、同じキーを使用するパケットの数を制限します。
  • キーが頻繁に変更されるようにします。5 ~ 10 分、または 400 万パケットごとにキーイングし直すことをお勧めします。これにより、上記の攻撃の主な原因となるキーの再利用も制限できます。

これは、802.1X を実装し展開すれば自動的に実行できます。認証の後、802.1X プロトコルを設定して、指定した間隔でステーションを定期的に再認証するよう要求してください。これにより 802.1X は、ステーションごと、セッションごとのキーを供給し、これらのキーが頻繁に変更されるようにし、再利用の問題を防止します。また 802.1X では、ユーザー識別および認証、中央認証、承認、アカウント サポートが実行できます。これにより、将来、拡張認証機構を使用することができます。

802.1X で使用される認証スキーム

IEEE 802.1X は、LAN 環境における、アクセスを要求するポートと認証システム間の EAP パケット転送のためのカプセル化技術を定義しています。EAP は、PPP 内で追加認証方式をサポートする標準機構を提供しています。EAP の使用により、スマート カード、Kerberos、公開キー、一時パスワードといった各種の認証スキームをサポートすることができます。

Windows XP は現在、PKI ベースの EAP-TLS およびユーザー名/パスワード ベースの EAP-MD5 認証方式をサポートしています。

EAP-MD5 はもともと、EAP 仕様に準拠するように開発されました。しかし、さまざまな理由により、EAP-MD5 の使用はお勧めできません。ワイヤレス メディア上で直接チャレンジ/レスポンス方式を使用してユーザー名/パスワード ベースの認証を行うと、オフライン辞書攻撃を受けやすくなります。さらに、MD5 は相互認証をサポートしておらず、サーバーがクライアントを検証することしかできません。また、安全なチャネル確立のために必要な、サーバーおよびクライアントによるキーの派生のための適切なナンスを含んでいません。

EAP-TLS はレジストリベースまたはスマート カード上に置かれた証明書を使用する PKI ベースの認証方式です。EAP-TLS は、相互認証、整合性保護、暗号スイート ネゴシエーション、および 2 つのエンドポイント間でのキー交換を提供しています。図 2 に示すように、PKI ベースの TLS 認証方式は b 相互認証方式を提供しており、クライアントとサーバーの両方が、証明書を使用して、相互に相手を検証することができます。

802.1X と VPN

どのようなときに仮想プライベート ネットワーク (VPN) を使用し、どのようなときに 802.1X を使用すべきか、決定に迷うことがあります。この 2 つのテクノロジは互いに相補関係にあり、両方同時に使用できる場合もあります。

IEEE 802.1X は、バックエンドの認証サーバーがクライアントを認証し、サーバー側で特定のクライアントに指定されたポリシーに基いて、ネットワーク アクセスを承認することができます。EAP-TLS などの b 認証方式を使用することで、サーバーおよびクライアント側でキーを提供できます。認証プロセスを効果的に実行するため、ワイヤレス アクセス ポイントである Network Attached Storage (NAS) にもキーが提供されます。その後クライアントと NAS はキーを使用して、クライアントと NAS 間の安全なワイヤレス データ送信を実行することができます。

注 これはクライアントと NAS の間での、ワイヤレス メディアを使用したデータ トラフィックのみを暗号化するものであり、NAS を超えたデータ セキュリティは提供しません。

インターネットから企業のエンタープライズ ネットワークにアクセスする際、ほとんどの場合は、クライアントが企業のエンタープライズ ネットワークへの VPN を確立する必要があります。VPN 接続を確立することにより、企業のエンタープライズ ネットワーク内での、クライアントと VPN サーバー間のデータ セキュリティが保証されます。

この場合、IEEE 802.1X と VPN を組み合わせることで互いに機能を補完し合い、公共の場所からインターネットにアクセスするクライアントに対して、必要なレベルのデータ セキュリティを提供することができます。

3. Windows XP での 802.11 および 802.1X サポート

Windows XP は、出荷時の状態で 802.11 NIC ドライバおよび 802.1X をサポートしています。Windows XP のクライアントは、前のセクションで説明したクライアント (嘆願者) 側として動作します。Windows XP では、ワイヤレスのネットワーク ドライバおよびカードをサポートするための拡張機能が追加されました。

主要な NIC ベンダはすべて 802.1X をサポートしており、そのほとんどは 802.1X の Windows ドライバをリリースしています。サポートに関する詳細については、ハードウェアのベンダにお問い合わせください。

802.11 ネットワーク用に 802.1X を実装するには、ワイヤレス AP が認証システムとして動作する必要があります。主要なエンタープライズ AP ベンダはすべて、802.1X のサポートを開始しています。

このシナリオを完成させるには、認証サーバー サポートが必要です。Microsoft Windows 2000 IAS サーバー (RADIUS サーバー) は修正されて、ワイヤレス エンドポイントをサポートできるようになり、エンタープライズ対応ネットワークとしての安全な 802.11の図式が完成されました。このテクノロジの展開について記載された文書へジャンプするには、関連リンクのセクションを参照してください。

Windows XP での WEP 認証使用に関する更なる注意点

同じ WEP キーに複数の AP が設定されている場合、AP は追加の最適化を実行します。NIC は、古い AP から取得した WEP キーを共有キーとして使用して、802.11 認証を実行しようとします。これが成功すると、AP は即座にステーションを認証済リストに加えます。

認証に失敗すると、NIC は AP に対してオープン認証を行い、完全な 802.1X 認証が実行されます。AP は、ステーションがオープン認証を行ったか、または共有キー認証を行ったかを識別できなければなりません。ステーションが、共有キー認証によ り新しい AP へのアクセス権を取得した場合も、アカウント レコード更新の目的で、新しい AP により 802.1X 認証が開始されます。

新しい AP が 802.1X を実行している間に、共有キー認証によってステーション ネットワーク接続を有効にすると、ステーション上でネットワーク接続が中断されないよう保証できます。ステーションが新しい AP で 802.1X 認証を正常に完了できない場合、AP の制御対象ポートを使用したステーションへのネットワーク接続が強制終了されます。これにより、ネットワークのセキュリティが維持されます。

XP のその他のワイヤレス機能

802.1X のほかに、Windows XP では、以下のワイヤレス LAN 機能もサポートしています。

  • メディア検知。ワイヤレス LAN NIC が複数のアクセス ポイント間を移動したかどうかを判断します。移動により、再認証やその他の設定変更が必要となる場合があります。
    自動ネットワーク検出および関連付け。ワイヤレス ネットワーク インターフェイス カード (NIC) に、論理アルゴリズムを使用して利用可能なワイヤレス ネットワークを検出し、最も適切なものと関連付けるよう指示します。
  • 電源モード サポート。NIC に、電源が AC であるかバッテリーであるかを通知し、必要に応じて省電力を実行できるようにします。
  • ネットワークの場所のサポート。コンピュータがネットワーク内で移動したことをアプリケーションに通知します。アプリケーションはこの情報を使用して、ネットワークの場所に合わせて自動的に設定を更新します。

4. ワイヤレス エンタープライズ向けのより良いセキュリティ ソリューションの探求

Microsoft では、産業界との共同作業により、ネットワーク データ トラフィックの機密性と安全性を確保するためのセキュリティ ソリューションおよびプロトコルの開発、定義、および実装に努めています。その対象範囲には、ネットワーク ケーブル、電話回線、またワイヤレス技術の応用など、あらゆるデータ伝送方法が含まれます。

Microsoft は、802.11 および IP Security (IPSec) の両方に適用できる Advanced Encryption Standard (AES) に基いた次世代暗号化方式の草案作りに深くかかわっています。

Microsoft は、現在知られているインターネットからの攻撃および攻撃の最適化を無効にする、802.1X に基いた高速再キーイング方式の開発のため、現在も IEEE タスク グループとの共同作業を行っています。

Microsoft は、ワイヤレス ISP を介して企業のネットワークにアクセスしているリモート ユーザーに、VPN ソリューションを推奨しています。PPTP および L2TP VPN テクノロジのどちらも、公共のインターネットを介してビジネス取引を行っているユーザーに対して b セキュリティを提供します。

802.1X に加え、現在 802.11 固有のセキュリティ ソリューションがいくつか市場に出ています。一般にこれらのソリューションは独自仕様であり、特定のベンダのハードウェアやインフラストラクチャに限定されています。独自仕様であるため、現在知られている攻撃に対する保護能力を査定するのは困難です。パスワードのみを基盤とするソリューションは、辞書攻撃や仲介者攻撃に対して脆弱な傾向にあります。

802.1X の将来の認証機構

将来の Windows クライアント バージョンには、Protected Extensible Authentication Protocol (PEAP) も含まれる可能性があります。PEAP は、移動環境での、相互認証およびセッション キー生成の機構を提供します。サーバー認証およびセッション キー ネゴシエーションは、PPP EAP-TLS 認証プロトコルを使って実行されます。サーバー認証が成功した後、クライアントは、TLS 設定によって保護された整合性およびプライバシーに対して、PPP EAP 機構を使用し、認証を実行します。基本的には、別の EAP 方式が、整合性保護された TLS 暗号化スイートの中にラップされています。

将来の Windows クライアントでは、クライアント認証に EAP-MS-CHAP-V2 を使用する可能性があります。その場合は、整合性保護された TLS 暗号化スイートの中に EAP-MS-CHAP-V2 認証方式がラップされることになります。PEAP および EAP-MS-CHAP-V2 では、チャレンジ/レスポンス方式を使用したユーザー名/パスワード ベースの認証が利用できます。また PEAP の開発により、一時パスワードを含む 2 要素認証などの認証スキームも利用可能になるでしょう。

インターネットへの ゲスト アクセス

将来の Microsoft Windows クライアントでは、EAP-TLS 認証方式を使用した、インターネットへの ゲスト アクセスがサポートされる可能性があります。ゲスト アクセス モードでは、クライアントはサーバー側の証明書を検証しますが、サーバーはクライアントを検証しません。サーバー認証およびセッション キー ネゴシエーションは、PPP EAP-TLS 認証プロトコルを使って実行されます。

企業のエンタープライズ ネットワークからインターネットへの ゲスト アクセスにより、ビジターがネットワークにアクセスできるようになります。ゲスト認証プロセスが完了すると、サーバーは、ワイヤレス アクセス ポイントである NAS に VLAN (仮想 LAN) 情報を提供します。ゲストとして認証されたクライアントのデータ トラフィックは、NAS によって特定の VLAN に送られ、その後直接インターネットに送られます。ビジターは、VPN 接続を確立することによって、ほかの企業内エンタープライズ ネットワークにもアクセスできます。

5. まとめ

エンタープライズ対応の安全なワイヤレス LAN ネットワークは現実のものとなっています。WEP には、セキュリティの脆弱性といった弱点がありますが、802.1X と組み合わせて使用することで、WEP 特有の問題を解決し、これらのネットワークに提供されているセキュリティを大幅に強化することができます。Windows XP は、出荷時の状態で、802.1X のサポート、およびワイヤレス ネットワークに役立つその他の機能を提供しています。Microsoft は、ネットワークを侵入行為から保護するための新たなセキュリティ プロトコルおよびオプションを探求し続けています。



関連

管理人のアンテナlive!

コメントを入力

CAPTCHA