表1●無線LANで利用できる認証の種類
表1●無線LANで利用できる認証の種類
[画像のクリックで拡大表示]

無線LANで利用する電波は,有線LANのようにネットワークに参加可能な場所を特定することが難しい。企業で利用した場合,上下階,隣のビル,駐車場などに電波が届くと,そこからネットワークに参加できてしまう。無線LANでユーザーを特定する認証機能が必要なのはこのためだ。第7~8回は,認証について解説する。

 無線LANでは暗号化とともに認証の機能が欠かせない。表1に,無線LANで利用できる認証の種類をまとめた。以下では,それぞれの認証の仕組みやメリット/デメリットなどを説明していく。

ESSIDは単なるIDにすぎない

 ESSID(Extended Service Set Identifier)を認証機能の一つとして利用する-例えばアクセス・ポイントから送信されるビーコンにESSIDを入れない,どのようなESSIDがあるかを問い合わせるプローブ・リクエストに返信しない,などを設定しても,セキュリティ的には無意味だ。

 確かに誰も無線通信を行っていない状態や通信中の状態ではESSIDを知ることはできない。だが,無線クライアントがアソシエーションする際には,無線クライアントがESSIDの入ったパケットを送信するため,第三者に容易に知られてしまう。さらに,通信中であっても,ESSIDを知りたい攻撃者はアクセス・ポイントになりすまして通信中の無線クライアントにde-authenticationパケットを送信すれば,無線クライアントが再アソシエーションを行い,ESSIDを知ることができる。ESSIDは認証の役には立たない。

実用性低い802.11 Authentication

 IEEE 802.11の規格の中にはアクセス・ポイントと無線クライアント間の認証が規定されている。認証タイプにはオープン・システム認証と共有鍵認証の2種類がある。オープン・システム認証は誰でも認証してしまう方式で,無線クライアントが認証要求を送信すれば,アクセス・ポイントは必ず認証応答(許可)を返す。共有鍵認証では,事前にアクセス・ポイントと無線クライアントの双方に鍵(WEP鍵と共用)を設定しておき,チャレンジ,レスポンスを行って認証する。

 実際にはオープン・システムが使われているのがほとんどで,IEEE 802.11で規定する認証ではなく,他の認証機能が使われている。

MAC認証にはファイアウォールを併用

 MAC(Media Access Control)アドレス認証は,無線クライアントのMACアドレスで認証を行う認証方式で,いわゆるMACフィルタとは若干異なる。MACフィルタは無線クライアントのMACアドレスを事前登録しておき,登録されているMACアドレスのパケットは通過,登録されていなければ破棄というように,実際には認証を行わない。結果的には,許可されたMACアドレスを持った無線クライアントだけ通信できるようになるので,同じように思えるが,認証サーバーでの統合管理や,ログの保存機能などが異なる。

 MACアドレスはIEEE 802.11パケットの暗号化されないヘッダー部分に存在するため,第三者が容易に知ることができる。また,無線クライアントのMACアドレスの付け替えも簡単にできるため,詐称される恐れがある。したがって,MACアドレス認証はセキュリティとしては非常に弱く,かえってネットワークへの容易な侵入経路を作ってしまう結果になる。

 このMACアドレス認証が現在でも利用されている理由は,他の認証機能がサポートされていない無線クライアントが存在するからだ。例えば,無線アダプタを接続したプリンタや,早期に出荷された無線IP電話などである。

 企業向け無線LAN製品を使う場合は,このセキュリティ問題の対策としてファイアウォールを併用する。MACアドレスで認証された機器には,必要最小限のアプリケーションと必要なあて先へのアクセス権だけを与え,たとえMACアドレスを詐称されても企業ネットワークが保護されるようになっている。現在では,MACアドレス認証を利用する際の必須機能と言える。