ステートフル・ファイアウォールで守る
企業ネットワークをインターネットに接続する際,必ずファイアウォールを設置する。その理由は,誰もがアクセスできるインターネットから企業ネットワークへの侵入防止と双方向のアクセス制限が主である。無線LANの場合もアクセス・ポイントを設置すると,電波さえ届けば誰でもアクセスを試みることができる。認証機能を設定していても,企業ネットワークへのアクセスを制御するためにはファイアウォールのような機能が必要である。
ステートフル・ファイアウォール*1の機能を統合した無線LANシステムは,無線LANの入り口となるアクセス・ポイントのレベルでアクセス制御を行う。無線LANシステムにファイアウォールが統合されていると,認証の結果やアソシエーションしたESSIDなどによってポリシーを割り当てられ,柔軟なアクセス制御が行える(図4)。このポリシーでは,優先度や帯域制限も行え,企業ネットワークにとって非常に重要な役割を持たせることができる。
|
|
| 図4●無線LANシステムにステートフル・ファイアウォールを統合 無線LANシステムにステートフル・ファイアウォールを統合。無線LANと企業ネットワークの間でパケットを監視,制御する。ポリシーはESSID(Extended Service Set Identifier)やユーザー単位で割り当てられる [画像のクリックで拡大表示] |
他のアプリケーションと統合する
企業インフラストラクチャとして利用する無線LANには,暗号や認証のほかにも多くのセキュリティ機能が要求される。例えばウイルス対策用のアプリケーションである。このようなセキュリティ分野に特化したアプリケーションは,無線LANシステムではサポートされていない。そこで,認証サーバーを統合しているように外部アプリケーションを統合するためのAPI(Application Programming Interface)が用意されている。このAPIは特定製品に特化したものではなく,汎用的に利用できるように設計されている。このAPIを使った例として,検疫システムとウイルス対策の統合を紹介する。
まず検疫システムとの統合では,無線LANシステムは,ステーションから送信された認証要求を検疫システムへ転送し,ユーザー名,パスワードなどの認証情報のほか,検疫ポリシーとして設定されたWindows Updateやウイルス定義ファイルの更新状況の検査を依頼する。検疫システムでは,認証情報が正しくても検疫ポリシーを満たしていないステーションに対しては,正規のネットワーク・アクセス権限を与えない旨の情報を返信する。この情報を受け取った無線LANシステムは,ステーションのアクセス権を検疫システム向けのみとし,企業ネットワークへのアクセスを制限する。ステーションのセキュリティ・レベルが更新され,検疫ポリシーを満たすようになれば無線LANシステムは該当ステーションに許可されているアクセス権を与え,企業ネットワークにアクセスできるようにする(図5)。
|
|
| 図5●無線LANシステムと検疫システムを統合 無線LANシステムでは,検疫システムで定義された検疫ポリシーが満たされない限りネットワークへのアクセスを許可せず,ウイルスやワームの感染から企業ネットワークを保護する [画像のクリックで拡大表示] |
検疫システムは企業ネットワーク保護のために高いセキュリティ・レベルを提供するが,クライアント側にエージェント・ソフトウエアを必要とする。今や無線クライアントの種類は多岐にわたり,エージェント・ソフトウエアがサポートされていない機器やOSもある。また,ウイルス対策ソフトが停止されていたり,動作しないクライアントの存在も考えられる。
このような問題を解決するため,無線LANシステムでは,ファイアウォール・ポリシーとしてウイルス・チェックの実行を関連付けられる。具体的には,特定ユーザーや特定アプリケーション・データをウイルス対策システムへフォワードし,ウイルス・チェックを行う(図6)。無線LANシステムのファイアウォールがウイルス・チェックの必要性を判断するので,ウイルス・チェックのためのオーバーヘッドを最小限にできる。また,ウイルス・チェックが必要なパケットを無線LANシステムが転送するので,既存の構成やアドレスを変更せずにシステムの導入ができる。
|
|
| 図6●無線LANシステムとウイルス対策システムを統合 無線LANシステムがトラフィック・タイプを判断し,必要なパケットのみウイルス対策システムへ転送する。複数のウイルス対策システムを接続し,負荷分散も可能。ウイルスが検知された無線クライアントはネットワークから隔離される [画像のクリックで拡大表示] |
パケット・キャプチャで障害を解析する
ネットワークで障害が発生した場合,パケット・キャプチャ(パケット収集)というのは日常的に行われている。無線LANでも同様で,障害が発生した際のパケット・キャプチャ・データは,障害解析に非常に役立つ。無線LANシステムでは,このパケット・キャプチャ機能も提供する。無線LANシステムが提供するキャプチャ機能では,ビーコンなど無線LANの制御パケットも収集できる(画面1)。
|
|
| 表1●キャプチャしたパケットの解析画面例 |
さらに,パケット・キャプチャには,監視用モニターとして動作しているアクセス・ポイントを利用する。このため,監視用モニターがあらかじめ設置されていれば,管理者がパケット・キャプチャのために障害発生場所まで行く必要がない。監視用モニターで収集されたデータは,管理端末までカプセル化されて運ばれる。管理端末ではカプセル用ヘッダーを外せば,IEEE 802.11フレームを収集できる。
◇ ◇ ◇
無線LANの構築法について,計12回にわたり解説してきた。企業によって環境は多種多様であろうが,本連載が無線LANの“正しい構築”の一助になれば幸いである。
