真鍋 浩氏 日本IBM ネットワーク・サービス事業部 ソリューション推進・マーケティング
802.1xはRADIUSサーバーで認証
そこでB社は,製品開発などセキュリティに厳しい部門から,無線LAN機器を更新することにした。採用したのは,WEPを改良した規格であるIEEE802.1xを搭載した製品。合わせて,802.1xに準拠した認証用のRADIUSサーバーを設置した。802.1xの特徴は,利用者の認証手順を備えていること。APへの接続時に,あらかじめRADIUSサーバーに登録してあるディジタル証明書やIDとパスワードを要求して利用者を認証する。万一,秘密鍵が盗み出されても,それだけではAPに接続できない。
また,端末ごとに異なる秘密鍵をダイナミックに生成する。この機能によって,部外者が秘密鍵を割り出すこと自体が困難になる。
「AirSnort」などのクラッキング・ツールは,WEPが全端末で同じ秘密鍵を使って通信パケットを暗号化している点を利用して,鍵を割り出す仕組みになっている。具体的には,WEPは固定の数列に加えて,IV(initilization vector)と呼ぶ製品内部で決める数字で鍵を作る。ただし,一定時間を経ると同じIVが発生したり,製品によってはパソコンのリブート後に同じIVを発生させるものもある。こうした点を突くわけである。
また,秘密鍵が割り出されたとしても,その影響範囲を極めて限定的にできる。802.1xは,端末ごとに通信内容の暗号化に使う秘密鍵を変えるだけでなく,一定周期で鍵を再生成する設定もできるからである。つまり,秘密鍵が盗まれた場合の影響は,特定端末の一定時間内に送受信されたデータに限定される。
これでB社は無線LANのセキュリティに対する不安を払しょくできた。
|
|
写真1 C社は無線LAN用の機器管理ソフトを導入して運用コストを削減 写真は米シスコ・システムズの製品。 |
ソフト更新に機器管理ソフトを活用
食品メーカーのC社は,接続するパソコンが700台,設置するAPが30台という大規模な無線LANを1年半前に稼働させた。半年前,無線LAN機器のベンダーから情報システム部門に,ドライバ・ソフトウエアやファームウエアの更新で,セキュリティ機能を802.1xに対応させるとの案内があった。
これまで使ってきたWEPのセキュリティ機能に不安を覚えていたC社は,これを機に802.1xの導入を計画。そこでネックになったのが,ファームウエアなどを書き換える手間だった。
そこでC社はベンダーが用意する機器管理ソフトを導入することにした(写真1[拡大表示])。このソフトを利用して,APのデバイス・ドライバやファームウエアの書き換えが自動化できる。その上,各APの各種設定や稼働状況,障害監視もリモート環境で行える。一方,端末のファームウエアは,部署単位でユーザーに書き換えてもらった。
C社のように,数百,数千台規模の無線LANを導入している場合,ネットワーク運営のコストを削減するポイントは,機器管理の手間をいかに減らすかである。特に無線LANは,セキュリティ機能などの技術更新が激しい。802.1xの後を継ぐ技術の開発や標準化活動も進んでいる。企業ネット向けに製品を選ぶ場合には,単に端末の機能だけでなく,ベンダーがネットワーク全体を管理するツールを用意しているかも重要なポイントになる。
