• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

今すぐできる無線LANのセキュリティ強化術(1)第1回

メーカー間の仕様差に落とし穴
運用による強化は負担増の危険も

山原崇・駒津典生 2004/06/01 日経コミュニケーション
出典:2004年1月12日号92ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

個人だけでなく企業でも,当たり前のように使われるようになった無線LAN。しかしセキュリティ仕様が不十分な製品が残っており,不正アクセスや盗聴に見舞われる危険がある。無線LANのセキュリティを強化するに当たって,製品選びや設定・運用などのポイントとトラブル解消のコツを解説する。

 無線LANの暗号化機能「WEP」は,解読ツールがインターネット上で公開されるなど,セキュリティ面での不安が指摘されている。無線LANのアクセス・ポイント(AP)にはたいてい,「MACアドレス・フィルタリング」というアクセス制御機能を備えているものの,これでも不十分である。

 最近では,運用時に工夫を凝らすことで無線LANのセキュリティ機能のぜい弱性を補う例も増えている。ただし,マルチベンダー環境を構築していると落とし穴にはまるケースもある。

“WEPは標準機能”の常識がアダ
トラブル要因減らすためAPを統一

無線LANの標準的なセキュリティ機能であるWEPやMACアドレス・フィルタリングは,管理者からはどのメーカーの製品も共通の仕様に見える。だが設定画面を眺めるだけでは分からない細かい差がある。これが思わぬトラブルの原因になりやすい。

 流通業のA社は本社と全国の拠点に無線LANのAPを導入。社員が無線LANカードを接続したノート・パソコン(無線LAN端末)を持ち歩いて,どの拠点からでも社内ネットワークにつなぎ込める環境を構築しようとした。

 ところが運用を始めた直後から,「一部の拠点に移動すると接続できない」という社員の声が続出。情報システム担当部門はさっそくパソコンやAPの通信設定を点検したが,どの設定項目にも誤りを発見できず,行き詰まった。

マルチベンダー環境が火種に

 A社は1年前から,本社の全フロアにX社製のAPを十数台設置していた。無線LANを全国展開するに当たって,一部の拠点には,Y社製のAPを導入することになった。

 A社は最低限のセキュリティを確保するため,WEPによる暗号化通信とMACアドレス・フィルタリングによるアクセス制御をかけていた。具体的には,多数のAPと無線LAN端末を管理するため,本社に専用の認証サーバーを設置。APはこのサーバーと連携して,アクセスしてきた無線LAN端末をMACアドレスを基に認証していた。認証サーバーには多くの無線APが対応しているRADIUSを採用した。

 A社から原因究明の依頼を受けた,無線LANのセキュリティに詳しいインテグレータは,すべてのAPのセキュリティ設定を見直した。結果,異なるメーカーのAPを併用していたところに根本的な原因があると突き止めた。

図1 A社は既存の無線LANとは異なるメーカーのAPをテスト導入,端末から新APへ接続できないトラブルが生じた
既存のX社製APと新規導入したY社製APに同じパスワードを入力し,WEPキーを生成。このキーをそれぞれのAPに設定したが,Y社製APに接続できなかった。各APのセキュリティ設定を確認したところ,生成されたキーの中身が別々になっていたことが判明した。

見抜けなかったWEP実装の製品差

 まず問題になったのは,APの設定画面上でWEPを設定する仕組みに,メーカー間で細かい仕様の差があったことである(図1[拡大表示])。

 WEPは,無線LANカードを接続したパソコンとAPのそれぞれに,あらかじめ共通する16進数の文字列(WEPキー)を設定。これを基にしてパケットごとに暗号鍵を作り出し,暗号化に使う。つまり,WEPキーが一致したカードとAPの間だけ暗号化通信ができる仕組みを持つ。

 だが,16進数の値をAPや無線LAN端末ごとに直接入力するのは面倒。たいていのAPは,管理者が設定画面でアルファベットの文字列を入力するだけで,その文字列を基に16進数のWEPキーを自動生成する機能を備えている。

 A社は本社と地方拠点のAPで共通のアルファベット文字列を使っていたため,当然同じWEPキーが設定できると考えていた。ところがインテグレータがWEPキーそのものを調べたところ,入力されたパスワード文字列から変換されたWEPキーの値が,X社とY社のAPで異なっていた。WEPキーの自動生成機能に互換性がなかったからだ。

 A社は,すべてのAPに対して16進数のWEPキーを直接入力することで,WEPキーの互換性問題をクリアした。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【FPGAって何?】

    FPGAは普通のプロセッサと何が違うのか

     数年前から、FPGAに高い関心が集まりつつある。FPGAそのものは1980年代に初めて製品が登場しているから、もう30年ほどの歴史になるが、人気が上がり始めたのは2010年あたりからになる。これにはいくつかの理由がある。今回はFPGAの特徴と、利用が広がった理由を解説する。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る