無線LANではIEEE802.1x規格対応のユーザー認証技術の導入が必須だ。ただ,IEEE802.1xは新しい技術のため,製品ベンダーによって動作が若干異なる。複数ベンダーの製品を組み合わせて無線LANを構築する時は,随所で注意が必要だ。特にユーザー認証を実行するタイミングに注意しないと,思わぬトラブルに陥る。
無線LANでは,アクセス・ポイント(AP)が発する電波を誰でも受信できる。対策を講じなければ,利用許可のない第三者がAPを不正使用することも可能だ。これを防ぐためにはAPでユーザーを認証する必要がある。
現在の無線LANではIEEE802.1xに基づいたユーザー認証技術が事実上の標準。しかし,IEEE802.1xはまだ新しい分野のため技術的に“枯れて”いない。製品のベンダーによって動作が若干異なるので注意が必要だ。
予想外のWEPキー更新が発生
再認証間隔を長くして解決
|
| 図1 A社はIEEE802.1xのユーザー認証を無線LANに導入した アクセス・ポイントが持つWEPキーの自動更新機能とRADIUSサーバーでの再認証をトリガーとするWEPキーの更新が両方実行され,5分間に2回もWEPキーが作成されることになった。これはセキュリティ的には過剰。アクセス・ポイントに余分な負荷をかけることになる。 |
総合商社のA社は,ある営業部門で無線LANを導入した。営業部門は顧客情報を扱うため,情報漏えいの不安から無線LANの利用に反対する意見もあった。だが検討した結果,IEEE802.1xに対応した無線LANのユーザー認証技術を利用すれば,十分なセキュリティを確保できると判断した。導入した無線LANは,クライアントのパソコンが100台でAPが3台である。
IEEE802.1x以前のユーザー認証方式は,例えばWEPキーが一つしかないことや複数のAPで同じWEPキーを使うといった,セキュリティ上の問題があった。一方,IEEE802.1xに対応するユーザー認証では(1)RADIUSサーバーを使ってユーザー認証する,(2)ユーザーごとにWEPキーを生成し,さらに一定期間ごとにWEPキーを更新する(WEPキーの自動更新機能を持つ),(3)一連の認証手順の連携にEAPを使う――といった機能を備える。A社のシステム担当者は,これらの機能によって,仮にWEPキーが第三者に盗まれたとしても影響がなく,無線LANのセキュリティを高めることができると考えた。
WEPキーの自動更新機能を使う
IEEE802.1xを使う無線LANを構築するため,IEEE802.1x対応のRADIUSサーバーとAPを新規に購入した。APの設定では,WEPキーの自動更新機能を利用して,5分ごとにWEPキーを更新するようにタイマーを設定した。一方,RADIUSサーバーにもユーザー認証の有効期間を設定する機能があった。A社の担当者は有効期間の値を,初期設定値だった5分のままにしておいた。一通りAPやRADIUSサーバーの設定が完了したので,担当者は無線LANの動作テストを行った。テストではパケット・キャプチャ・ソフトを使って,WEPキーの自動更新時にクライアント・パソコンに送信される「EAPOL-KEY」と呼ばれるパケットを確認しようとした。すると確かにEAPOL-KEYが送信され,WEPキーは自動更新されている。ただ,テストを続けていると5分間にEAPOL-KEYが2回送信されていることが判明した。つまり,5分間に2回もWEPキーが更新されているのだ(図1[拡大表示])。セキュリティの観点からは5分間に1回の更新で十分。100台あるクライアント・パソコンごとに,5分間に2回もWEPキーを更新するとAPに余分な負荷がかかり,通信速度の低下を招く可能性がある。
