• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

今すぐできる無線LANのセキュリティ強化術(2)第1回

ユーザー認証の実行タイミングに注意
ベンダーによって挙動が異なる

山原崇・駒津典生 2004/06/15 日経コミュニケーション
出典:2004年1月26日号
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

無線LANではIEEE802.1x規格対応のユーザー認証技術の導入が必須だ。ただ,IEEE802.1xは新しい技術のため,製品ベンダーによって動作が若干異なる。複数ベンダーの製品を組み合わせて無線LANを構築する時は,随所で注意が必要だ。特にユーザー認証を実行するタイミングに注意しないと,思わぬトラブルに陥る。

 無線LANでは,アクセス・ポイント(AP)が発する電波を誰でも受信できる。対策を講じなければ,利用許可のない第三者がAPを不正使用することも可能だ。これを防ぐためにはAPでユーザーを認証する必要がある。

 現在の無線LANではIEEE802.1xに基づいたユーザー認証技術が事実上の標準。しかし,IEEE802.1xはまだ新しい分野のため技術的に“枯れて”いない。製品のベンダーによって動作が若干異なるので注意が必要だ。

予想外のWEPキー更新が発生
再認証間隔を長くして解決

図1 A社はIEEE802.1xのユーザー認証を無線LANに導入した
アクセス・ポイントが持つWEPキーの自動更新機能とRADIUSサーバーでの再認証をトリガーとするWEPキーの更新が両方実行され,5分間に2回もWEPキーが作成されることになった。これはセキュリティ的には過剰。アクセス・ポイントに余分な負荷をかけることになる。
APにはWEPキーの自動更新機能がある。一方,RADIUSでユーザーを再認証する時もWEPキーは更新される。更新の間隔を適切に設定しないと,余分なWEPキーの作成が発生し,APに負荷をかけてしまう。

 総合商社のA社は,ある営業部門で無線LANを導入した。営業部門は顧客情報を扱うため,情報漏えいの不安から無線LANの利用に反対する意見もあった。だが検討した結果,IEEE802.1xに対応した無線LANのユーザー認証技術を利用すれば,十分なセキュリティを確保できると判断した。導入した無線LANは,クライアントのパソコンが100台でAPが3台である。

 IEEE802.1x以前のユーザー認証方式は,例えばWEPキーが一つしかないことや複数のAPで同じWEPキーを使うといった,セキュリティ上の問題があった。一方,IEEE802.1xに対応するユーザー認証では(1)RADIUSサーバーを使ってユーザー認証する,(2)ユーザーごとにWEPキーを生成し,さらに一定期間ごとにWEPキーを更新する(WEPキーの自動更新機能を持つ),(3)一連の認証手順の連携にEAPを使う――といった機能を備える。A社のシステム担当者は,これらの機能によって,仮にWEPキーが第三者に盗まれたとしても影響がなく,無線LANのセキュリティを高めることができると考えた。

WEPキーの自動更新機能を使う

 IEEE802.1xを使う無線LANを構築するため,IEEE802.1x対応のRADIUSサーバーとAPを新規に購入した。APの設定では,WEPキーの自動更新機能を利用して,5分ごとにWEPキーを更新するようにタイマーを設定した。一方,RADIUSサーバーにもユーザー認証の有効期間を設定する機能があった。A社の担当者は有効期間の値を,初期設定値だった5分のままにしておいた。

 一通りAPやRADIUSサーバーの設定が完了したので,担当者は無線LANの動作テストを行った。テストではパケット・キャプチャ・ソフトを使って,WEPキーの自動更新時にクライアント・パソコンに送信される「EAPOL-KEY」と呼ばれるパケットを確認しようとした。すると確かにEAPOL-KEYが送信され,WEPキーは自動更新されている。ただ,テストを続けていると5分間にEAPOL-KEYが2回送信されていることが判明した。つまり,5分間に2回もWEPキーが更新されているのだ(図1[拡大表示])。セキュリティの観点からは5分間に1回の更新で十分。100台あるクライアント・パソコンごとに,5分間に2回もWEPキーを更新するとAPに余分な負荷がかかり,通信速度の低下を招く可能性がある。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る