新旧入り乱れる条件に苦悩
役員室と会議室に導入する無線LAN機器を選択する段階で,システム管理者はセキュリティの確保方法で悩んだ。というのも,無線LAN標準の暗号化技術にはWEPがあるが,ぜい弱性が指摘されているからである。A社の担当者は,WEPでの暗号化はなるべく避けたいと考えた。
最近普及しつつあるWPA(Wi-Fi protected access)も候補に上ったが,導入は難しいと判明した。古いパソコンがWPAに対応していないためだ。
社員には既に,無線LANアダプタを内蔵したパソコンを配布していた。だがパソコンの購入時期によって複数の無線LANアダプタが混在している状況だったため,最新のドライバ・ソフトを実装してもWPAに対応できないパソコンがあったのだ。最も古いパソコンのOSはWindows NT 4.0だった。Windows NT 4.0パソコンでもWEPが利用できなければならなかった。
そこで当初は,コストを低く抑えるために,既に社員の認証に使っているRADIUS(remote authentication dial-in user service)サーバーをそのまま活用しようと考えた。しかしこのRADIUSサーバーはEAPに対応しておらず,802.1xを使った環境を構築できなかった。
|
|
図1 A社はWEPキーのぜい弱性をVPNで解決 802.1xに対応しないRADIUSサーバーもそのまま使用している。 |
IPsecなら古い環境に対応可能
A社は様々な製品を検討した結果,パソコンと無線アクセス・ポイントの間にIPsecによるVPNトンネルを張ることにした。まず,VPNゲートウエイ一体型のアクセス・ポイントを選定(図1[拡大表示])。IPsecは,DES(data encryption standard)や3DES(トリプルDES)による暗号化を選択可能で,IKE(internet key exchange)と呼ぶ暗号鍵を動的に更新する仕組みを備えている。WEPの暗号化のようにぜい弱性は指摘されていない。
アクセス・ポイントには,Windows NT 4.0でも利用できるVPNクライアント・ソフトが付属していた。B社はこのソフトと無線LANアダプタのドライバ・ソフトをパソコンにインストール。暗号化処理をハードウエアで実行する製品を選定したため,暗号化による通信速度の低下も少なかった。
これまで使用してきたRADIUSサーバーは,IPsecのユーザー認証にそのまま利用することにした。
ただ,社員がノート・パソコンを持って部屋間を移動する場合,アクセス・ポイントの接続を設定し直すのは不便である。無線部分を同じアドレス体系にすることで,異なるアクセス・ポイントでも同じ設定を利用できるようにした。接続設定はパソコン1台ごとに必要だったが,対象台数が多くないため特に問題にはならなかった。
