運用
小規模オフィスのための無線LAN入門 第1回

1.無線LANの基礎知識

井上 孝司
2006/02/03

 メタル線(銅線)、あるいは光ファイバといった「ケーブル」を必要とせず、赤外線や電波を使って通信を行うLANを総称して「無線LAN」という。現在は電波を用いる製品が主流であり、IEEE(国際電気電子技術者学会)が標準化仕様を規定した、以下の3種類が用いられている。

  • IEEE802.11b(2.4GHz帯、最大伝送速度11Mbps)
  • IEEE802.11g(2.4GHz帯、最大伝送速度54Mbps)
  • IEEE802.11a(5.2GHz帯、最大伝送速度54Mbps)

 無線LANでは媒体アクセス制御手段としてCSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)という方式を用いているため、通信開始時にコリジョン(衝突。複数のノードが同時に送信を開始すると「衝突」が起こり、通信できない)を回避するための待ち時間を必要とする。また、電波状態が悪いときには通信の維持を優先して、自動的に速度を落とすようになっているため、無線LANの伝送速度は、必ずしも規格上の最高速度とはならない。

無線LANの情報漏えいに注意せよ

 こうした事情から、無線LANと有線LANを比較すると、規格上の伝送速度の差以上に、無線LANの通信速度上限と接続安定性は見劣りする。また電波を利用することに起因する問題点として、電波が余計なところまで飛んでいってしまい、結果として情報漏えいや不正アクセスといった問題の発生につながる点が挙げられる。しかし、ケーブルの取り回しに制約されずにネットワークを構築できる無線LANは利用価値が高い。

 これに対し、無線LANの安全性を向上させる目的で、暗号化やアクセス制御手段の仕様が規定されている。無線LANの暗号化はOSI参照モデルでいうと、第2層(データリンク層)で行われるため、上位プロトコルに影響を与えない設計になっている。

 無線LANによる情報漏えいや不正アクセスなどが話題になるにつれ、最近では、無線LANの運用においては、暗号化の設定が必須であるという認識が高まっている。だが個人ユーザーのレベルでは、まだまだ何のアクセス制限も施さず、出荷時設定のままで使い続けている場合も少なくないようだ。これは、LANへの不正侵入やインターネット接続回線へのただ乗りだけでなく、その回線が別の不正行為に悪用されるリスクにもつながる。

 また、当初に無線LAN用として規定された各種セキュリティ対策、とりわけWEP暗号化が、実装の問題などが原因で意図したとおりのセキュリティ対策手段として機能しておらず、現在ではさまざまなWEP暗号解読ツールが出回っているという問題もある。このままでは無線LAN普及の足を引っ張ってしまうため、最近になって、無線LANのセキュリティを強化する目的で複数の規格が開発された。

 これらの規格により安全性は向上したが、規格の乱立がユーザーを混乱させ、さまざまなセキュリティ規格の機能や、それらの関係について理解することが難しくなっている。

 本稿では、無線LANのセキュリティ機能に関連する情報を整理するとともに、個人、あるいは小規模オフィスで無線LANを導入する際の「簡単・確実に導入できるお勧め設定」を規定した上で、実際にそれを設定するための手順を解説する。

無線LANのおすすめセキュリティ設定

 無線LANは電波を用いて通信するため、ケーブルに束縛されずにLANを利用できる利点がある。その半面、電波はケーブルと違ってユーザーが到達範囲を制限できないため、屋外にまで電波が届いてしまい、近隣から不正接続されるリスクを伴う。特に、周波数帯が低いIEEE802.11b/gは、周波数帯が高いIEEE802.11aと比較すると障害物に強い反面、電波が伝わる範囲が広くなってしまう。

 そのため、無線LANには他人が勝手に接続できないようにするためのセキュリティ設定が不可欠である。すでにさまざまなセキュリティ技術が存在しているが、これらは目的が異なっており、おおむね以下のように大別される。いずれも、アクセス・ポイント、無線LANアダプタ、クライアントPCのOSがすべて対応することで利用可能になる点に留意したい。

 無線LANで用いられている、さまざまなセキュリティ対策には、大きく以下の3つがある。。

1.暗号化による通信内容の盗聴防止
 無線LANでやりとりするデータを盗聴から保護する機能。現在ではWEP-PSKやWPAが主流となっている。

盗聴防止機能と構成技術
現在では、WEPの弱点を克服した盗聴防止技術が開発されている。

2.アクセス制限による不正侵入防止
 無線LANアダプタのMACアドレスをアクセス・ポイントに登録し、非登録のMACアドレスからの接続を拒否する。

3.ほかの無線LANとの混信防止
 ほかの無線LANとの混線を防止する技術。これには次の2つがある

  • チャネル重複と近接チャネル使用の回避。
  • ESS-IDの重複回避とESS-IDステルス機能(後述)の使用。

 前述した無線LANでのセキュリティ技術を、4つに分類してもう少し細かく見ていこう。

1.暗号化によって、他人には内容が分からないようにする機能

 無線LANの暗号化には、2種類の規格と、さらに細分化された暗号化アルゴリズムの組み合わせが存在する。

  • WEP(Wireless Equivalent Privacy)
     鍵文字列を、アクセス・ポイントとクライアントPCの両方に設定して、RC4共通鍵による暗号化を行うもの。ただし、実装上の問題が原因でWEPは解読されやすいため、現在ではWEPの利用は推奨できない。

  • WPA(WiFi Protected Access)
     WEPの欠点を解消するために考案されたもので、鍵情報の自動更新とデータの整合性確保を目的とするTKIP(Temporal Key Integrity Protocol)を導入する一方、暗号化アルゴリズムについてもWEPと同じRC4に加えて、さらに強力なAES(Advanced Encryption Standard)が選択可能になった。

2.登録した無線LANアダプタだけ接続を許可するアクセス制限機能

 IEEE802.11規格で使用する無線LANアダプタには、イーサネット機器と同様、それぞれ固有のMACアドレスが設定されている。そこで、自分が使用している無線LANアダプタのMACアドレスをアクセス・ポイントに登録して、それ以外のMACアドレスを持つ無線LANカードからの接続を拒否するように設定する機能が用意されている。

 ただし、無線を通じてやりとりされているフレームの中には、MACアドレスの情報が暗号化されずに含まれている。そのため、MACアドレスの情報を調べて詐称する方法も理論上は可能になっていることは頭に入れておきたい。こうした事情から、不正接続対策をMACアドレス制限にだけ依存することは望ましくない。

3.クライアントPC単位で端末認証を行う機能

 WEPの時代には「端末認証」という考え方はなく、無線LANアダプタのMACアドレスに依存していた。しかも先に述べたように、MACアドレスの情報は平文でやりとりされている。その問題を是正するため、WPAで「端末認証」の機能が加わった経緯がある。

 WPAの端末認証には、ホーム・モードとエンタープライズ・モードの2種類がある。どちらも、アクセス・ポイントに加えてOSや無線LANアダプタのデバイス・ドライバがWPAに対応していなければ利用できない。

 前者はいわゆる「WPA-PSK」で、アクセス・ポイントとクライアントの双方に事前共有鍵(PSK:Pre Shared Key)というASCII文字列を設定する。同じASCII文字列を設定した端末からの接続だけを受け付ける仕組みだ。一方、後者はRADIUSサーバを用意して、IEEE802.1Xを用いた認証を行う。安全性はエンタープライズ・モードの方が高いが、導入や運用にも相応の手間と費用がかかるため、導入できるのはある程度の規模を持つ企業ユーザーに限定されてしまう。

4.無線LANの存在そのものを隠ぺいする機能

 いわゆるESS-IDステルス機能がこれに該当する。通常、IEEE802.11無線LANには「ビーコン」と呼ばれる機能があり、アクセス・ポイントに設定したESS-IDの情報を告知(周囲に送信して知らせること)している。クライアントPCは、このビーコンを受信することで無線LANの存在を知り、その中からESS-IDを手がかりにして自分が利用したい無線LANを選択・接続することになる。

ビーコン機能を利用したアクセス・ポイントの検出
無線LANアクセス・ポイントが、自身のESS-IDをビーコン機能によってブロードキャストしていると、それを受信したクライアントは無線LAN一覧をユーザーに提示する。ユーザーは、その中から接続先を選択することができる。

 しかし、これでは無線LANの存在を周辺一帯にブロードキャストして不正侵入の手がかりを与える結果になる。そのため最近のほとんどの製品では、「ESS-IDステルス機能」などと称する、ビーコンによる告知を行わない機能を備えている。

 Windows XP SP1までは、無線LAN一覧表示画面に現れるのはESS-IDの情報に限定されていた。そこで接続先無線LANのESS-IDを選択すると、WEP暗号化が設定されていなければそのまま、設定されていればWEP暗号化に使用するネットワーク・キーを入力した上で、接続を行う。

 Windows XP SP2では無線LAN一覧画面のデザインが新しくなり、ESS-IDだけでなく、電波強度や暗号化設定の有無、すでにアクセス・ポイントに接続しているかどうかも一覧表示される。また、ウィンドウ左ペインのタスク画面から、無線LANの設定に関連するさまざまな機能を呼び出すことができる。

Windows XP SP2の無線LAN一覧表示
タスクトレイに現れる無線LANアダプタのアイコンを右クリックして[利用できるワイヤレス ネットワークの表示]を選択すると、利用できる無線ネットワークが一覧される。一覧には、ESS-IDと電波状態、セキュリティ設定の有効/無効が表示される。
  接続したい無線ネットワークをクリックする。
  ここをクリックする。

 接続先に指定した無線LANがWEP、あるいはWPAを使った暗号化を使用している場合、接続を指示するときにネットワーク・キーの指定を要求する仕組みになっている。

セキュリティが有効な無線ネットワークに接続する場合
接続先に指定した無線LANがWEP、WPAを使って暗号化している場合は、その鍵となる文字列を入力する。
  ここに暗号化の鍵となる文字列を入力する。
  ここをクリックする。

 ここまで取り上げてきた各種セキュリティ対策のうち、本稿では設定の手軽さや機器の対応状況といった条件を考慮して、以下の機能を使用する。

  • 暗号化:WPA。アルゴリズムにはRC4を使用する
  • アクセス制限:MACアドレス登録とWPA-PSKを使用する
  • そのほか:ESS-IDステルス機能を設定する


 INDEX
  [運用]小規模オフィスのための無線LAN入門
  第1回 無線LANの規格とセキュリティ
  1.無線LANの基礎知識
    2.無線LANの導入前に調査しておくこと

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間