運用
小規模オフィスのための無線LAN入門 第2回

1.無線LANの暗号化設定

井上 孝司
2006/03/03

事前共有鍵の設定

 WPA-PSKで端末認証に使用する事前共有鍵の設定も、特に難しいことはない。事前に決めておいた文字列をそのまま、設定画面のテキスト・ボックスに入力するだけだ。これも、アルファベットの大文字と小文字を間違えないように注意したい。

 なお、WPA-PSKを利用する場合、暗号化用の鍵素材となるPMK(Pairwise Master Key)としてPSKを流用する(IEEE802.1x使用時には、802.1xがPMKを生成する)。また、それとは別に、アクセス・ポイントがランダムに決定するものとして、ブロードキャスト/マルチキャスト用の鍵素材となるGMK(Group Master Key)がある。

 WPA-PSKの暗号鍵生成では、このPMKやGMK、さらに48bit長の初期化ベクタ(IV)、MACアドレスなどの情報を加えて2度のかくはん処理を行う。こうして生成された鍵を、RC4、あるいはAESを用いて暗号化を行う際に使用する仕組みになっている。

 1対1通信であるユニキャストの場合、暗号化に使用する鍵そのものは1フレームごとに変化するが、PMK自体の内容は不変だ。一方、1対多の通信であるブロードキャストやマルチキャストでは事情が異なり、一定時間ごとにGMKを自動更新するようになっている。アクセス・ポイントの設定画面にある「暗号化キー更新間隔」とは、このGMKを作り直す時間間隔のことを意味している。これについては、既定値から変更する必要はないだろう。

 暗号化アルゴリズムは、WEPと同じRC4にのみ対応している製品と、RC4とAESの両方に対応している製品がある。後者の場合、単に暗号化の方式としてWEPとWPA-PSKのいずれかを選択するだけでなく、暗号化アルゴリズムについても選択する必要がある。

 上記の画面例に示したNEC製の「WR7800H」では、暗号化の方式と暗号化アルゴリズムの選択をひとまとめにしており、「暗号化無効」「WEP」「WPA-PSK(TKIP)」「WPA-PSK(AES)」のいずれかから選択する。アクセス・ポイントとクライアントの双方がAESに対応しているのであれば、TKIPよりも安全性が高いAESを利用するようにしたい。

 最近では無線LAN製品の販売競争が激しくなっているため、他社製品との差別化を図る目的で、チップセットのベンダが独自開発した高速化機能などを実装している場合がある。例えば、高速化機能の例としてはAtheros社の「Super AG」やBroadcom社の「Frame Burst」、通信距離延伸機能としてはAtheros社の「XR」などがある。こうした機能を用いると、標準仕様上の伝送速度の上限である54Mbpsを上回る高速通信が可能になるが、こうした機能が実際に意味を持つのは、アクセス・ポイントとクライアント側が同じベンダのチップセットを採用しており、ドライバ設定などで有効になっている場合に限られる。

 アクセス・ポイントとクライアントが異なるベンダのチップセットを使用している場合には、こうした非標準の機能は単に動作しないだけで、通信が不可能になることはない。しかし、機能を有効にしていても意味がないので、拡張機能は無効にしておいてもよいだろう。

ESS-ID、チャネル、WPA-PSK関連の設定(NEC Aterm WR7800Hの例)
この製品では、IEEE802.11b/gとIEEE802.11aのそれぞれについて、関連する項目を一括して設定できるようになっている。
  ここにはESS-IDを入力する。大文字・小文字の間違いに注意したい。
  ここでチャネルを選択する。
  この製品では、送信出力を意図的に下げて、不必要に遠くまで電波が届かないように設定する機能がある。
  これらはAtheros社製チップセット独自の拡張機能。「Super A/G」は圧縮による高速化、「XR」は通信可能な距離の延伸を図るものだが、クライアント側がアクセス・ポイントと同じチップセットを使用していないと機能しない。チップセットのベンダが異なる場合には意味がないので、無効化しておく。
  ここで、使用する暗号化方式を選択する。この製品では、WPA-PSKの場合[WPA-PSK(TKIP)]と[WPA-PSK(AES)]のいずれかを選択するようになっている。
  WPA-PSKを使用する場合、PSK(事前共有鍵)をここに入力する。
  WPAが用いるブロードキャスト/マルチキャスト用鍵素材(GMK)の更新間隔を指定する。
  ESS-IDステルス機能とMACアドレス・フィルタリングのオン/オフは、このチェック・ボックスで設定する。
 
AESを利用する際の注意点
 無線LANアダプタやアクセス・ポイントによっては、WPA使用時の暗号化アルゴリズムとしてAESを利用できる。AESはアメリカ政府がDES(Data Encryption Standard)の後継として採用した強力な暗号化アルゴリズムで、今後、無線LANで使用する暗号化アルゴリズムはAESに移行する方向にある。アクセス・ポイントとクライアント用無線LANアダプタの両方でAESに対応した製品を利用できるのであれば、AESを利用する方が高い安全性を確保できる。

 AESとRC4では、操作・設定方法に違いはない。AESでも鍵情報はTKIPによって自動生成しているため、ユーザーが鍵情報を設定することはない。端末認証のためにIEEE802.1x、あるいは事前共有鍵を使用する点も同一だ。

 ただし、まだAES対応製品が登場するようになってから2年程度であり、AESに対応していない製品も少なくない。また、AESに対応していても動作が不安定になる場合もある。実際に運用してみて不具合が生じるようであれば、AESの利用はあきらめてRC4暗号化を使用することになる。
 

 INDEX
  [運用]小規模オフィスのための無線LAN入門
  第2回 アクセス・ポイントのセットアップ
  1.無線LANの暗号化設定
    2.クライアントの登録など
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間