[運用]

部内無線LAN導入実践講座(Windows XP編)(後編)

―― 無線LANは入れたい、でも不安、というアナタに ――

1.無線LAN導入前に決めておくこと

井上孝司
2008/03/12
Page1 Page2 Page3

 前回の前編では、現時点の無線LANの各規格を整理して説明し、さらに製品選びや設定、セキュリティ対策における要点を解説した。今回の後編では、小規模オフィス程度の規模のユーザーを想定して、量販店で手に入る一般的な無線LAN機器とWindows XPクライアントを使い、一定の安全性を確保する、確実な設定のためのノウハウを解説する。

無線LAN導入前にこれだけは決めておこう

 本稿では、初めて無線LANを扱う人でもできるだけ確実に設定できるように、という見地から、2008年初めにおいて最も一般的で購入しやすいと思われる機器を前提として設定項目をまとめる。前提条件は以下のとおりである。

  • アクセス・ポイント: 2.4GHz帯のIEEE 802.11b/g対応製品を使用する。ただし、IEEE 802.11nでも設定項目に違いはない。
  • セキュリティ(暗号化): 暗号化方式としてWPA、暗号化アルゴリズムとしてAESをそれぞれ使用する。
  • セキュリティ(アクセス制限): MACアドレスによるアクセス制限を実施する。

 この前提により、設定しなければならない項目は以下のようになる。項目によってはクライアントでの設定が不要な場合があるので、アクセス・ポイントとクライアントのそれぞれについて、設定が必要かどうかも併記した。

項目 内容 アクセス・ポイントでの設定 クライアントでの設定
チャンネル 無線LAN同士の干渉防止のために必要 必要 不要
ESS-ID 無線LANの識別と混信防止のために使用する 必要 必要
暗号化方式/アルゴリズム WPAとAESの組み合わせが基本だが、クライアントが対応していない場合にはWPAとTKIPの組み合わせとする 必要 必要
ネットワーク・キー 正しいクライアントかどうかの確認と、暗号化のための鍵生成に使用する 必要 必要
MACアドレス クライアントで確認したものを、アクセス・ポイントに登録する 必要 必要

 たいていの無線LANアクセス・ポイントは、Webブラウザを用いて設定するようになっている。機種によって工場出荷時のIPアドレスは異なるが、アドレス・バーに「http://<ルータのLAN側IPアドレス>/」と入力して、管理者のユーザー名とパスワードを指定すると接続できるはずだ。接続手順については、使用する機器のマニュアルを参照していただきたい。

 本稿では、NECアクセステクニカのアクセス・ポイント「WR7800H」を例に取って説明する。これはやや古い製品だが、最新の製品でも設定項目に大きな差はない。

■ブロードバンド・ルータとアクセス・ポイントを別々にする場合の注意点
  前編で解説したように、2008年初めの時点で、市販のアクセス・ポイント製品のほとんどはブロードバンド・ルータの機能をセットにした「無線ルータ」である。すでにブロードバンド・ルータが存在しており、それとは別に無線ルータをアクセス・ポイントとして設置する場合、以下の点に注意する必要がある。

  • ルータ機能をオン/オフ可能な製品ではオフにする。製品によってオフにする方法は異なる(外部スイッチまたは設定画面を使用)。
  • オフにできない製品では、WANポートは使用せず、LAN側のコネクタ(普通、無線ルータならLANポートが4個あるはずだ)にケーブルを接続して、それを既存の有線LANと接続する。
  • オフにできない製品では、設定画面でDHCPサーバ機能も無効にする。この機能は既存のブロードバンド・ルータが受け持っているはずだから、重複させないために必要な操作だ。

無線LAN自動設定機能について
 「面倒だ」という理由で無線LANのセキュリティ設定を行わないユーザーが少なくなかったことから、セキュリティ設定を自動化する試みが無線LAN製品に取り入れられるようになった。バッファローの「AOSS(AirStation One-Touch Secure System)」やNECアクセステクニカの「らくらく無線スタート」がその典型例で、ボタン操作などの簡便な手順を指示に従って行うだけで、ランダムなESS-IDと暗号化用のネットワーク・キーが自動的に設定される。

 ただし、AOSSもらくらく無線スタートもベンダの独自実装であり、アクセス・ポイントとクライアントが同一ベンダの製品でなければ利用できない場合が多い。そこで、こうした機能を広く普及させるために、業界団体Wi-Fi Allianceが「WPS(Wi-Fi Protected Setup)」という標準仕様をまとめた。ただし、日本ではまだWPS対応製品が極めて少なく、しかもアクセス・ポイントとクライアントの両方がWPSに対応していなければならない難点がある。

 こうした事情から、本稿では自動設定機能に依存せずに、手作業で設定する方式について解説している。

アクセス・ポイントを設定しよう(ESS-ID/チャンネル/暗号化)

 では、アクセス・ポイントの設定について解説しよう。まずESS-ID、チャンネル、暗号化関連の設定について取り上げる。MACアドレスについてはクライアント側での作業も必要になるので、後で別途解説する。

◎ESS-ID(SSID)
  ESS-IDとは、無線LANに付ける「名前」のようなものだ。アクセス・ポイントとクライアントに同じESS-IDを設定すると、両者が通信可能になる。長さは32文字以内、使用できる文字種は半角の英数字/ハイフン(-)/アンダースコア(_)に限られる。

 ESS-IDは覚えやすい名前の方が設定しやすいが、会社名や部署名、あるいは機種名をそのまま使用すると、名前を類推されて、外部からの攻撃を誘発する原因になりかねない。また、個人名を使用したESS-IDを使用している事例が目立つが、これも個人情報をわざわざ告知しているようなものなので好ましくない。そのため、こうした情報を含まず、かつほかの無線LANと重複しないESS-IDを決定する必要がある。例えば、「WLAN11BG」といった規格名の流用、「WLAN1」「WLAN2」(WLAN=Wireless LAN)といった当たり障りのない名称、あるいは管理者の個人的趣味に基づく(会社名・部署名などとまったく無関係の)名称、といった命名法が考えられる。

 もう1つ重要なのは、ESS-IDを周囲に知らせる「ESS-IDビーコン」という機能をオフにすることだ。この機能をオンにすると、アクセス・ポイントは無線LANを通じて自身のESS-IDを周囲に告知するため、クライアント側で検索すると、ESS-IDをはじめとするその無線LANの各種情報を知ることができる。しかし、不正利用を防ぐ観点からすると無線LANの存在を告知するのは危険性が高いため、ESS-IDビーコン機能はオフにする。この機能がオフでも、クライアントとの通信は可能だ。

 WR7800Hの場合、このビーコン無効化機能を「ESS-IDステルス機能」と呼んでいる。ベンダによって呼称が異なるが、意味するところは同じだ。

◎チャンネル
  チャンネルは、最も判断が難しい設定項目だ。2.4GHz帯の場合、CH01〜CH14まで14種類のチャンネルがあり、その中からどれか1つを選択することになる。ところが、2.4GHz帯無線LANのユーザーは非常に多いので、すでに近所にある別の無線LANが空きチャンネルを使ってしまっている可能性がある。互いに電波が届く範囲内で複数の無線LANが同じチャンネルを使用していると干渉が発生して、性能の低下、通信の不安定化といったトラブルを起こす。

Insider's Eye「無線LANの情報漏えいに注意せよ

 取りあえず適当なチャンネルを設定してみて、速度や安定性に問題があるようなら別のチャンネルに変えてみるしかないだろう。CH01のような分かりやすい番号はすでに使われている可能性が高いので、数字が大きいチャンネルにしてみる方がよいかもしれない。無線LAN探索ツール「NetStumbler」を使えるのであれば、付近で使用中のチャンネルを把握できるので、未使用のチャンネルを選択しやすくなる(NetStumblerについては関連記事を参照していただきたい)。最近のアクセス・ポイントは、周囲で使われていないチャンネル(空きチャンネル)の探索機能を装備している場合もあるので、そうした機能があれば活用したい。

 なお、チャンネルの設定を行うのはアクセス・ポイントだけだ。クライアント側は自動的に追随するので、設定の必要はない。

◎暗号化方式/アルゴリズム
  2008年初めの時点で販売されている無線LANアクセス・ポイントでは、以下の暗号化方式に対応しているのが普通だ。

  • WEP(Wired Equivalent Privacy)
  • WPA-TKIP(Wi-Fi Protected Access - Temporal Key Integrity Protocol)
  • WPA-AES(Wi-Fi Protected Access - Advanced Encryption Standard)

 このうち最も古くから使われているWEPはすでに脆弱であることが分かっており(現在のコンピュータを使えば容易に解読できる)、暗号解読ツールもいろいろと出回っているため、もはや使用するべきではない。WPA-TKIPとWPA-AESは、暗号化のための鍵を自動的に更新して安全性を高めている点は同じだが、暗号化アルゴリズムが異なる。WPA-TKIPでも実用上の問題がない程度の安全性は確保できているが、より高度な暗号化アルゴリズムを使っているWPA-AESの方がさらに安全性は高い。

 そのため、アクセス・ポイントとクライアントの両方が対応しているのであれば、WPA-AESを使用するべきだ。WPA-AESに対応していない古い無線LANアダプタがクライアント側に混在する場合には、次善の策としてWPA-TKIPを使用する。設定の方法はどちらも同じで、設定画面における暗号化アルゴリズムの選択肢が異なるだけだ。

 なお、最近の製品では、WPAに加えてWPA2規格にも対応した製品がある。WPA2はWPAの改良版で、AESを標準の暗号化アルゴリズムとしている(WPAではTKIPが主、AESが従となっているので、WPA2とは逆だ)。アクセス・ポイントとクライアントの両方がWPA2に対応しているのであれば、WPA2を利用する方が好ましい。利用できる範囲内で、できるだけ堅固な規格を利用するのが基本だ。

◎ネットワーク・キー
  WPA-TKIPでもWPA-AESでも、アクセス・ポイントとクライアントの両方に、ネットワーク・キーと称するASCII文字列を設定する(事前共有鍵あるいはPSKとも呼ばれる)。これは、正規のクライアントかどうかを確認する端末認証を行うための合言葉と、暗号化に使用する鍵を自動生成するための素材を兼ねている。単純な英単語を使用すると、文字列の長さがそれなりにあっても辞書攻撃によって突破される可能性があるため、大文字/小文字/数字/記号などを混ぜて、さらにランダムな内容を持つ文字列にするのが好ましい。長さは8〜63文字だが、短いと堅牢性に問題があり、長いと覚えるのが大変なので、少なくとも十数文字程度、できれば二十文字以上にするのがよいだろう。

WR7800Hの無線LAN設定画面
この画面だけで、ESS-ID、チャンネル、暗号化方式とネットワーク・キーの設定をすべて行える。それ以外にもさまざまな設定項目があるが、これらはベンダ独自の付加機能などであり、特に理由がなければ出荷時設定のままでよい。
ESS-IDはここに入力する。
チャンネルはここで選択する。
暗号化方式として[WPA-PSK(AES)]を選択する。
ネットワーク・キーはここに入力する。
ESS-IDビーコン機能を無効にするには、これをオンにする。


 INDEX
  [運用]
  部内無線LAN導入実践講座(Windows XP編)(前編)
    1.基本中の基本Q&A
    2.製品選びと設定のQ&A
 
  部内無線LAN導入実践講座(Windows XP編)(後編)
  1.無線LAN導入前に決めておくこと
    2.アクセス・ポイントとWindows XPクライアントのセットアップ
    3.Windows XPクライアントのセットアップと設定確認

 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH