連載
» 2004年08月26日 00時00分 公開

特集:エンタープライズ・ワイヤレスLAN(最終回):いまの802.1x認証無線LAN技術、導入すべきか否か〜導入に関する疑問に答える上級Q&A〜 (1/2)

[山崎潤一郎,@IT]

 特集:エンタープライズ・ワイヤレスLANでは、第1回では、「いまの無線LANアクセス・ポイントがダメな理由」と題して、WEP+IEEE 802.1x/EAP+RADIUS認証サーバを用いた大規模無線LANネットワークの必要性と構築ポイントを解説した。第2回「安定稼働しない無線LANセキュリティの課題」では、WEP+IEEE 802.1x規格での問題点と課題をお伝えした。

 後編では、社内に認証無線LANを導入しようとする担当者の純粋な疑問解消の助けとなるQ&A形式で解説を進めている。 第3回はWEP+IEEE 802.1x/EAP+RADIUS認証サーバを用いた大規模無線LANネットワークを構築する際の基本的な内容を中心に解説した。今回の最終回は、コストや運用管理についてなど、担当者がもっとも気になる内容に踏み込んで解説する。

WEPキーの更新はどのくらいの間隔で行われる?

Q: WEPキーの再認証の間隔はどのくらいが適当か?

A: 人数と規模によりケース・バイ・ケースだが30分に1回程度

 WEP+認証サーバ+IEEE 802.1xでは、脆弱性が指摘されているWEP暗号鍵を使うということもあり、現状では盗聴の危険が皆無とはいい難い。そのため鍵を自動生成し一定時間ごとに更新する方法を取り入れセキュリティを高めている。では、いったいどのくらいの間隔で鍵を更新すればよいのだろうか。

 無線LANの規模やクライアント数により最適な間隔は異なるが、ある大手ベンダの構築例を見ると、約300クライアントの場合で30分に1回の間隔で更新しているという。この無線LANシステムで使われている「RADIUSの能力が1秒間に20認証なので人数とネットワークの規模を考慮してサーバに負荷の掛からない落としどころが30分という結論」(大手ベンダ担当者)だそうだ。「30分であればセキュリティ的にも問題はないと考えている」(同担当者)とのこと。

1クライアントあたりのコストを算出すると……

Q: WEP+認証サーバ+IEEE 802.1xの導入コスト例を知りたい

A: 1クライアント当たり2万5000〜3万円という例も

 WEP+認証サーバ+IEEE 802.1xの導入コストを考える場合、社員のリモートアクセスなどのためにすでに認証サーバを持っているかどうか大きく変わってくる。シスコシステムズの製品を例に取ると「弊社のシステムで構築すると認証サーバにハードウェアを別にして100〜200万円程度の費用」(シスコシステムズ・大金氏)が掛かり、これにアクセスポイントなどほかのコストを加えると「最低でも300万円程度」(同氏)とのことだ。その一方で、バッファローでは、19万8000円のRADIUS認証サーバ「BAO-RA1X」(ハードウェア別)を用意しており、どのベンダ製品を選ぶかによりそのコストは大きく変わってくる。

 また、300クライアント程度の無線LANシステムを構築したある大手ベンダ担当者によると「トータルで見た場合1クライアント当たり2万5000〜3万円といった試算になる」といった例もある。

構築後の無線LAN構成を変更できるのか?

Q: 無線LANセキュリティを確保しつつVLANを設定する方法はあるのか?

A: 複数のSSIDを設定して各SSIDにVLANのタグを設定することで実現

 アクセスポイントの中には複数のSSIDを設定することができるものもある。この機能を利用して「SSIDごとにVLANのタグを付けたり、QoSを設定したり、セキュリティレベルの変更を行ったりする」(NEC 企業第一ソリューション事業部 ソリューションビジネス推進部 マネージャー 遠藤哲男氏)ことが可能だ。ただ、現状ではSSIDの設定可能数は最大で16個程度が主流となっている。そうなると、大規模組織などでさらに多くのVLANを設定したい場合には対応ができないということだ。

 だが、アルカテルではこの問題を2段階認証方式という方法で解決し、最大で64VLANの設定例があるという。この方法は、アクセスポイントに「Cisco Aironet」シリーズのようなIEEE 802.1x/EAP認証機能を持った機種を使い、アクセスポイントで第1段階目の認証を行う。そしてその後ろ側にIEEE 802.1x/EAP認証を行う有線LANスイッチを設置してこれを第2段階目の認証としている。つまり、アクセスポイントにおける認証で第1段目のVLAN(この段階では最大16VLAN)に入り、次に後ろ側に設置された有線LANスイッチで、64個あるどのVLANに入るかをユーザーに選択させていることになる。ただ、この方法は、すでに導入済みの従来型の無線LAN(アクセスポイントで802.1x認証を行うタイプ)に対し付加的に構築した例であることを付け加えておく。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。