特集:Voice over Wireless LANの実現

無線IP電話の思わぬ落とし穴

小宮 博美
アルバワイヤレスネットワークス
2004/11/13

コストの優位性と音声品質の向上から企業へのIP電話の導入が促されるようになって久しい。一方で、セキュリティを強化した企業向け無線LANシステムの導入も進んでいる。

最近では、この両者を組み合わせた無線IP電話、つまりVoice over Wireless LAN(VoWLAN)の実現を検討している企業も少なくない。そこで、前編でVoWLANを実現するための注意点を、後編で機器選択のポイントを解説する。


   VoWLANの注意点

 有線でのVoIP(Voice over IP)はかなり普及していることから、利用に際してのノウハウは十分蓄積されていると思う。

 しかしながら、このVoIPを無線LAN(WLAN)で実現しようとした場合、無線ならではの注意点が出てくる。その最たるものがセキュリティである。

 セキュリティは企業の考え方によりレベルが異なるが、企業として最低限必要なセキュリティ・レベルを確保しておかなければならない。このほか、RF(Radio Frequency)管理、シームレスなローミング、帯域管理などを考慮する必要がある。

   無線利用の注意点

 無線IP電話では、電波を使い無線LANのアクセス・ポイントと通信を行う。この無線通信に何のセキュリティ対策も施していない場合、電波が届く範囲であれば誰にでも受信できてしまい、会話を簡単に盗聴できる。

 さらに、無線IP電話のために設置したアクセス・ポイントを利用し、外部から社内ネットワークへの侵入も可能になってしまう。この盗聴や侵入から音声データやネットワークを守る必要があり、それを実施するのが無線LANシステムである。

 一般に量販されているブリッジ型アクセス・ポイントでは、盗聴を防ぐための暗号化技術が搭載されているものもあるが、企業ネットワークを保護するには機能不足のものもある。無線を利用するようになると、電波が送受信されるため第三者から無線通信の存在を容易に検知されてしまう。インターネットと同様に、企業ネットワークは外部からいつ攻撃を受けるか分からない。

 有線の場合でも、ネットワークは可視することができないため、ファイアウォールやIDSで各種の攻撃を検知、防御している。無線LANも同様に、無線は可視することができないため、ファイアウォールやIDS、そしてRFモニタ機能を備えた無線LANシステムの導入が必要になる。

 さらに、ノートPCよりはるかに多く移動しながらの通信が考えられる無線IP電話では、音声が途切れない高速なハンドオーバー機能、移動先への認証情報等の引き継ぎ、ユーザーが移動しても不変のファイアウォール・ポリシーが無線LANシステム全体で必要になる。

 有線ネットワークでIP電話を利用する場合、遅延対策さえ施していれば品質の良い通話が実現可能であるが、多くの無線IP電話で利用されている802.11bの標準では、遅延とともに帯域の容量も考慮しなければならない。

 100Mbpsが当然と考えられている高速なLAN環境とは異なり、802.11bの無線LANでは、11Mbpsでアソシエーションしても無線通信のためのオーバーヘッドで実際にデータが使える帯域は6Mbps程度しかない。さらに、無線LANでは同一チャンネルを利用する機器間では帯域を共有しているため、この6Mbpsですら保証されているわけではない。

 無線IP電話が通話に利用する帯域自体は数百Kbpsであるが、100Mbpsの有線LANから6Mbpsの無線LANにデータを転送するアクセス・ポイントで輻輳(ふくそう)が発生し、遅延の原因となる。また、データが混在しているような環境では、QoSも考慮する必要がある。

   暗号化

 無線LANで利用している電波は、受信だけなら誰にでもできてしまう。例えば、近くで話している会話が自然に聞こえてしまうのと同じである。

 無線のレベルでは、送信される電波の方向性を考慮する程度のことしかできず、第三者が電波を受信できないようにすることは難しい。そこで、たとえ無線を盗聴されてもデータの内容が読み取られないよう暗号化を施しておくことが必要になる。

 802.11bの標準では、WEPの実装が義務付けられているが、簡単な暗号化アルゴリズムを利用しているWEPは、暗号が解読可能であることが周知の事実である。そこで登場した暗号化技術がWPA/TKIPである。しかしながら、現在出荷されている無線IP電話では、WEPより高度な暗号化アルゴリズムを用いるTKIPがほとんどサポートされていない。

 今年に入って相次いで発表された多くの製品では、WEPのほかにIEEE 802.1xをサポートしている。802.1xで利用している暗号化は、WEPがほとんどだが、暗号化キーのローテーションがサポートされている。このキーのローテーションを行うWEPをダイナミックWEPと呼ぶ。

 WEPの暗号を解読するには、ある程度の量のデータパケットを収集し、暗号化キーの解読から行うが、ダイナミックWEPでは、暗号化キーが解読される前にキーを変更してしまうことが可能であるため、通常のWEPに比べはるかに安全といえる。

   認証

 認証とは無線LANシステムに接続要求してきたユーザーが誰なのか、正しいユーザーなのかを確認するためのものであり、接続を許可する、しないのフィルターとは機能が異なる。無線LANシステムでは、接続要求してきたユーザーを何らかの方法で認証し、接続の可否を判断している。Windowsなどを搭載したPCと異なり、無線IP電話を認証する方法はMACアドレスによる認証と802.1xしかない。

 MACアドレスは無線パケットのヘッダーから第三者が読み取ることができ、詐称することも比較的簡単なため、認証機能としてはかなり弱い。これに対し802.1xでは、クライアント証明書を利用するEAP-TLSやユーザー名、パスワードで認証するPEAPなどの方法があり、認証機能として十分といえる。

   ネットワークの保護

 無線LANのアクセス・ポイントを設置した場合、無線経由での社内ネットワークの入り口を作成したようなものである。このアクセス・ポイントでアクセス制限を行っていないと、誰でもネットワークに侵入できてしまう。

 そこで、企業ネットワークをインターネットに接続したときと同様、企業ネットワークを保護するためにファイアウォールやIDSの導入が必要になってくる(図1)。企業で導入するような規模の無線LANでは、すべてのアクセス・ポイントでポリシーを設定しファイアウォールを動作させるということは現実的でなければ製品もない。

図1 企業ネットワークの保護……企業ネットワークをインターネットへ接続したときと同様に、社内ネットワークに無線アクセス・ポイントを設置したら、外部からの侵入、攻撃に備えファイアウォール、IDSを設置する

 やはり、ファイアウォールやIDS機能をサポートしている無線LANシステムの利用が必要である。無線LANシステムを導入し、適切なポリシーを設定することにより、外部からの侵入も防げるし、内部からの情報漏えいも防ぐことができる。


目次:Voice over Wireless LANの実現
IP電話実現のための最低必須条件とは?
  RF管理/シームレスなローミング
  無線QoS/無線IP電話の接続制御
  無線IP電話の選択/無線LANシステムの選択

関連リンク
ワイヤレス 

特集:エンタープライズ・ワイヤレス
第1回 いまの無線LANアクセス・ポイントがダメな理由  
第2回 安定稼働しない無線LANセキュリティの課題  
第3回 802.1x認証無線LAN導入での疑問を解消するQ&A  
最終回 いまの802.1x認証無線LAN技術、導入すべきか否か

【トレンド解説】次世代無線LAN標準のIEEE 802.11nが動き出す
100Mbpsオーバー、MIMO技術を搭載して2006年には登場か
第11回 読者調査結果 〜無線LAN/ギガビット・イーサネットの導入状況は?〜
トレンド解説:IEEE 802.11iとWPA
無線LAN構築のABC (System Insider)
VoIP 連載:VoIPに耐えるネットワーク構築
第1回 IP電話導入のためのネットワーク必要条件
第2回 IP電話を使うなら知っておきたいパケット制御
第3回 IP電話でQoSを確保するためのチェックポイント

Voice over Wireless LANの実現 バックナンバー



「Master of IP Network総合インデックス」


Master of IP Network フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Master of IP Network 記事ランキング

本日 月間
ソリューションFLASH