User manual - 無線LANセキュリティ設定ガイド(DT-10M50SB用)(2008年2月21日)
4
2-3.認証を伴う無線セキュリティ
上記のとおり、固定 WEP では、暗号キーが解読され易いと言うセキュリティ上の問題があります。
又、WPA-PSK では、事前共有鍵(Pre-Shared Key)が流出した場合にはそのネットワーク全体が危険に
さらされます。
これを解決する為に、802.1x 認証と暗号化を組み合わせる方法が考えられます。
802.1x では、電子証明書と認証サーバを利用した認証を行います。効果としては、
・ 不正な端末によるネットワークへの侵入の防止
・ 不正なアクセスポイントによる『なりすまし』の防止
※電子証明書として、『.cer』形式の証明書、『.pvk』形式の秘密鍵をサポートしています。
他の形式の電子証明書はサポートしていません。
証明書と秘密鍵を一つにまとめた『.p12』形式などは使用できませんので、
証明書の発行元より『.cer』形式と『.pvk』形式のファイルを入手してください。
暗号化に関しては、
・ 動的 WEP を使用する事が可能となり接続毎に暗号キーを自動変更する事が可能
・ WEP よりも安全な暗号化方式 TKIP の利用が可能
となります。
802.1x では、認証方法・暗号化に関しては細かく規定をしていませんが、
無線 LAN の業界団体 Wi-Fi Alliance で規格化された WPA(Wi-Fi Protected Access)を
使用する事をお勧めします。
※ WPA は、暗号化方式の WEP(Wired Equivalent Privacy)と字面は似ていますが、
全く意味は全く異なりますのでご注意ください。
DT-10M50SB で 802.1x 認証を使用する場合には、WPA(PEAP 又は TLS)での運用を推奨致します。
暗号化に WEP(動的 WEP)を使用する事も可能ですが、お勧めいたしません。
暗号化方式 認証 暗号化キー 概要 特徴
WPA-PSK TKIP
なし
アクセスポイントと
端末に設定してある
事前共有鍵
(Pre-Shared Key)
の一致で認証に代える
一定時間で自動更新
固定 WEP を改善した物
アクセスポイントと端末が対応していれば
固定 WEP の手軽さとより安全な通信が可能となる
・認証サーバが不要で手軽に使用できる
・キーが短いと解読されてしまう危険性が高い
⇒21 桁以上のキーを設定することが望ましい
・認証サーバを使用せず、総ての端末で同一の
キーを使用しているため、定期的にキーの
変更を行う事が望ましい
・盗聴による暗号解析は難しいが、
端末が盗まれた場合には、
残りの総ての暗号キーを再設定する必要がある
・キーの変更には総ての端末と
アクセスポイントに対して行う必要がある
⇒大規模ネットワークには向かない
⇒家庭用、小規模ネットワーク向け
EAP-PEAP
動的 WEP
WEP
802.1x
RADIUS サーバが必要
接続毎に変更 サーバ証明書を使用して、認証を行う
設定は、WPA と殆ど変わりません。
WEP の脆弱性を鑑み、WPA を選択する事をお勧めします。
EAP-TLS
動的 WEP
WEP
802.1x
RADIUS サーバが必要
接続毎に変更
サーバ証明書・クライアント証明書を使用して
相互に認証を行う
設定は、WPA と殆ど変わりません。
WEP の脆弱性を鑑み、WPA を選択する事をお勧めします。
WPA-PEAP TKIP
802.1x
RADIUS サーバが必要
一定時間で自動更新 サーバ証明書を使用して、認証を行う 通常、PEAP と言えばこちらを意味します
WPA-TLS TKIP
802.1x
RADIUS サーバが必要
一定時間で自動更新
サーバ証明書・クライアント証明書を使用して
相互に認証を行う
通常、TLS といえばこちらを意味します
802.1x 認証での運用を行う場合、認証サーバの運用が必須となります。
導入計画を行う場合、サーバ導入のハードウェア・ソフトウェアのコストのみでは無く、
サーバを運用する為の「事前検証」「導入」「運用」に対する「日程」「コスト」「人員」に関しても
考慮する必要があります。
ご注意