読者です 読者をやめる 読者になる 読者になる

無線LAN関連 その2

 どうもさらに深く掘り下げた方がよさげなので追記。

WPA

Wi-Fi Protected Aliance
無線LANの次世代規格IEEE802.11iで採用予定のセキュリティ技術のうち、すぐに利用できるものをまとめたのがWPA。そもそも暗号化プロトコルに限ったものではないので「WEPと比較する」という議論自体焦点がズレている気もするが、WEPのみを導入しているシステムとWPAを導入したシステムを比較した場合、セキュリティ対策でどんな差が出るかを整理してみる。

  • 暗号化のほかに認証機能を備える

WEPは暗号化のみしかサポートしないが、WPAはユーザー認証の機能も実装しており、IDとパスワードによる認証で第三者の不正利用を防げる。ちなみに認証にはIEEE802.1Xで規定されたEAPなるプロトコルが使われるが、これはあとで解説。

  • 暗号化鍵が動的に変化する

WEPには暗号化鍵の変更が困難という弱点があるが、WPAで採用された暗号化プロトコルTKIP(Temporal Key Integrity Protocol)は鍵を動的に配布するため、WEPよりも安全となる。ただし、TKIPも暗号化アルゴリズムはWEPと同じRC4を採用しているため、鍵の解析自体の労力はあまり変わらない。
ちなみに次世代規格802.11iでは、AESという暗号化アルゴリズムが採用される。
 

IEEE802.1X

つい先日まで誤解していたが、無線LANのセキュリティ規格ではなく、"ネットワークに接続するための認証方法"を規定した規格。故にWEPやWPAと同列に並べて比較するものではない(というかWPAに採用された規格の一つである)。
認証方式にはRADIUSが用いられ、各アクセスポイントがクライアントからの要求を受け、その認証情報を認証サーバー(RADIUSサーバー)に問い合わせる。
ちなみにクライアントをサプリカント(supplicant:哀願者)、アクセスポイントをオーセンティケータ(authenticator:認証者)と呼ぶ。(この用語は出そうなので要チェック。)
 
先に述べたとおり、すべてのオーセンティケータはサプリカントの要求に応じて認証サーバーへの問い合わせを行うため、認証情報は認証サーバーで一元管理することになる。
逆に言えばそのための認証サーバーを用意する必要があるということで、この認証サーバーをどこに設置するかや、サーバー設置に付随する設定や構成の変更(exルーターやFWのフィルタリングルール変更など)も出題ポイントかも。
 

EAP

PPP Extensible Authentication Protocol
名前の通りPPPを拡張した規格で、よりセキュアな認証方式をサポートしている。以前にも述べたように方式はいろいろあるが、一応そこも整理する。
ユーザー認証には、デジタル証明書を用いるEAP-TLSとチャレンジレスポンス方式を採用するそれ以外(EAP-MD5,EAP-TTLS,PEAP)があり、前者はデジタル証明書の発行方法が、後者はユーザーIDとパスワードの管理手法がキーとなる。
また、EAP-MD5以外の規格はデジタル証明書によるサーバー認証もサポートしており、これを利用してWEPキーが更新される。(つまりEAP-MD5はWEPキーの更新ができないということで、それ故実際にはほとんど利用されていない。)