無線 LAN セキュリティの救世主　　　　　　 IEEE802.1 ｘについて

環境情報 3 年蟻川　朋未

はじめに 無線ＬＡＮの脆弱性 もはや従来のままでは対応できなく

なっている →IEEE802.1x に注目

プレゼンテーション内容 １．無線 LAN セキュリティの実状と IE

EE802.1 ｘ ２ . IEEE802.1x とは ３．実際の導入 ４．まとめ

1. 無線 LAN セキュリティの実状と IEEE802.1x

1-1 ．無線 LAN セキュリティの 実状　 SSID （ ESSID ） WEP （共通鍵） MAC アドレスフ ィルタリング

1-2 ． IEEE802.1x による　　　　セキュリティ強化・認証の厳密化

・鍵配布

2. 　 IEEE802.1x とは

2-1.IEEE802.1x の誕生 1998 年　 IEEE （米国電気電子技術者協

会）で有線 LAN 向けの仕様として検討開始 2001 年　仕様決定 2002 年 2 月　公開 不正な LAN アクセスを防ぎ、正規ユーザー

だけに LAN を使わせるための認証規格→ 無線 LAN に適用

2-2. 認証の厳密化・認証サーバーとアクセスポイントが連

携して、ユーザーを認証・ WEP での通信を開始する前にユーザー

名 / パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。

・認証方式は EAP により選択可能

鍵配布 認証時に WEP キーを端末に配布する。 一定時間たつと新しい WEP キーを再配

布する Air Snort などの攻撃を防ぐことができ

る

2-3.IEEE802.1x を適用した認証シーケンス

                                                                                                                                                                           

                                 

3. 　実際の導入

3-1. では導入してみよう　 802.1 ｘ対応のアクセスポイントを　導入する場合、これらをチェックする

こと① 動作確認済みの RADIUS サーバー（認証

サーバー）の種類② 認証方式③802.1x 対応のクライアントソフト

3-1-1.RADIUS サーバーとは RADIUS ・・・ダイヤルアップ接続のた

めの認証システム、または認証を行うためのプロトコル

アクセスサーバは、ユーザー利用者名とパスワードを、 RADIUS プロトコルを使用して RADIUS サーバへ伝送し、ユーザー利用者として認証されれば接続を許可する仕組みである。

①RADIUS サーバーの種類 大きく三つに分けられる

Windows2000 Server に標準で付属する RADIUS サーバー

　「 Internet Authentication Server(IAS) 」 米 Funk Software社の「Odyssey 」 アクセスポイント・ベンダーが販売して

いる RADIUS サーバー

IAS の場合 アイコム、インテル、コンテックは IA

S との連携動作だけを保証 メリット　・ Windows2000Server をすでに利用し

ているなら追加の費用がかからない。　・マイクロソフトが無償でクライアン

トソフトを配布

Odysseyの場合 NEC インフロンティア、エンテラシ

ス・ネットワーク、富士通、プロキシムがサポート

IAS との連携動作も保証 IAS よりも多くのクライアントをサ

ポート

アクセスポイント・ベンダーがサポートしている RADIUSサーバーの場合 NEC 、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築

する場合 RADIUS サーバー、アクセスポイント、無

線 LANカード、とも自社製品の組み合わせでしか動作を保証しない

RADIUS サーバ－の種類① Enterpras 　ステラクラフト　（ TLS ） NavisRadius4.3 　日本ルーセント fullflex wireless 　アクセンス・テクノロジー初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP 対応 RADI

US サーバソフト　メルコ Capcella Radius Server 　 ZAOnetworks

（ MD5、 TLS ）

RADIUS サーバーの種類② SecureACS シスコシステムズ株式会社 （ LEAP 、 EAP-PEAP 、 EAP-TLS 、 EAP-MD5）

IAS Microsoft Steel Belt RADIUS 、 Odyssey　 Funk 社 FreeRADIUS 　 freeradius.org　

3-1-2. 認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP

MD5 クライアント認証は MD５アルゴリズ

ムを用いたパスワード方式→簡単なパスワードだと破られる サーバー認証を行わない→別のサーバーに変えられて盗聴される

という危険性

TLS SSL の後継 デジタル証明書を用いた PKI （公開鍵暗号）による相互認証

WEP キーの配布 パケットの暗号化

EAP-TTLS 米 FunkSoftware社による TLS 認証の後、 RADIUS でのユーザー認

証を実行する デジタル証明書は用いない

PEAP Microsoft社による TLS 認証の後、 EAP自体をカプセル化

して安全性を高めた上で認証 アクセスポイント間でのローミング機

能がある

認証方式の比較

認証方式 クライアント認証 サーバー認証MD5 パスワード方式 なしLEAP パスワード方式 パスワード方式TTLS パスワード方式 電子証明書PEAP パスワード方式 電子証明書TLS 電子証明書 電子証明書

3-1-4.802.1x の導入

                                                                                                                                            

3-1-5. ＳＦＣでの導入現状

機種：MELCO社 AIRCONNECTWLA-L11 規格： ARIB STD-T66/RCR STD-33 　　　　　　

　　 IEEE802.11b準拠 ESSID設定　　　学部→ 000000SFC 　大学院 → 000000MAG 無線チャンネル設定　主に「 10」を設定 WEP設定　なし

SFC での導入 RADIUS サーバー： IAS 認証方式： TTLS 、 PEAP 、 LEAP 　 SSID の Anyアクセス拒否が可能なもの

→ 富士通の FMWT-52AB 　プロキシムの ORiNOCO AP-2000 ??

4. まとめ 認証方式や RADIUS サーバーなど乱立

しているので、自分の環境に合わせて導入方法を選択しよう。