ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

Wi-Fi Protected Access 2(WPA 2)の設定例

2011 年 1 月 18 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 21 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
      Cisco Aironet 装置の WPA 2 サポート
Enterprise モードでの設定
      ネットワークの構成
      AP の設定
      CLI による設定
      クライアント アダプタの設定
      確認
      トラブルシューティング
Personal モードでの設定
      ネットワークの構成
      AP の設定
      クライアント アダプタの設定
      確認
      トラブルシューティング
関連情報
関連するシスコ サポート コミュニティ ディスカッション

概要

このドキュメントでは、Wireless LAN(WLAN; ワイヤレス LAN)で Wi-Fi Protected Access 2(WPA 2)を使用するメリットについて説明します。このドキュメントでは、WLAN 上で WPA 2 を実装する方法の 2 つの設定例を示します。最初の例では、WPA 2 を Enterprise モードで設定する方法、2 番目の例では WPA 2 を Personal モードで設定する方法を示します。

注:WPA は、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)で動作します。



前提条件

要件

この設定を開始する前に、次の項目に関する基本的な知識を必ず取得しておきます。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS® ソフトウェア リリース 12.3(2)JA が稼働する Cisco Aironet 1310G Access Point(AP; アクセス ポイント)/ブリッジ

  • ファームウェア 2.5 が稼働する Aironet 802.11a/b/g CB21AG クライアント アダプタ

  • ファームウェア 2.5 が稼働する Aironet Desktop Utility(ADU)

注:Aironet CB21AG および PI21AG クライアント アダプタ ソフトウェアは、その他の Aironet クライアント アダプタ ソフトウェアとは互換性がありません。ADU は、CB21AG カードおよび PI21AG カードで、Aironet Client Utility(ACU)はその他すべての Aironet クライアント アダプタで使用する必要があります。CB21AG カードおよび ADU をインストールする方法の詳細は、『クライアント アダプタのインストール』を参照してください。

注:このドキュメントでは、一体型アンテナ装備の AP/ブリッジが使用されています。外部アンテナを必要とする AP/ブリッジを使用する場合は、アンテナが AP/ブリッジに接続されていることを確認します。そうでない場合は、AP/ブリッジはワイヤレス ネットワークに接続できません。特定の AP/ブリッジ モデルには一体型アンテナが装備されていますが、他のモデルでは一般的な操作に外部アンテナが必要です。内部アンテナまたは外部アンテナが付いている AP/ブリッジ モデルについての詳細は、適切なデバイスの注文ガイドまたは製品ガイドを参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

WPA は Wi-Fi Alliance による標準ベースのセキュリティ ソリューションで、ネイティブ WLAN の脆弱性に対処するものです。WPA は、WLAN システムに対する拡張データ保護とアクセス コントロール機能を提供します。WPA は、従来の IEEE 802.11 によるセキュリティ実装における Wired Equivalent Privacy(WEP)の既知のすべての脆弱性に対処し、企業環境と Small Office, Home Office(SOHO; スモール オフィス、ホーム オフィス)環境の両方において、WLAN に即座に適用できるセキュリティ ソリューションです。

WPA 2 は Wi-Fi セキュリティの次世代の機能です。WPA 2 は、批准された IEEE 802.11i 標準を Wi-Fi Alliance と相互運用できるように実装したものです。WPA2 では、Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP)を使用して、National Institute of Standards and Technology(NIST; 国立標準技術研究所)が推奨する Advanced Encryption Standard(AES; 高度暗号化規格)の暗号化アルゴリズムを実装しています。AES カウンタ モードは、データの 128 ビットのブロックを 128 ビットの暗号化キーを使用して一度に暗号化する、ブロック暗号です。CCMP アルゴリズムでは、ワイヤレス フレームにデータ発信元の認証およびデータ整合性を提供する、Message Integrity Code(MIC)が生成されます。

注:CCMP は、CBC-MAC とも呼ばれます。

WPA2 では、AES により、Temporal Key Integrity Protocol(TKIP)よりも強力な暗号化が提供されるため、WPA よりも高いセキュリティ レベルが提供されます。TKIP は WPA で使用される暗号化アルゴリズムです。WPA2 では、関連付けごとに新たなセッション キーが作成されます。ネットワーク上のクライアントごとに使用される暗号化キーは、クライアントごとに一意で固有なものです。最終的に、無線で送信される各パケットは、一意のキーで暗号化されます。キーは再利用されないため、新しい一意の暗号化キーの使用によりセキュリティが強化されます。TKIP は破られたことがないため、WPA はいまだ安全であると見なされています。しかし、Cisco では、お客様ができる限り早く WPA 2 に移行することを推奨します。

WPA および WPA 2 では、次の 2 つの動作モードがサポートされています。

  • Enterprise モード

  • Personal モード

このドキュメントでは、WPA 2 でのこれら 2 つのモードの実装について説明します。



Cisco Aironet 装置の WPA 2 サポート

WPA 2 は、次の機器でサポートされています。

  • Aironet 1130AG AP シリーズおよび 1230AG AP シリーズ

  • Aironet 1100 AP シリーズ

  • Aironet 1200 AP シリーズ

  • Aironet 1300 AP シリーズ

注:これらの AP に 802.11g 無線を実装して、Cisco IOS ソフトウェア リリース 12.3(2)JA 以降を使用します。

WPA 2 および AES は、次の機器でもサポートされています。

  • 部品番号 AIR-RM21A および AIR-RM22A の Aironet 1200 シリーズ無線モジュール

    注:WPA 2 では、部品番号 AIR-RM20A の Aironet 1200 シリーズ無線モジュールはサポートされていません。

  • ファームウェア バージョン 2.5 の Aironet 802.11a/b/g クライアント アダプタ

注:Cisco Aironet 350 シリーズの製品では AES がサポートされていないため、WPA 2 はサポートされません。

注:Cisco Aironet 1400 シリーズ ワイヤレス ブリッジでは、WPA 2 または AES はサポートされていません。



Enterprise モードでの設定

Enterprise モードという用語は、Pre-Shared Key(PSK; 事前共有キー)動作モードと IEEE 802.1x 動作モードの両方で認証の相互運用が可能であることが確認された製品を指します。802.1x は、さまざま認証メカニズムをサポートする柔軟性があり、暗号アルゴリズムが強力であるため、その他のレガシー認証フレームワークよりも安全であると見なされています。Enterprise モードの WPA 2 は、2 つのフェーズで認証を実行します。オープン認証の設定は、最初のフェーズで実行されます。2 番目のフェーズは、EAP 手法のいずれかを使用した 802.1x 認証です。AES は、暗号化メカニズムを提供します。

Enterprise モードでは、クライアントと認証サーバは、EAP 認証手法を使用して相互に認証を行い、Pairwise Master Key(PMK)を生成します。WPA 2 では、サーバにより動的に生成された PMK が、AP に渡されます。

このセクションでは、Enterprise 動作モードに WPA 2 を実装するために必要な設定について説明します。



ネットワークの構成

このセットアップでは、Cisco Lightweight Extensible Authentication Protocol(LEAP)が稼働する Aironet 1310G AP/ブリッジにより、WPA 2 互換のクライアント アダプタでユーザが認証されます。キー管理には、AES-CCMP 暗号化が設定された WPA 2 が使用されます。AP は、LEAP 認証を実行するローカル RADIUS サーバとして設定されます。このセットアップを実装するためには、クライアント アダプタおよび AP を設定する必要があります。「AP の設定」セクションおよび「クライアント アダプタの設定」セクションに、AP およびクライアント アダプタの設定を示します。



AP の設定

次の手順を実行して、GUI を使用して AP を設定します。

  1. LEAP 認証を実行するローカル RADIUS サーバとして、AP を設定します。

    1. 左側のメニューで [Security] > [Server Manager] を選択して、RADIUS サーバの IP アドレス、ポート、および共有秘密を定義します。

      この設定では、AP はローカル RADIUS サーバとして設定されるため、AP の IP アドレスを使用します。ローカル RADIUS サーバの動作には、ポート 1812 および 1813 を使用します。

    2. [Default Server Priorities] エリアで、デフォルトの EAP 認証プライオリティを 10.0.0.1 に定義します。

      注:10.0.0.1 は、ローカル RADIUS サーバです。

    /image/gif/paws/67134/wpa2_config1.gif

  2. 左側のメニューで [Security] > [Encryption Manager] を選択して、次の手順を実行します。

    1. [Cipher] メニューで、[AES CCMP] を選択します。

      このオプションにより、Counter Mode with CBC-MAC を使用した AES 暗号化が可能になります。

      /image/gif/paws/67134/wpa2_config2.gif

    2. [Apply] をクリックします。

  3. [Security] > [SSID Manager] を選択し、WPA 2 で使用する新しい Service Set Identifier(SSID)を作成します。

    1. [Authentication Methods Accepted] エリアの [Network EAP] チェックボックスをオンにします。

      /image/gif/paws/67134/wpa2_config3.gif

      注:無線インターフェイスで認証タイプを設定する場合は、次のガイドラインに従ってください。

      • Cisco クライアント:Network EAP を使用する。

      • サードパーティのクライアント(Cisco Compatible Extensions(CCX)準拠の製品を含む):EAP による Open Authentication を使用する。

      • Cisco とサードパーティのクライアントの両方:Network EAP と EAP による Open Authentication の両方を選択する。

    2. [Authenticated Key Management] エリアまで [Security SSID Manager] ウィンドウを下にスクロールし、次の手順を実行します。

      1. [Key Management] メニューで、[Mandatory] を選択します。

      2. 右側の [WPA] チェックボックスをオンにします。

    3. [Apply] をクリックします。

      注:VLAN の定義はオプションです。VLAN を定義した場合、この SSID の使用に関連付けられたクライアント デバイスは、VLAN にグループ化されます。VLAN の実装方法に関する詳細は、『VLAN の設定』を参照してください。

      /image/gif/paws/67134/wpa2_config4.gif

  4. [Security] > [Local Radius Server] を選択して、次の手順を実行します。

    1. ウィンドウ上部にある [General Set-Up] タブをクリックします。

    2. [LEAP] チェックボックスをオンにし、[Apply] をクリックします。

    3. [Network Access Servers] エリアで、RADIUS サーバの IP アドレスおよび共有秘密を定義します。

      ローカル RADIUS サーバの場合は、AP の IP アドレスを使用します。

      /image/gif/paws/67134/wpa2_config5.gif

    4. [Apply] をクリックします。

  5. [Individual Users] エリアまで [General Set-Up] ウィンドウを下にスクロールし、個々のユーザを定義します。

    ユーザ グループの定義はオプションです。

    /image/gif/paws/67134/wpa2_config6.gif

この設定では、ユーザに名前「user1」およびパスワードを定義します。また、この設定ではパスワードに NT ハッシュを選択します。このセクションの手順が完了したら、AP はクライアントからの認証要求を受け付けることができるようになります。次に、クライアント アダプタを設定します。



CLI による設定

アクセス ポイント

ap#show running-config 
Building configuration...
.
.
.
aaa new-model 


!--- このコマンドにより、認証、認可、アカウンティングの 
!--- 各機能が再初期化されます。

!
!
aaa group server radius rad_eap 
 server 10.0.0.1 auth-port 1812 acct-port 1813

!--- 「rad_eap」という、RADIUS 用サーバ グループを作成しています。
!--- このグループでは、10.0.0.1 にあるサーバのポート 1812 と 1813 が使用されます。

.
.
.
aaa authentication login eap_methods group rad_eap

!--- 認証(ユーザの妥当性チェック)は、サーバ グループ「rad_eap」を使用する
!--- 「eap_methods」というグループ内のユーザに対して実行されます。

.
.
.
!         
bridge irb
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 1 key 1 size 128bit 
   12345678901234567890123456 transmit-key

!--- この手順はオプションです。
!--- この値は、ブロードキャスト(255.255.255.255)トラフィック
!--- で使用する初期キーの元となります。複数の VLAN が使用されている場合、VLAN ごとに
!--- キーを設定する必要があります。

 encryption vlan 1 mode wep mandatory 

!--- これにより、Wired Equivalent Privacy(WEP)の使用ポリシーが定義されます。  
!--- 複数の VLAN が使用されている場合、VLAN ごとにポリシーを 
!--- mandatory(必須)に設定する必要があります。

 broadcast-key vlan 1 change 300

!--- 各 VLAN で Broadcast Key Rotation をイネーブルにし、
ブロードキャスト キーを変更するまでの時間を指定することもできます。これをディセーブルにした場合、ブロードキャスト キーは使用されますが、
変更はされません。

ssid cisco vlan 1

!--- SSID を作成し、この SSID に VLAN を割り当てます。

 authentication open eap eap_methods
 authentication network-eap eap_methods

!--- SSID「cisco」に属するユーザが、要求のヘッダーに  
!--- タイプ 128 Open EAP およびネットワーク EAP 認証ビットを設定することにより認証を 
!--- 要求し、該当するユーザが「eap_methods」と呼ばれるグループに
!--- グループ化されます。

 !
 speed basic-1.0 basic-2.0 basic-5.5 basic-11.0
 rts threshold 2312
 channel 2437
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
.
.
.
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 10.0.0.1 255.255.255.0 

!--- このユニットのアドレス。

 no ip route-cache
!
ip default-gateway 10.77.244.194
ip http server
ip http help-path 
   http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100
ip radius source-interface BVI1
snmp-server community cable RO
snmp-server enable traps tty
radius-server local 

!--- ローカル RADIUS サーバ機能を実行します。

  nas 10.0.0.1 key shared_secret 

!--- 自身を RADIUS サーバとして認識し、「ローカル性」
!--- を反復し、サーバ(自身)とアクセス ポイント(自身)間のキーを定義します。

  !
  group testuser 

!--- グループはオプションです。

  !
  user user1 nthash password1 group testuser 

!--- 個々のユーザ

  user user2 nthash password2 group testuser 

!--- 個々のユーザ
!--- ローカル データベースの内容は、これらの個々のユーザで構成されています。

!
radius-server host 10.0.0.1 auth-port 1812 acct-port 
   1813 key shared_secret

!--- RADIUS サーバの位置と、アクセス ポイント(自身)と 
!--- サーバ間のキーを定義します。

radius-server retransmit 3
radius-server attribute 32 include-in-access-req format %h
radius-server authorization permit missing Service-Type
radius-server vsa send accounting
bridge 1 route ip
!
!
line con 0
line vty 5 15
!
end



クライアント アダプタの設定

次の手順を実行します。

注:このドキュメントでは、ファームウェア 2.5 が稼働する Aironet 802.11 a/b/g クライアント アダプタを使用し、ADU バージョン 2.5 でのクライアント アダプタの設定方法について説明しています。

  1. ADU の [Profile Management] ウィンドウで、[New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウに、WPA 2 Enterprise モード動作設定の設定場所が表示されます。[General] タブで、クライアント アダプタが使用するプロファイル名および SSID を入力します。

    この例では、プロファイル名と SSID は WPA 2 です。

    注:この SSID は、AP で WPA 2 に設定されている SSID と一致している必要があります。

    /image/gif/paws/67134/wpa2_config7.gif

  2. [Security] タブをクリックし、[WPA/WPA2/CCKM] をクリックして、[WPA/WPA2/CCKM EAP Type] メニューから [LEAP] を選択します。

    このアクションにより、WPA または WPA 2 のいずれか(AP に設定したもの)がイネーブルになります。

    /image/gif/paws/67134/wpa2_config8.gif

  3. [Configure] をクリックして LEAP 設定を定義します。

  4. 要件に応じて適切なユーザ名およびパスワードの設定を選択し、[OK] をクリックします。

    この設定では、[Automatically Prompt for User Name and Password] オプションを選択します。このオプションにより、LEAP 認証が実行されたときに、ユーザ名およびパスワードを手動入力できるようになります。

    /image/gif/paws/67134/wpa2_config9.gif

  5. [OK] をクリックして [Profile Management] ウィンドウを閉じます。

  6. [Activate] をクリックして、クライアント アダプタ上でこのプロファイルをイネーブルにします。

    /image/gif/paws/67134/wpa2_config10.gif

    注:Microsoft Wireless Zero Configuration(WZC)を使用してクライアント アダプタを設定する場合、デフォルトでは、WZC では WPA 2 は使用できません。そのため、WZC をイネーブルにしたクライアントで WPA 2 を稼働するためには、Microsoft Windows XP のホット フィックスをインストールする必要があります。インストールについては、Microsoft Download Center - Update for Windows XP (KB893357) leavingcisco.com を参照してください。

    ホット フィックスをインストールすれば、WZC で WPA 2 を設定できます。



確認

このセクションでは、設定が正常に動作していることを確認します。

  1. [Enter Wireless Network Password] ウィンドウが表示されたら、ユーザ名とパスワードを入力します。

    /image/gif/paws/67134/wpa2_config11.gif

    次のウィンドウは [LEAP Authentication Status] です。このフェーズでは、ユーザのクレデンシャルがローカル RADIUS サーバに照会されます。

  2. [Status] エリアで認証結果を確認します。

    /image/gif/paws/67134/wpa2_config12.gif

    認証が成功した場合は、クライアントはワイヤレス LAN に接続します。

  3. ADU の現在の状態をチェックして、クライアントが AES 暗号化と LEAP 認証を使用していることを確認します。

    これは、LEAP 認証および AES 暗号化を使用する WPA 2 が、WLAN に実装されたことを示します。

    /image/gif/paws/67134/wpa2_config13.gif

  4. AP/ブリッジ イベント ログをチェックして、クライアントが WPA 2 で正常に認証されたことを確認します。

    /image/gif/paws/67134/wpa2_config14.gif



トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。



Personal モードでの設定

Personal モードという用語は、PSK のみの動作モードで認証の相互運用が可能であることが確認された製品を指します。このモードでは、AP およびクライアント上での PSK の手動設定が必要です。PSK は、パスワードまたは認証コードをクライアント ステーションおよび AP の両方で使用して、ユーザを認証します。認証サーバは不要です。クライアントは、クライアント パスワードが AP パスワードに一致した場合のみ、ネットワークにアクセスできます。また、このパスワードにより提供されるキー関連情報を使用して、TKIP または AES はデータ パケットの暗号化に使用する暗号化キーを生成します。Personal モードは SOHO 環境を対象としており、エンタープライズ環境では安全と見なされていません。このセクションでは、Pnterprise 動作モードに WPA 2 を実装するために必要な設定について説明します。



ネットワークの構成

このセットアップでは、Aironet 1310G AP/ブリッジにより、WPA 2 互換のクライアント アダプタでユーザが認証されます。キー管理には、AES-CCMP 暗号化が設定された WPA 2 PSK が使用されます。「AP の設定」セクションおよび「クライアント アダプタの設定」セクションに、AP およびクライアント アダプタの設定を示します。



AP の設定

次の手順を実行します。

  1. 左側のメニューで [Security] > [Encryption Manager] を選択して、次の動作を実行します。

    1. [Cipher] メニューで、[AES CCMP] を選択します。

      このオプションにより、Counter Mode with CCMP を使用した AES 暗号化が可能になります。

      /image/gif/paws/67134/wpa2_config15.gif

    2. [Apply] をクリックします。

  2. [Security] > [SSID Manager] を選択し、WPA 2 で使用する新しい SSID を作成します。

    1. [Open Authentication] チェックボックスをオンにします。

      /image/gif/paws/67134/wpa2_config16.gif

    2. [Authenticated Key Management] エリアまで、[Security: SSID Manager] ウィンドウを下にスクロールし、次の手順を実行します。

      1. [Key Management] メニューで、[Mandatory] を選択します。

      2. 右側の [WPA] チェックボックスをオンにします。

      /image/gif/paws/67134/wpa2_config17.gif

    3. WPA PSK 共有秘密キーまたは WPA PSK パスフレーズ キーを入力します。

      このキーは、クライアント アダプタに設定した WPA PSK キーと一致している必要があります。

    4. [Apply] をクリックします。

これで、AP はワイヤレス クライアントからの認証要求を受け付けることができるようになりました。



クライアント アダプタの設定

次の手順を実行します。

  1. ADU の [Profile Management] ウィンドウで、[New] をクリックして新しいプロファイルを作成します。

    新しいウィンドウに、WPA 2 PSK モード動作設定の設定場所が表示されます。[General] タブで、クライアント アダプタが使用するプロファイル名および SSID を入力します。

    この例では、プロファイル名は WPA2-PSK、SSID は WPA2PSK です。

    注:この SSID は、AP で WPA 2 PSK に設定されている SSID と一致している必要があります。

    /image/gif/paws/67134/wpa2_config18.gif

  2. [Security] タブをクリックして、[WPA/WPA2 Passphrase] をクリックします。

    このアクションにより、WPA PSK または WPA 2 PSK のいずれか(AP に設定したもの)がイネーブルになります。

    /image/gif/paws/67134/wpa2_config19.gif

  3. [Configure] をクリックします。

    [Define WPA/WPA2 Pre-Shared Key] ウィンドウが表示されます。

  4. システム管理者から WPA/WPA2 パスフレーズを取得し、[WPA/WPA2 passphrase] フィールドにパスフレーズを入力します。

    インフラストラクチャ ネットワーク内の AP 用のパスフレーズまたはアドホック ネットワーク内のその他のクライアント用のパスフレーズを取得します。

    パスフレーズを入力する場合は、次のガイドラインに従ってください。

    • WPA/WPA2 パスフレーズには 8 〜 63 文字の ASCII テキスト文字または 64 桁の 16 進数が含まれている必要があります。

    • クライアント アダプタの WPA/WPA2 のパスフレーズは、通信に使用する AP のパスフレーズに一致している必要があります。

    /image/gif/paws/67134/wpa2_config20.gif

  5. [OK] をクリックしてパスフレーズを保存し、[Profile Management] ウィンドウに戻ります。



確認

このセクションでは、設定が正常に動作していることを確認します。

WPA 2 PSK プロファイルをアクティブにした後、AP は WPA 2 パスフレーズ(PSK)に基づいてクライアントを認証し、WLAN へのアクセスを提供します。

  1. ADU の現在の状態をチェックして、正常に認証されたことを確認します。

    次のウィンドウは一例です。このウィンドウは、使用されている暗号化は AES であり、サーバベースの認証は実行されていないことを示します。

    /image/gif/paws/67134/wpa2_config21.gif

  2. AP/ブリッジ イベント ログをチェックして、クライアントが WPA 2 PSK 認証モードで正常に認証されたことを確認します。

    /image/gif/paws/67134/wpa2_config22.gif



トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。




関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 67134