ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

自律アクセスポイント設定例の WEP

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco 自律 Access Point (AP)の Wired Equivalent Privacy (WEP)を使用し設定する方法を記述されています。

Debashree イエナによって貢献される、Cisco TAC エンジニア。

前提条件

要件

この資料は WLANデバイスへの管理上の接続をすることができると、そしてデバイスが非暗号化環境で普通機能すると仮定します。 標準 40 ビット WEP を設定するために、互いに通信する 2つ以上の無線ユニットを持たなければなりません。

使用するコンポーネント

Cisco IOS ® Release15.2JB を実行するこの文書に記載されている情報は 1140 AP に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

WEP は 802.11 (Wi-Fi)規格に構築される暗号化アルゴリズムです。 WEP は機密保持のためにストリーム暗号 RC4、および統合のための巡回冗長 Check-32 (CRC-32)チェックサムを使用します。

標準 64 ビット WEP はキー RC4 キーを形成するために 24 ビット 初期化ベクトル(iv)と連結される 40 ビットを(別名 WEP-40)使用します。 64 ビット WEPキーは通常 10 16 進法の一連として入ります(16)ベース文字(ゼロ〜 9 および A-F)。 各文字は 4 ビットを表し、4 ビットの 10 ディジットはそれぞれ 40 ビットに匹敵します; 24 ビット IV を追加する場合、完全な 64 ビット WEPキーを生成 します。

128-bit WEPキーは通常 26 の 16進文字の一連として入ります。 4 ビットの 26 ディジット各 equals104 ビット; 24 ビット IV を追加する場合、完全な 128-bit WEPキーを生成 します。 ほとんどのデバイスはユーザが 13 の ASCII文字としてキーを入力することを可能にします。

認証方式

2 つの認証方式は WEP と使用することができます: オープンシステム 認証および共有鍵認証。

オープンシステム 認証によって、WLANクライアントは認証に AP に資格情報を提供する必要はありません。 どのクライアントでも AP と認証を受けることができ次に関連付けるように試みます。 事実上、認証は行われません。 続いて、WEPキーはデータフレームを暗号化するために使用することができます。 この時点で、クライアントは正しいキーがなければなりません。

共有鍵認証によって、WEPキーは 4 ステップで認証のために、ユーザ確認のための質問への応答 ハンドシェイク使用されます:

  1. クライアントは AP に認証要求を送ります。
  2. AP はクリアテキスト チャレンジと答えます。
  3. クライアントは設定された WEPキーが付いているユーザ確認のためのテキストを暗号化し、別の認証要求と応答します。
  4. AP は応答を復号化します。 応答がユーザ確認のためのテキストと一致する場合、AP は肯定的な応答を返します。

認証 および アソシエーションの後で RC4 のデータフレームを暗号化するために、事前共有 WEPキーも使用されます。

一見すると、それは後者が実質認証を提供しないので共有鍵認証がセキュアよりオープンシステム 認証であるようにようであるかもしれません。 ただし、反転は本当です。 共有鍵認証の身元証明フレームをキャプチャ する場合ハンドシェイクに使用する keystream を得ることは可能性のあるです。 それ故に、共有鍵認証よりもむしろ WEP 認証のためにオープンシステム 認証を、使用することは賢明です。

Temporal Key Integrity Protocol (TKIP)はこれらの WEP 問題に対処するために作成されました。 WEP に類似した、TKIP は RC4 暗号化を使用します。 ただし、TKIP はパケットごとのキーハッシュのような手段の付加との WEP を、Message Integrity Check (MIC)高め、ブロードキャストは既知 WEP 脆弱性に対処するためにローテーションをキー入力します。 TKIP は暗号化のために 128-bit キーおよび認証のために 64 ビット キーによって RC4 ストリーム暗号を使用します。

設定

このセクションは WEP に GUI および CLI コンフィギュレーションを提供します。

GUI 設定

GUI で WEP を設定するためにこれらのステップを完了して下さい。

  1. GUI によって AP に接続して下さい。
  2. ウィンドウのの Security メニューから左側に、静的WEP キーを設定したいと思う無線インターフェイスのために『Encryption Manager』 を選択 して下さい。
  3. 暗号化モードの下で、『WEP Encryption』 をクリック し、クライアントのためのドロップダウン メニューから『Mandatory』 を選択 して下さい。

    ステーションによって使用される暗号化モードは次のとおりです:
    • デフォルト(No encryption) -クライアントがデータ暗号化なしで AP と通信するように要求します。 この設定は推奨されません。
    • オプションの-クライアントをデータ暗号化の有無にかかわらずどちらかの AP と通信することを許可します。 通常、このオプションは、シスコ以外のクライアントなど WEP 接続を行えないクライアント デバイスが 128 ビットの WEP 環境に含まれている場合に使用します。
    • 必須(Full Encryption) - AP と通信するときクライアントがデータ暗号化を使用するように要求します。 データ暗号化を使用しないクライアントは通信することができません。 この暗号化オプションは、WLAN のセキュリティを最大にする場合に推奨されます。
  4. 暗号化キーの下で、送信する キー オプション ボタンを選択し、10 ディジット 16 進法キーを入力して下さい。 キーサイズが 40 ビットに設定 されるようにして下さい。

    40 ビット WEPキーのための 10 の 16進数字、か 128-bit WEPキーのための 26 の 16進数字を入力して下さい。 キーには次の文字を任意に組み合わせることができます。
    • 0 〜 9
    • a 〜 f
    • a 〜 f

     

  5. 無線の両方の設定を適用するために適用すべてクリックして下さい。

  6. Service Set Identifier (SSID)をオープン認証で作成し、両方の無線でそれを有効に するために『Apply』 をクリック して下さい。


  7. ネットワークにナビゲート し、動作するそれらを得ることを 2.4 GHz および 5 GHz のための無線を可能にして下さい。

CLI 設定

CLI で WEP を設定するためにこのセクションを使用して下さい。

ap#show run
Building configuration...

Current configuration : 1794 bytes
!
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 $1$kxBl$OhRR4QtTUVDUA9GakGDFs1
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
  dot11 ssid wep-config
  authentication open
  guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 0802455D0A16
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1

 no ip address
 !
 encryption key 1 size 40bit 7 447B6D514EB7 transmit-key
 encryption mode wep mandatory
 !
 ssid wep-config
 !
 antenna gain 0
 dfs band 3 block
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 no keepalive
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ip address dhcp
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 10.106.127.4
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end

確認

設定がきちんと機能することを確認するためにこのコマンドを入力して下さい:

ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [wep-config] :
MAC Address    IP address      Device        Name           Parent         State
1cb0.94a2.f64c 10.106.127.251  unknown       -              self           Assoc

トラブルシューティング

このセクションでは、設定のトラブルシューティングについて説明します。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

これらの debug コマンドは設定をトラブルシューティングして役立ちます:

  • デバッグ dot11 イベント-すべての dot1x イベントのためのデバッグを有効に します。
  • デバッグ dot11 パケット-すべての dot1x パケットのためのデバッグを有効に します。

クライアントが WLAN に正常に関連付けると表示する ログの例はここにあります:

*Mar  1 02:24:46.246: %DOT11-6-ASSOC: Interface Dot11Radio0, Station  
1cb0.94a2.f64c Associated KEY_MGMT[NONE]

クライアントが間違ったキーを入力するとき、このエラー表示:

*Mar  1 02:26:00.741: %DOT11-4-ENCRYPT_MISMATCH: Possible encryption key 
mismatch between interface Dot11Radio0 and station 1cb0.94a2.f64c
*Mar  1 02:26:21.312: %DOT11-6-DISASSOC: Interface Dot11Radio0, Deauthenticating
Station 1cb0.94a2.f64c Reason: Sending station has left the BSS
*Mar  1 02:26:21.312: *** Deleting client 1cb0.94a2.f64c

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116585