Cisco Aironet 1200 シリーズ アクセス ポイント インストレーション コンフィギュレーション ガイド, 12.2(8)JA
WEP と WEP 機能の設定
WEP と WEP 機能の設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

WEP と WEP 機能の設定

WEP の概要

WEP と WEP 機能の設定

WEP キーの作成

WEP の有効化と無効化および TKIP と MIC の有効化

ブロードキャスト キー循環の有効化と無効化

WEP と WEP 機能の設定

この章では、Wired Equivalent Privacy(WEP)、Message Integrity Check(MIC;メッセージ完全性チェック)、Temporal Key Integrity Protocol(TKIP)、ブロードキャスト キー循環を設定する方法について説明します。 この章の内容は次のとおりです。

「WEP の概要」

「WEP と WEP 機能の設定」

WEP の概要

無線局範囲内の誰もが局の周波数にチューニングして信号を聞くことができるように、アクセス ポイントの範囲内にあるすべてのワイヤレス ネットワーキング デバイスがアクセス ポイントの無線伝送を受信できます。 Wired Equivalent Privacy(WEP)は、不正侵入者に対する第一の防衛ラインであるため、シスコでは、ワイヤレス ネットワークに完全な暗号化を使用することを推奨しています。

WEP 暗号化は、アクセス ポイントとクライアント デバイス間の通信をスクランブルし、通信機密を保護します。 アクセス ポイントとクライアント デバイスはどちらも同じ WEP キーを使用して、無線信号の暗号化および復号化を行います。 WEP キーは、ユニキャストおよびマルチキャストの両方のメッセージを暗号化します。 ユニキャスト メッセージは、ネットワーク上の 1 つのデバイスにのみ送信されます。 マルチキャスト メッセージは、ネットワーク上の複数のデバイスに送信されます。

EAP 認証は、ワイヤレス ユーザに動的な WEP キーを提供します。 動的な WEP キーは、静的、つまり変化のない WEP キーより安全性が高くなります。 不正侵入者は、同じ WEP キーで暗号化されたパケットが多数送られてくるのを待つだけで、WEP キーを割り出す計算を実行し、そのキーを使ってネットワークに侵入できます。 動的な WEP キーは頻繁に変化するため、不正侵入者は計算を実行してキーを割り出すことができなくなります。 EAP とその他の認証タイプについての詳細は、 Chapter 10, "認証タイプの設定," を参照してください。

ワイヤレス ネットワークの WEP キーを保護するために、次の 3 つのセキュリティ機能が新しく追加されました。

MIC:暗号化されたパケットへの攻撃(ビットフリップ攻撃)を阻止します。 ビットフリップ攻撃では、暗号化されたメッセージが不正侵入者によって傍受され、簡単な変更が加えられます。その後、このメッセージは不正侵入者から再び送信され、受信側に正規のメッセージとして受信されます。 MIC は、アクセス ポイントと、それに結合されるすべてのクライアント デバイスに実装され、数バイトを各パケットに付加することによって、パケットの不正変更を防ぎます。

TKIP(WEP キー ハッシュともいいます):この機能は、不正侵入者による、暗号化されたパ
ケットに含まれる非暗号化初期設定ベクトル(IV)を使用した WEP キー割り出しを防ぎます。 TKIP は、不正侵入者が IV を使用して WEP キーを特定するのに利用する、推測可能な値を除去します。

ブロードキャスト キー循環:EAP 認証は、クライアント デバイスに動的なユニキャスト WEP キーを提供しますが、使用するのは静的なブロードキャスト キーです。 ブロードキャスト WEP キー循環を有効にすると、アクセス ポイントは動的なブロードキャスト WEP キーを生成し、指定された間隔でそのキーを変更します。 ブロードキャスト キー循環は、ワイヤレス LAN に使用されているワイヤレス クライアント デバイスがシスコ製品でない場合、またはシスコ クライアント デバイス用の最新のファームウェアにアップグレード不可能である場合に、TKIP に代わる優れた機能を提供します。

WEP と WEP 機能の設定

次の項で WEP および MIC、TKIP、ブロードキャスト キー循環などの追加 WEP 機能の設定方法を説明します。

「WEP キーの作成」

「WEP の有効化と無効化および TKIP と MIC の有効化」

「ブロードキャスト キー循環の有効化と無効化」

WEP、TKIP、MIC、ブロードキャスト キー循環はデフォルトで無効に設定されています。

WEP キーの作成

イネーブル EXEC モードから、次の手順に従って、WEP キーを作成し、キーのプロパティを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 3

encryption [vlan vlan-id] key 1-4
size { 40 | 128 } encryption-key
[transmit-key]

WEP キーを作成し、そのプロパティを設定します。

(オプション)キーを作成する VLAN を選択します。

この WEP キーが存在するキー スロットに名前を指定します。 各 VLAN に最大 4 つの WEP キーを指定できます。

キーを入力し、キーのサイズを 40 ビットか 128 ビットのいずれかに設定します。 40 ビット キーには 10 桁の 16 進数を、128 ビット キーには 26 桁の 16 進数を指定できます。

(オプション)このキーを転送キーに設定します。 スロット 1 のキーはデフォルトでは転送キーですが、任意のキーを転送キーに設定できます。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例は、VLAN 22 のスロット 1 に 128 ビット WEP キーを作成し、そのキーを転送キーに設定する手順を示しています。

ap1200# configure terminal
ap1200(config)# configure interface dot11radio 0
ap1200(config-if)# encryption vlan 22 key 1 size 128 12345678901234567890123456 transmit-key
ap1200(config-ssid)# end

WEP の有効化と無効化および TKIP と MIC の有効化

イネーブル EXEC モードから、次の手順に従って WEP、TKIP、MIC を有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 3

encryption [vlan vlan-id] mode wep
{optional [key-hash] | mandatory [mic] [key-hash]}

WEP、MIC、TKIP を有効にします。

(オプション)WEP と WEP 機能を有効にする VLAN を選択します。

WEP レベルを設定し、TKIP と MIC を有効にします。
optional を指定すると、クライアント デバイスは WEP の設定とは無関係にアクセス ポイントに結合できます。 WEP を option に設定して TKIP を有効にできますが、MIC を有効にできません。 mandatory を入力した場合、クライアント デバイスは WEP のアクセス ポイントとの結合を有効にする必要があります。 WEP を mandatory にすると、TKIP と MIC はいずれも有効にできます。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

WEP を無効にする場合、または WEP 機能を無効にする場合は、encryption コマンドの no フォームを使用します。

次の例では、VLAN 22 について WEP を mandatory に設定し、MIC と TKIP を有効にしています。

ap1200# configure terminal
ap1200(config)# configure interface dot11radio 0
ap1200(config-if)# encryption vlan 22 mode wep mandatory mic key-hash
ap1200(config-ssid)# end
 

ブロードキャスト キー循環の有効化と無効化

ブロードキャスト キー循環はデフォルトでは無効に設定されています。 イネーブル EXEC モードから、次の手順に従ってブロードキャスト キー循環を有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio { 0 | 1 }

無線インターフェイスのインターフェイス コンフィギュレーション モードを開始します。 2.4GHz無線は Radio 0、5GHz 無線は Radio 1 です。

ステップ 3

broadcast-key change seconds
[vlan vlan-id]

ブロードキャスト キー循環を有効にします。

ブロードキャスト キーの循環の間隔を秒数で入力し
ます。

(オプション)ブロードキャスト キー循環を有効にする VLAN を入力します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ブロードキャスト キー循環を無効にする場合は、encryption コマンドの no フォームを使用します。

次の例は、VLAN 22 でブロードキャスト キー循環を有効にし、循環間隔を 300 秒に設定しています。

ap1200# configure terminal
ap1200(config)# configure interface dot11radio 0
ap1200(config-if)# broadcast-key vlan 22 change 300
ap1200(config-ssid)# end