Cisco Aironet 1300 シリーズ屋外アクセス ポイント/ブリッジ Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
認証タイプの設定
認証タイプの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

認証タイプの設定

認証タイプの概要

に対する Open 認証

に対する Shared Key 認証

ネットワークに対する EAP 認証

ネットワークに対する MAC アドレス認証

MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ

認証されたクライアントの CCKM の利用

WPA キー管理の使用

WPA および WPA-TKIP のソフトウェア要件とファームウェア要件

認証タイプの設定

SSID への認証タイプの割り当て

WPA 移行モードの設定

WDS デバイスと対話するようルート を設定する

追加の WPA の設定

認証のホールドオフ、タイムアウト、間隔の設定

ルート と非ルート の認証タイプのマッチング

認証タイプの設定

この章では、アクセス ポイント/ブリッジに認証タイプを設定する方法について説明します。この章の内容は、次のとおりです。

「認証タイプの概要」

「認証タイプの設定」

「ルート アクセス ポイント/ブリッジと非ルート アクセス ポイント/ブリッジの認証タイプのマッチング」

認証タイプの概要

この項ではアクセス ポイント/ブリッジに設定できる認証タイプについて説明します。認証タイプはアクセス ポイントに設定する SSID に関連付けられます。同じアクセス ポイントを持つタイプの異なるクライアント デバイスを利用する場合は、複数の SSID を設定できます。複数の SSID を設定する方法の詳細は、 Chapter 4, "Configuring Multiple SSIDs," を参照してください。

無線クライアント デバイスがアクセス ポイント/ブリッジを介してネットワーク上で通信するには、Open 認証または Shared Key 認証を使用してアクセス ポイントから認証を得る必要があります。最大限のセキュリティを確保するために、クライアント デバイスは、media access control(MAC;メディア アクセス制御)アドレス認証または EAP 認証を使用してネットワークからも認証を得る必要があります。この認証タイプではネットワーク上の認証サーバが使用されます。


) デフォルトでは、アクセス ポイント/ブリッジは、service-type 属性を authenticate-only に設定した再認証要求を認証サーバに送信します。ただし、Microsoft IAS サーバの中には、authenticate-only の service-type 属性をサポートしていないものがあります。service-type 属性を login-only に変更すると、Microsoft IAS サーバはアクセス ポイントからの再認証要求を認識できるようになります。再認証要求の service-type 属性を login-only に変更するには、グローバル設定コマンド dot11 aaa authentication attributes service-type login-only を使用します。


アクセス ポイント/ブリッジは、次の複数の認証メカニズム(タイプ)を同時に使用することができます。次の項でそれぞれの認証タイプについて説明します。

「アクセス ポイント/ブリッジに対する Open 認証」

「アクセス ポイント/ブリッジに対する Shared Key 認証」

「ネットワークに対する EAP 認証」

「ネットワークに対する MAC アドレス認証」

「MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ」

「認証されたクライアントの CCKM の利用」

「WPA キー管理の使用」

「WPA および WPA-TKIP のソフトウェア要件とファームウェア要件」

「SSID への認証タイプの割り当て」

「SSID への認証タイプの割り当て」

「認証のホールドオフ、タイムアウト、間隔の設定」

アクセス ポイント/ブリッジに対する Open 認証

Open 認証では、すべての 1300 シリーズ アクセス ポイント/ブリッジに対して、認証および別の 1300 シリーズ アクセス ポイント/ブリッジとの通信の試みを許可します。Open 認証を使用すると、非ルート アクセス ポイント/ブリッジはルート アクセス ポイント/ブリッジから認証を受けられますが、非ルート アクセス ポイント/ブリッジが通信できるのは WEP キーがルート アクセス ポイント/ブリッジの WEP キーに一致する場合のみです。WEP を使用していないアクセス ポイント/ブリッジは WEP を使用しているアクセス ポイント/ブリッジに対して認証を試みません。Open 認証では、ネットワーク上の RADIUS サーバは使用されません。

図10-1 は、認証を試みる非ルート アクセス ポイント/ブリッジと、Open 認証を使用しているルート アクセス ポイント/ブリッジとの認証シーケンスを示しています。この例では、デバイスの WEP キーがアクセス ポイント/ブリッジのキーと一致しないため、認証はできても、データを転送することができません。これと同じことが、ルート アクセス ポイント、またはクライアントが接続されたリピータ アクセス ポイントとして設定されているアクセス ポイント/ブリッジに、クライアントがアソシエートを試みる場合にも行われます。

図10-1 Open 認証のシーケンス

 

アクセス ポイント/ブリッジに対する Shared Key 認証

シスコでは、Institute of Electrical and Electronics Engineers(IEEE;電気電子学会)802.11b 規格に準拠するために、Shared key 認証も採用しています。ただし、Shared key 認証にはセキュリティ上の弱点があるため、なるべく使用しないようにしてください。

Shared Key 認証では、ルート アクセス ポイント/ブリッジが、ルート アクセス ポイント/ブリッジとの通信を試みるその他のアクセス ポイント/ブリッジに対して、暗号化されていない身元証明要求テキスト文字列を送信します。認証を求めるアクセス ポイント/ブリッジは身元証明要求テキストを暗号化して、ルート アクセス ポイント/ブリッジに返送します。身元証明要求テキストが正しく暗号化されていれば、ルート アクセス ポイント/ブリッジはそのデバイスに認証を許可します。暗号化されていない身元証明要求も暗号化された身元証明要求も、どちらも監視することができます。ただしそのために、ルート アクセス ポイント/ブリッジは、暗号化前のテキストと暗号化後のテキストを比較して WEP キーを計算する不正侵入者の攻撃に対し、無防備な状態になります。このような弱点により、Shared Key 認証は Open 認証よりも安全性が劣る場合があります。Open 認証と同様に、Shared Key 認証ではネットワーク上の RADIUS サーバは使用されません。

図10-2 は、認証を試みるデバイスと、Shared Key 認証を使用しているアクセス ポイント/ブリッジとの認証シーケンスを示しています。この例では、デバイスの WEP キーがアクセス ポイント/ブリッジのキーと一致しているため、認証が成立し、通信が許可されます。これと同じシーケンスが、ブリッジがルート アクセス ポイント、またはクライアントが接続されたリピータ アクセス ポイントとして設定されている場合にも行われます。

図10-2 Shared Key 認証のシーケンス

 

ネットワークに対する EAP 認証

この認証タイプは、無線ネットワークに最高レベルのセキュリティを提供します。EAP を使用して EAP 互換の RADIUS サーバと対話することにより、ルート アクセス ポイント/ブリッジは、別のアクセス ポイント/ブリッジと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。RADIUS サーバはルート アクセス ポイント/ブリッジに WEP キーを送ります。アクセス ポイント/ブリッジはこのキーを、非ルート アクセス ポイント/ブリッジとの間で送受信するすべてのユニキャスト データ信号に使用します。さらに、ルート アクセス ポイント/ブリッジはブロードキャスト WEP キー(アクセス ポイント/ブリッジの WEP キー スロット 1 に入力されたキー)を非ルート アクセス ポイント/ブリッジのユニキャスト キーとともに暗号化して、非ルート アクセス ポイント/ブリッジに送信します。

アクセス ポイント/ブリッジで EAP を有効にすると、ネットワークに対する認証が、図10-3 に示すシーケンスで実行されます。

図10-3 ブリッジの EAP 認証のシーケンス

 

図10-3 の 1 ~ 9 では、非ルート アクセス ポイント/ブリッジまたは無線クライアント デバイスと、有線 LAN 上の RADIUS サーバが 802.1x および EAP を使用して、ルート アクセス ポイント/ブリッジ経由で相互認証を実行します。RADIUS サーバは、認証確認を非ルート アクセス ポイント/ブリッジまたはクライアントに送信します。非ルート アクセス ポイント/ブリッジはユーザが入力したパスワードを一方向暗号化し、認証確認に対する応答を生成して RADIUS サーバに送信します。RADIUS サーバは、サーバ自体のユーザ データベースの情報から独自の応答を生成し、それを非ルート アクセス ポイント/ブリッジまたはクライアントからの応答と比較します。RADIUS サーバが非ルート アクセス ポイント/ブリッジを認証すると、同じ処理が逆方向から繰り返され、今度は非ルート アクセス ポイント/ブリッジまたはクライアントが RADIUS サーバを認証します。

相互認証が終了すると、RADIUS サーバと非ルート アクセス ポイント/ブリッジは、非ルート アクセス ポイント/ブリッジ固有の WEP キーを特定して、適切なレベルのネットワーク アクセスを提供します。これにより、有線のスイッチド セグメントのセキュリティ レベルは、個々のデスクトップのレベルまで近付きます。非ルート アクセス ポイント/ブリッジはこのキーをロードして、ログオン セッションでの使用に備えます。

ログオン セッションでは、RADIUS サーバがセッション キーと呼ばれる WEP キーを暗号化し、有線 LAN 経由でルート アクセス ポイント/ブリッジに送信します。ルート アクセス ポイント/ブリッジは、セッション キーを使用してブロードキャスト キーを暗号化し、非ルート アクセス ポイント/ブリッジに送信します。非ルート アクセス ポイント/ブリッジは、送信されてきたキーを、セッション キーを使用して復号化します。非ルート アクセス ポイント/ブリッジとルート アクセス ポイント/ブリッジが WEP を有効にして、セッションおよびブロードキャスト WEP キーを残りのセッションのすべての通信に使用します。

EAP 認証には複数のタイプがありますが、アクセス ポイント/ブリッジはどのタイプについても同じように機能します。ブリッジは、無線クライアント デバイスと RADIUS サーバ間の認証メッセージを中継します。アクセス ポイント/ブリッジで EAP を設定する方法については、「SSID への認証タイプの割り当て」を参照してください。


) EAP 認証を使用する場合は、Open または Shared Key 認証を選択できますが、これは必須ではありません。EAP 認証は、アクセス ポイント/ブリッジとネットワークの両方に対する認証を制御します。


ネットワークに対する MAC アドレス認証

アクセス ポイント/ブリッジは、無線クライアント デバイスの MAC アドレスをネットワーク上の RADIUS サーバに中継します。サーバはそのアドレスを、許可された MAC アドレスのリストと照し合わせます。MAC アドレスは不正侵入者でも偽造できるため、MAC ベースの認証は EAP 認証より安全性が劣ります。ただし、EAP 機能を持たないクライアント デバイスにとって、MAC ベースの認証は 1 つの代替認証手段となります。MAC ベースの認証を有効にする方法については、「SSID への認証タイプの割り当て」を参照してください。


ヒント ネットワークで RADIUS サーバが使用されていない場合は、アクセス ポイント/ブリッジの Advanced Security: MAC Address Authentication ページで、許可される MAC アドレスのリストを作成できます。このリストにない MAC アドレスを持つデバイスは認証されません。


図10-4 は、MAC ベースの認証のシーケンスを示しています。

図10-4 MAC ベースの認証のシーケンス

 

MAC ベースの認証、EAP 認証、および Open 認証の組み合わせ

MAC ベースの認証と EAP 認証を組み合わせてクライアント デバイスを認証するように、アクセス ポイントを設定できます。この機能を有効にした場合、まず、802.11 Open 認証を使用してアクセス ポイントにアソシエートするクライアント デバイスが MAC 認証を行います。MAC 認証が成功すると、クライアント デバイスはネットワークに接続されます。MAC 認証が失敗した場合、アクセス ポイントはクライアント デバイスによる EAP 認証の試行を待ちます。このような認証の組み合わせを設定する方法については、「SSID への認証タイプの割り当て」を参照してください。

認証されたクライアントの CCKM の利用

Cisco Centralized Key Management(CCKM) を使用すると、証済みクライアント デバイスは、再アソシエーション時にほとんど遅延することなく、アクセス ポイント間を安全にローミングできます。ネットワーク上のアクセス ポイントは、Wireless Domain Services(WDS)を提供し、サブネット上の CCKM 対応のクライアント デバイスに対してセキュリティ クレデンシャルのキャッシュを生成します。WDS アクセス ポイントでクレデンシャルがキャッシュされることで、CCKM 対応のクライアント デバイスが新しいアクセス ポイントにローミングするとき、再アソシエーションに必要な時間が大幅に短縮されます。クライアント デバイスがローミングする場合、WDS アクセス ポイントはクライアントのセキュリティ クレデンシャルを新しいアクセス ポイントに転送し、再アソシエーション プロセスは、ローミングするクライアントと新しいアクセス ポイント間での 2 つのパケット交換だけになります。ローミングするクライアントは非常にすばやく再アソシエートするので、音声やその他の時間に敏感なアプリケーションにおける遅延はほぼなくなります。アクセス ポイントで CCKM を有効にする方法については、「SSID への認証タイプの割り当て」を参照してください。無線 LAN 上の WDS アクセス ポイントを設定する方法の詳細は、 "Configuring Access Points as Potential WDS Access Points" section on page 11-7 を参照してください。


) RADIUS 割り当て Virtual Local Area Network(VLAN;バーチャル LAN)機能は、CCKM を有効にし、SSID を使用してアソシエートするクライアント デバイスではサポートされません。


図10-5 は、CCKM を使用した再アソシエーション プロセスを示しています。

図10-5 CCKM を使用したクライアントの再アソシエーション

 

WPA キー管理の使用

Wi-Fi Protected Access(WPA)は、既存および将来の無線 LAN システムのデータ保護と、アクセス制御のレベルを大幅に向上する、標準の、相互運用性の優れたセキュリティ強化法です。WPA は、現在策定中の IEEE 802.11i 規格のサブセットで、この規格と互換性があります。WPA では、データ保護に Temporal Key Integrity Protocol(TKIP)を使用し、認証済みキー管理に 802.1X を使用しています。

WPA キー管理は、2 つの相互排他的な管理タイプである WPA および WPA-Pre-shared key(WPA-PSK)をサポートしています。非ルート アクセス ポイント/ブリッジと認証サーバは、WPA キー管理を使用して、EAP 認証方式で相互認証を行い、Pairwise Master Key(PMK)を生成します。サーバは WPA を使用し、PMK を動的に生成してルート アクセス ポイント/ブリッジに渡します。ただし、そのためには、WPA-PSK を使用して非ルート アクセス ポイント/ブリッジとルート アクセス ポイント/ブリッジの両方で事前共有キーを設定し、事前共有キーが PMK として使用されるように設定してください。


) WPA 情報エレメントでアドバタイズされる(さらに 802.11 でのアソシエーション中に決定される)ユニキャストとマルチキャストの暗号スイートは、明示的に割り当てられた VLAN でサポートされている暗号スイートと一致しない可能性があります。RADIUS サーバにより、以前決定された暗号スイートとは別の暗号スイートを使用する、新規の VLAN ID が割り当てられた場合、ルート アクセス ポイント/ブリッジと非ルート アクセス ポイント/ブリッジは、この新たな暗号スイートに切り替えることができなくなります。現在、WPA プロトコルと CCKM プロトコルでは、最初の 802.11 暗号ネゴシエーション フェーズ以降での暗号スイートの変更は認められていません。このような場合、非ルート アクセス ポイント/ブリッジと無線 LAN とのアソシエーションが解除されてしまいます。


WPA キー管理をアクセス ポイント/ブリッジで設定する方法については、「SSID への認証タイプの割り当て」を参照してください。

図10-6 は、WPA キー管理プロセスを示しています。

図10-6 WPA キー管理プロセス

 

WPA および WPA-TKIP のソフトウェア要件とファームウェア要件

表10-1 は、アクセス ポイントと Cisco Aironet クライアント デバイスで WPA キー管理と WPA-TKIP 暗号化プロトコルをサポートするために必要なソフトウェア要件とファームウェア要件を示しています。

表10-1 のセキュリティの組み合わせをサポートするには、Cisco Aironet アクセス ポイントと Cisco Aironet クライアント デバイスで次のソフトウェアとファームウェアのバージョンを実行している必要があります。

アクセス ポイントでは、Cisco IOS Release 12.2(13)JA 以降

340、350、および CB20A クライアント デバイスでは、インストール ウィザード バージョン 1.2。これには、次のコンポーネントが含まれています。

PC、LM、および Protocol Control Information(PCI;プロトコル制御情報)カード ドライバ バージョン 8.4

mini-PCI および PC-CardBus カード ドライバ バージョン 3.7

Aironet Client Utility(ACU)バージョン 6.2

クライアント ファームウェア バージョン 5.30.13

 

表10-1 WPA、CCKM、CKIP、および WPA-TKIP のソフトウェア要件とファームウェア要件

キー管理と暗号化プロトコル
サード パーティの
ホスト サプリカント1の必要性
サポート対象プラットフォームのオペレーティング システム

LEAP と WPA-TKIP

なし

Windows XP と Windows 2000

LEAP と WPA

なし

Windows XP と Windows 2000

ホストベースの EAP(PEAP、EAP-TLS など)と WPA

なし2

Windows XP

ホストベースの EAP(PEAP、EAP-TLS など)とWPA

あり

Windows 2000

WPA-PSK モード

なし 2

Windows XP

WPA-PSK モード

あり

Windows 2000

1.Funk Odyssey Client サプリカント バージョン 2.2、Meetinghouse Data Communications Aegis Client バージョン 2.1 など。

2.Windows XP にはサードパーティのサプリカントは必要ありませんが、Windows XP Service Pack 1 と Microsoft サポート パッチ 815485 をインストールする必要があります。


) いずれかの無線インターフェイスまたは VLAN で、(TKIP + WEP 128 または TKIP + WEP 40 の組み合わせではなく)TKIP 単独の暗号化を設定する場合は、この無線または VLAN 上のすべての SSID を、WPA キー管理を使用するように設定する必要があります。無線または VLAN に対して TKIP を設定する場合、SSID にキー管理を設定しないと、SSID に対するクライアント認証が失敗します。


認証タイプの設定

この項では、認証タイプを設定する方法について説明します。認証タイプはアクセス ポイント/ブリッジの SSID に割り当てます。アクセス ポイント/ブリッジの SSID 設定の詳細は、「複数のSSID の設定」を参照してください。この項では、次の項目を取り上げます。

「SSID への認証タイプの割り当て」

「認証のホールドオフ、タイムアウト、間隔の設定」

SSID への認証タイプの割り当て

特権 EXEC モードから、次の手順に従って SSID に認証タイプを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 3

ssid ssid-string

SSID を作成し、新しい SSID の SSID 設定モードを入力します。SSID には、最大 32 文字の英数字を使用できます。SSID では、大文字と小文字が区別されます。


) SSID に空白は使用できません。


ステップ 4

authentication open
[mac-address list-name [alternate]]
[eap list-name]

(オプション)この SSID の認証タイプを Open に設定します。Open 認証では、すべてのデバイスに認証およびアクセス ポイント/ブリッジとの通信の試みを許可します。

(オプション)SSID の認証タイプを、EAP 認証を使用する Open に設定します。アクセス ポイント/ブリッジは、他のすべてのクライアント デバイスに対して、ネットワーク接続を許可される前に EAP 認証の実行を強制します。list-name には、認証方式リストを指定します。方式のリストの詳細は、次のリンクをクリックしてください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fsaaa/scfathen.htm#xtocid2

alternate キーワードを使用して、クライアント デバイスに対して、MAC 認証または EAP 認証のいずれかを使用したネットワーク接続を許可します。いずれかの認証を完了したクライアントが、ネットワーク接続を許可されます。

(オプション)SSID の認証タイプを、EAP 認証を使用する Open に設定します。アクセス ポイントは、すべてのクライアント デバイスに対して、ネットワーク接続を許可される前に EAP 認証の実行を強制します。list-name には、認証方式リストを指定します。


) EAP 認証が設定されたアクセス ポイント/ブリッジは、アソシエートするすべてのアクセス ポイント/ブリッジに対して EAP 認証の実行を強制します。EAP を使用しないクライアント デバイスは、アクセス ポイント/ブリッジと通信できません。


ステップ 5

authentication shared
[mac-address list name]
[eap list-name]

(オプション)SSID の認証タイプを Shared key に設定します。


) ただし、Shared key 認証にはセキュリティ上の弱点があるため、なるべく使用しないようにしてください。



) 共有キー認証は、1 つの SSID にのみ割り当てることができます。


(オプション)SSID の認証タイプを EAP 認証を使用する Shared Key に設定します。list-name には、認証方式リストを指定します。

ステップ 6

authentication network-eap list-name
[mac-address list name]

(オプション)SSID の認証タイプを Network-EAP に設定します。EAP を使用して EAP 互換の RADIUS サーバと対話することにより、アクセス ポイントは、無線クライアント デバイスと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。ただし、アクセス ポイントは、すべてのクライアント デバイスに EAP 認証の実行を強制するわけではありません。

(オプション)SSID の認証タイプを MAC アドレス認証を使用する Network-EAP に設定します。アクセス ポイントにアソシエートするクライアント デバイスはすべて MAC アドレス認証を行う必要があります。list-name には、認証方式リストを指定します。

ステップ 7

authentication key-management { [wpa] } [ optional ]

(オプション)SSID の認証タイプを WPA に設定します。optional キーワードを指定すると、WPA クライアント以外のクライアント デバイスがこの SSID を使用できます。optional キーワードを指定しないと、この SSID を使用できるのは WPA クライアント デバイスのみになります。

また、この SSID の WPA 機能を有効にするには、Open 認証または Network-EAP 認証、あるいはその両方を有効にする必要があります。


) WPA を有効にするには、まず SSID の VLAN に対する暗号化モードを、暗号スイート オプションの 1 つに設定する必要があります。VLAN 暗号化モードの設定方法については、“Configuring Cipher Suites and WEP” section on page 9-3を参照してください。



) 事前共有キーなしで SSID の WPA を有効にすると、キー管理タイプは WPA になります。事前共有キーを設定して SSID の WPA を有効にすると、キー管理タイプは WPA-PSK になります。事前共有キーの設定方法については、「追加の WPA の設定」を参照してください。


ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

SSID を無効にする場合、または SSID 機能を無効にする場合は、SSID コマンドの no フォームを使用します。

次の例では、ssid bridgeman の認証タイプを、EAP 認証を使用する Open に設定します。ssid bridgeman を使用するアクセス ポイントとブリッジは、adam というサーバを使用して EAP 認証を試行します。

ap# configure terminal
ap(config)# configure interface dot11radio 0
ap(config-if)# ssid bridgeman
ap(config-ssid)# authentication open eap adam
ap(config-ssid)# end
 

このアクセス ポイント/ブリッジにアソシエートされる非ルート アクセス ポイント/ブリッジの設定には、次のコマンドも含まれます。

ap(config)# configure interface dot11radio 0
ap(config-if)# ssid bridgeman
ap(config-ssid)# authentication client username bridge7 password catch22
ap(config-ssid)# authentication open eap adam
 

次の例では、アクセス ポイント/ブリッジの認証タイプを、静的 WEP キーを使用する Network-EAP に設定します。アクセス ポイント/ブリッジ SSID を使用する EAP 対応のアクセス ポイント/ブリッジは、eve というサーバを使用して EAP 認証を試行します。静的 WEP を使用するアクセス ポイント/ブリッジは、静的 WEP キーを使用します。

ap# configure terminal
ap(config)# configure interface dot11radio 0
ap(config-if)# encryption key 2 size 128 12345678901234567890123456
ap(config-if)# ssid bridget
ap(config-ssid)# authentication network-eap eve
ap(config-ssid)# end
 

このアクセス ポイント/ブリッジにアソシエートされる非ルート アクセス ポイント/ブリッジの設定には、次のコマンドも含まれます。

ap(config)# configure interface dot11radio 0
ap(config-if)# ssid bridget
ap(config-ssid)# authentication client username bridge11 password 99bottles

WPA 移行モードの設定

WPA 移行モードにより、次に挙げるタイプのクライアント デバイスを、同じ SSID を使用してアクセス ポイント/ブリッジにアソシエートできます。

TKIP と認証済みキー管理に対応した WPA クライアント

認証済みキー管理には対応しているが、TKIP には対応していない 802.1X-2001 クライアント(従来の LEAP クライアント、Transparent LAN Service(TLS;透過型 LAN サービス)を使うクライアントなど)

TKIP にも認証済みキー管理にも対応していない静的 WEP クライアント

これら 3 つのタイプすべてのクライアントが同じ SSID を使用してアソシエートする場合、SSID 用のマルチキャスト暗号スイートは WEP である必要があります。最初の 2 つのタイプのクライアントのみが同じ SSID を使用する場合、マルチキャスト キーは動的でもかまいませんが、静的 WEP クライアントが SSID を使用する場合、キーは静的である必要があります。アクセス ポイント/ブリッジは、自動的に静的グループ キーと動的グループ キーの切り替えを行って、アソシエートされているクライアント デバイスに対応できます。同じ SSID で 3 つのすべてのタイプのクライアントをサポートするには、キー スロット 2 または 3 に静的キーを設定する必要があります。

WPA 移行モードに SSID を設定するには、次の設定を行います。

WPA(オプション)

TKIPと、40 ビットまたは 128 ビット WEP を含む暗号スイート

キー スロット 2 または 3 内の静的 WEP キー

次の例では、WPA 移行モードに移行するために SSID を設定します。

ap# configure terminal
ap(config)# interface dot11radio 0
ap(config-if)# encryption mode cipher tkip wep128
ap(config-if)# encryption key 3 size 128 12345678901234567890123456 transmit-key
ap(config-if)# ssid migrate
ap(config-ssid)# authentication open
ap(config-ssid)# authentication network-eap adam
ap(config-ssid)# authentication key-management wpa optional
ap(config-ssid)# wpa-psk ascii batmobile65
ap(config-ssid)# exit
 

WDS デバイスと対話するようルート アクセス ポイント/ブリッジを設定する

CCKM を使用する非ルート アクセス ポイント/ブリッジをサポートするには、ルート アクセス ポイント/ブリッジがネットワーク上の WDS デバイスと対話することが必要であり、認証サーバにルート アクセス ポイント/ブリッジのユーザ名とパスワードを設定する必要があります。無線 LAN 上での WDS と CCKM の設定方法の詳細は、『Cisco IOS Software Configuration Guide for Cisco Aironet Access Points』の第 11 章を参照してください。

ルート アクセス ポイント/ブリッジで、次のコマンドをグローバル コンフィギュレーション モードで入力します。

ap(config)# wlccp ap username username password password
 

認証サーバ上でクライアントとしてルート アクセス ポイント/ブリッジを設定する場合は、同じユーザ名とパスワードの組み合わせで設定する必要があります。

追加の WPA の設定

2 つのオプションの設定を使ってアクセス ポイント/ブリッジに事前共有キーを設定し、グループ キーの更新頻度を調整します。

事前共有キーの設定

802.1x ベースの認証が使用できない無線 LAN で WPA をサポートするには、アクセス ポイント/ブリッジに事前共有キーを設定する必要があります。事前共有キーを ASCII 文字または 16 進文字として入力できます。キーを ASCII 文字として入力する場合は、8 ~ 63 文字を入力します。アクセス ポイント/ブリッジはこのキーを、Password-based Cryptography Standard(RFC2898)に記載されているプロセスを使用して展開します。キーを 16 進文字として入力する場合は、64桁 の 16 進文字を入力する必要があります。

グループ キー更新の設定

WPA プロセスの最後の段階で、ルート アクセス ポイント/ブリッジは、認証されたクライアント デバイスにグループ キーを配布します。次のオプションの設定を使って、クライアントのアソシエーションとアソシエーション解除をベースにして、グループ キーを変更して配布するようにアクセス ポイントを設定できます。

Membership termination:アクセス ポイントは、任意の認証済みデバイスがアクセス ポイント/ブリッジからアソシエーションを解除するときに、新しいグループ キーを生成、配布します。この機能は、アソシエートされているデバイスに対してグループ キーを秘匿しますが、ネットワーク上のクライアントがアクセス ポイント間で頻繁にローミングする場合には、多少のオーバーヘッド トラフィックが発生する可能性があります。

Capability change:アクセス ポイント/ブリッジは、最後の非キー管理(静的 WEP)クライアントがアソシエーションを解除するときに、動的グループ キーを生成、配布します。また、最初の非キー管理(静的 WEP)クライアントが認証するときに、静的に設定された WEP キーを配布します。WPA 移行モードでは、アクセス ポイント/ブリッジにアソシエートしている静的 WEP クライアントが存在しない場合は、この機能により、キー管理が可能なクライアントのセキュリティが大幅に向上します。

特権 EXEC モードから、次の手順に従って、WPA 事前共有キーとグループ キー更新オプションを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 3

ssid ssid-string

SSID の SSID 設定モードを開始します。

ステップ 4

wpa-psk { hex | ascii } [ 0 | 7 ] encryption-key

アクセス ポイント/ブリッジ用の事前共有キーを、静的 WEP キーも利用する WPA を使って入力します。

16 進数または ASCII 文字を使用して、キーを入力します。16 進数を使用する場合は、256 ビット キーを完成するために 64 桁の 16 進数を入力する必要があります。ASCII を使用する場合は、8 桁以上の文字、数字、記号を入力する必要があります。入力したキーはアクセス ポイント/ブリッジが展開します。ASCII 文字は 63 文字まで入力できます。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例は、WPA および静的 WEP を使用する非ルート アクセス ポイント/ブリッジ用の事前共有キーを、グループ キー更新オプションとともに設定する方法を示しています。

ap# configure terminal
ap(config)# configure interface dot11radio 0
ap(config-if)# ssid batman
ap(config-ssid)# wpa-psk ascii batmobile65
ap(config-ssid)# end
 

認証のホールドオフ、タイムアウト、間隔の設定

特権 EXEC モードから、ルート アクセス ポイント/ブリッジを介して認証を行う非ルート アクセス ポイント/ブリッジおよびクライアント デバイスにホールドオフ時間、再認証間隔、認証タイムアウトを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot11 holdoff-time seconds

クライアントがルート アクセス ポイント/ブリッジからアソシエーションを解除されアイドル状態になるまで、ルート アクセス ポイント/ブリッジが待機する時間を秒数で入力します。値は 1 ~ 65555 秒の範囲で入力します。

ステップ 3

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 4

dot1x client-timeout seconds

認証を試みる非ルート アクセス ポイント/ブリッジが認証に失敗するまでに、ブリッジがその非ルート アクセス ポイント/ブリッジからの返答を待つ時間を秒数で入力します。値は 1 ~ 65555 秒の範囲で入力します。

ステップ 5

dot1x reauth-period seconds [server]

認証された非ルート アクセス ポイント/ブリッジに対して再認証するように強制する前に、アクセス ポイント/ブリッジが待つ間隔を秒数で入力します。

(オプション)認証サーバが指定した再認証間隔を使用するようにアクセス ポイント/ブリッジを設定する場合は、server キーワードを入力します。このオプションを使用する場合は、認証サーバを RADIUS 属性 27、Session-Timeout に設定します。この属性により、セッションまたはプロンプトが終了するまでに非ルート アクセス ポイント/ブリッジに提供されるサービスの最大秒数が設定されます。サーバは、非ルート アクセス ポイント/ブリッジが EAP 認証を実行するときに、この属性をルート アクセス ポイント/ブリッジに送信します。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

値をデフォルトに戻すには、各コマンドの no フォームを使用します。

ルート アクセス ポイント/ブリッジと非ルート アクセス ポイント/ブリッジの認証タイプのマッチング

この項で説明する認証タイプを使用する場合は、アクセス ポイント/ブリッジの認証設定が、アクセス ポイントにアソシエートするクライアント アダプタの認証設定と一致している必要があります。無線クライアント アダプタで認証タイプを設定する方法については、『Cisco Aironet Wireless LAN Client Adapters Installation and Configuration Guide for Windows』を参照してください。アクセス ポイントで暗号スイートと WEP を設定する方法については、 Chapter 9, "Configuring Cipher Suites and WEP," を参照してください。

表10-2 は、クライアントとアクセス ポイントの各認証タイプに必要な設定のリストです。


) Cisco Aironet 以外のクライアント アダプタの中には、Open authentication with EAP を設定しないと、アクセス ポイントに対する 802.1x 認証を行わないものもあります。LEAP を使用する Cisco Aironet クライアントと、LEAP を使用する Cisco Aironet 以外のクライアントの両方が同じ SSID を使用してアソシエートできるようにするには、SSID を Network EAP 認証と Open authentication with EAP の両方に対応するように設定することが必要な場合があります。


 

表10-2 クライアントとアクセス ポイントのセキュリティ設定

セキュリティ機能
クライアントの設定
アクセス ポイントの設定

静的 WEP キー(Open 認証)

WEP キーを作成し、Use Static WEP Keys と Open Authentication を有効にします。

WEP を設定および有効にし、SSID に対して Open Authentication を有効にします。

静的 WEP キー(Shared Key 認証)

WEP キーを作成し、Use Static WEP Keys と Shared Key Authentication を有効にします。

WEP の設定して有効にし、SSID に対して Shared Key Authentication を有効にします。

LEAP 認証

LEAP を有効にします。

WEP を設定および有効にし、SSID に対して Network-EAP を有効にします。3

802.1x 認証

LEAP を有効にします。

暗号スイートを選択し、 SSID に対して Network-EAP を有効にします。

802.1x 認証と WPA

いずれかの 802.1x 認証方式を有効にします。

暗号スイートを選択し、SSID に対して Open authentication と WPA を有効にします(Open 認証に加えて、あるいは Open 認証の代わりに、Network-EAP 認証を有効にすることもできます)。


) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。


802.1x 認証と WPA-PSK

いずれかの 802.1x 認証方式を有効にします。

暗号スイートを選択し、SSID に対して Open authentication と WPA を有効にします(Open 認証に加えて、あるいは Open 認証の代わりに、Network-EAP 認証を有効にすることもできます)。WPA 事前共有キーを入力します。


) WPA クライアントおよび非 WPA クライアントの両方で SSID を使用できるようにするには、オプションの WPA を有効にします。


EAP-TLS 認証

ACU を使用してカードを設定する場合

ACU で Host Based EAP と Use Dynamic WEP Keys を有効にし、Windows 2000 SP3 または Windows XPで、EAP タイプとして Enable network access control using IEEE 802.1X および Smart Card or other Certificate を選択します。

WEP を設定および有効にし、SSID に対して EAP と Open authentication を有効にします。

Windows XP を使用してカードを設定する場合

EAP タイプとして Enable network access control using IEEE 802.1X および Smart Card or Other Certificate を選択します。

WEP を設定および有効にし、SSID に対して EAP と Open Authentication を有効にします。

PEAP 認証

ACU を使用してカードを設定する場合

ACU で Host Based EAP と Use Dynamic WEP Keys を有効にし、Windows 2000 SP3 または Windows XPで、EAP タイプとして Enable network access control using IEEE 802.1X および PEAP を選択します。

WEP を設定および有効にし、SSID に対して EAP と Open authentication を有効にします。

Windows XP を使用してカードを設定する場合

EAP タイプとして Enable network access control using IEEE 802.1X および PEAP を選択します。

WEP を設定および有効にし、SSID に対して Require EAP と Open Authentication を有効にします。

3.Cisco Aironet 以外のクライアント アダプタの中には、Open authentication with EAP を設定しないと、アクセス ポイントに対する 802.1x 認証を行わないものもあります。LEAP を使用する Cisco Aironet クライアントと、LEAP を使用する Cisco Aironet 以外のクライアントの両方が同じ SSID を使用してアソシエートできるようにするには、SSID を Network EAP 認証と Open authentication with EAP の両方に対応するように設定することが必要な場合があります。