Cisco Aironet 1300 シリーズ屋外アクセス ポイント/ブリッジ Cisco IOS ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.3(4)JA
暗号スイートと WEP の設定
暗号スイートと WEP の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

暗号スイートと WEP の設定

暗号スイートと WEP の概要

暗号スイートと WEP の設定

WEP キーの作成

WEP キーの制限

WEP キーの設定例

暗号スイートと WEP の有効化

暗号スイートを WPA と CCKM に一致させる

ブロードキャスト キー ローテーションの無効化と有効化

暗号スイートと WEP の設定

この章では、WPA および CCKM 認証キー管理、Wired Equivalent Privacy(WEP)、AES を含む WEP 機能、Message Integrity Check(MIC; メッセージ完全性チェック)、Temporal Key Integrity Protocol(TKIP)、およびブロードキャスト キー ローテーションを使用するために必要な暗号スイートを設定する方法について説明します。この章の内容は、次のとおりです。

「暗号スイートと WEP の概要」

「暗号スイートと WEP の設定」

暗号スイートと WEP の概要

このセクションでは、WEP と暗号スイートがどのように無線 LAN のトラフィックを保護するかについて説明します。

無線局範囲内の誰もが局の周波数にチューニングして信号を聞くことができるのと同じように、アクセス ポイント/ブリッジの範囲内にあるすべての無線ネットワーキング デバイスがアクセス ポイント/ブリッジの無線伝送を受信できます。WEP は、不正侵入者に対する第一の防衛ラインであるため、シスコでは、無線ネットワークに完全な暗号化を使用することを推奨しています。

WEP 暗号化は、通信を秘密に保つためにアクセス ポイント/ブリッジとクライアント デバイスの間の通信を暗号化します。アクセス ポイント/ブリッジとクライアント デバイスの両方は同じ WEP キーを使用して無線信号の暗号化と復号化を行います。WEP キーは、ユニキャストおよびマルチキャストの両方のメッセージを暗号化します。ユニキャスト メッセージは、ネットワーク上の 1 つのデバイスだけに送信されます。マルチキャスト メッセージは、ネットワーク上の複数のデバイスに送信されます。

Extensible Authentication Protocol(EAP)認証は、802.1x 認証とも呼ばれ、無線ユーザに動的な WEP キーを提供します。動的な WEP キーは、静的な、つまり変化のない WEP キーより安全性が高くなります。不正侵入者は、同じ WEP キーで暗号化されたパケットが多数送られてくるのを待つだけで、WEP キーを割り出す計算を実行し、そのキーを使ってネットワークに侵入できます。動的な WEP キーは頻繁に変化するため、不正侵入者は計算を実行してキーを割り出すことができなくなります。EAP とその他の認証タイプの詳細は、 "Configuring Authentication Types" を参照してください。

暗号スイートは、無線 LAN 上の無線通信を保護するように設計された暗号と完全性アルゴリズムのセットです。Wi-Fi Protected Acccess(WPA)または Cisco Centralized Key Management(CCKM)を有効にするには、暗号スイートを使用する必要があります。暗号スイートは認証済みキー管理の使用を許可しながら WEP の保護を行うため、CLI で encryption mode cipher コマンドを使用するか、Web ブラウザ インターフェイスの暗号化ドロップダウン メニューを使用して WEP を有効にすることをお勧めします。TKIP を含む暗号スイートは、無線 LAN に最適なセキュリティを提供しますが、WEP だけを含む暗号スイートは、安全性が最も劣ります。

無線 LAN 上のデータ トラフィックは、次のセキュリティ機能によって保護されます。

AES-CCMP:国立標準技術研究所の FIPS Publication 197 に定義された Advanced Encryption Standard(AES)に基づいて、AES-CCMP は 128、192、および 256 ビットのキーを使用してデータの暗号化と復号化を行うことができる対称ブロック暗号です。AES-CCMP は WEP 暗号化より優れており、Institute of Electrical and Electronics Engineers(IEEE;電気電子学会) 802.11i 規格に定義されています。


) 802.11g 無線にのみ AES-CCMP を有効にできます。


WEP(Wired Equivalent Privacy):WEP は、802.11 標準暗号アルゴリズムであり、もともとは無線 LAN を有線 LAN で利用可能なプライバシーと同じ水準で提供するように設計されています。しかし、基本の WEP 構造には不備な点があり、侵入者はそれほど苦労することなく機密性を侵害できます。

TKIP(Temporal Key Integrity Protocol):TKIP は、WEP を実行するために構築された従来のハードウェアで利用可能な最善のセキュリティを達成するように設計された WEP 周辺の一組のアルゴリズムです。TKIP は WEP に対して、次の 4 つの点を改善しています。

weak-key(脆弱鍵)攻撃を阻止するための、パケットごとの暗号キー混合機能

リプレイ攻撃を検知するための、新しい IV キー作成ロジック

パケットの発信元と宛先の入れ替え(ビット フリップ攻撃)や変更のような偽造を検出するための Michael と呼ばれる暗号メッセージ完全性チェック(MIC)

キー更新の必要性をなくすための IV 長の拡張

CKIP(Cisco Key Integrity Protocol):IEEE 802.11i セキュリティ タスク グループによって提供された初期アルゴリズムに基づく、シスコの WEP キー置換技術です。

CMIC(Cisco Message Integrity Check):TKIP の Michael と同様、シスコのメッセージ完全性チェック メカニズムは、偽造攻撃を検出するように設計されています。

ブロードキャスト キー ローテーション(グループ キー アップデートとも呼ばれる):ブロードキャスト キー ローテーションにより、アクセス ポイント/ブリッジは最適なランダムなグループ キーを生成し、すべてのキー管理が可能なクライアントを定期的にアップデートすることができます。Wi-Fi Protected Access(WPA)は、グループ キー アップデートのための追加オプションも提供します。WPA の詳細は、 "Using WPA Key Management" section on page 7-5 を参照してください。


) ブロードキャスト キー ローテーションを有効にする場合、静的 WEP を使用するクライアント デバイスはアクセス ポイント/ブリッジを使用することはできません。ブロードキャスト キー ローテーションを有効にすると、802.1x 認証(LEAP、EAP-TLS、PEAP など)を使用する無線クライアント デバイスのみがアクセス ポイント/ブリッジを使用することができます。


暗号スイートと WEP の設定

次のセクションでは、暗号スイート、WEP、および MIC、TKIP、ブロードキャスト キー ローテーションなどの WEP 追加機能の設定方法を説明します。

「WEP キーの作成」

「暗号スイートと WEP の有効化」

「ブロードキャスト キー ローテーションの無効化と有効化」


) WEP、TKIP、MIC、およびブロードキャスト キー ローテーションは、デフォルトでは無効になっています。


WEP キーの作成


) アクセス ポイント/ブリッジが静的 WEP を使用するクライアント デバイスをサポートする必要がある場合にのみ、静的 WEP を設定する必要があります。アクセス ポイント/ブリッジにアソシエートするすべてのクライアント デバイスがキー管理(WPA、CCKM、 または 802.1x 認証)を使用する場合は、静的 WEP キーを設定する必要はありません。


特権 EXEC モードから、次の手順に従って、WEP キーを作成し、キーのプロパティを設定します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 3

encryption
[vlan vlan-id]
key 1-4
size { 40 | 128 } encryption-key
[ 0 | 7 ]
[transmit-key]

WEP キーを作成し、そのプロパティを設定します。

(オプション)キーを作成する Virtual Local Area Network(VLAN;バーチャル LAN)を選択します。

この WEP キーが常駐するキー スロットの名前を指定します。最大 16 の VLAN を割り当てることができます。各 VLAN に最大 4 個の WEP キーを割り当て、VLAN の 1 つに 4 個の WEP キーを割り当てることができます。

キーを入力し、キーのサイズを 40 ビットか 128 ビットのいずれかに設定します。40 ビット キーには、10 の 16 進数が含まれ、128 ビット キーには、26 の 16 進数が含まれています。

(オプション)キーが暗号化されているか(7)、暗号化されていないか(0)を指定します。

(オプション)このキーを送信キーとして設定します。スロット 1 のキーは、デフォルトで送信キーとなります。


) MIC または CMIC を使用して静的 WEP を設定する場合、アクセス ポイント/ブリッジおよびアソシエートされたクライアント デバイスは送信キーと同じ WEP キーを使用する必要があり、キーはアクセス ポイント/ブリッジとクライアント上の同じキー スロットにある必要があります。



) 認証キー管理などのセキュリティ機能を使用すると、WEP キー設定が制限されることがあります。WEP キーに影響がある機能のリストについては、「WEP キーの制限」を参照してください。


ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

次の例は、VLAN 22 のスロット 3 に 128 ビット WEP キーを作成し、そのキーを送信キーとして設定する方法を示しています。

ap# configure terminal
ap(config)# interface dot11radio 0
ap(config-if)# encryption vlan 22 key 3 size 128 12345678901234567890123456 transmit-key
ap(config-ssid)# end

WEP キーの制限

表9-1 は、それぞれのセキュリティ設定に基づいた WEP キーの制限のリストを示しています。

 

表9-1 WEP キーの制限

セキュリティ設定
WEP キーの制限

CCKM または WPA 認証済みキー管理

キー スロット 1 に WEP キーを設定できません。

LEAP または EAP 認証

キー スロット 4 に WEP キーを設定できません。

40 ビット WEP による暗号スイート

128 ビット キーを設定できません。

128 ビット WEP による暗号スイート

40 ビット キーを設定できません。

TKIP による暗号スイート

WEP キーを設定できません。

TKIP と 40 ビット WEP、または 128 ビット WEP による暗号スイート

WEP キーをキー スロット 1 と 4 に設定できません。

MIC または CMIC を使用する静的 WEP

アクセス ポイントとクライアント デバイスは、同じ WEP キーを送信キーとして使用する必要があります。また、このキーは、アクセス ポイントまたはブリッジとクライアントの両方で同じキー スロットにある必要があります。

ブロードキャスト キー ローテーション

スロット 2 と 3 のキーは、ブロードキャスト キーをローテーションすることにより上書きされます。


) ブロードキャスト キー ローテーションを有効にする場合、静的 WEP を使用するクライアント デバイスはアクセス ポイント/ブリッジを使用することはできません。ブロードキャスト キー ローテーションを有効にすると、802.1x 認証(LEAP、EAP-TLS、PEAP など)を使用する無線クライアント デバイスのみがアクセス ポイント/ブリッジを使用できます。


WEP キーの設定例

表9-2 は、アクセス ポイント/ブリッジおよびアソシエートされたデバイスで機能する WEP キーの設定例を示しています。

 

表9-2 WEP キーの設定例

キー
スロット
アクセス ポイント/ブリッジ
アソシエートされたデバイス
送信キー
キー値
送信キー
キー値

1

x

12345678901234567890abcdef

-

12345678901234567890abcdef

2

-

09876543210987654321fedcba

x

09876543210987654321fedcba

3

-

not set

-

not set

4

-

not set

-

FEDCBA09876543211234567890

アクセス ポイント/ブリッジの WEP キー 1 は、送信キーとして選択されているため、その他のデバイスの WEP キー 1 も同じ内容に設定する必要があります。その他のデバイスに設定されている WEP キー 4 は、送信キーとして選択されていないため、アクセス ポイント/ブリッジの WEP キー 4 を設定する必要はありません。


) MIC を有効にし、静的な WEP を使用する(いずれの EAP 認証も有効にしない)場合は、アクセス ポイント/ブリッジと通信先のデバイスの両方で、データ送信用に同じ WEP キーを使用する必要があります。たとえば、MIC を有効にしたアクセス ポイント/ブリッジでスロット 1 のキーを送信キーとして使用する場合は、アクセス ポイント/ブリッジにアソシエートされるクライアント デバイスでも、同じキーをスロット 1 で使用し、これを送信キーとして選択する必要があります。


暗号スイートと WEP の有効化

特権 EXEC モードから、次の手順に従って暗号スイートを有効にします。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 3

encryption
[vlan vlan-id]
mode ciphers
{[aes-ccm | ckip | cmic | ckip-cmic | tkip]} {[wep128 | wep40]}

必要な WEP 保護機能を含む暗号スイートを有効にします。 表9-3 は、設定する認証キー管理のタイプに適した暗号スイートの選択についてのガイドラインをリストしています。

(オプション)WEP および WEP 機能を有効にする VLAN を選択します。

暗号オプションと WEP のレベルを設定します。TKIP は、128 ビットまたは 40 ビットの WEP と組み合わせることができます。


) 2 つの要素(TKIP と 128 ビット WEP など)からなる暗号スイートを有効にすると、2 番目の暗号はグループ暗号となります。



) ckip、cmic、またはckip-cmicを設定した場合、Aironet 拡張機能も有効にする必要があります。Aironet 拡張機能を有効にするコマンドは、dot11 extension aironet です。



) 静的 WEP は、encryption mode wep コマンドを使用して設定することもできます。ただし、アクセス ポイント/ブリッジにアソシエートするクライアントがキー管理をすることができない場合にのみ、encryption mode wep を使用する必要があります。encryption mode wep コマンドの詳細は、『Cisco IOS Command Reference for Cisco Access Points and Bridges』を参照してください。



) SSID に暗号 TKIP(TKIP + WEP 128 または TKIP + WEP 40 以外)を設定する場合、SSID は WPA または CCKM キー管理を使用する必要があります。WPA または CCKM キー管理を有効にしないで暗号 TKIP を使用する SSID ではクライアント認証は失敗します。


ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

暗号スイートを無効にするには、encryption コマンドの no フォームを使用します。

次の例では、CKIP(未サポート)、CMIC(未サポート)、および 128 ビット WEP を有効にする暗号スイートを VLAN 22 に設定しています。

ap# configure terminal
ap(config)# interface dot11radio 0
ap(config-if)# encryption vlan 22 mode ciphers ckip-cmic wep128
ap(config-if)# exit

暗号スイートを WPA と CCKM に一致させる

WPA または CCKM 認証キー管理を使用するようにアクセス ポイント/ブリッジを設定する場合は、これらのタイプの認証キー管理と互換性のある暗号スイートを選択する必要があります。 表9-3 は、WPA および CCKM と互換性のある暗号スイートを示しています。

 

表9-3 WPA および CCKM と互換性のある暗号スイート

認証済みキー管理のタイプ
互換性のある暗号スイート

CCKM

encryption mode ciphers wep128

encryption mode ciphers wep40

encryption mode ciphers ckip

encryption mode ciphers cmic

encryption mode ciphers ckip-cmic

encryption mode ciphers tkip

WPA

encryption mode ciphers tkip

encryption mode ciphers tkip wep128

encryption mode ciphers tkip wep40


) SSID に暗号 TKIP(TKIP + WEP 128 または TKIP + WEP 40 以外)を設定する場合、SSID は WPA または CCKM キー管理を使用する必要があります。WPA または CCKM キー管理を有効にしないで暗号 TKIP を使用する SSID ではクライアント認証は失敗します。


WPA および CCKM の説明と認証キー管理の設定方法の詳細は、 "Using CCKM for Authenticated Clients" section on page 7-5 および "Using WPA Key Management" section on page 7-5 を参照してください。

ブロードキャスト キー ローテーションの無効化と有効化

ブロードキャスト キー ローテーションはデフォルトでは無効になります。


) ブロードキャスト キー ローテーションを有効にする場合、静的 WEP を使用するクライアント デバイスはアクセス ポイント/ブリッジを使用することはできません。ブロードキャスト キー ローテーションを有効にすると、802.1x 認証(LEAP、EAP-TLS、PEAP など)を使用する無線クライアント デバイスのみがアクセス ポイント/ブリッジを使用することができます。


特権 EXEC モードからブロードキャスト キー ローテーションを有効にする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface dot11radio 0

無線インターフェイスのインターフェイス設定モードを開始します。

ステップ 3

broadcast-key
change seconds
[ vlan vlan-id ]
[ membership-termination ]
[ capability-change ]

ブロードキャスト キー ローテーションを有効にします。

ブロードキャスト キーの各ローテーション間の秒数を入力します。

(オプション)ブロードキャスト キー ローテーションを有効にする VLAN を入力します。

(オプション)WPA 認証キー管理を有効にする場合、アクセス ポイント/ブリッジが WPA グループ キーを変更し、配布する追加の状況を有効にすることができます。

Membership termination:アクセス ポイント/ブリッジは、任意の認証済みクライアント ブリッジがアクセス ポイント/ブリッジからアソシエーションを解除するときに、新しいグループ キーを生成、配布します。この機能はアソシエートされたクライアントのグループ キーのプライバシーを保護します。ただし、ネットワーク上のクライアントが頻繁にローミングする場合、オーバーヘッドが生じることがあります。

Capability change:アクセス ポイント/ブリッジは、最後の非キー管理(静的 WEP)クライアントがアソシエーションを解除するときに、動的グループ キーを生成、配布します。また、最初の非キー管理(静的 WEP)クライアントが認証するときに、静的に設定された WEP キーを配布します。WPA 移行モードでは、アクセス ポイント/ブリッジにアソシエートしている静的 WEP ブリッジが存在しない場合は、この機能により、キー管理が可能なクライアントのセキュリティが大幅に向上します。

認証キー管理の有効化の詳細は、 “Configuring Authentication Types” を参照してください。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

copy running-config startup-config

(オプション)コンフィギュレーション ファイルに入力内容を保存します。

ブロードキャスト キー ローテーションを無効にするには、encryption コマンドの no フォームを使用します。

この例は、VLAN 22 のブロードキャスト キー ローテーションを有効にし、ローテーション間隔を 300 秒に設定します。

apap# configure terminal
ap(config)# interface dot11radio 0
ap(config-if)# broadcast-key vlan 22 change 300
ap(config-ssid)# end