 |
ここでは、アクセス ポイントで設定できる認証タイプを説明します。 認証タイプは、アクセス ポイント用に設定する SSID に関連付けられています。 同じアクセス ポイントで異なるタイプのクライアント デバイスを提供したい場合、複数の SSID を設定できます。 複数の SSID の設定について詳しくは、 複数の SSID の設定 を参照してください。
ワイヤレス クライアント デバイスがアクセス ポイントを介してネットワークで通信を行うには、Open または Shared Key 認証を使って、アクセス ポイントで認証を得る必要があります。 最大限のセキュリティのために、クライアント デバイスは MAC アドレスか EAP 認証を使って、ネットワーク上の認証サーバに基づく認証タイプを、ネットワークで認証する必要があります。
アクセス ポイントは、次の 4 つの認証メカニズム(タイプ)を使用します。同時に複数の認証メカニズムを使用することもできます。 ここでは、各認証タイプについて説明します。
Open 認証は、すべてのデバイスに、認証およびアクセス ポイントとの通信の試みを許可します。 Open 認証を使用して、ワイヤレス デバイスは、アクセス ポイントとの認証ができますが、WEP キーがアクセス ポイントのキーと一致する場合に限り、通信できます。WEP を使用しないデバイスは、WEP を使用しているアクセス ポイントとの認証を試みません。 Open 認証では、ネットワーク上の RADIUS サーバは使用されません。
Open 認証のシーケンス は、認証を試みるデバイスと、Open 認証を使用しているアクセス ポイントとの認証シーケンスを示しています。 この例では、デバイスの WEP キーがアクセス ポイントのキーと一致しないため、認証はできても、データを転送することができません。
シスコでは、IEEE 802.11b 規格に準拠するために、Shared Key 認証も採用しています。 ただし、Shared Key 認証にはセキュリティ上の弱点があるため、なるべく使用しないようにしてください。
Shared Key 認証では、アクセス ポイントが、アクセス ポイントとの通信を試みるすべてのデバイスに、暗号化されていない身元証明要求テキスト文字列を送信します。 認証を求めるデバイスは身元証明要求テキストを暗号化して、アクセス ポイントに返送します。 身元証明要求テキストが正しく暗号化されていれば、アクセス ポイントはそのデバイスに認証を許可します。 暗号化されていない身元証明要求も暗号化された身元証明要求も、どちらも監視することができます。しかしそのために、アクセス ポイントは、暗号化前のテキストと暗号化後のテキストを比較して WEP キーを割り出す不正侵入者の攻撃に対し、無防備な状態になります。 このような弱点により、Shared Key 認証は Open 認証よりも安全性が劣る場合があります。 Open 認証と同様に、Shared Key 認証ではネットワーク上の RADIUS サーバは使用されません。
Shared Key 認証のシーケンス は、認証を試みるデバイスと、Shared Key 認証を使用しているアクセス ポイントとの認証シーケンスを示しています。 この例では、デバイスの WEP キーがアクセス ポイントのキーと一致しているため、認証が成立し、通信が許可されます。
この認証タイプは、ワイヤレス ネットワークに最高レベルのセキュリティを提供します。 EAP を使用して EAP 互換の RADIUS サーバと対話することにより、アクセス ポイントは、ワイヤレス クライアント デバイスと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。 RADIUS サーバはアクセス ポイントに WEP キーを送ります。アクセス ポイントはこのキーを、クライアントに対して送受信するすべてのユニキャスト データ信号に使用します。 さらに、アクセス ポイントはブロードキャスト WEP キー(アクセス ポイントの WEP キー スロット 1 に入力されたキー)をクライアントのユニキャスト キーと共に暗号化して、クライアントに送信します。
アクセス ポイントとクライアント デバイスで EAP を有効にすると、ネットワークに対する認証は、 EAP 認証のシーケンス に示す手順で実行されます。
EAP 認証のシーケンス の 1 〜 9 では、ワイヤード LAN 上のワイヤレス クライアント デバイスと RADIUS サーバが、802.1x および EAP を使用して、アクセス ポイント経由で相互認証を行っています。 RADIUS サーバは、認証身元証明要求をクライアントに送信します。 クライアントはユーザが入力したパスワードを一方向暗号化し、身元証明要求に対する応答を生成して、それを RADIUS サーバに送信します。 RADIUS サーバは、サーバ自体のユーザ データベースの情報から独自の応答を生成し、それをクライアントからの応答と比較します。 RADIUS サーバがクライアントを認証すると、同じ処理が逆方向から繰り返され、今度はクライアントが RADIUS サーバを認証します。
相互認証が終了すると、RADIUS サーバとクライアントは、クライアント固有の WEP キーを特定して、適切なレベルのネットワーク アクセスを提供します。これにより、ワイヤード スイッチド セグメントのセキュリティ レベルは、個々のデスクトップのレベルまで近づきます。 クライアントはこのキーをロードして、ログイン セッションでの使用に備えます。
ログイン セッションでは、RADIUS サーバがセッション キーと呼ばれる WEP キーを暗号化し、ワイヤード LAN 経由でアクセス ポイントに送信します。 アクセス ポイントはブロードキャスト キーをセッション キーを使って暗号化し、クライアントに送信します。クライアントはセッション キーを使用してキーを復号化します。 クライアントとアクセス ポイントは WEP を有効にして、セッションおよびブロードキャスト WEP キーを残りのセッションのすべての通信に使用します。
EAP 認証には複数のタイプがありますが、アクセス ポイントはどのタイプについても同じように機能します。 つまり、ワイヤレス クライアント デバイスから RADIUS サーバに、RADIUS サーバからワイヤレス クライアント デバイスに、認証メッセージを中継します。 アクセス ポイントでの EAP の設定方法については、 SSID への認証タイプの割り当て を参照してください。
アクセス ポイントは、ワイヤレス クライアント デバイスの MAC アドレスをネットワーク上の RADIUS サーバに中継します。サーバはそのアドレスを、許可された MAC アドレスのリストと照らし合わせます。 ネットワークに RADIUS サーバが使用されていない場合は、アクセス ポイントの[Address Filters]ページで、許可される MAC アドレスのリストを作成できます。 このリストにない MAC アドレスを持つデバイスは、認証されません。 MAC アドレスは不正侵入者でも偽造できるため、MAC ベースの認証は EAP 認証より安全性が劣ります。 ただし、EAP 機能を持たないクライアント デバイスにとって、MAC ベースの認証は 1 つの代替認証手段となります。 MAC ベースの認証の有効化については、 SSID への認証タイプの割り当て を参照してください。
MAC ベースの認証のシーケンス は、MAC ベースの認証のシーケンスを示しています。
MAC ベースの認証と EAP 認証を組み合わせてクライアント デバイスを認証するように、アクセス ポイントを設定できます。 この機能を有効にした場合、まず、802.11 Open 認証を使用してアクセス ポイントに結合するクライアント デバイスが MAC 認証を行います。MAC 認証が成功すると、クライアント デバイスはネットワークに接続されます。 MAC 認証が失敗した場合、アクセス ポイントはクライアント デバイスによる EAP 認証の試行を待ちます。 このような認証の組み合わせを設定する方法については、 SSID への認証タイプの割り当て を参照してください。
ここでは、認証タイプの設定方法について説明します。 アクセス ポイントの SSID に設定タイプを添付します。 複数の SSID の設定について詳しくは、 複数の SSID の設定 を参照してください。 ここでは、次の事柄を取り上げます。
アクセス ポイントのデフォルトの SSID は tsunami です。 認証のデフォルト設定 に、デフォルトの SSID に対するデフォルトの認証設定を示します。
SSID 用の認証タイプを設定するには、イネーブル EXEC モードで次の手順を実行します。
|
SSID を生成し、新しい SSID 用の SSID コンフィギュレーション モードに入ります。 SSID には、最大 32 桁の英数字を使用できます。 SSID では大文字/小文字が区別されます。 |
|
|
authentication open |
(任意)この SSID に対して、認証タイプを Open に設定します。 Open 認証は、すべてのデバイスに、認証およびアクセス ポイントとの通信の試みを許可します。
alternate キーワードを使用して、クライアント デバイスが MAC または EAP 認証を使ってネットワークに参加することを許可し、いずれかの認証を正常に完了したクライアントが、ネットワークへの参加を許可されます。
|
|
authentication shared [mac-address list-name][eap list-name] |
(任意)この SSID に対して、認証タイプを Shared Key に設定します。 |
|
authentication network-eap list-name |
(任意)この SSID に対して、認証タイプを Network-EAP に設定します。 Extensible Authentication Protocol(EAP)を使用して EAP 互換の RADIUS サーバと対話することにより、アクセス ポイントは、ワイヤレス クライアント デバイスと RADIUS サーバが相互認証を行って動的なユニキャスト WEP キーを引き出す補助をします。 ただし、アクセス ポイントは、すべてのクライアント デバイスに EAP 認証を実行するように強制しません。 |
SSID を無効にするか、SSID 機能を無効にするには、no 形式の SSID コマンドを使用します。
MAC アドレスと EAP 認証の組み合わせで、SSID batman 用の認証タイプを Open に設定する例を示します。 batman SSID を使用するクライアント デバイスは、最初、adamという名前のサーバを使って MAC アドレス認証を試みます。 MAC 認証が成功したら、そのデバイスはネットワークに参加しますが、失敗した場合は、同じサーバを使用する EAP 認証を試みます。
ap1100(config)# configure interface dot11radio 0
ap1100(config-if)# ssid batman
ap1100(config-ssid)# authentication open mac adam alternate eap adam
ここで説明する認証タイプを使用するには、アクセス ポイント認証設定がアクセス ポイントに結合するクライアント アダプタでの認証設定に一致する必要があります。 ワイヤレス クライアント アダプタに認証タイプを設定する手順については、『Cisco Aironet Wireless LAN Client Adapters
Installation and Configuration Guide for Windows』を参照してください。 アクセス ポイントで WEP を設定する手順については、
WEP および WEP 機能の設定
を参照してください。
クライアントおよびアクセス ポイントのセキュリティ設定 に、各認証タイプで必要なクライアントとアクセス ポイントの設定を一覧表示します。
All contents copyright (C) 1992--2003 Cisco Systems K.K.
