ダウンロード概要ネットワーク セキュリティを犠牲にすることなく、ネットワーク ユーザに自由とモビリティを提供 シスコのワイヤレス LAN 製品群 - エンタープライズ クラスのセキュリティを備えた自由なワイヤレス接続ビジネスにおいて、ネットワーク上で交換されるデータよりも重要なものは、恐らく、そのデータのセキュリティを維持する能力よりほかにはないでしょう。Wireless LAN(WLAN; ワイヤレス LAN)が多数の利点を備えているにもかかわらず、セキュリティに対する懸念から、導入を敬遠しているネットワーク管理者は少なくありませんでした。 現在、ワイヤレス セキュリティの情勢は変わり、IT 管理者は確信を持って WLAN を展開できます。今では、Cisco Unified Wireless Network により、エンタープライズ向けの標準ベースの WLAN セキュリティ ソリューションがシスコから提供されています。シスコのワイヤレス製品、Cisco Aironet® シリーズ製品、およびシスコ互換 WLAN クライアント デバイスによって、次のような機能が提供されます。
ネットワーク分野のリーダーでありワイヤレス ネットワーキングを支える原動力でもあるシスコによって、ネットワーク管理者は、ユーザが必要とするネットワーク セキュリティを犠牲にすることなく、ユーザが望む自由を提供できるようになりました。 侵入者を阻止するためのセキュリティネットワーク管理者は、侵入者に WLAN やワイヤレス ネットワーク上で送受信される情報へのアクセスを許すことなく、エンドユーザに自由とモビリティを提供しなければなりません。WLAN では、送信されたデータは、クライアント デバイスまたはステーションとアクセス ポイントの間を行き交う電波を使用して無線でブロードキャストされます。アクセス ポイントとは、ステーションをネットワークへ接続するイーサネット ネットワーク上の WLAN エンドポイントです。つまり、アクセス ポイントのサービス エリア内の WLAN クライアント デバイスはすべて、アクセス ポイントとの間でデータを送受信できます。 電波は天井、床、および壁を通るため、送信されたデータは、別のフロアまたはアクセス ポイントがある建物の外部にいる意図しない受信者に届いてしまうことがあります。WLAN では、ネットワークの境界が移動します。厳密なセキュリティ基準を設けずに WLAN を導入すると、駐車場を含むあらゆる場所にイーサネット ポートを配置するのと同じことになり兼ねません。 さらに、一部の研究報告や記事では、送信されたデータを暗号化および暗号解除するために使用する WEP 鍵の脆弱性が大きく取り上げられています。侵入者は、WEP 鍵を解読する AirSnort などのツールをいつでも利用できる状態にあります。このようなツールを使うと、攻撃者はデータ パケットを受動的に監視および分析し、その情報を使用してパケットを暗号化した WEP 鍵を解読できます。 ネットワーク管理者は、これらの脆弱性から WLAN を保護するソリューションがあるかどうか、さらに、WLAN が有線 LAN と同レベルのセキュリティ、管理性、スケーラビリティを提供できるかどうかを再確認する必要があります。 WLAN セキュリティを使用する重要性常にすべての侵入を防御する完全に安全なネットワーク環境を保証することはできないのは、有線ネットワークでも無線ネットワークでも同じです。セキュリティ保護は、静的ではなく、動的で継続的なものです。ネットワーク管理者と WLAN メーカーは、常にハッカーの一歩先を行かなければなりせん。 ネットワーク管理者は、常に WLAN セキュリティ機能を有効にする必要があります。 セキュリティの専門家は、企業に対して、脅威を軽減するためにネットワーク全体に複数の防御層を展開することを推奨しています。追加のセキュリティ コンポーネントとしては、ファイアウォール、Intrusion Detection System(IDS; 侵入検知システム)、IPS、および VLAN(仮想 LAN)が挙げられます。さらに、ネットワーク管理者は、ワイヤレス ネットワークを慎重に設計および導入し、実証済みのセキュリティ基準を実装し、ネットワーク セキュリティ分野の専門家によって開発された製品とソフトウェアを使用することでリスクを削減します。ネットワーク セキュリティ分野の業界リーダーであるシスコは、WLAN を実装する場合の最適な選択肢となります。ネットワーク管理者は、高い評価を得ている Cisco Unified Wireless Network のセキュリティ機能を使用して、ネットワークのリスクを軽減するとともに、WLAN セキュリティを強化できます。 WLAN セキュリティ ソリューション他のネットワークと同様に、WLAN セキュリティでもアクセス制御とプライバシーに重点が置かれています。認証とも呼ばれる強固な WLAN アクセス制御は、不正ユーザがアクセス ポイントを使って通信するのを阻止します。WLAN アクセス制御に厳密な基準を設けることで、正規のクライアント ステーションが不正または許可されていないアクセス ポイントではなく、信頼できるアクセス ポイントとのみアソシエーションを行います。 WLAN プライバシーによって、確実に意図した相手だけが送信されたデータを読み取れるようになります。送信された WLAN データのプライバシーは、データの意図した受信者だけが使用できる鍵を使ってそのデータが暗号化された時点で保護されます。データの暗号化により、送受信伝送プロセス全体を通じて改ざんされることなくデータが維持されます。 現在、WLAN を使用している会社は、WLAN アクセス制御とプライバシーを実現するために 4 種類の異なる WLAN セキュリティ ソリューションを採用しています。それらは、オープン アクセス、基本セキュリティ、拡張セキュリティ、およびリモート アクセス セキュリティです。シスコでは、どのセキュリティを展開する場合についても、WLAN セキュリティ ソリューションを選択し実装する前に、ネットワークのリスク評価を実施することを推奨しています。 
図 1 複数のプレナム定格に対応した分散管理型あるいは集中管理型の Cisco Aironet アクセス ポイントを建物またはキャンパス内に配置することで、セキュアで安定したネットワーク リソースへのアクセスが可能になります。Cisco Aironet アクセス ポイントが配置されていれば、シスコ製またはシスコ互換または Wi-Fi 認証済みの WLAN クライアント アダプタを利用しているユーザは、キャンパスのカバーされたエリア内を自由に移動できます。 オープン アクセスCisco Aironet シリーズ製品など Wi-Fi 認定済みの WLAN 製品はすべて、セキュリティ機能が無効になった「オープン アクセス」モードで出荷されます。喫茶店、大学構内、空港、その他の公共の場所などのパブリック ホット スポットでは、オープン アクセス(セキュリティなし)が妥当で好ましい場合もありますが、企業組織では許容できません。エンタープライズ環境に設置されている場合は、ワイヤレス デバイス上でセキュリティが機能している必要があります。前述のとおり、一部の会社では WLAN セキュリティ機能を有効にしていません。このような会社は、ネットワークを深刻な危険にさらしていることになります。 基本セキュリティ:SSID、WEP、および MAC アドレス認証基本セキュリティには、Service Set Identifier(SSID)の使用、オープン認証または共有鍵認証、静的 WEP 鍵、およびオプションの MAC(メディア アクセス制御)認証が含まれます。この組み合わせは基本レベルのアクセス制御とプライバシーを提供しますが、各要素の機能性が損なわれる場合があります。 「SSID」は、WLAN サブシステム内のデバイスに共通するネットワーク名で、サブシステムを論理的に分割するために使用されます。SSID は、SSID を持っていないクライアント デバイスによるアクセスを防ぎます。ただし、デフォルトでは、アクセス ポイントは自身の SSID をビーコンに含めてブロードキャストします。SSID のブロードキャストが無効の場合であっても、侵入者またはハッカーは「スニフィング」と呼ばれる検知されないネットワーク モニタリング技術を使用して SSID を検出することがあります。 802.11 規格(IEEE によって策定された WLAN に関する一連の仕様)は、オープン認証と共有鍵認証の 2 通りのクライアント認証方法をサポートしています。オープン認証は、正しい SSID を提供することとあまり変わりありません。共有鍵認証を使用した場合、アクセス ポイントはクライアント デバイスにチャレンジ テキスト パケットを送信します。その後、クライアントは正しい WEP 鍵を使用してパケットを暗号化し、アクセス ポイントへ返送する必要があります。正しい鍵を使用しないと、認証は失敗し、クライアントとアクセス ポイントのアソシエーションは行われません。ただし、侵入者が、クリアテキストのチャレンジと、同じチャレンジを WEP 鍵を使って暗号化したものの両方を検出できれば、WEP 鍵を解読できてしまうため、共有鍵認証は安全とは言えません。 オープン認証では、クライアントが正常に認証されアクセス ポイントとのアソシエーションが行われた場合でも、WEP を使用すると、クライアントが正しい WEP 鍵を持っていないかぎり、アクセス ポイントに対するデータの送受信は阻止されます。WEP 鍵は 40 ビットまたは 128 ビットのどちらかで、通常は、ネットワーク管理者がアクセス ポイントと、そのアクセス ポイントと通信するすべてのクライアントに静的に定義します。静的な WEP 鍵を使用する場合、ネットワーク管理者は WLAN 内のすべてのデバイスに同じ鍵を入力するという時間のかかる作業を行う必要があります。 静的な WEP 鍵を使用しているデバイスが紛失したり盗難にあった場合、そのデバイスを入手した人物は WLAN にアクセスできます。管理者は盗難が報告されるまで、不正なユーザが WLAN に侵入したことを検出できません。その後、管理者は、紛失したデバイスで使用されていたものと同じ静的な WEP 鍵を使用しているすべてのデバイスで WEP 鍵を変更する必要があります。数百または数千ものユーザを抱える大規模なエンタープライズ WLAN では、この作業は非常に困難です。さらに悪いことに、静的な WEP 鍵が AirSnort などのツールを使って解読されてしまったとしても、管理者には侵入者が鍵を見破ったことを知る手立てがありません。 WLAN ベンダーによっては、クライアントのネットワーク インターフェイス カード(NIC)の物理アドレスである MAC アドレスに基づく認証をサポートしています。つまり、クライアントの MAC アドレスがアクセス ポイントの使用する認証テーブル内のアドレスと一致する場合にだけ、クライアントはそのアクセス ポイントとのアソシエーションが許可されます。ただし、MAC アドレスは偽造される可能性があり、NIC は紛失または盗難の可能性があるため、MAC 認証はセキュリティ対策としては不十分です。 WPA または WPA2 事前共有キーを使用した基本セキュリティ現在使用可能な基本セキュリティの別の形態が、WPA または WPA2 Pre-Shared Key(PSK; 事前共有鍵)です。PSK は、クライアント ステーションとアクセス ポイントの両方で、パスワードまたは識別コードを使用してユーザを確認します。クライアントは、クライアントのパスワードがアクセス ポイントのパスワードと一致する場合にだけ、ネットワークへのアクセス権を取得できます。また、PSK は、TKIP または AES が伝送データ パケットごとに暗号化鍵を生成するための材料を提供します。PSK は静的な WEP よりは安全ですが、PSK がクライアント ステーションに格納され、クライアント ステーションの紛失または盗難があった場合に危険にさらされる可能性がある点では静的 WEP と似ています。文字、数字、英数字以外のキャラクタを混ぜ合わせた強力な PSK パスフレーズの使用が推奨されます。 基本セキュリティのまとめSSID、オープン認証、静的な WEP 鍵、MAC 認証、または WPA/WPA2 PSK を組み合わせた基本 WLAN セキュリティでは、かなり小規模な企業、または WLAN ネットワーク経由では重要なデータのやり取りを行わない企業の場合にしか十分なセキュリティは提供できません。それ以外の組織はすべて、強固なエンタープライズ クラスの WLAN セキュリティ ソリューションに投資する必要があります。 拡張セキュリティ拡張セキュリティは、エンタープライズ クラスのセキュリティが必要なお客様に対して推奨されます。Cisco Unified Wireless Network は、WPA および WPA2 と、その構成要素である 802.1X による相互認証と TKIP または AES 暗号化を完全にサポートする拡張セキュリティ ソリューションです。Cisco Unified Wireless Network には次の機能が含まれます。
Cisco Unified Wireless Network が提供するエンタープライズ クラスのセキュリティについて詳しくは、最後に紹介するドキュメントを参照してください。 リモート アクセス WLAN セキュリティ場合によって、企業にはビジネス アプリケーションを保護するためのエンドツーエンドのセキュリティが必要となることがあります。管理者は、リモート アクセス セキュリティを使用して Virtual Private Network(VPN; 仮想私設網)を設定し、空港、ホテル、コンベンション センターなどのパブリック ホット スポットにいるモバイル ユーザと企業ネットワークとの通信をトンネル化できます。 Cisco Unified Wireless Network などの拡張セキュリティ ソリューションは、大部分のエンタープライズ ネットワークの WLAN セキュリティ要件を満たすだけでなく、さらにそれを上回っています。企業内の WLAN アクセスのために VPN 接続を使用するような WLAN セキュリティは必要ありません。社内 WLAN に VPN を使用する方法には、WLAN パフォーマンスの低下、ローミングの制限、ユーザにとって面倒なログイン プロセスが伴います。拡張セキュリティ ソリューションでは、内部 WLAN の VPN オーバーレイによる追加のオーバーヘッド、制限、費用は発生しません。 Cisco Unified Wireless Network の使用により得られる安心感ネットワーク管理者は、有線 LAN に期待されるレベルと同等のセキュリティ、スケーラビリティ、信頼性、展開と管理の容易さを備えた WLAN を必要としています。セキュリティ ポリシーの監視は、定常的に実行される必要があります。ネットワーク セキュリティ ソリューションは、アクセス ポイントが数千にまで増えたとしても、簡単に展開できるようになっていなければなりません。従業員や悪意をもった侵入者が持ち込んだ認証されていないアクセス ポイントを検出する手段も必要です。 Cisco Unified Wireless Network は、エンタープライズ レベルの標準に準拠したワイヤレス セキュリティ ソリューションをサポートします。これにより、シスコのワイヤレス製品、Cisco Aironet シリーズ、シスコ互換 WLAN 製品、Wi-Fi 認定 WLAN クライアント デバイスを使用してもデータが外部に漏れることなく安全性が維持され、ネットワーク管理者は安心して WLAN を導入できます。エンタープライズ クラスのワイヤレス セキュリティ ソリューションは、有線 LAN で利用可能なセキュリティにほぼ匹敵する強固なワイヤレス セキュリティ サービスを提供します。業界をリードする WLAN セキュリティ サービスを利用すれば、一貫性と信頼性を備えたセキュアなモバイル ネットワーキングが実現できます。また、高度な受動的および能動的な WLAN 攻撃を軽減し、多様なクライアント デバイスを相互運用可能にし、信頼性のあるスケーラブルな中央集中型のセキュリティ管理を提供します。Cisco Unified Wireless Network により、拡張可能で問題のないセキュリティ管理機能を利用して、ネットワーク管理者は、IT スタッフの負担を増やさずに大規模なエンタープライズ WLAN を展開できます。 Cisco Unified Wireless Network には、多くの革新的なシスコの拡張機能が組み込まれているだけでなく、WPA および WPA2 をサポートしており、ユーザ単位あるいはセッション単位での相互認証によるアクセス制御と、強力な動的暗号化によるデータ プライバシーが提供されています。また、Quality of Service(QoS)とモビリティ機能も含まれているので、さまざまなエンタープライズ アプリケーションにも対応できます。 Cisco Unified Wireless Network は、以下の機能をサポートします。
Cisco Unified Wireless Network は、WLAN のセキュリティ、展開、管理およびエンタープライズが直面している問題をコスト効率よく解決することを目的とした、有線および無線の統合ソリューションです。このソリューションは、ワイヤレスおよび有線ネットワークの利点を組み合わせ、拡張性、管理性、および安全性に優れた WLAN を低い TCO(Total Cost of Ownership)で展開できるようにします。このなかには、コア ビジネス アプリケーションへのリアルタイム アクセスを可能にし、エンタープライズ クラスのセキュアな接続性を提供する革新的な RF 機能が含まれます。Cisco Unified Wireless Network は、クライアント デバイスからアクセス ポイント、ネットワーク インフラストラクチャ、ネットワーク管理、高度なワイヤレス サービス インテグレーションの展開、実績あるワールドワイドの 24 時間製品サポートに至るまで、WLAN のすべてのレイヤを取り込んだ、統合エンドツーエンドのソリューションです(図 2)。 
図 2 Cisco Unified Wireless Network WPA および WPA2 サポートCisco Unified Wireless Network では、Wi-Fi アライアンス認定 WPA および WPA2 をサポートしています。WPA は 2003 年に、WPA2 は 2004 年に Wi-Fi アライアンスによって導入された無線 LAN の暗号化方式の規格です。WPA2 に対して Wi-Fi が認定した製品には、WPA Wi-Fi 認定製品との相互運用性が必要とされています。 WPA および WPA2 は、エンドユーザおよびネットワーク管理者に対して、データが保護されていること、ネットワークへのアクセスが認定されたユーザに限定されることを保証します。WPA と WPA2 のどちらも、パーソナル モードとエンタープライズ モードの 2 種類での運用が可能になっており、小規模ネットワークおよび大規模ネットワークの両方の需要に対応します。エンタープライズ モードでは、認証に IEEE 802.1X および EAP の認証を使用します。パーソナル モードでの認証には、PSK を使用します。PSK を認証に使用するため、シスコはビジネスあるいは官公庁への導入にパーソナル モードを推奨していません。PSK では、エンタープライズ環境でのセキュリティ レベルを達成できないからです。 WPA は、最初の IEEE 802.11 セキュリティ実装において判明している WEP の脆弱性をすべて解決し、エンタープライズ環境と SOHO 環境の両方で WLAN のセキュリティ ソリューションを実現します。WPA では、暗号化に TKIP を使用します。 WPA2 は、次世代 Wi-Fi セキュリティです。これは、批准された IEEE 802.11i 標準を Wi-Fi アライアンスに準拠して実装したものです。WPA2 では、National Institute of Standards and Technology(NIST; 米国標準技術局)推奨の AES 暗号化アルゴリズムを採用し、Counter Mode with Cipher Block Chaining Message Authentication Code Protocol(CCMP)使用します。WPA2 は米国政府の FIPS 140-2 コンプライアンスに対応しています。 表 1 WPA と WPA2 の相違点
802.1X 認証および EAP(Extensible Authentication Protocol)IEEE は、有線およびワイヤレス ネットワークの認証標準として 802.1X を採用しています。この規格は、WLAN にクライアントと認証サーバ間の強力な相互認証とともに、WPA エンタープライズ モードおよび WPA2 エンタープライズ モードの両方でサポートされています。さらに、動的なユーザ単位、セッション単位の暗号化鍵を提供することで、静的な暗号化鍵に伴う管理負荷とセキュリティ問題を削減します。 802.1X では、ログオン パスワードなどの認証に使用される証明書がワイヤレス メディアに送信されるとき、必ず暗号化され、クリアテキストで送信されることはありません。また、802.1X での認証はワイヤレス LAN にとって必要な機能を備えています。暗号化については、802.11 WEP 暗号化が攻撃に脆弱であったことから、802.1X に加えて TKIP や AES が必要となっています。 802.1X には複数の認証タイプがあります。どれもクライアントとアクセス ポイント間の通信については同じフレームワークと EAP をベースにしていますが、認証方法はそれぞれ異なります。Cisco Aironet 製品は、他の WLAN 製品よりも多数の 802.1X EAP 認証タイプをサポートしています。Cisco Aironet 製品がサポートしている認証タイプには、Cisco LEAP、EAP-Flexible Authentication via Secure Tunneling(EAP-FAST)、EAP-Transport Layer Security(EAP-TLS)、Protected Extensible Authentication Protocol(PEAP)、EAP-Tunneled TLS(EAP-TTLS)、EAP-Subscriber Identity Module(EAP-SIM)があります。 シスコでは、お客様が 802.1X を展開する上で最適な EAP 認証タイプを選択できるように、事前にネットワークとセキュリティ環境を評価することを推奨しています。EAP タイプを選択する際に評価すべき点は、セキュリティ証明書に使用されるセキュリティ メカニズムのタイプ、ユーザ認証データベース、使用中のクライアントの OS、使用可能なクライアント サプリカント、必要なユーザ ログインのタイプ、および RADIUS サーバまたは AAA サーバです。 どの EAP タイプにも利点と欠点があります。提供されるセキュリティ、EAP タイプの管理性、サポートされる OS、サポートされるクライアント デバイス、クライアント ソフトウェアと認証メッセージングのオーバーヘッド、認証要件、使いやすさ、および WLAN インフラストラクチャ デバイスのサポートといった要因はそれぞれ相反しています。また、特定の認証、クライアント デバイス、またはエンド ユーザのニーズを満たすために、同じネットワークのなかで複数の EAP タイプが使用される場合もあります。 また、802.1X 認証に使用する RADIUS サーバは、Cisco Secure Access Control Server(ACS)、Cisco CNS Access Registrar®、Interlink Networks(AAA RADIUS)などのサードパーティ製 AAA RADIUS サーバから選択できます。 クライアント デバイスの物理属性ではなく、ユーザが提供した証明書に基づいてクライアント ステーションを認証する 802.1X 認証タイプを使用すると、デバイスや WLAN NIC の紛失に伴うリスクを最小限に抑えることができます。そのほかにも、802.1X は、「man-in-the-middle」認証攻撃の軽減、ポリシーベースのキー ローテーションを使用した中央集中型の暗号化鍵管理、「ブルートフォース」攻撃からの保護といった利点を備えています(図 3 を参照)。 
図 3 エンタープライズ クラスのセキュリティを実現する Cisco Unified Wireless Network WLAN ユーザのための中央集中型のポリシー管理 相互認証が正常に完了すると、クライアントと RADIUS サーバはそれぞれ同じ暗号化鍵を取得します。この鍵は、交換されるすべてのデータの暗号化に使用されます。RADIUS サーバは、有線 LAN 上の安全なチャネルを使用してその鍵をアクセス ポイントへ送信します。アクセス ポイントは、その鍵をそのクライアント用として格納します。それにより、ユーザ単位、セッション単位で暗号化鍵を使用でき、RADISU サーバに定義されたポリシーに従ってセッションの長さが決定されます。セッションが期限切れになるか、クライアントがあるアクセス ポイントから別のアクセス ポイントへ移動したときは、再認証が行われ、新しいセッション鍵が生成されます。再認証は、ユーザが気付くことなく実行されます。 暗号化鍵および再認証タイマーと一緒に、VLAN ID および SSID の制限パラメータもアクセス ポイントに渡されます。アクセス ポイントは特定のユーザの VLAN ID 割り当てを受け取ると、そのユーザを指定された VLAN ID に配置します。併せて、許可された SSID のリストも受け取っていれば、ユーザが WLAN にアクセスするための有効な SSID を提供しているかどうかをより確実に判断できます。ユーザが許可された SSID のリストに指定されていない SSID を提供した場合、アクセス ポイントはユーザと WLAN ネットワークとのアソシエーションを解除します。 Cisco Unified Wireless Network では、Cisco Wireless Control System(WCS)のインターフェイスとして、SNMPv3(Simple Network Management Protocol Version 3)、SSH(Secure Shell)プロトコル(セキュア Web)、SSL(セキュア Telnet)をサポートします。さらに、Cisco WCS では、無線経由での管理ができないように設定したり、特定の VLAN に接続された端末以外からは WLAN ネットワークの設定が変更できないようにするための管理 VLAN を設定することができます。 MFP は、WLAN 管理フレームの強力な暗号認証を提供することで、802.11 管理フレーム攻撃を検出して防御します。この機能は、802.11 exploit ツールをより正確に検出します。また、既知の攻撃だけでなく今後の攻撃も含めて、WLAN 管理フレームへの攻撃のすべてに有効です。 ブルートフォース攻撃の軽減 WPA 暗号化 - TKIP(Temporal Key Integrity Protocol)Cisco Unified Wireless Network は、WPA のコンポーネントであり、IEEE 802.11i 標準である TKIP をサポートしています。TKIP は、WEP セキュリティの拡張版です。WEP と同様に Ron's Code 4(RC4)で知られるエンジニア Ron Rivert 氏によって開発された暗号化方式を使用します。ただし、WEP の既知の脆弱性を解消するため、TKIP にはパケット単位のキー ハッシュ、MIC、ブロードキャスト キー ローテーションなどの手法が追加されています。 TKIP は、暗号化に 128 ビット鍵、認証に 64 ビット鍵を使った RC4 ストリーム暗号方式を使用します。データの正式な受信者のみが使用可能な鍵を使ってデータを暗号化することで、不正に受信したユーザにはデータが解読できないようにします。TKIP 暗号化は、1 つのデータ パケットに対して最大 280 兆種類の鍵を生成できます。 Cisco Unified Wireless Network では、Cisco TKIP と WPA TKIP の両方のアルゴリズムを Cisco Aironet 分散管理型アクセス ポイントと、Cisco Aironet およびシスコ互換の WLAN クライアント デバイスで使用できます。Cisco TKIP と WPA TKIP は相互運用はできませんが、複数の VLAN を使用している場合であれば、Cisco Aironet シリーズ 分散管理型アクセス ポイントは Cisco TKIP と WPA TKIP の両方を同時に利用できます。クライアントは両方の TKIP アルゴリズムを同時にはサポートできないため、システム管理者は、企業のクライアント デバイスでどちらの TKIP アルゴリズムをアクティブにするかを選択する必要があります。シスコは、アクセス ポイントとクライアントの両方で WPA TKIP を使用することを推奨します。Cisco Wireless LAN コントローラと Cisco Aironet Lightweight アクセス ポイントは、WPA TKIP のみをサポートしています。 「Weak IV」攻撃を軽減するパケット単位のキー ハッシュ TKIP には、Weak IV 攻撃を軽減するためのキー ハッシュ(パケット単位の鍵付け)が組込まれています。キー ハッシュがアクセス ポイントと、アソシエーションが行われたすべてのクライアント デバイスでサポートされていれば、データの送信者によって IV を使用した基本鍵のハッシュが行われ、パケットごとに新しい鍵を作成できます。キー ハッシュによって各パケットが異なる鍵で暗号化されるため、侵入者は IV を悪用し WEP 鍵を割り出そうとしても予測を立てることができなくなります(図 4 参照)。 
図 4 WPA - 802.1X EAP/TKIP WLAN 設計による攻撃の軽減 能動的なネットワーク攻撃からの MIC(Message Integrity Check)保護MIC を使用すると、傍受したパケットの暗号化に使用された暗号化鍵を割り出すことを目的とした能動的なネットワーク攻撃を阻止できます。この能動的な攻撃はビット反転攻撃とリプレイ攻撃を組み合わせたものです。MIC がアクセス ポイントと、アソシエーションが行われたすべてのクライアント デバイスでサポートされている場合、パケットの送信者はパケットを暗号化し送信する前に、パケットに数バイト(MIC)を追加します。受信者は、パケットを受信すると、それを暗号解除し、MIC をチェックします。フレーム内の MIC と計算された値(MIC 関数から算出)が一致すれば、受信者はそのパケットを受け取り、一致しない場合はパケットを廃棄します。 MIC を使用することで、伝送中に故意に改ざんされたパケットは廃棄されます。Cisco Aironet 製品は MIC に対応しており、改ざんされたパケットを識別し拒否するため、攻撃者がビット反転攻撃や能動的なリプレイ攻撃を使ってもネットワークをだまして攻撃者が認証されることはありません。 ブロードキャスト キー ローテーション 暗号化 - AES(Advanced Encryption Standard)Cisco Unified Wireless Network は機密性と完全性を実現するため、AES 暗号化方式を使用する WPA2 をサポートします。AES は、TKIP および WEP で使用される RC4 暗号化方式に代わる暗号化方式です。AES を解読する方法は見つかっておらず、TKIP および WEP よりも強力な暗号化機能を提供します。AES はきわめて安全な暗号化アルゴリズムで、現在の分析方式で AES 鍵を解読するには 2 の 120 乗の計算が必要となるため、まだ解読に成功していません。 AES はブロック暗号で、暗号化と復号化に同じ鍵を使用する対称鍵暗号の一種であり、ブロックと呼ばれる固定長データ(ビット単位)を使用します。キー ストリームを使用してプレーンテキスト データの入力ストリームを暗号化する WEP と異なり、AES は独自に計算されたプレーンテキストのビット ブロックを暗号化します。AES 標準は 128 ビット長の AES ブロック サイズで、キー長は 128 ビット、192 ビット、および 256 ビットの 3 種類があります。128 ビット キー長は WPA2/802.11i に使用されます。一度の WPA2/802.11i AES 暗号化につき 4 つの段階があります。WPA2/802.11i では、暗号化処理が 10 回繰り返されます。 データの機密性と信頼性を実現するには、AES とともに、Counter-Mode/CBC-MAC(CCM)と呼ばれる新しい暗号生成方法を使用します。CCM では、Counter(CTR)モードの AES によりデータの機密性を実現し、Cipher Block Chaining Message Authentication Code(CBC-MAC)を使用した AES によりデータの整合性を実現します。このような、2 つのモード(CTR および CBC-MAC)で 1 つの鍵を使う「新しい」暗号生成方法は、NIST(Special Publication 800-38C)および標準化コミュニティ(IETF RFC-3610)で認定されています。 CCM では 48 ビットの IV を使用します。TKIP と同様に、AES は WEP 暗号化方式と同じ方法で IV を使用しません。CCM では、IV はリプレイ攻撃を緩和する暗号化および復号化プロセスの入力として使用します。また、IV が 48 ビットに拡張されたことで、IV コリジョンが発生するまでの時間が急激に増加しました。データ保護を強化するためです。 AES では集中演算処理を行うため、AES 暗号化(および復号化)はハードウェア上で行うことを推奨します。シスコのワイヤレス製品は AES 暗号化をハードウェア上で行います。複数のクライアントが同時に AES 暗号化をソフトウェア上で行うと、2.5 GHz Pentium プロセッサ ノート型パソコンが提供するような処理能力を必要とします。多数の関連クライアントの使用中に AES 暗号化および復号化をソフトウェア上で処理するアクセス ポイントでは、特に、強力なプロセッサや大容量の RAM および ROM を持たないアクセス ポイントの場合は、パフォーマンスの低下を引き起こす可能性があります。 WPA および WPA2 の導入シスコでは、WPA2 をサポートするクライアント デバイスには WPA2 を使用することを推奨します。WPA は依然として安全であると考えられており、また TKIP の仕組みはまだ破られていませんが、シスコでは、WPA2 へのできるだけ迅速な移行を推奨しています。WPA2 への移行はアクセス ポイントおよびクライアント デバイスの設定変更を必要とするため、WPA2 の導入は計画的に行い、ネットワークの停止を最小限に抑えるため、多数のクライアント デバイスおよびアクセス ポイントを同時に移行する必要があります。ワイヤレス ネットワークの導入、アップグレード、拡張は、WPA2 へ移行するチャンスです。 WPA や WPA2 への移行を容易にするため、Cisco Aironet Autonomous アクセス ポイントは WPA Migration Mode と WPA2 Mixed Mode をサポートします。WPA Migration Mode はシスコが定義した Autonomous アクセス ポイント設定で、WPA クライアントおよび非 WPA クライアントを同じ SSID を使用するアクセス ポイントに関連付けます。WPA Migration Mode は WEP クライアントの認証をサポートするために安全性が低い可能性があり、一時的な移行にのみ使用するモードです。WPA2 Mixed Mode による運用では、共通の SSID 上で WPA クライアントと WPA2 クライアントの共存を可能にします。WPA2 Mixed Mode は Wi-Fi 認定済みの機能です。WPA2 Mixed Mode は TKIP および AES 暗号化方式を使用しているため、安全性が高いと考えられています。 専用の WLAN クライアント デバイスは、AES を実行したり、AES(および WPA2)にアップグレードしたりすることはできません。そのためシスコでは、企業での WPA の継続的な使用や、これらのデバイス用に必要に応じて WPA を導入することを推奨します。すべてのネットワークで少なくとも WPA を導入する必要があります。 詳細については、『Wi-Fi Protected Access, WPA2 and IEEE 802.11i Q&A』を参照してください。 ネットワーク攻撃からの保護WLAN は、さまざまなネットワーク攻撃のターゲットとなる可能性があります。WPA および WPA2 は、802.1X や EAP タイプ、TKIP あるいは AES を使って、多様なネットワーク攻撃からネットワークを保護します。 
図 5 新たなセキュリティ拡張機能によるネットワーク攻撃の軽減 WLAN における侵入防御システムCisco Unified Wireless Network では、アクセス ポイントは同時にエア モニタおよびデータ フォワーディング デバイスとして機能します。このため、アクセス ポイントは Cisco Wireless LAN コントローラに対する潜在的なセキュリティ上の脅威といったワイヤレス ドメインに関する情報を、サービスを中断することなく、リアルタイムでやり取りできます。セキュリティの脅威はすべて、Cisco Wireless Control System(WCS)で特定され、ネットワーク管理者に迅速に提示されます。Cisco WCS では、厳密な分析および修正処理を行うことができます。 企業で「非 Wi-Fi」ポリシーを使用している場合、スタンドアロン ワイヤレス IPS として Cisco Unified Wireless Network を最初に導入し、そのあとで WLAN データ サービスを追加して再構成することができます。この方法を使用すると、ネットワーク管理者は RF ドメインの周囲に「防御シールド」を構築して、WLAN サービスを導入するまでの間、不正なワイヤレス アクセスを防止することができます。シスコシステムズが提供する WLAN システムは、無線の保護と WLAN サービスの提供を同時に実現する唯一の WLAN システムであり、WLAN の完全な保護が可能であるため、余分な機器や監視デバイスを導入する必要はありません。 Cisco Unified IDS/IPS はシスコ自己防衛型ネットワークの一部であり、業界初の統合型の無線および有線セキュリティ ソリューションです。Cisco Unified IDS/IPS は無線エッジ、有線エッジ、WAN エッジおよびデータセンター経由のセキュリティに対する包括的なアプローチを採用しています。関連付けられているクライアントが Unified Wireless ネットワークを経由して悪意のあるトラフィックを送信すると、シスコのワイヤレス IDS デバイスが攻撃を検出し、Unified WLAN コントローラに対して遮断するよう要求し、クライアント デバイスを隔離します(図 6)。 
図 6 Cisco Unified IDS/IPS が悪意のある攻撃を検出し、WLAN コントローラは有害なクライアント デバイスを隔離する WLAN 環境における NACNAC は、シスコシステムズが主導する業界イニシアティブに基づいて開発されたテクノロジーおよびソリューションの集合です。NAC はネットワーク インフラストラクチャを使用して、ネットワークのコンピューティング リソースにアクセスを試みるすべてのデバイスをセキュリティ ポリシーに適合させ、それによってウイルス、ワーム、スパイウェアなど、セキュリティ上の新たな脅威による被害の拡大を防止します。NAC を使用する場合、ポリシーに適合した信頼できるエンドポイント デバイスだけにネットワーク アクセスを許可し、ポリシーに適合しないデバイスについてはアクセスを制限できます。NAC は、セキュリティ上の脅威に対するネットワークの自動的な識別、防止、適応能力を強化することを目的としたシスコ自己防衛型ネットワーク構想の一部分です。 シスコでは、NAC アプライアンスおよび NAC フレームワークを用意しています。簡単なセキュリティ ポリシー要件しか必要としない組織から、複数のセキュリティ製品によるデスクトップ管理ソリューションとの連携が要求される複雑なセキュリティ ポリシー要件のある組織まで、あらゆる組織の機能上および運用上のニーズに対応できます。 NAC アプライアンスおよび NAC フレームワークは、WLAN クライアントがネットワークにアクセスを試みる時点で、デバイスを強制的にセキュリティ ポリシーに適合させることで、セキュリティ上の脅威から WLAN を保護します。これらのソリューションによって不適合の WLAN クライアントを隔離し、感染修復サービスを提供して、適合性を確保します。これらのソリューションはいずれも Cisco Unified Wireless Network と完全に互換性があります。WLAN における Cisco NAC への対応については、『Cisco Network Admission Control for Wireless LANs Solution Overview』を参照してください。 WAN リンクでのリモート サイトの存続性リモート サイトの存続性は、Cisco Aironet 分散管理型アクセス ポイントによってサポートされます。この機能は、分散管理型アクセス ポイントの IEEE 802.1X ローカル認証サービスによって実現されます。IEEE 802.1X ローカル認証サービスを使用すると、Cisco Aironet 分散管理型アクセス ポイントは、AAA サーバが使用不能な場合にワイヤレス クライアントを認証するローカル認証サーバとして動作するように設定されます。これにより、RADIUS サーバとバックアップ認証サービスを使用しなくても、リモート オフィスやブランチ オフィスの WLAN に対して安全な認証サービスが提供されるため、WAN リンクやサーバでの障害発生時にもファイル サーバやプリンタなどのローカル リソースにアクセスできます。 まとめCisco Unified Wireless Network のセキュリティ機能が正しく設定され有効になっていれば、ネットワーク管理者は、会社のデータの機密が守られ安全に維持されていることを確信できます。このソリューションによって、無線 LAN にも有線 LAN と同等レベルのセキュリティ、拡張性、信頼性、容易な導入、管理性をもたらします。Cisco Unified Wireless Network は、シスコ自己防衛型ネットワークや NAC に統合されており、ネットワーク管理者は、ネットワーク セキュリティを犠牲にすることなく、エンド ユーザに自由とモビリティを提供できます。 Cisco Aironet 製品群は、分散管理型と集中管理型アクセス ポイントの両方をサポートし、既存のネットワークに簡単に統合できます。そのモビリティと柔軟性の高さから、Cisco Aironet は安全なワイヤレス ネットワークの実現に最適なだけでなく、導入も簡単です。展開に関する支援は Cisco Total Implementation Solutions(TIS)を通じて、さらに技術的な運用サポートは Cisco SMARTnet® サポートを通じて、ご利用いただけます。 Cisco Aironet 製品については、http://www.cisco.com/jp/go/wireless/ を参照してください。 シスコのワイヤレス LAN セキュリティについては、http://www.cisco.com/jp/solution/netsol/mobility/lan_sec/ を参照してください。 Cisco Unified Wireless Network については、http://www.cisco.com/jp/go/unifiedwireless/ を参照してください。 シスコの自己防衛型ネットワークについては、http://www.cisco.com/jp/solution/netsol/security/sdn/ を参照してください。 ネットワーク アドミッション コントロールについては、http://www.cisco.com/jp/go/nac/ を参照してください。 Wi-Fi アライアンスの WPA 認定について詳しくは、http://www.wi-fi.com/OpenSection/protected_access_archive.asp を参照してください。 Wi-Fi アライアンスの WPA2 認定について詳しくは、http://www.wi-fi.com/OpenSection/protected_access.asp を参照してください。 |
|||||||||
 |
Cisco Aironet WLAN セキュリティの概要