エンタープライズ ネットワーク

Cisco LEAP(Lightweight Extensible Authentication Protocol)

Q&A





Cisco LEAP(Lightweight Extensible Authentication Protocol)



このドキュメントでは、シスコシステムズが提供する Extensible Authentication Protocol の一種である Cisco LEAP に関する質問に答えます。

概要


機能と利点


導入


EAP タイプの比較


エンタープライズ アプリケーション


WLAN のセキュリティ


概要

Q: Cisco® LEAP とは何ですか。
A: Cisco LEAP は、ログイン パスワードを共有の秘密情報として使用した、クライアントと RADIUS サーバ間の強力な相互認証をサポートする、ワイヤレス LAN(WLAN)用 801.1X 認証タイプの 1 つです。ユーザ単位およびセッション単位の、動的な暗号キーを提供します。
Return to Top

Q: Cisco LEAP は、Wi-Fi Protected Access(WPA)および Wi-Fi Protected Access 2(WPA2)でサポートされていますか。
A: はい。Cisco LEAP は、他のすべての EAP タイプと同様に、WPA および WPA2 ネットワークでも使用できます。
Return to Top

Q: Cisco LEAP は、シスコの全ワイヤレス製品、Cisco Aironet 製品、および Cisco Compatible クライアント デバイスに組み込まれていますか。
A: はい。Cisco LEAP は、Cisco Aironet Autonomous アクセス ポイント、Cisco Aironet Lightweight アクセス ポイント、Cisco Wireless LAN Controller を含む、シスコの全ワイヤレス製品、Cisco Aironet 製品、および Cisco Compatible クライアント デバイスに標準で組み込まれています。
Return to Top

Q: Cisco LEAP は、標準規格ですか。
A: Cisco LEAP は、標準規格 802.1X フレームワークを利用しています。EAP をサポートするクライアント オペレーティング システムがまったくなかった時期に、シスコは、WLAN 用の Extensible Authentication Protocol(EAP)のサポートを他社に先駆けて導入しました。シスコは、WLAN 認証の全体的なセキュリティを短期間で強化するための手段として、2000 年 12 月に Cisco LEAP を導入しました。
Return to Top

Q: Cisco Unified Wireless Network は、Cisco LEAP をサポートしていますか?

A: はい。Cisco Unified Wireless Network は、Cisco LEAP を含むさまざまな EAP 認証タイプをサポートしています。

Return to Top

Q: Cisco Unified Wireless Network とは何ですか。
A: Cisco Unified Wireless Network は、企業が直面している WLAN のセキュリティ、展開、管理、および制御の問題をコスト効率よく解決する、業界で唯一の有線/無線統合型ソリューションです。この強力なソリューションは、ワイヤレス ネットワーキングと有線ネットワーキングの優れた要素を組み合わせることにより、スケーラブルで、管理しやすく、安全な WLAN を少ない総所有コスト(TCO)で実現します。このソリューションには、基幹ビジネス アプリケーションへのリアルタイム アクセスを実現し、実績のあるエンタープライズクラスの安全な接続を提供する、先進的な RF 機能も含まれています。Cisco Unified Wireless Network は、企業が有線 LAN に対して期待するレベルのセキュリティ、スケーラビリティ、信頼性、展開のしやすさ、および管理性を、ワイヤレス LAN で実現します。

Cisco Unified Wireless Network は、エンタープライズに対応した、標準ベースのワイヤレス セキュリティ ソリューションです。このソリューションにより、ネットワーク管理者は、シスコ ワイヤレス関連製品、Cisco Aironet シリーズ製品、Cisco Compatible Extensions 製品、または Wi-Fi 認定 WLAN クライアント デバイスを使用するときに、データのプライバシーとセキュリティを確実に維持できます。このエンタープライズクラスのワイヤレス セキュリティ ソリューションは、有線 LAN のセキュリティとほぼ同レベルの強力なワイヤレス LAN セキュリティをサポートします。業界をリードする WLAN セキュリティ サービスを提供することにより、一貫性、信頼性、および安全性の高いモバイル ネットワーキングのニーズが満たされます。Cisco Unified Wireless Network は、巧妙なパッシブ/アクティブ WLAN 攻撃を軽減し、さまざまなクライアント デバイスと相互運用でき、信頼性が高く、スケーラブルで、集中管理されたセキュリティ環境を実現します。Cisco Unified Wireless Network を使用することにより、ネットワーク管理者は、IT スタッフの負担を増やさない、スケーラブルで、問題のないセキュリティ管理に基づく、大規模なエンタープライズ WLAN を展開できます。
Return to Top

機能と利点

Q: Cisco LEAP のセキュリティ上の利点は何ですか。
A: Cisco LEAP は、他のバックエンド ディレクトリ(Windows NT、Windows Active Directory、および Open Database Connectivity [ODBC])に対する拡張認証サポート、または Cisco Secure Access Control Server(ACS)や Cisco Network Registrar® などの Cisco LEAP に対応した RADIUS プロキシ サーバに対する拡張認証サポートを通じて、802.11 ワイヤレス セキュリティの主な制約を克服しています。
Return to Top

Q: エンタープライズにとっての Cisco LEAP の利点は何ですか。
A: Cisco LEAP は、今日最も広く導入され、市場での評価が高い Cisco Unified Wireless Network コンポーネントです。シスコ、Cisco Compatible Extensions パートナー、およびクライアント デバイスとネットワーク インターフェイス カード(NIC)のメーカーが提供する Application-Specific Device(ASD; 特定用途向けデバイス)を含む、数多くのクライアント アダプタ タイプで利用できます。Cisco LEAP には次のような特徴があります。
  • Windows NT/2000 Active Directory を使用した、既存のユーザ名とパスワードによる真のシングル ログイン
  • IT 管理者は、コストを抑えながら簡単に導入および管理が可能
  • 信頼性が高く、スケーラブルで、集中管理されたセキュリティ管理
  • 高パフォーマンスで、アップグレード可能な、エンタープライズクラスのセキュリティ
  • Temporal Key Integrity Protocol(TKIP)または Advanced Encryption Standard(AES)との組み合わせによる動的なプライバシー保護
Return to Top

導入

Q: Cisco LEAP の認証は、どのように行われますか。
A: ワイヤレス クライアントは RADIUS サーバによって認証される必要があり、認証が完了するまでは EAP トラフィックの送信しか行うことができません。エンドユーザがログインすると、クライアントと RADIUS サーバの間で相互認証が行われます。クライアントと RADIUS サーバ間の相互認証時に、動的暗号キーが生成されます。RADIUS サーバは、セキュア チャネルをとおして、動的暗号キーをアクセス ポイントに送信します。アクセス ポイントで暗号キーが受信されると、認証済みのクライアントについて、アクセス ポイントでの通常のネットワーク トラフィック転送が可能となります。認証に使用されるクレデンシャル(ログイン パスワードなど)がワイヤレス メディアを経由して送信されるときは、必ず暗号化されます。クライアントがログオフすると、アクセス ポイント内のクライアント アソシエーション エントリは非認証モードに戻ります。
Return to Top

Q: Cisco LEAP がサポートしているクライアント オペレーティング システムを教えてください。
A: Cisco LEAP は、Microsoft Windows、Mac OS、Linux、DOS、Windows CE などの数多くのクライアント オペレーティング システムをサポートしています。
Return to Top

Q: Cisco LEAP がサポートしている RADIUS サーバとユーザ データベースを教えてください。
A: Cisco LEAP がサポートしている RADIUS サーバとユーザ データベースは、Cisco Secure ACS、Cisco Network Registrar、Funk Odyssey Server、Funk Steel-Belted、および、Interlink Networks サーバ コードを使用する製品(LeapPoint アプライアンスなど)です。
Return to Top

Q: Cisco LEAP がサポートしているシスコのワイヤレス デバイスを教えてください。
A: Cisco LEAP は、Cisco Aironet Autonomous アクセス ポイント、Cisco Aironet Lightweight アクセス ポイント、Cisco ワイヤレス LAN コントローラ、ワークグループ ブリッジ、ワイヤレス ブリッジ、リピータを含む複数のシスコ ワイヤレス製品と、数多くのシスコ WLAN クライアント デバイスおよび Cisco Compatible WLAN クライアント デバイスをサポートしています。
Return to Top

Q: シスコ以外のベンダーのワイヤレス クライアントでも Cisco LEAP 認証を利用できますか。
A: はい。Cisco Compatible Extensions 製品で Cisco LEAP 認証を利用できます。
Return to Top

Q: Cisco LEAP の導入に関するさらに詳しい情報はどこで入手できますか。
A: Cisco LEAP の詳しい導入方法については、「導入ガイド:Cisco Wireless Security Suite の設定」を参照してください。
Return to Top

EAP タイプの比較

Q: Protected EAP(PEAP)EAP-Flexible Authentication via Secure Tunneling(EAP-FAST)、Cisco LEAP、および EAP-Transport Layer Security(EAP-TLS)の相違点を教えてください。
A: 表 1 に、PEAP、EAP-FAST、Cisco LEAP、および EAP-TLS の相違点を示します。

表 1 PEAP、EAP-FAST、Cisco LEAP、EAP-TLS の比較表

  PEAP - Generic Token Card(GTC)を使用 PEAP - Microsoft Challenge Authentication Protocol(MS-CHAP)Version 2 を使用 EAP-FAST Cisco LEAP EAP-TLS
ユーザ認証用のデータベースおよびサーバ One Time Password(OTP; ワンタイム パスワード)、Lightweight Directory Access Protocol(LDAP)、Novell NDS、Windows NT ドメイン、Active Directory Windows NT ドメイン、Active Directory Windows NT ドメイン、Active Directory、LDAP(制約あり) Windows NT ドメイン、Active Directory OTP、LDAP、Novell NDS、Windows NT ドメイン、Active Directory
サーバ証明書の必要性 あり あり なし なし あり
クライアント証明書の必要性 なし なし なし なし あり
オペレーティング システムのサポート ドライバ:Windows XP、Windows 2000、Windows CE*
サードパーティ製ユーティリティを使用した場合:その他の OS**
ドライバ:Windows XP、Windows 2000、Windows CE
サードパーティ製ユーティリティを使用した場合:その他の OS**
ドライバ:Windows XP、Windows 2000、Windows CE***
サードパーティ製ユーティリティを使用した場合:その他の OS**
ドライバ:Windows 98、Windows 2000、Windows NT、Windows Me、Windows XP、Mac OS、Linux、Windows CE、DOS ドライバ:Windows XP、Windows 2000、Windows CE
サードパーティ製ユーティリティを使用した場合:その他の OS
ASD のサポート なし なし あり あり なし
使用するクレデンシャル クライアント:Windows、NDS、LDAP
パスワード:OTP またはトークン
サーバ:デジタル証明書
Windows パスワード Windows パスワード、LDAP のユーザ ID/パスワード(PAC プロビジョニングには手動プロビジョニングが必要) Windows パスワード**** デジタル証明書
Windows ログインを使用したシングル サインオン なし あり あり あり あり
パスワードの有効期限および変更 なし あり あり なし パスワードの有効期限および変更
高速セキュア ローミング対応 なし なし あり あり なし
WPA および WPA2 対応 あり あり あり あり あり


* PEAP/GTC は、Cisco Compatible Version 2 クライアント以降でサポートされます。
** Meetinghouse および Funk のサプリカントでは、さらに多くのオペレーティング システムがサポートされます。
*** Cisco Aironet 350 シリーズ WLAN クライアント デバイスおよび Cisco Aironet 5 GHz 54 Mbps ワイヤレス LAN クライアント アダプタ(CB20A)は、Windows XP、Windows 2000、および Windows CE オペレーティング システム上で EAP-FAST をサポートします。
**** 強力なパスワードが必要です。詳細については、「Cisco LEAP に対する辞書攻撃へのシスコの対応」(英語)を参照してください。

Return to Top

エンタープライズ アプリケーション

Q: Cisco LEAP は、高速セキュア ローミングをサポートしますか。
A: はい。シスコ クライアント デバイスおよび Cisco Compatible クライアント デバイスの使用時、Cisco Aironet Series アクセス ポイントで高速セキュア ローミングがサポートされます。高速セキュア ローミングでは、認証済みのクライアント デバイスが、再アソシエーション時の遅延を感じることなく、アクセス ポイント間を安全にローミングできます。高速セキュア ローミングは、ワイヤレス Voice over IP(VoIP)、エンタープライズ リソース プランニング(ERP)、Citrix ベースのソリューションなど、遅延の影響を受けやすいアプリケーションをサポートします。
Return to Top

Q: Cisco LEAP は、WAN リンク リモート サイトの存続可能性をサポートしますか。
A: はい。Cisco LEAP は、リモート サイトの存続可能性とも呼ばれる IEEE 802.1X ローカル認証サービスをサポートします。この機能は、Cisco Aironet Autonomous アクセス ポイントの IEEE 802.1X ローカル認証サービスによって実現されます。IEEE 802.1X ローカル認証サービスでは、Cisco Aironet Autonomous アクセス ポイントがローカル認証サーバとして動作するように設定され、認証、認可、アカウンティング(AAA)サーバが利用できないときにワイヤレス クライアントの認証を行います。これにより、RADIUS サーバがなくてもリモート WLAN やブランチオフィス WLAN で安全な認証サービスを提供したり、WAN リンクやサーバでの障害発生時にファイル サーバやプリンタなどのローカル リソースにアクセスできるようにするためのバックアップ認証サービスを提供したりできます。
Return to Top

WLAN のセキュリティ

Q: WLAN の導入に関するさらに詳しい情報はどこで入手できますか。
A: 安全な WLAN の詳しい導入方法については、次のドキュメントを参照してください。
Return to Top

Q: WLAN のセキュリティに関するさらに詳しい情報はどこで入手できますか。
A: WLAN のセキュリティについては、「シスコ Aironet WLAN のセキュリティの概要」を参照してください。
Return to Top

Q: Cisco LEAP に対する辞書攻撃のさらに詳しい情報はどこで入手できますか。
A: Cisco LEAP に対する辞書攻撃については、「Cisco LEAP に対する辞書攻撃へのシスコの対応」(英語)を参照してください。
Return to Top

関連情報

シスコ ワイヤレス セキュリティの詳細については、http://www.cisco.com/web/JP/solution/netsol/mobility/lan_sec/index.html を参照してください。

Cisco Unified Wireless Network の詳細については、http://www.cisco.com/jp/go/unifiedwireless/ を参照してください。

Cisco Aironet 製品の詳細については、http://www.cisco.com/jp/go/aironet/ を参照してください。

Cisco Secure ACS の詳細については、http://www.cisco.com/jp/go/acs/ を参照してください。

Cisco CNS Access Registrar の詳細については、http://www.cisco.com/web/JP/product/hs/netmgt/accreg/index.html を参照してください。

EAP-FAST の詳細については、http://www.cisco.com/web/JP/solution/netsol/mobility/literature/prod_qas09186a00802030dc.html を参照してください。

PEAP の詳細については、http://www.cisco.com/web/JP/solution/netsol/mobility/literature/prod_qas0900aecd801764fa.html を参照してください。

802.11i、WPA、および WPA2 の詳細については、http://www.cisco.com/web/JP/solution/netsol/mobility/literature/prod_qas0900aecd801e3e59.html を参照してください。

Return to Top