Guest

サポート

Security: Encryption Manager - Radio0 - 802.11a/b/g

Hierarchical Navigation
Cisco Aironet アクセス ポイント
 
ワイヤレス アプリケーションのオンライン ヘルプ (12.2(15)JA)
エクスプレス セットアップ
エクスプレス セキュリティ
ネットワーク マップ
アソシエーション
ネットワーク インターフェイス
セキュリティ
Encryption Manager
SSID Manager
Server Manager
ローカル RADIUS サーバ
サービス

 

  
セキュリティ: Encryption Manager - Radio0 - 802.11a/b/g
 

デバイスで送信した無線信号を暗号化し、受信した無線信号を復号するには、WEP (Wired Equivalent Privacy) が使用されます。このページでは、アクセス ポイントの認証タイプを選択できます。

-----------------------------------------------------

暗号化モード

クライアントがデバイスと通信する際にデータの暗号化を使用するかどうかを示します。次の 3 つのオプションがあります。

  • [なし] - デバイスは、WEP を使用していないクライアント デバイスのみと通信を行います。

  • [WEP 暗号化] - [オプション] または [強制] を選択します。[オプション] を選択した場合、クライアント デバイスは、WEP の有無にかかわらず、このアクセス ポイントやブリッジと通信を行うことができます。[強制] を選択した場合、クライアント デバイスではアクセス ポイントとの通信時に WEP を使用する必要があります。WEP を使用しないデバイスは通信が許可されません。WEP (Wired Equivalent Privacy) は、802.11 標準暗号化アルゴリズムで、元来は有線 LAN でのプライバシー レベルを設定するために設計されたものです。この標準では、40 ビットまたは 104 ビット のサイズの WEP ベース キーが定義されています。

    • Cisco 対応 TKIP 機能 - Temporal Key Integrity Protocol (TKIP) は、WEP に関係するアルゴリズム スイートで、WEP を稼動するレガシ ハードウェアで最良のセキュリティを達成することを目的に設計されています。TKIP によって WEP に次の 4 つの拡張機能が追加されます。

      1. パケット単位のキー ミキシング機能、これは脆弱鍵攻撃に対抗します。

      2. 新しい IV シーケンス処理の規定、これはリプレイ攻撃を検出します。

      3. 暗号メッセージ完全性チェック (MIC; message integrity check)、これは、ビット フリッピング、パケットの送信元と宛先の改変などの改ざんを検出します。

      4. IV 空間の拡張、これは、実質的に再入力の必要を解消します。

    • MIC の有効化 - MIC は、ビット フリップ攻撃と呼ばれる暗号化パケットに対する攻撃を防止します。ビット フリップ攻撃では、侵入者が暗号化メッセージを横取りして、若干の変更を加えてから再送信し、受信者は再送信されたメッセージを正当のものであると錯覚して受け入れます。MIC が両方のアクセスポイントおよびすべての関連クライアントデバイスに実装されると、パケットのそれぞれに数バイトが追加され、パケットが不正加工されないようにします。MIC を有効にするには、WEP 暗号化を [強制] に設定する必要があります。

    • パケット単位のキーイングの有効化 - EAP authentication により、クライアント デバイスにダイナミック ユニキャストの WEP キーが提供されますが、スタティックなキーが使用されます。ブロードキャストまたはマルチキャストで WEP キーローテーションが有効化されると、アクセス ポイントではダイナミック ブロードキャスト WEP キーが提供され、このキーは、[ブロードキャスト キー変更の頻度] フィールドで選択したインターバルで変更されます。ブロードキャスト キーの循環は、ご使用のワイヤレス LAN で Cisco デバイス以外の無線クライアント デバイスがサポートされる場合、または、Cisco クライアント デバイスの最新ファームウェアにアップグレードできない場合に優れた代替手段です。

  • Cipher - Cipher スイートは、ワイヤレス LAN 上の無線通信を保護するように設計された暗号化と整合性のアルゴリズムのセットです。Wi-Fi Protected Access (WPA)、または Cisco Centralized Key Management (CCKM) を有効にするには、Cipher スイートを使用する必要があります。Cipher スイートでは、認証キー管理の使用が許可された状態で通信が保護されるため、暗号化モードの Cipher コマンドを使用して暗号化を有効にするようにお勧めします。ドロップダウン メニューを使用して、TKIP、CKIP、CMIC、WEP のいずれかを選択します。Cipher スイートでは、TKIP のセキュリティが最も強力で、WEP が最も弱くなります。

    • CKIP- (別名 Cisco Key Integrity Protocol) - 802.11i セキュリティ タスク グループで公開された初期のアルゴリズムを基盤とした Cisco の WEP キー置換技術です。

    • CMIC- (Cisco Message Integrity Check) - CMIC は、偽装攻撃を検出するように設計された Cisco のメッセージ完全性チェック メカニズムです。

----------------------------------------------------------------

VLAN の定義

このリンクをクリックすると、[サービス:VLAN] ページに移動します。このリンクをクリックする前に構成変更が適用されていない場合、これらの変更は失われます。このページでデフォルトの VLAN を設定し、現在の VLAN と ID および情報を割り当てます。たとえば、企業顧客は、さまざまな VLAN を使用して従業員のトラフィックとゲストのトラフィックを分け、さらにこれらのトラフィック グループを優先順位の高いものに分けることができます。さまざまなセキュリティ機能を持つワイヤレス クライアントの送受信トラフィックは、さまざまなセキュリティ ポリシーの VLAN に分けることができます。

暗号化モード

クライアントがデバイスと通信するときにデータ暗号化を使用するかどうかを示します。次の 3 つのオプションがあります。

  • [なし] - デバイスは、WEP を使用していないクライアント デバイスとのみ通信を行います。

  • [WEP 暗号化] - [オプション] か [強制] を選択します。オプションを選択した場合、クライアント デバイスは WEP の有無に関わらず、このアクセス ポイントまたはブリッジと通信を行うことができます。強制を選択した場合は、クライアント デバイスはアクセス ポイントとの通信に WEP を使用する必要があります。WEP を使用していないデバイスは通信できません。WEP (Wired Equivalent Privacy) は、802.11 標準暗号化アルゴリズムで、ワイヤード LAN で経験できるプライバシー レベルを提供するように設計されています。この標準では、40 ビットまたは 104 ビットの WEP ベース キー サイズが定義されています。

  • [Cipher] - Cipher スイートは、ワイヤレス LAN 上の無線通信を保護するように設計された暗号化と整合性のアルゴリズムです。WPA (Wi-Fi Protected Access) または CCKM (Cisco Centralized Key Management) を有効にするには、Cipher スイートを使用する必要があります。Cipher スイートには、認証キーを管理しながら同時に通信を保護する機能があるため、暗号化モードの Cipher コマンドを使用して暗号化することをお勧めします。ドロップダウン メニューを使用して、TKIP、CKIP、CMIC、WEP から選択します。TKIP は最も安全性が高く、WEP は最も安全性が低い Cipher スイートです。

    • [CKIP] (別名 Cisco Key Integrity Protocol) - 802.11i セキュリティ タスク グループに提示された早期のアルゴリズムに基づく Cisco の WEP キー置換技術。

    • [CMIC] (Cisco Message Integrity Check) - CMIC は、偽造攻撃を検出するために設計された Cisco のメッセージ整合性確認メカニズムです。

暗号キー

送信キー

[送信キー] をクリックして、このデバイスが使用する WEP キーを選択してください。一度に 1 つのキーだけを選択できます。設定されたキーはすべて、データの受信に使用できます。

注: 送信キーとして選択するキーは常に、アクセス ポイントやブリッジと関連付けられるクラアイント デバイスの同じキースロットに入力されている必要があります。ただし、そのクラアイント デバイスで送信キーとして選択されている必要はありません。

暗号キー (16 進数) 1 ~ 4

WEP キーをいずれかの [暗号キー] フィールドに入力します。40 ビットの暗号化の場合は 10 桁の 16 進数を入力し、128 ビットの暗号化の場合は 26 桁の 16 進数を入力します。16 進数は、0 ~ 9 の数字、a ~ f までの英小文字、A ~ F までの英大文字から構成される文字列です。WEP キーには、これらの文字を自由に組み合わせて使用できます。WEP キーでは、大文字と小文字が区別されません。

WEP キーは、4 つまで入力できます。送信キーとして選択するキーは常に、アクセス ポイントやブリッジと関連付けられるクラアイント デバイスの同じキースロットに入力されている必要があります。ただし、そのクラアイント デバイスで送信キーとして選択されている必要はありません。

4 つの WEP キーが設定されており、WEP キー 2 が送信キーとして選択されている場合は、クライアント デバイスの WEP キー 2 も同様に設定されている必要があります。クライアント デバイスに WEP キー 4 が設定されていても、送信キーとして選択されていない場合は、アクセス ポイントの WEP キー 4 が設定されている必要はありません。

キー サイズ

各キーに対して、40 ビットまたは 128 ビットの暗号を選択します。

グローバル プロパティ

ブロードキャスト キー ローテーション インターバル

アクセス ポイントが、ランダムな最善のグループ キーを生成し、キー管理対応ステーションをすべて定期的に更新できるようにします。ブロードキャスト キー回転は、スタティックな WEP クライアントでは使用できません。この機能を使用すると、グループ キーが現在アクティブなメンバーにのみプライベートに保たれます。ただし、ネットワークのクライアントのローミング頻度が高い場合は、オーバーヘッドが生じることがあります。

WPA グループ キー更新

適切なチェックボックスを選択して、アクセス ポイントを変更する頻度と WPA が有効になっているクライアント デバイスにグループ キーを配布する頻度を決定します。

Enable Group Key Update on Membership Termination (メンバシップ解約時にグループ キー更新を有効にする) -

認証されているステーションがアクセス ポイントから関連付けを解除すると、新しいグループ キーが生成および配布されます。この機能を使用すると、グループ キーが現在アクティブなメンバーにのみプライベートに保たれます。ただし、ネットワークのクライアントのローミング頻度が高い場合は、オーバーヘッドが生じることがあります。クライアントがアクセス ポイントから頻繁にローミングする場合は、この機能を有効にしないことをお勧めします。

メンバシップの機能変更に対する更新 -

最後の非キー管理 (スタティック WEP) クライアントが関連付けを解除すると、ダイナミック グループ キーの生成と配布が行われ、最初の非キー管理 (スタティック WEP) クライアントが認証すると、スタティックに構成された WEP キーが配布されます。WPA 移行モードでこの機能を使用すると、アクセス ポイントに関連付けられているレガシ クライアントがない場合に、キー管理対応クライアントのセキュリティが大幅に向上します。

 

 

 
   
Copyright (c) 2004-2007 by Cisco Systems, Inc.