PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
第 1 章: PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
公開日: 2004年9月7日
トピック
はじめに
ソリューションの概要
表記規則
サポートとフィードバック
はじめに
ビジネスの世界では、今日、ワイヤレス テクノロジは話題の的になっています。ほとんどの組織でワイヤレス ローカル エリア ネットワーク (WLAN) を既に展開しており、またワイヤレス テクノロジの賛否に関する議論を行っています。ユーザーが生産性の向上を実感できること、そしてネットワーキング保守を軽減できるという情報技術 (IT) 部署にとっての利点は否めませんが、セキュリティ上の懸念事項が深刻なものだけに、組織への WLAN の導入については、IT 部署の幹部の大半が反論することはなくとも、慎重な対応をしています。これと同時に、これらの懸念事項に対処するためにアナリストおよびネットワーク ベンダによってソリューションが提案されてきましたが、複雑すぎるうえに実装にかかるコストが高いものでした。
「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」は、マイクロソフトの第 2 の WLAN 対応セキュリティ ソリューションで、第 1 のソリューション「**ワイヤレス LAN のセキュリティ強化 (Windowos Server 2003 証明書サービス)」に付随しています。大規模組織を対象にした第 1 のソリューションに対し、第 2 のソリューションは実装が大幅に簡素化、容易化されており、中小規模の組織向けの設計になっています。2 つのソリューションの技術上の主な相違点は、第 1 のソリューションではユーザーおよびコンピュータを WLAN に対して認証する際に公開キー証明書を使用するのに対し、第 2 のソリューションではユーザー名およびパスワード認証を使用することです。このソリューションの特徴には、この他にも、サーバー ハードウェアは新しいものではなく既存のものを使用すること、よりシンプルな管理委任モデルが採用されていること、スクリプトおよび事前定義済みの設定を使ってさらに多くの構成タスクが自動化されるようになったことが挙げられます。
このソリューションのドキュメントは、Microsoft Windows® オペレーティング システムの一般的な製品マニュアルおよびマイクロソフトから入手可能な技術的なホワイト ペーパーの多くとは異なる、2 つの重要な特徴を備えています。第 1 の特徴は、ガイドの **"規範的な" 性質です。ソリューションの設計は選択可能であり、この選択基準は、マイクロソフト内での実装およびマイクロソフトに寄せられた顧客フィードバックから得られた知識でした。ソリューションは、これらのベスト プラクティスを基に構築されており、またこのソリューションは目的どおりに機能することがマイクロソフトのラボでテストされています。第 2 の特徴は、ソリューションの設計および計画、構築、テストおよび管理の全ライフサイクルを包括した **"エンドツーエンド" のソリューションであることです。
以降の章で詳しく説明しますが、ソリューションは IEEE (Institute of Electrical and Electronic Engineers) 802.1X 標準をベースにしており、リモート認証ダイヤルイン ユーザー サービス (RADIUS) インフラストラクチャを必要とします。ソリューションに使用されているアーキテクチャは、ユーザー数が 20 ~ 30 のみに限られた組織を始め、数千ものユーザーを有する組織に至るまで、広範な組織に適用可能な、柔軟なものです。ソリューションの構築およびテストには、Microsoft Windows XP クライアント、Microsoft Pocket PC 2003 クライアント、および Microsoft Windows Server 2003 サーバーが使用されています。
ソリューションの概要
このガイドは、4 つのセクションに分かれており、各セクションはソリューションのライフ サイクル内の各フェーズ (計画フェーズ、実装フェーズ、テスト フェーズおよび運用フェーズ) に対応しています。これらのフェーズはさらに各章に分かれています。
.gif)
図 1.1 ソリューションの概要: PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
拡大表示する
.gif){kind=link}
計画セクションは、「はじめに: ワイヤレス LAN のセキュリティに対応した戦略を選択する」および「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で構成されています。構築および展開セクションは以降の 4 つの章で構成され、これらの章には Windows Server 2003 インターネット認証サービス (IAS) を使った RADIUS サーバーの実装、およびワイヤレス クライアントと補助インフラストラクチャの実装について説明されています。各章には、ソフトウェア コンポーネントをインストールして設定し、ソリューションに統合する手順が詳述されています。また、各章には、エラーを最小限に抑えるのに役立つ検証手順も記載されています。
テスト セクションは単独の章となっており、この章ではソリューションを展開する前に、このソリューションが正しく機能することを確認する方法が解説されています。運用セクションも単独の章となっており、ソリューションの全コンポーネントの運用、監視、変更、およびトラブルシューティング方法が解説されています。
このガイドに付随する一連のツールおよびスクリプトは、実装タスクおよび運用タスクの多くを自動化する目的で使用されています。
各章については、次のセクションでさらに詳しく説明します。
ワイヤレス LAN のセキュリティに対応した戦略を選択する
このドキュメントは、前述の 2 つの WLAN セキュリティ ソリューションに対する導入としての役目を果たすもので、ワイヤレス ネットワークのセキュリティ インフラストラクチャに最適な方策を選択するうえで役立つことを目的としています。WLAN テクノロジの採用を推奨するビジネス上の理由、およびそれにかかわるセキュリティ上の懸念事項について説明しています。これらのセキュリティ上の懸念事項への対処に有効な選択肢を取り上げ、強力な認証およびネットワーク データ保護に基づくソリューションについて概説します。また、ネイティブ WLAN セキュリティ ソリューション、仮想プライベート ネットワーク (VPN)、IP セキュリティなど、WLAN のセキュリティ保護のためのさまざまなアプローチに関する相対的な利点についての考察も含みます。
第 1 章: PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
第 1 章 (現在の章) では、ソリューションのガイド内容の概要を説明します。
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する
この章では、ワイヤレス LAN のセキュリティ ソリューションのアーキテクチャ設計について説明します。次のトピックを取り上げています。
802.1X、および保護された拡張認証プロトコル (PEAP) をベースとした WLAN ソリューションのしくみ
このソリューションのターゲットとなる組織、およびソリューションの重要な設計基準についての解説
ターゲットとなる組織の要件に基づく、WLAN セキュリティ ソリューション設計の開発
この基本設計をより大規模な組織向けに拡張する方法についての解説
コア ソリューション外の要件 (たとえば、VPN やワイヤード 802.1X ネットワーキングの導入) に適合した設計のバリエーションについての考察
この章では、強力な認証および重要な管理サービスを提供する RADIUS インフラストラクチャの設計 (IAS の使用、Windows Server に組み込まれた RADIUS の実装を含む) に焦点を当てています。この章には、ソリューションによりサポートされたワイヤレス クライアント、および証明書の要件についての解説も含まれています。
第 3 章: 環境を準備する
この章では、この WLAN ソリューションのサポートに必要な基盤の情報技術 (IT) インフラストラクチャに焦点を当てています。Microsoft Active Directory® アクティブ ディレクトリの準備、動的ホスト構成プロトコル (DHCP)、ドメイン ネーム システム (DNS) サービス、および基本的なネットワーク要件について解説しています。セキュリティ設定の適用手順、およびソリューションで使用されるサーバーに必要なセキュリティ アップデートのインストール手順も含まれています。
第 4 章: ネットワーク証明機関を構築する
この章では、IAS サーバー用の証明書を提供するシンプルな証明機関 (CA) をドメイン コントローラ上にインストールする方法について説明しています。このインストール手順の大部分は、ガイドに付属のスクリプトを使用すると自動化されます。このソリューション用に構築された CA は、IAS サーバーに証明書を発行する特定タスクに特化しており、継続的なメンテナンスをほとんどまたはまったく必要としません。
第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する
この章では、WLAN セキュリティ コンポーネント、IAS サーバー、およびワイヤレス アクセス ポイント (AP) の配置方法について解説しています。ドメイン コントローラ (またはメンバ サーバー) へ IAS をインストールして IAS 設定値およびポリシーを構成し、また IAS サーバーを使用するようにワイヤレス AP をセットアップし、IAS サーバー間で IAS 設定値を複製するまでの、ステップ バイ ステップのガイダンスも含まれています。
第 6 章: ワイヤレス LAN クライアントを構成する
この章には、ソリューションでサポートされているクライアント設定の手順が含まれています。この章の 3 つの主要セクションは、WLAN に対するユーザーおよびコンピュータのアクセス制御、Windows XP WLAN クライアント用グループ ポリシー設定値の構成、および Pocket PC 2003 クライアント用の WLAN 設定値の手動構成に焦点を当てています。
第 7 章: セキュリティ保護されたワイヤレス LAN ソリューションをテストする
この章は、このソリューションのテストの際にマイクロソフト チームが使用したテスト計画に由来します。構築に関する章 (第 3 章~第 6 章) には、処理が正確に行われていることを検証するために構築プロセス全体で使用された通常の検証手順が記載されています。この章では、これらの検証手順に加え、実運用環境にソリューションを展開する前に実行しておく必要のある一連の特別なテストで補完されています。
第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する
この章は、WLAN セキュリティ インフラストラクチャの正常稼働の維持に焦点を当てています。この章の最初の部分には、システム保守に必要な重要な運用タスクが含まれています。これらの運用タスクは、日常の保守タスク、監視と警告、環境への変更の導入、パフォーマンスの最適化、および問題の解決について扱った別個のカテゴリに分かれています。最後のトラブルシューティング セクションには、トラブルシューティングに関する一連のフローチャート、表、および手順のほか、問題の診断および修正に役立つ多数のトラブルシューティング ツールおよびテクニックに関する詳述が含まれています。
付録
付録 A: エンタープライズで PEAP を使用する
このソリューションは、中小企業向けに設計されたものです。このソリューションの対となるのが、前述の証明書ベースの WLAN ソリューションです。これは企業レベルの組織向けの設計になっていますが、パスワードと PEAP を使った WLAN ソリューションであれば大規模な組織でも利用できます。
この付録では、証明書ベースの WLAN ソリューションで、パスワードと PEAP に基づく WLAN ソリューションを展開できるようにエンタープライズ指向のガイダンスを適合させる方法を示しています。
付録 B: ソリューションで WPA を使用する
この付録には、WPA (WiFi Protected Access) のセキュリティ サポート状況、および動的 WEP (Wired Equivalent Privacy) によるデータ保護の代わりに WPA を使用する方法についての情報が提供されています。このソリューションは、WPA をサポートするように設計されており、WPA についてガイド全体を通じて言及しています。ただし、このソリューションの開発時には、WPA のサポートが普遍的なものでなかったため、WPA は既定のオプションとしては使用されていませんでした。
付録 C: サポートされるオペレーティング システムのバージョン
この付録は、ワイヤレス クライアント用、およびこのソリューションの各種サーバー ロール用にサポートされているオペレーティング システムのバージョンを示した表から構成されています。この表は、別バージョンの Windows および他のプラットフォームをソリューションの各種ロールに使えるかどうかという問いに対する回答を示します。
付録 D: スクリプトとサポート ファイル
実装および運用の章の手順では、スクリプトおよびその他のサポート ファイルがいくつか使用されます。この付録では、スクリプト、およびその働きについて説明しています。この情報は、スクリプトに含まれている SecuringWirelessLANs.rtf ファイルの中にも記載されています。
表記規則
次の表は、このガイドで使用されている表記規則の説明です。
表 1.1: 表記規則
| 要素 | 意味 |
|---|---|
| 太字フォント/二重引用符("") | コマンドやスイッチなど、そのまま入力される文字。語句を強調する場合も、太字または二重引用符 ("") で表記されます。 |
| 斜体フォント | 斜体フォントは、次の 2 つの特殊なコンテキストの中で使用されています。 — テキスト本文の中に使用されている斜体フォントは、英語の別のドキュメントのタイトルを示します。 — コマンドまたはコード (またはコマンドまたはコードを引用するテキスト) の中に使用されている斜体フォントは、特定の値が指定される変数のプレースホルダを示します。たとえば、Filename.ext と表記されている場合、これは適切なファイル名で置き換える必要がある部分であることを示します。 また、通常のテキストを強調するために斜体フォントが使用される場合もあります。 |
| スクリーン テキスト | 画面上に表示されるテキスト (たとえば、コマンドライン ツールからの出力) や、コマンド ラインに入力する必要のあるコマンドです。 コマンドによっては、ページの中に収まらない場合があります。この場合、コマンド テキストを折り返して複数の行で示し、後続の行を字下げします (この場合は、コマンドの後ろに注釈を付けてあります)。 |
| Monospace フォント | コード サンプルおよび構成ファイルの内容。 |
| %SystemRoot% | Windows Server オペレーティング システムのインストール先フォルダ。 |
| 注: | 読者に補足情報を示します。 |
| 重要: | タスクの達成に不可欠な補足情報を読者に示します。 |
| 注意 | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にデータを失う可能性があることを読者に警告します。 |
| 警告 | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にユーザーやハードウェアに物理的な害が及ぶ可能性があることを読者に警告します。 |