証明書サービスを使用してワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ

最終更新日: 2005年5月24日

トピック

はじめに
概念設計
ソリューションの設計条件
ソリューションの論理設計
設計条件を再評価する
要約

はじめに

前の章では、ワイヤレス ローカル エリア ネットワーク (WLAN) をセキュリティ保護するさまざまな方法について紹介し、EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) プロトコルを使用する 802.1X ワイヤレス認証がこのソリューションに採用された理由について説明しました。 この章では、このソリューションのアーキテクチャについて説明します。次にある企業の例から設計条件を用意し、これに基づいて論理設計を導き出します。  この情報は、ソリューションを実装するための基礎として使用できます。 この論理設計は、802.1X WLAN ネットワーク ハードウェア、リモート認証ダイヤルイン ユーザー サービス (RADIUS) 認証、公開キー基盤 (PKI) に基づいています。

章の前提条件

IT インフラストラクチャの設計概念について理解しており、この設計の一部を構成する主要コンポーネントについて知識を有している必要があります。 ここで言う主要コンポーネントとは、WLAN とネットワークのコンポーネント、RADIUS、Active Directory® ディレクトリ サービス、PKI です。 ただし、これらについて高度に専門的な知識は必要ありません。

章の概要

この章の目的は次のとおりです。

  • 802.1X および EAP–TLS プロトコルに基づいた安全な WLAN ソリューションの機能の仕組み、およびこのソリューションの主要コンポーネントについて概要を説明します。

  • 論理設計を行うためのソリューション設計条件、および後に行う詳細な技術的設計の諸段階を明確にします。

  • 以降の章で説明する詳細な設計の基盤となる、一貫性のある論理設計を作成します。

  • 組織の規模に応じてソリューションを拡張する方法を説明します。

  • 提案された設計を拡張するか、またはそれを基にして仮想プライベート ネットワーク (VPN) やワイヤード ネットワーク アクセス制御など他のネットワーク アクセス ソリューションを構築するいくつかの方法について詳述し、提案された設計の PKI コンポーネントをさまざまなセキュリティ アプリケーションの基礎として使用する方法を検証します。

以降の章では、ソリューションの構築と運用を行う準備として、論理設計の主要コンポーネント (WLAN、RADIUS、PKI) それぞれの詳しい設計プロセスを紹介していきます。

ページのトップへ

概念設計

前の章で説明したように、ワイヤレス ネットワーキングには重大なセキュリティ上の脆弱性が多数存在します。 これらの弱点は、IEEE (Institute of Electrical and Electronics Engineers) 802.11 標準で指定されている Wired Equivalent Privacy (WEP) を使用しても、部分的にしか解決できません。 このガイドで提案しているソリューションは、ワイヤレス ネットワーク通信のセキュリティをどのように改善するかという問題に対応するものです。 この問題を解決するためには、ソリューションに次の機能が必要です。

  • 堅牢なワイヤレス クライアント認証。 これには、クライアントの相互認証、ワイヤレス アクセス ポイント (AP)、RADIUS サーバーが含まれます。

  • どのユーザーにワイヤレス ネットワークへのアクセスを許可するかを判断する承認プロセス

  • 承認されたクライアントにのみネットワークへのアクセスが許可されるアクセス制御

  • ワイヤレス ネットワーク トラフィックの強力な暗号化

  • 暗号化キーのセキュリティ保護された管理

  • サービス拒否 (DoS) 攻撃に対する障害許容力  

EAP-TLS などのセキュリティ保護された認証方法と、ネットワーク アクセス制御のための 802.1X プロトコル標準を組み合わせることで、これらの要件のいくつかを満たすことができます。 高度な WEP を使用すると、ネットワーク トラフィックを比較的安全に暗号化することができますが、キー管理機能については十分ではありません。 802.1X および EAP に備わっている WEP 暗号化キーの管理方法は、802.11 ベースの標準よりはるかに安全です。 WiFi Protected Access (WPA) 標準は、特に 802.1X や EAP、それに Temporal Key Integrity Ptorotol (TKIP) と呼ばれるキー管理のための標準化プロトコルなどを始めとして、業界基準のさまざまな標準を集めたものです。 WPA 標準の登場は、WLAN のセキュリティ保護に向けて大きく前進したことを意味しており、ほとんどのアナリストやベンダから支持されています。

注 : WPA に含まれる改善点は、802.11 および 802.1X の双方に存在する DoS に対する脆弱性の一部には対応していません。 DoS に対する脆弱性は、WEP の他の弱点に比べてそれほど重大ではなく、実際に実行されている DoS 攻撃はほとんどすべて、ネットワークの一時的な中断を引き起こすものでしかありません。 ただし、DoS 攻撃の脅威は組織によっては重大な問題です。この問題の解決は、2004 年にリリースされる IEEE 802.11i 標準ではまだ行われないものと考えられます。

現在、WPA のサポートはかなり普及してきてはいますが、WPA をサポートしていない以前のデバイスやシステムも多数が、まだ引き続き使用されています。 このため、このガイドで説明するソリューションは、動的 WEP および WPA の双方で動作するように設計されています。 ほとんどのネットワーク ハードウェア ベンダの製品は、動的 WEP キーおよび WPA を使用する 802.1X をサポートしています。 この章で説明する設計では、2 つのアプローチを同等に扱います。どちらのアプローチを使用しても、設計には大きく影響しません。

次の図に、ソリューション (802.1X EAP-TLS 認証) の概念図を示します。

図 3.1: 802.1X EAP-TLS 認証に基づくソリューションの概念 拡大表示する

この図は、次の 4 つの主要なコンポーネントを表しています。

  • ワイヤレス クライアント。 これは、ネットワーク リソースへのアクセスを必要とするアプリケーションを実行しているコンピュータまたはデバイスです。 クライアントは、ネットワーク トラフィックを暗号化する機能と、資格情報 (キーまたはパスワードなど) を保存し、安全に交換する機能を備えています。

  • ワイヤレス AP。 一般的なネットワーキング用語では "ネットワーク アクセス サービス (NAS)" ですが、ワイヤレスの標準では AP と呼ばれています。 ワイヤレス AP には、ネットワークへのアクセスを許可または拒否するアクセス制御機能が実装され、ワイヤレス トラフィックを暗号化する機能が備わっています。 また、ネットワーク トラフィックをセキュリティ保護するために、暗号化キーをクライアントと安全に共有する機能もあります。 さらに、認証および承認サービスに問い合わせて、承認決定を取得することもできます。

  • 認証サービス (AS)。 このコンポーネントでは、有効なユーザーの資格情報が保存および検証され、アクセス ポリシーに基づいて承認決定が行われます。 また、ネットワークへのクライアント アクセスに関するアカウンティングおよび監査情報も収集できます。 RADIUS サーバーは AS の主要コンポーネントですが、ディレクトリと CA もこの機能の一部を担っています。

  • 内部ネットワーク。 ここは、ネットワーク化されたサービスのセキュリティで保護された領域で、ワイヤレス クライアント アプリケーションはこの領域にアクセスする必要があります。  

上の図に記されている番号は、ネットワーク アクセスのプロセスを表します。次に、これらのプロセスについて順番に詳しく説明します。

  1. ワイヤレス クライアントは、ワイヤレス ネットワークとのアクセスを確立する前に、AS との間に資格情報を確立する必要があります (これには、フロッピー ディスクを交換するなどネットワークを介さない方法、またはワイヤード (有線) などの安全なネットワークを介して行う方法があります)。

  2. ワイヤレス AP の範囲内にある場合、クライアント コンピュータはその AP でアクティブになっている WLAN に接続しようとします。 WLAN の特定にはサービス セット識別子 (SSID) が使用されます。 クライアントは WLAN の SSID を検出し、これを使用して、その WLAN に適した設定と資格情報の種類を判断します。

    ワイヤレス AP は、安全な (802.1X で認証された) 接続のみを許可するように設定されています。 クライアントが AP に接続しようとすると、AP からそのクライアントにチャレンジが発行されます。 次に AP は、クライアントに RADIUS サーバーとの通信のみを許可する制限されたチャネルを設定します。 このチャネルでは、ネットワークの他の部分へのアクセスはブロックされます。 RADIUS サーバーでは、信頼できるワイヤレス AP、または Microsoft インターネット認証サービス (IAS) サーバー上の RADIUS クライアントとして構成され、その RADIUS クライアント用の共有シークレットを提供するワイヤレス AP からの接続のみが許可されます。

    クライアントは、この制限されたチャネル経由で、802.1X を使用して RADIUS サーバーへの認証を試みます。 EAP–TLS ネゴシエーションの一部として、クライアントは RADIUS サーバーとの間に TLS (Transport Layer Security) セッションを確立します。 TLS セッションを使用する目的は次のとおりです。

    • クライアントが RADIUS サーバーを認証できるようになります。つまり、クライアントは、そのクライアントが信頼している証明書を持つサーバーとのみセッションを確立します。

    • クライアントは、その証明書資格情報を RADIUS サーバーに渡すことができるようになります。

    • 認証交換がパケットの盗み見から保護されます。

    • TLS セッションのネゴシエーションでキーが生成され、このキーからクライアントと RADIUS サーバーで共通のマスタ キーが確立されます。 マスタ キーから、WLAN トラフィックの暗号化に使用するキーが生成されます。

    この交換の間、TLS トンネル内のトラフィックはクライアントと RADIUS サーバーにしか表示されず、ワイヤレス AP には公開されません。

  3. RADIUS サーバーは、ディレクトリを参照してクライアントの資格情報を検証します。 クライアントが認証に成功した場合、RADIUS サーバーは、そのクライアントに WLAN の使用を許可するかどうかを判断するための情報を集めます。 ディレクトリからの情報 (グループ メンバシップなど) およびアクセス ポリシーに定義された制約事項 (WLAN へのアクセスが許可される時間など) に基づき、そのクライアントのアクセスを許可または拒否します。 次に RADIUS は、このアクセスに関する決定を AP に中継します。

  4. クライアントのアクセスが許可された場合、RADIUS サーバーはクライアントのマスタ キーをワイヤレス AP に送信します。 この時点で、クライアントと AP は共通のキー情報を共有します。この情報を使用して、両者の間で転送される WLAN トラフィックの暗号化および暗号化解除が行われます。

    動的 WEP を使用してトラフィックを暗号化する場合は、WEP キーを解読する攻撃を阻止するため、マスタ キーを定期的に変更する必要があります。 RADIUS サーバーでは、このため定期的にクライアントの再認証と新しいキー セットの生成が強制的に行われます。

    WPA を使用して通信のセキュリティ保護が行われる場合は、マスタ キーの情報からデータ暗号化キーが生成されます。このデータ暗号化キーは、パケットが送信されるたびに変更されます。 WPA の場合、キーのセキュリティを保護するために頻繁に再認証を強制する必要はありません。

  5. 次に、AP が 内部 LAN へのクライアントの WLAN 接続を確立し、クライアントは、内部ネットワーク上のシステムに無制限にアクセスすることを許可されます。 この時点で、クライアントと AP 間のトラフィックは暗号化されています。

  6. クライアントに IP アドレスが必要な場合は、LAN のサーバーに DHCP (Dynamic Host Configuration Protocol) リースを要求できます。 IP アドレスが割り当てられたら、クライアントはネットワーク上の他のシステムとの間で正常に情報をやり取りできるようになります。

次の図は、以上のプロセスの詳細を示したものです。

図 3.2: 802.1X EAP-TLS のアクセス プロセス 拡大表示する

この図には、個々のコンポーネントが詳細に示されています。 この章の後半のセクションで、再度この図を取り上げてさらに詳しく検討する予定です。 ここでは、AS のサブコンポーネント、つまり証明機関 (CA)、ディレクトリ、RADIUS サーバーに注目してください。 これらのサブコンポーネントは、概念上は比較的単純な一連のタスクを実行しますが、これらの操作を安全性、スケーラビリティ、管理性、および信頼性に優れた方法で実行するためには、高度なインフラストラクチャが必要です。 このために必要な計画上、実装上、および管理上の作業については、大部分がこのガイドの他の章で詳述されています。

ページのトップへ

ソリューションの設計条件

ここまではソリューションの基本概念について説明してきました。次に、このソリューションの主な設計条件について説明します。 この条件は、ソリューションの概念を現実に実装できる設計へと具体化するガイドラインとなります。

設計条件は、このソリューションを実装する組織に共通する必要条件から導き出します。 次のセクションでは、対象となる組織と主な技術的必要条件について説明します。

対象組織

このセクションでの組織の説明は、設計条件の背景を説明することだけを目的としています。 自分の組織にソリューションが適切かどうかを見極める場合は、この章で説明する組織と自分の組織がまったく同じかどうかという点ではなく、設計条件が自分の組織にとって有効かどうかという点に重点を置く必要があります。

このソリューションの対象組織は、ネットワーク インフラストラクチャのコストを最小限に抑え、かつスタッフの可動性と生産性を高めるために、いくつかの拠点で WLAN を展開しているものとします。 組織はセキュリティの必要性を明確に理解しており、IT のセキュリティを高める目的で多数の技術を既に展開しています。 たとえば、ドメイン認証、インターネット ファイアウォール、ウイルス検出プログラム、リモート アクセス、仮想プライベート ネットワーク (VPN) ソリューションなどが展開済みです。 その他の高度なセキュリティ アプリケーション (ファイル暗号化やセキュリティで保護された電子メールなど) を多数使用するための、より長期的な計画もあります。

この組織の論理的かつ物理的なネットワーク レイアウトをわかりやすく図にすると、次のようになります。

図 3.3: 対象組織のネットワークおよび物理レイアウトの概略図
拡大表示する

この図では、大規模な支社と小規模な支社がそれぞれ 1 つずつしか示されていませんが、実際にはそれぞれの規模の支社がいくつも存在します。 わかりやすくするために、図ではサーバーとクライアントが少数しか示されていませんが、実際の組織ではホスト数がこんなに少ないということはありません。

一定の制限内では、対象組織の規模はソリューションの設計条件にそれほど大きな影響を与えません。 小規模な組織の場合、本社のスタッフ数は数百人単位で、支社のスタッフ数は数十人単位と考えられます。 大規模な組織の場合、本社のスタッフ数は数千人単位で、支社のスタッフ数は数百人単位と考えられます。 どちらの組織の場合でも、一般的に支社の数が少なければスタッフの数も少なくなります。

システム要件

このシナリオの対象組織では、一般的に次のような要件に対応する必要があります。

  • 次に挙げるような脅威を排除または阻止するため、WLAN のセキュリティを改善する。

    • 侵入者による WLAN 経由のデータ送信の傍受

    • 侵入者による WLAN 経由のデータ送信の妨害や変更

    • 侵入者やその他の承認されていないユーザーによる WLAN への接続と、内部ネットワークに対するウイルスやその他の敵意のあるコードの侵入

    • (ラジオレベルではなく) ネットワークレベルの DoS 攻撃

    • 侵入者による、インターネット アクセスを目的とした企業 WLAN の利用

  • セキュリティ対策が、ネットワークの利便性の低下やヘルプ デスクに問い合わせが殺到するような事態を招かないようにする。

  • WLAN ソリューションを使用するユーザーが比較的小人数 (全従業員の 10% 未満) の場合でも、ソリューションの展開および維持管理にかかるコストを納得してもらえる程度に低く抑える。

  • さまざまなクライアントやデバイスをサポートできる設計にする。

また、これ以外により一般的な次のような技術的要件が加わります。

  • 単一のコンポーネント障害に対して障害許容力を維持する。

  • 将来、現在の人員の 100% を超える規模まで使用レベルが上がっても対応可能なスケーラビリティを備えさせる。 ユーザーの増員をサポートするコストは最小限に抑えるか、または少なくとも必要となった増員に比例したものである必要があります。

  • 可能な限りコンポーネントを再利用できるようにする。  このソリューションで既存のインフラストラクチャを再利用したり、このソリューションで導入された新しいコンポーネントを今後のプロジェクトで再利用できるようにします。

  • 既存の管理および監視インフラストラクチャで、新しいソリューションに容易に対応できる。

  • 致命的な障害が発生した場合でも回復機能が保持される (バックアップを代替ハードウェアに復元するなど)。

  • 業界標準のプロトコルとフォーマットに準拠している。  現行の標準が存在しない場合、将来の標準に対応できる。

  • 資格情報やキーを保護する堅牢なセキュリティ (定期的な更新など) がソリューションに用意されている。

  • ユーザー登録やネットワークへのクライアント アクセスに関する完全な監査情報が提供される。

ソリューションの設計条件

上に挙げた要件をまとめると、ソリューション設計をサポートする条件は次の表のようになります。

表 3.1: ソリューションの設計条件

設計要素 条件
セキュリティ - ワイヤレス クライアントの堅牢な認証と承認 - 承認されたクライアントにのみネットワークへのアクセスを制限する堅牢なアクセス制御 - ワイヤレス ネットワーク トラフィックの高度な暗号化 - 暗号化キーのセキュリティ保護された管理 - DoS 攻撃に対する障害許容力
スケーラビリティ さまざまな組織の規模に合わせて拡張および縮小できる基本設計
- サポートされる最小ユーザー数と最大ユーザー数 - 500 ~ 15,000 人以上 (WLAN ユーザー) - 500 ~ 15,000 人以上 (証明書ユーザー)
- サポートされるサイトの数 ローカルの認証ドメイン コントローラおよび Microsoft インターネット認証サービス (IAS) を備えた、ワイド エリア ネットワーク (WAN) 障害に対する障害許容力を持つ複数の大規模サイト WAN 障害に対する障害許容力がない複数の小規模サイト
コンポーネントの再利用 (既存のインフラストラクチャの利用) Active Directory、ネットワーク サービス、および Microsoft Windows® XP クライアントの利用
コンポーネントの再利用 (将来のアプリケーションでの利便性) - 認証インフラストラクチャによるその他のネットワーク アクセス アプリケーション (VPN および 802.1X ワイヤード ネットワーク アクセス) のサポート - PKI による幅広い種類のアプリケーション (暗号化ファイル システム (EFS) や VPN など) のサポート
可用性 単一のコンポーネントまたはネットワーク リンク障害に対する障害許容力
拡張性 - 将来の機能や標準 (WLAN 対応の 802.11i、WPA、802.11a など) をサポートする拡張性 - 公開キー証明書の最も一般的な使用形態 (セキュリティで保護された電子メール、スマート カード ログオン、コード署名、Web サービス セキュリティなど) に対応できる、拡張性のある証明書インフラストラクチャ
管理性 既存の企業管理ソリューション (システムやサービスの監視、バックアップ、構成管理など) への統合
IT 組織構造 IT の一元化を推奨 (最低 5 人、通常は 20 ~ 30 人の IT スタッフで IT 部門を構成)
標準への準拠 現行の関連標準への準拠と、今後の関連標準への明確な移行方針
[](#mainsection)[ページのトップへ](#mainsection) ### ソリューションの論理設計 このセクションでは、ソリューションの論理設計と、ソリューションの論理/物理設計について説明します。 具体的には、実際のコンポーネントの仕様や配置について説明しますが、サーバー ハードウェアの仕様などの物理的な設計の詳細については扱いません。 #### 概念設計の検討 ここでは、既に説明した次の図を使用して、設計全体の中でさまざまなコンポーネントがどのように組み合わされるかを検証します。 ![](images/Cc527046.03fig3-4(ja-jp,TechNet.10).gif) **図 3.4: ネットワーク アクセス プロセスの概念図** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-4_big(ja-jp,technet.10).gif) #### 論理設計 先に紹介した図では、WLAN へのアクセスのプロセスをわかりやすくするため、論理コンポーネントを分けて示していました。 こちらの図では、展開と管理を単純化するため、論理コンポーネントのグループ分けを若干変更しています。 コンポーネントをグループ分けすると設計全体をモジュール方式で表示できるため、コンポーネントを最大限再利用できるようになります。 たとえば、PKI コンポーネントは、WLAN ユーザーを認証するだけのために実装できますが、 その場合、他のアプリケーションでの PKI コンポーネントの再利用が制限される可能性があります。 同様に、このソリューションの RADIUS コンポーネントを設計する場合は、将来 RADIUS コンポーネントのサポートが必要になると考えられる他のアプリケーションも考慮に入れる必要があります。 この設計では、IT サービスは次のカテゴリに分けられます。 - WLAN コンポーネント - ワイヤレス クライアントとアクセス ポイント (AP) - RADIUS コンポーネント - PKI コンポーネント - 証明機関 (CA) - インフラストラクチャ サービス コンポーネント 上に挙げた最後のコンポーネントは、ディレクトリと、サポートするネットワーク サービスで構成されています。 このネットワーク サービスは、通常組織で既に導入されている各種 IT サービスから成り立っており、ソリューションは何らかの形でこの IT サービスと相互に連携します。 ![](images/Cc527046.03fig3-5(ja-jp,TechNet.10).gif) **図 3.5: セキュリティ保護された WLAN ソリューションの論理設計** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-5_big(ja-jp,technet.10).gif) ##### 論理/物理レベル 論理/物理レベルでは、これらのコンポーネントを物理サーバーとして実装する方法、コンポーネントをリンクさせる方法、および対象組織の各サイト間にコンポーネントを配布する方法が設計によって示されます。 ただし、次の図で示されているサーバーの数は大まかなものです。 サーバーの数と配置の最終決定については、このガイドの以降の章で説明します。 ###### 本社 次の図は、本社内のサーバー実装を表したものです。 上の 3 つのコンポーネントだけが新しいサーバー、つまり購入する必要があるコンポーネントを表しています。 多くの組織では、インフラストラクチャ サービス コンポーネントが何らかの形で既に存在します。 組織で 802.1X 対応の WLAN 機器が既に導入されている場合は、WLAN コンポーネントも既に存在している可能性があります。 ![](images/Cc527046.03fig3-6(ja-jp,TechNet.10).gif) **図 3.6: 本社のサーバー実装** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-6_big(ja-jp,technet.10).gif) ###### 大規模な支社/営業所 次の図は、大規模な支社の物理レイアウトを表したものです。ローカルのドメイン コントローラがサイトに設置されている点が小規模な支社と異なります。 単一の IAS サーバーが支社に展開されています。 この図では、IAS サーバーは独立したサーバーになっていますが、このサービスはドメイン コントローラで実行することもできます。 **注 :** 本社とつながっている WAN リンクの信頼性が高く (つまり、冗長なネットワーク リンクが存在する)、過度に大きな負荷がかからない場合、大規模な支社は、支社独自の RADIUS サービスではなく本社の RADIUS サービスを使用することができます。 この方法については、「第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する」で詳しく説明しています。 他のすべてのサービス (CA など) は本社から提供されます。 ![](images/Cc527046.03fig3-7(ja-jp,TechNet.10).gif) **図 3.7: 大規模な支社の物理レイアウト** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-7_big(ja-jp,technet.10).gif) ###### 小規模な支社 小規模な支社には、ファイル サーバーやプリンタのような IT インフラストラクチャが存在することはありますが、認証インフラストラクチャは通常存在しません。 このような小規模な支社には WLAN サービスは必要ない、または妥当ではないと考える組織もあります。 一方、一時的な支社として使用する場合に、ネットワーク ケーブルを配線して管理する必要がないことに魅力を感じる組織もあります。 ローカルのドメイン コントローラが設置されていない小規模な支社で WLAN サービスが必要な場合、ローカルのワイヤレス AP は、本社の IAS サーバーおよびドメイン認証インフラストラクチャを利用します。 このような状況における主な問題は、本社との WAN リンクで障害が発生した場合、すべての WLAN 接続が失われるという点です。 この問題は容易に解決できるものではありませんが、コストをかければ、WAN に冗長性を持たせる、ローカルのドメイン コントローラを設置するなどの方法で対応することができます。 小規模な支社で WAN の障害に対応したりローカルのドメイン コントローラを設置するのはコストがかかりすぎるという場合は、WPA 事前共有キー (PSK) モードを使用する独立したワイヤレス AP を展開するという方法もあります。 Wi–Fi 認定のワイヤレス AP はすべて、WPA をサポートしています。 この方法は、静的 WEP よりはるかに安全ですが、関連する管理コストが別にかかります。 ![](images/Cc527046.03fig3-8(ja-jp,TechNet.10).gif) **図 3.8: 小規模な支社の物理レイアウト** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-8_big(ja-jp,technet.10).gif) ##### スケーリング戦略 重要な設計条件の 1 つとして、さまざまな規模に対応できる設計という点が挙げられます。 このソリューションは、さまざまな規模の実装にそれぞれに見合ったコストで適用できる必要があります。 たとえば、ユーザー数が 500 人の実装にかかるコストは、ユーザー数が 5,000 人の場合よりも相対的に低くなります。 また、ソリューションの実装と管理の複雑さも、このようなさまざまな規模に応じた現実的なものでなければなりません。 ###### 大規模組織 次の図は、本社と大規模な支社にいる多数のユーザーに対応した設計を表したものです。 IAS サーバーは、VPN などの他のネットワーク アプリケーションでも使用される可能性があります。 詳細については、この章の「設計を拡張する」を参照してください。 この可能性は、IAS サーバーの正確な数と配置にも影響する場合があります。 次の図で示した追加の IAS サーバーは一例にすぎません。 ソリューションを拡張した場合に必要となる追加のサーバーは、影付きで表示しています。 ![](images/Cc527046.03fig3-9(ja-jp,TechNet.10).gif) **図 3.9: 大規模組織に対応したソリューション** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-9_big(ja-jp,technet.10).gif) ###### 小規模組織 一方、小規模な組織では、比較的少ない数のハードウェアやソフトウェアを追加するだけで、このソリューションを実装できます。 これは主に、既存のドメイン コントローラで IAS サービスを実行することで実現できます。 この構成方法は、マイクロソフトの IAS 製品グループにより広範囲にわたってテスト済みであるため、多くの状況に適応できます。 次の図は、小規模組織用の設計を表したものです。 ![](images/Cc527046.03fig3-10(ja-jp,TechNet.10).gif) **図 3.10: 小規模組織に対応したソリューション** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-10_big(ja-jp,technet.10).gif) この図では、RADIUS コンポーネントは論理上独立したコンポーネントとして示されていますが (前の図のレイアウトと同じにして比較するため)、実際には、既存のドメイン コントローラのサービスとして実装されます。 このタイプのソリューションで必要なサーバーは、ソリューション設計の PKI 領域に配置されている CA だけです。 #### 設計を拡張する このソリューションのもう 1 つの重要な設計条件は、将来さまざまなアプリケーションでコンポーネントを再利用できることです。 RADIUS コンポーネントと PKI コンポーネントはどちらも再利用して、さまざまなアプリケーションに認証およびその他のセキュリティ サービスを提供できます。 ##### その他のネットワーク アクセス サービス このソリューションの RADIUS 設計は、802.1X ワイヤード ネットワーク認証や VPN およびリモート アクセス認証などのその他のネットワーク アクセス サーバーに対して認証、承認、およびアカウンティング サービスを提供できます。 ###### 802.1X ワイヤード ネットワーク認証 基本的な WLAN RADIUS 設計に変更を加える必要のない、最も簡単なアプリケーションは、802.1X ワイヤード認証です。 広く分散されたワイヤード ネットワーク インフラストラクチャを持つ組織では、企業のネットワークの不正利用を管理するのが困難な場合があります。 たとえば、ビジターがラップトップを接続することを禁止したり、従業員が承認されていないコンピュータをネットワークに追加できないようにするのは多くの場合困難です。 データ センターなどネットワークの一部を、セキュリティが強化されているゾーンとして指定することができます。 このようなセキュリティ強化ゾーンでは、企業のコンピュータを使用している従業員であっても、承認されているデバイスでなければ接続が許可されないようにする必要があります。 次の図は、ワイヤード ネットワーク アクセス ソリューションを設計に統合する方法を示したものです。太枠で囲まれた領域は 802.1X ワイヤード コンポーネントを表し、その他の領域は前の図で示した関連サービスを表しています。 ![](images/Cc527046.03fig3-11(ja-jp,TechNet.10).gif) **図 3.11: 802.1X ワイヤード認証の使用** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-11_big(ja-jp,technet.10).gif) 802.1X スイッチを使用するネットワークは、コア ソリューションにおけるワイヤレス AP と同じ役割を果たします。 さらに、同じ RADIUS インフラストラクチャを使用してクライアントを認証し、ネットワーク セグメントに応じてアクセスを選択し、許可します。 このソリューションの場合、企業ディレクトリのアカウント管理を一元化できるという明白な利点がありますが、ネットワーク アクセス ポリシーは従来どおりネットワーク セキュリティ管理者によって管理されます。 ###### VPN およびリモート ダイヤルアップ認証 RADIUS コンポーネントを利用できるその他のネットワーク アクセス サービスとして、VPN とリモート ダイヤルアップがあります。 特に大規模な組織では、RADIUS プロキシの追加など、現状の設計に追加を行わなければならない可能性があります。 次の図は、拡張されたソリューションを示したものです。 ![](images/Cc527046.03fig3-12(ja-jp,TechNet.10).gif) **図 3.12: VPN をサポートするための RADIUS コンポーネントの拡張** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-12_big(ja-jp,technet.10).gif) このソリューションの VPN サーバーは、基本設計のワイヤレス AP と同じ NAS の役割を果たしています。つまり、クライアントの認証要求を RADIUS インフラストラクチャに渡すという役割です。 RADIUS 要求を内部の IAS サーバーに直接渡すことも可能ですが、RADIUS プロキシ レイヤを使って内部の IAS サーバーに要求を転送した方が安全です。 このソリューションを使用すると、既存のインフラストラクチャを利用し、アカウント管理を一元化できるという利点がある一方、アクセス ポリシー制御は従来どおりネットワーク セキュリティ管理者によって監視されます。 その他にも、スマート カードによるユーザー認証の要求などの拡張機能が、ソリューションのセキュリティ全体に追加されます。 マイクロソフトでは、これとよく似た構成を使用して社員が社内ネットワークに安全に接続できるようにしています。 ダイヤルアップ リモート アクセスも同様の方法で機能しますが、VPN の機能ではなく、Windows のルーティングとリモート アクセス サービス (RRAS) のダイヤルアップ サーバー機能を使用します。 このシナリオで RADIUS (具体的には IAS) を使用すると、*検疫*ポリシーを使用できるという利点もあります。 このポリシーは、Microsoft Windows Server 2003 のルーティングとリモート アクセス サービスと Connection Manager (Windows の拡張されたリモート アクセス クライアント) を利用し、クライアント コンピュータのセキュリティの状態に基づいてアクセスを許可または拒否します。 この構成では、ネットワークへの接続時にクライアントが一定の要件を満たしているかどうかが、IAS によって検証されます。 たとえば、クライアントに最新のウイルス対策ソフトウェアがインストールされているか、企業で承認されたオペレーティング システム ビルドを実行しているかなどがチェックされます。 クライアントがこのいずれかのチェックに合格しなかった場合、RADIUS サーバーはこのクライアントがネットワークにアクセスすることを拒否します。 このように、正しく認証されているユーザーやコンピュータであっても、企業のネットワークにセキュリティ上の脅威をもたらす可能性がある場合は、アクセスを拒否されることがあります。 ##### PKI アプリケーション このソリューションでは再利用性と拡張性が重要な条件であるため、PKI コンポーネントは、将来さまざまなセキュリティ アプリケーションに対応できるように設計されています。 したがって、PKI の設計では 2 つの戦略が組み合わされています。1 つは、セキュリティ保護されたワイヤレス ソリューションの一部としてコストや複雑さを最小限に抑えること、もう 1 つは、将来他のアプリケーションの基盤としても使用できる十分な柔軟性を持たせることです (詳細については、次の章で説明します)。 次の図は、セキュリティ保護されたワイヤレス アプリケーションを始めとして、PKI コンポーネントがサポートできるいくつかのアプリケーションを示したものです。 一部のアプリケーションは比較的単純であり、基本設計にほとんど変更を加えずに、このソリューションで作成された PKI を利用できます。 セキュリティで保護された電子メールやスマート カード ログオンなど、もっと複雑なアプリケーションの場合は、PKI の設計を慎重に検討してある程度拡張する必要があります。 ![](images/Cc527046.03fig3-13(ja-jp,TechNet.10).gif) **図 3.13: PKI アプリケーション** [拡大表示する](https://technet.microsoft.com/ja-jp/cc527046.03fig3-13_big(ja-jp,technet.10).gif) [](#mainsection)[ページのトップへ](#mainsection) ### 設計条件を再評価する この章を終了する前に、ソリューションの設計条件をリストにしたものを再検討し、提案された設計が最初に設定した目標にどの程度到達しているかを確認します。 評価する項目については、次にまとめてあります。 ただし、これらの項目の多くは、設計に関する次の章で詳しく説明しています。 - **セキュリティ**。 このソリューションの設計には、堅牢な認証、承認、およびアクセス制御が含まれます。 128 ビットの強力な暗号化はネットワーク ハードウェアの機能ですが、現在利用できるほとんどのデバイスでサポートされています。 暗号化キーを安全に管理するには、Microsoft 802.1X クライアント、802.1X 対応ワイヤレス AP、ワイヤレス ネットワーク カード、および RADIUS サーバーを組み合わせて使用します。 DoS 攻撃に対する障害許容力の実現は、現時点ではまだ検討課題です。現行の業界標準 (802.11i のリリース以前) には、さまざまな DoS 攻撃に対してまだ脆弱性があります。 - **スケーラビリティ**。 基本設計は、百人単位のユーザーから千人単位のユーザーまでさまざまな規模の組織にコスト効率の高い方法で対応します。 また、この設計は、地理およびネットワーク レイアウトという点でも柔軟です。 ローカル ドメイン コントローラを使用していない小規模な支社は、WAN の信頼性に頼るか低レベルのセキュリティ ソリューションを採用します。 - **コンポーネントの再利用 (既存のインフラストラクチャの使用)**。 この設計では、Active Directory、および DHCP (Dynamic Host Configuration Protocol) や DNS (ドメイン ネーム システム) など多数ある既存のネットワーク サービスを利用します。 - **将来のアプリケーションでのコンポーネントの再利用**。 IAS を使用して実装された RADIUS 設計は、他のネットワーク アクセス アプリケーション (VPN、802.1X ワイヤード ネットワーク アクセス、リモート アクセス ダイヤルアップなど) でも使用でき、このようなアプリケーションをサポートするための拡張も容易です。 同様に、PKI は EFS などの単純な公開キー アプリケーションをサポートでき、スマート カード ログオンなどのより複雑なアプリケーションを動作させる基盤にもなります。 この項目は、**拡張性**という設計条件にも対応します。 - **可用性**。 このソリューションの設計には、本社、および RADIUS サーバーが展開可能なすべての支社での単一のコンポーネント障害またはネットワーク リンク障害に対する復元力があります。 ローカルの RADIUS サーバーが設置されていない小規模な支社は、WAN の障害に対して脆弱です。 - **管理性**。 このソリューションを管理する機能は、設計からは明確に確認できませんが、要件については運用フレームワークの設計の中で説明されています。 - **IT 組織構造**。 このタイプのソリューションを展開および管理するには、組織の IT 部門が WLAN についてある程度詳しいことが必要です。 - **標準への準拠**。 このソリューションは、現在公式に認められている業界標準に準拠します。 最も関連のある標準は、WLAN セキュリティの領域に属するものです。この領域のソリューションは、802.1X プロトコル、EAP-TLS、および 128 ビットの動的 WEP または WPA に基づいています。 マイクロソフトは最近、Windows XP で WPA 製品をサポートすることを発表しました。このサポートでは、ネイティブの WLAN セキュリティの最大限利用可能な標準が認可されています。 設計は、WAP または動的 WEP のどちらかをサポートします。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約 この章では、802.1X プロトコルと EAP–TLS の使用を基盤にしたセキュリティ保護されたワイヤレス LAN ネットワーク ソリューションの設計概念について検証しました。 ソリューションの主要コンポーネントについては、アーキテクチャ レベルで説明しました。 また、このソリューションの対象組織の概略について説明し、ソリューションを設計する際に使用する設計条件についても説明しました。 設計条件を適用することで、概念の段階にあったソリューションを論理設計の段階に移行させました。 その過程で、要件や規模がさまざまな組織に対応してソリューションをスケーリングさせるための実装方法と、基本設計を拡張して他のネットワーク アクセス アプリケーションおよびセキュリティ アプリケーションに対応させる方法を検証しました。 最後に、主要な設計条件を、提案された設計の機能と照らし合わせて確認しました。 この条件を確認しておくと、設計ガイドの他の章の内容を理解しやすくなります。 このガイドの次の 3 つの章では、ソリューションの主要なアーキテクチャ コンポーネントである PKI、RADIUS インフラストラクチャ、WLAN セキュリティのそれぞれの設計について、詳しく説明します。 [](#mainsection)[ページのトップへ](#mainsection) ##### 目次 - [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10)) - [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10)) - [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10)) - [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10)) - [第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する](https://technet.microsoft.com/ja-jp/library/798406d6-d739-4d18-879b-9ae061fa320a(v=TechNet.10)) - 第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ - [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10)) - [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10)) - [第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する](https://technet.microsoft.com/ja-jp/library/75fadbd9-af34-4322-96ad-c609aaaa5907(v=TechNet.10)) - [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10)) - [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10)) - [第 8 章 : RADIUS インフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/83bbb839-cc8d-4724-affb-a6ae08237f29(v=TechNet.10)) - [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10)) - [第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/cc527040.aspx) - [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10)) - [第 11 章 : 公開キー基盤を管理する](https://technet.microsoft.com/ja-jp/library/9437df75-a375-40f2-9577-17755eec9545(v=TechNet.10)) - [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10)) - [テスト ガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10)) - [第 13 章 : テスト ガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10)) - [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10)) - [付録 A: Windows のバージョン サポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10)) - [付録 B: スクリプトとサポート ファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10)) - [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10)) - [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037.aspx) [](#mainsection)[ページのトップへ](#mainsection)