証明書サービスを使用してワイヤレス LAN のセキュリティを保護する
付録 D: WPA のサポート
最終更新日: 2005年5月24日
はじめに
「証明書サービスを使用してワイヤレス LAN をセキュリティで保護する」ソリューションは設計上、ワイヤレス LAN (WLAN) 用の Wi-Fi Protected Access (WPA) セキュリティと互換性があります。 WPA との互換性は、このガイダンスの手順に従って構成されたラボでテストされ、確認されています。 ここでは、このソリューションで WPA を使用する方法を評価する場合に考慮する必要がある項目について説明します。
WEP および WPA の概要
Wired Equivalent Privacy (WEP) は、ワイヤード (有線) システムと同等レベルの保護を提供するために、Institute for Electrical Engineers (IEEE) 1999 802.11 ワイヤレス ネットワーク標準の一部として定義されました。 基本的 (または静的) な WEP では、事前共有キーに基づくワイヤレス トラフィックの暗号化およびアクセス制御が可能です。 WEP にはいくつか脆弱性があることが判明しており、悪意ある攻撃者が最終的にこの 802.11 ネイティブのセキュリティ制御を切り抜けてしまう可能性があります。
WLAN 業界は、WPA と呼ばれるより強力なセキュリティ ソリューションを提供することによって、WEP の脆弱性に対応しています。 WPA は、相互運用が可能な標準ベースのセキュリティ仕様によって、WLAN システムのデータ保護およびアクセス制御のレベルを向上します。 WPA の最初のリリースは、802.11i 標準の初期サブセットで、将来にわたって互換性が維持される見通しです。 802.11i は現在、WPA 2.0 としてリリースされることが予想されています。
WPA の公開時、多くの組織では WPA をサポートしていない WLAN ハードウェアがまだ多数展開されていました。 重要なのは、このようなハードウェアと新しい WPA 互換機器の両方にこのソリューションが対応することです。 WPA は動的 WEP より高いレベルのセキュリティを提供しますが、すべてのハードウェアが WPA 対応に更新されるまでは、動的 WEP が実用的なソリューションとなります。
このソリューションにおける WPA の影響
この「証明書サービスを使用してワイヤレスLAN をセキュリティで保護する」ソリューションでは、WPA を WEP の代替と考えることができます。 ソリューション コンポーネントの大部分は、WPA の導入による影響を受けません。 ソリューションは、WPA 対応ネットワーク機器を WEP ベースの機器と同様の方法で構成し、クライアント コンピュータに変更を加えることによってテスト済みで、WPA との互換性が確認されました。
WPA では、ネットワーク認証に 802.1X プロトコルを使用しているため、リモート認証ダイヤルイン ユーザー サービス (RADIUS)、Microsoft® 証明書サービス、および大部分の Microsoft Active Directory® ディレクトリ サービスの設定は構成どおりに機能します。 重要な考慮事項の 1 つは、Windows Server 2003 Service Pack 1 を実行しているドメイン コントローラが最低 1 つある場合のみ、グループ ポリシーを使用して WPA 固有の設定を構成できる (または、Windows Server 2003 を実行している、ドメイン コントローラではないドメイン メンバ上でグループ ポリシー設定を構成できる場合がある) ということです。 この詳細については後述します。 次の表は、このソリューションで WPA を使用する場合の考慮事項の一覧です。
表 D.1: 考慮が必要なソリューション コンポーネント
| ソリューション項目 | 考慮事項 | コメント |
|---|---|---|
| Microsoft Windows® XP ハードウェア ドライバ | WPA 対応にアップグレードできるネットワーク インターフェイス カード (NIC)、および Windows XP クライアント ドライバを入手できるかどうかについては、ご使用の NIC のベンダに問い合わせてください。 | Windows Hardware Quality Labs (WHQL) によるテストに合格したドライバをお求めください。 Windows Wireless Zero Configuration (WZC) サービスをサポートしているドライバでは、NIC のファームウェアを動的に更新して WPA 対応にできます。 ドライバが WZC サービスをサポートしているかどうかについては、ベンダにお問い合わせください。 |
| Windows XP クライアント構成 | クライアント構成の設定は変更する必要があります。 このソリューションは、認証方法として WPA、暗号化プロトコルとして Temporal Key Integrity Protocol (TKIP) を選択してテストされています。 | TKIP は WEP に代わる暗号化方法であり、WPA は認証方法として 802.1X を必要とします。 |
| クライアントの定期的な再認証 | このソリューションでは、RADIUS 設定を利用することで、クライアントが 10 分ごとに再認証を実行して WEP キーが再生成されるようにしています。 | TKIP では、パケットごとにキーが更新されます。したがって、WEP キーを再生成するためのクライアントの再認証は必要がなくなります。 この設定を 10 分のままにしておくと、Microsoft インターネット認証サービス (IAS) サーバーに不要な負荷がかかります。 WPA を使用する場合は、このセッション タイムアウトを 10 時間に変更することができます。 |
| ワイヤレス ネットワーク グループ ポリシー | SP1 以前の Windows Server 2003 に付属している既存のワイヤレス ネットワーク グループ ポリシーは、WPA の発表前に開発されたものであるため、クライアントの WPA 設定を構成できません。 | グループ ポリシーの WPA 設定を構成するには、Windows Server 2003 SP1 を使用する必要があります。 または、ワイヤレス クライアント設定を手動で構成する必要があります。 |
WPA を使用してセキュリティで保護されたワイヤレス LAN ソリューションを構成する
次の手順を実行して、WPA を使用するようにソリューションを構成できます。
既存のワイヤレス アクセス ポイント (AP) 上のファームウェアを WPA 対応にアップグレードするか、WPA をサポートする新しいワイヤレス AP を展開します。 新しいワイヤレス AP は必ず、このガイダンスの手順に従って、RADIUS クライアントとして IAS サーバーに追加してください。 ベンダの仕様に応じて、ワイヤレス AP 上で WPA 設定を構成します。
WLAN ネットワーク インターフェイス カード (NIC) ドライバを WPA 対応のバージョンにアップグレードします。 マイクロソフトでは、多くの WLAN カード ベンダと協力して、アダプタ カード ドライバ経由でファームウェアをアップグレードできるようにしています。
ワイヤレス ネットワーク グループ ポリシーが適用されているセキュリティ グループからワイヤレス コンピュータを削除します。 Windows Server 2003 SP1 を使用して、新しいグループ ポリシー オブジェクト (GPO) を作成し、ワイヤレス クライアント設定を WPA 用に構成します。 認証の種類として WPA、暗号化の種類として TKIP を指定します。 追加のセキュリティ グループを作成し、WPA GPO の [ポリシーの適用] 許可を与えます。 このグループを使用して、WPA 設定を受け取るクライアントを制御します。 Windows Server 2003 SP1 を展開していない場合は、ワイヤレス クライアント設定を手動で WPA 用に構成する必要があります。
WPA を使用して WLAN への認証をテストします。 IAS では、ソースが IAS でイベント ID が 1 のシステム イベント ログ メッセージが記録されます。 これは、認証に成功したことを示します。
関連情報
ここで説明したトピックの詳細については、次のリソースを参照してください。
Microsoft TechNet Web サイトの「The Cable Guy - 2003 年 3 月 Wi-Fi Protected Access (WPA) の概要」https://www.microsoft.com/japan/technet/community/columns/cableguy/cg0303.mspx
マイクロソフト サポート技術情報 815485「Windows XP の WPA ワイヤレス セキュリティ アップデートの概要」https://support.microsoft.com/?kbid=815485.
WPA の提供に関する Microsoft PressPass のプレスリリース https://www.microsoft.com/japan/presspass/detail.aspx?newsid=1587
「IEEE 802.11 Wireless LAN Security with Microsoft Windows XP」https://www.microsoft.com/download/details.aspx?FamilyID=67fdeb48-74ec-4ee8-a650-334bb8ec38a9&displaylang=en (英語)
目次
- 概要
- ソリューションの概要
- 第 1 章 : ソリューションの概要
- 設計ガイドの概要
- 第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する
- 第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ
- 第 4 章 : 公開キー基盤を設計する
- 第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する
- 第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する
- 構築ガイドの概要
- 第 7 章 : 公開キー基盤を実装する
- 第 8 章 : RADIUS インフラストラクチャを実装する
- 運用ガイドの概要
- 第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する
- 第 10 章 : 運用ガイドの紹介
- 第 11 章 : 公開キー基盤を管理する
- 第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する
- テスト ガイドの概要
- 第 13 章 : テスト ガイド
- 付録
- 付録 A: Windows のバージョン サポート表
- 付録 B: スクリプトとサポート ファイル
- 付録 C: 配信ガイド
- 付録 D: WPA のサポート