Windows XP でのワイヤレス 802.11 セキュリティ

[アーティクル]
07/12/2010

トピック

はじめに
802.1X - キー管理に関する問題の解決
Windows XP での 802.11 および 802.1X サポート
ワイヤレスエンタープライズ向けのより良いセキュリティソリューションの探求
まとめ
関連リンク

はじめに

IEEE 802.11、802.11a、および 802.11b (Wi-Fi とも呼ばれます) は、1 Mbps 以上の帯域幅を提供するワイヤレスローカルエリアネットワーク (LAN) 標準規格です。これらのネットワークは、配線により接続された LAN とは異なるため、ワイヤレス LAN の展開に固有のいくつかの問題について検討する必要があります。

IEEE 802.11 ワイヤレス LAN の展開に関する重要な問題としては、ネットワークへのアクセスの管理、およびワイヤレストラフィックのプライバシの管理が挙げられます。IEEE 802.11 標準規格は、アクセス制御およびプライバシのための WEP 事前共有キーの使用方法を定義します。ただし、数千ものワークステーションがある場合、事前共有キーを管理することは不可能です。

IEEE 802.11 標準規格

IEEE 802.11 は、共有ワイヤレスローカルエリアネットワーク (LAN) の標準規格です。メディアアクセス制御 (MAC) プロトコルである搬送波感知多重アクセス/衝突回避方式 (CSMA/CA) を使用します。この標準規格では、物理層において、直接拡散 (DS) および周波数ホッピング (FH) の両方のスペクトル拡散通信方式を使用できます。この標準規格によって最初に提供された最大データレートは 2 Mbps でした。802.11b 仕様で物理層定義とともに提供された、より高速なバージョンでは、DS スペクトル拡散伝送により最大 11 Mbps のデータレートが実現します。IEEE (Institute of Electrical and Electronics Engineers leave-ms ) (英語) の標準化委員会は、 802.11a 仕様についても、物理層の規準を定義しました。これは、最大 54 Mbps のデータ転送レートを可能にする直交周波数分割多重 (OFDM) 方式に基いています。

セキュリティについて

802.11 は、ワイヤレスローカルエリアネットワーク (LAN) 環境において急速に成長してきましたが、ワイヤレスネットワーク全般に関して、いくつかのセキュリティ上の問題点が指摘されています。

802.11 ワイヤレス LAN 標準規格では、Wired Equivalent Privary (WEP) アルゴリズムに基いた認証および暗号化サービスが定義されています。WEP アルゴリズムは、認証および暗号化のための 40 ビット秘密キーの使用方法を定義しています。802.11 実装の多くは、104 ビットの秘密キーの使用も許可しています。ただしこの標準規格ではキー管理プロトコルは定義されておらず、秘密、共有キーが、802.11 からは独立した安全なチャネルを介して 802.11 ワイヤレスステーション (STA) に配信されていると見なします。

WEB キー管理プロトコルがないという点は、802.11 セキュリティの提供における重大な制限事項となります。特に、ワイヤレスインフラストラクチャネットワーク (配線されたネットワークとの相互動作のためにアクセスポイントを使用して構築されたワイヤレスネットワーク) で多くのステーションを持つ場合に影響します。このようなタイプのネットワークには、企業の敷地内に配備されたネットワークや、空港、モールといった公共スペースのネットワークなどがあります。手動で構成した共有キーが使用される場合、キーは、長期間にわたってその場にとどまる傾向にあるため、ハッカーがさまざまな攻撃を仕掛けてキーを取得し、トラフィックを解読する時間が増えます。認証と暗号化サービスがないことは、たとえば会議室などの環境で、ユーザーがピアツーピアの共同作業コミュニケーションを行いたい場合、ワイヤレスのアドホックネットワーク (ピアツーピアのワイヤレスネットワーク) での操作にも影響します。

その結果、ワイヤレス環境での認証および暗号化のさらなる重要性により、802.11 でのキー管理プロトコル定義を含む、アクセス制御およびセキュリティ機構の必要性が証明されました。

特定の WEP 関連問題

キー管理プロトコルがない点以外にも、WEP に関する問題点がいくつか指摘されており、提供されるセキュリティのレベルが懸念されています。以下のような問題点があります。

初期ベクトル (IV) **の衝突。**最も問題となるのは、ワイヤレスデータトラフィックの暗号化に使用される擬似乱数ジェネレータを動作させるためのキーを作成するときに使用する RC4 初期ベクトル (IV) を WEP が割り当てる方法です。WEP の IV は 24 ビットフィールドであり、再利用を保証する小さなスペースであるため、キーが再利用されます。WEP の標準規格では、これらの IV の割り当て方法も指定されていません。ワイヤレスネットワークカードの多くは、これらの IV をゼロにリセットしてから、使用のたびに 1 つずつ増やしていきます。ハッカーが同じ IV (キーが変更されていない場合は同じキー) を使って 2 つのパケットを取得できる場合、機構を利用して、元のパケットの部分を決定することができます。

この点とほかの弱点によりキーが再利用されるため、使用されているキーの特定が容易になり、攻撃に対する脆弱性の原因となります。このような攻撃で WEP キーを完全に引き出すには 500 ～ 600 万もの大量のパケットが必要ですが、負荷の高い大規模ネットワークでは、10 分ほどの短い時間でこの程度のパケットが発生することがあります (ただし最大規模の企業ネットワークでさえ、充分なパケットを集めるためにより長い時間を必要とする場合もあります)。WEB 保護されたワイヤレスネットワークでは、多くの場合、複数のステーションまたはすべてのステーションが同じ共有キーを使用しています。このため、IV 衝突の可能性が格段に増加します。その結果、WEP キーが頻繁に変更されない場合、ネットワークが安全でなくなります。このことからも、WEP キー管理プロトコルの必要性がさらに高まります。

**不正パケットの注入。**ハッカーが暗号化パケットの構造 (知られているプロトコルヘッダフィールドなど) を認識している場合、いくつかのビットを投入することで不正パケットを作成して、パケットを変更し、コマンドやアドレスなどを変えることができます。暗号化パケットは改ざんされていないことを証明するために整合性チェックを受けますが、WEP 内でこれが実行される方法のため、新しいパケットに対して有効になるよう整合性チェックを修正することが可能であり、宛先で受け入れられてしまいます。

ハッカーがこのパケット内での宛先アドレスの場所を知っている場合、アドレスは、知られていないパケット上で変更できます。そしてハッカーが制御するマシンを宛先に指定されてしまいます。パケットがワイヤレスネットワーク上で送信される場合、AP がパケットを解読し、不正な宛先に送信します。

リアルタイムの解読と IV **テーブル。**IV のサイズが小さいこととキーが長期間再利用されることで、ハッカーは、IV とキーストリームのテーブルを作成することができるようになり、このテーブルを、解読するパケットに追加することができます。やがてこのテーブルには、すべての可能な IV が記載され、すべてのトラフィックをリアルタイムで解読できるようになってしまいます。

以下に、802.11 に存在するセキュリティ上の問題点をまとめます。

パケットのソースを特定するためのパケットごとの認証機構が存在しません。
802.11 は分離攻撃に対して脆弱で、ユーザーをワイヤレスネットワークから追い出してしまいます。
ユーザー識別およびユーザー認証が行われません。
中央制御による認証、承認およびアカウントサポートがありません。
RC4 ストリーム暗号は、上に示したような攻撃に対して脆弱です。
パスワードから WEP キーを取り出す実装もあり、これはパスワードの脆弱性の原因にもなります。
トークンカード、証明書/スマートカード、一時パスワード、バイオメトリックスといった拡張認証機能をサポートしていません。
グローバルキーの再キーイングや、ステーションごとまたはセッションごとの動的キー管理機構がない、といったキー管理の問題点があります。

802.1X - キー管理に関する問題の解決

Microsoft は、Port Based Network Access Control (802.1X) ドラフト版標準規格の定義のため、IEEE 標準化グループのほかの企業と密接に協力し合ってきました。また、802.1X をどのようにして 802.11 ベースのワイヤレスネットワークに適用できるかを定義するため、IEEE 内でも作業してきました。

802.11 では、すべてのステーションで同じ WEP キーを使用する必要はなく、また 1 つのステーションで、ステーションごとのユニキャストセッションキーおよびマルチキャスト/グローバルキーの 2 組の共有キーを保持することができます。現在の 802.11 実装は、共有マルチキャスト/グローバルキーを主にサポートしていますが、近い将来、ステーションごとのユニキャストセッションキーをサポートする予定です。これらすべてのキーの管理と更新は、大変な手間のかかる作業になる場合があります。

現在の 802.11 の、アクセス制御に関するセキュリティオプションは、大規模インフラストラクチャネットワークやアドホックネットワークでは適切に拡張できません。また、ステーションが 1 つのアクセスポイント（AP）から別の AP に移動する場合、アクセス間ポイントプロトコル (IAPP) がなければ、認証を新たに始めなければならないため、キー管理がさらに難しくなります。

802.1X は、ポートベースのネットワークアクセス制御の標準規格草案です。802.1X は、イーサネットネットワークに認証済みネットワークアクセスを提供するために使用されています。ポートベースのネットワークアクセス制御では、スイッチ型 LAN インフラストラクチャの物理特性を利用して LAN ポートに接続されたデバイスの認証手段を提供し、認証プロセスが失敗したときにはそのポートへのアクセスを防止します。

802.1X の動作

これ以降のセクションでは、ケーブル接続ネットワークとワイヤレスネットワークへのアクセスを制御し、暗号化のキーを提供するために、802.1X がどのように使用されているかについて概説します。

認証システムとアクセス の要求

LAN ポートは、ネットワークアクセス制御の対話の中で、認証システムまたはアクセスを要求するポートにいずれかの役割を持つことができます。

認証システムとは、ポートを介して利用可能なサービスへのアクセスを許可する前に認証を「強制」するポートのことです。アクセスを要求するポートとは、認証システムのポートを介して利用可能なサービスへのアクセスを「要求」するポートのことです。

認証サーバーも認証機能を実行します。認証サーバーは、認証システムの代わりにアクセスを要求するポートの資格情報を確認します。その後認証サーバーは、アクセスを要求するポートが認証システムのサービスにアクセスする権限を持っているかどうかを認証システムに知らせます。認証サーバーは、個別のエンティティとしても存在できますし、その認証サーバー機能を認証システムと同じ場所に置くこともできます。

制御対象ポートと非制御対象ポート

認証システムのポートベースのアクセス制御は、次の図 1 に示すように、単一の物理 LAN ポートを介して、LAN への 2 つの論理アクセスポイントを定義しています。

xp80211security1
図 1: 制御対象ポートと非制御対象ポート

「非制御対象ポート」とラベル付けされた最初の論理アクセスポイントでは、システムの認証状況に関係なく、認証システムと LAN 上のほかのシステムとの間で非制御のデータ交換を許可します。「制御対象ポート」とラベル付けされた 2 番目の論理アクセスポイントでは、システムが認証されている場合のみ、LAN 上のシステムと認証システムのサービスとの間でデータ交換を許可します。

非制御対象ポートの用途の 1 つは、認証システムとアクセスを要求するポートとの間にデータ交換経路を提供することです。

制御対象ポートの認証状況によって、このポートを介してアクセスを要求するポートから LAN へトラフィックを送信できるかどうかが決まります。認証状況は通常、最初は未承認です。その後アクセスを要求するポートの認証を経て、認証済に変更されます。

単純な 802.1X データ交換

拡張認証プロトコル (EAP) は、複数の認証機構での認証情報の通信をサポートするプロトコルです。802.1X では、EAP は、アクセスを要求するポートと認証サーバーとの間で認証情報をやり取るするための手段として使用されます。このため EAP メッセージは、LAN メディア上で直接カプセル化される必要があります。この目的で、EAP over LAN (EAPOL) が定義されました。認証システムは、アクセスを要求するポートと認証サーバーとの間でこれらのメッセージをリレーする役割を持ちます。認証サーバーは、リモート認証ダイヤルインユーザーサービス (RADIUS) サーバーである場合があります。

注　802.1X の規格では、認証を EAP と RADIUS に限定していませんが、これが一般的な機構であると記載されています。

次に、アクセスを要求するポートの認証のために実行されるデータ交換の例を示します。

認証システムが EAP - 要求/識別メッセージをアクセスを要求するポートに送信します。
アクセスを要求するポートが、自身の ID を付けて、EAP - 要求/識別メッセージを認証システムに送信します。認証システムはこれを認証サーバーに転送します。
認証サーバーは、認証システムを介して、パスワードチャレンジを含む EAP - 要求パケットをアクセスを要求するポートに送信します。
アクセスを要求するポートは、認証システムを介して、チャレンジに対するレスポンスを認証サーバーに送信します。
認証に成功すると、認証サーバーが、認証システムを介して、EAP - 成功メッセージをアクセスを要求するポートに送信します。認証システムは、この成功によって、制御対象ポートの状態を認証済に設定することができます。

使用される認証機構によって、メッセージフローは異なる可能性があり、これ以外のメッセージフローもいくつか存在します。

802.1X を使用したワイヤレス認証

リモート認証ダイヤルインユーザーサービス (RADIUS) サーバーを使用することで、802.1X をワイヤレス認証に適用して、クライアントの資格情報を認証できます。

ワイヤレスアクセスポイントが特定のクライアントのトラフィックを安全に識別するには、基本 802.1X プロトコルに加えて拡張機能が必要となります。これを実行するには、認証手続きの一部として、認証キーをクライアントに渡し、ワイヤレスアクセスポイントに渡します。認証キーを知っているのは認証されたクライアントだけであり、この認証キーによって、クライアントから送信されるすべてのパケットが暗号化されます。

802.1X は、LAN のネットワークアクセス制御のための IEEE 標準規格です。この標準規格には、イーサネットおよびトークンリングネットワークのネットワークアクセス制御が定義されています。802.11 のために 802.1X を使用する方法については定義されていません。次の 3 つの変更により、802.1X を、802.11 ネットワークへのアクセス制御に使用できます。

802.11 が定義する "associate" および "dissociate" は、イーサネットポートの "connect" および "disconnect" と同じで、認証が行われる際、制御を行います。
アクセスポイントからクライアントに送信される 801.1X メッセージは、802.1X MAC アドレスではなく、クライアントの宛先 MAC アドレスを使用して送信される必要があります。クライアントは、自身の MAC アドレスまたは 802.1X MAC アドレス宛の 802.1X メッセージのみを処理しなければなりません。
アクセスポイントは、クライアントが認証済みかどうかに基き、クライアントごとに制御対象ポートを使用してネットワークへのアクセスを制御する必要があります。

ワイヤレス ステーションの認証

以下に、AP および RADIUS サーバーがステーションを認証する際の基本的な手順を示します。

有効な認証キーがない場合、AP は自身を通じたすべてのトラフィックフローを禁止します。

ワイヤレスステーションがワイヤレス AP 認証システムの領域内にくると、ワイヤレス AP がワイヤレスステーションにチャレンジを送信します。
AP からチャレンジを受け取ると、ステーションは ID を返します。
次に、認証サービスを開始するため、AP がステーションの ID を RADIUS (認証) サーバーに転送します。
その後 RADIUS サーバーは、ステーションの ID を確認するために必要な資格情報の種類を指定して、ステーションの資格情報を要求します。
ステーションは資格情報を RADIUS サーバーに送信します。
RADIUS サーバーは、ステーションの資格情報を検証した後、AP に認証キーを送信します。認証キーは、AP しかアクセスできないように暗号化されます。

(ステーションは RADIUS サーバーに直接アクセスできないため、ステーションと RADIUS サーバーの間でやり取りされる要求は、AP の「非制御対象」のポートを介して行われることに注意してください。STA ステーションは認証されていないため、AP は、「制御対象」ポートを介した通信を許可しません。)

AP は、RADIUS サーバーから受け取った認証キーを使用して、ステーションごとのユニキャストセッション認証キーおよびマルチキャスト/グローバル認証キーを安全にステーションに送信します。

グローバル認証キーは暗号化される必要があります。そのためには、使用する EAP 方式に、認証プロセスの一環として暗号キーを生成する機能が含まれていなければなりません。トランスポートレベルセキュリティ (TLS) は、整合性保護、暗号スイートネゴシエーション、および 2 つのエンドポイント間でのキー交換などの相互認証を提供します。このことから見て、EAP での TLS 機構の提供に EAP-TLS を使用することがでるということになります。

802.1X での WEP 問題の解決

先に説明した WEP への攻撃は、以下の方法によって阻止することができます。

ステーションごとまたはセッションごとにキーを供給することで、同じキーを使用するパケットの数を制限します。
キーが頻繁に変更されるようにします。5 ～ 10 分、または 400 万パケットごとにキーイングし直すことをお勧めします。これにより、上記の攻撃の主な原因となるキーの再利用も制限できます。

これは、802.1X を実装し展開すれば自動的に実行できます。認証の後、802.1X プロトコルを設定して、指定した間隔でステーションを定期的に再認証するよう要求してください。これにより 802.1X は、ステーションごと、セッションごとのキーを供給し、これらのキーが頻繁に変更されるようにし、再利用の問題を防止します。また 802.1X では、ユーザー識別および認証、中央認証、承認、アカウントサポートが実行できます。これにより、将来、拡張認証機構を使用することができます。

802.1X で使用される認証 スキーム

IEEE 802.1X は、LAN 環境における、アクセスを要求するポートと認証システム間の EAP パケット転送のためのカプセル化技術を定義しています。EAP は、PPP 内で追加認証方式をサポートする標準機構を提供しています。EAP の使用により、スマートカード、Kerberos、公開キー、一時パスワードといった各種の認証スキームをサポートすることができます。

Windows XP は現在、PKI ベースの EAP-TLS およびユーザー名/パスワードベースの EAP-MD5 認証方式をサポートしています。

EAP-MD5 はもともと、EAP 仕様に準拠するように開発されました。しかし、さまざまな理由により、EAP-MD5 の使用はお勧めできません。ワイヤレスメディア上で直接チャレンジ/レスポンス方式を使用してユーザー名/パスワードベースの認証を行うと、オフライン辞書攻撃を受けやすくなります。さらに、MD5 は相互認証をサポートしておらず、サーバーがクライアントを検証することしかできません。また、安全なチャネル確立のために必要な、サーバーおよびクライアントによるキーの派生のための適切なナンスを含んでいません。

EAP-TLS はレジストリベースまたはスマートカード上に置かれた証明書を使用する PKI ベースの認証方式です。EAP-TLS は、相互認証、整合性保護、暗号スイートネゴシエーション、および 2 つのエンドポイント間でのキー交換を提供しています。図 2 に示すように、PKI ベースの TLS 認証方式は b 相互認証方式を提供しており、クライアントとサーバーの両方が、証明書を使用して、相互に相手を検証することができます。

xp80211security2
図 2: ワイヤレスでの安全な認証方式

802.1X と VPN

どのようなときに仮想プライベートネットワーク (VPN) を使用し、どのようなときに 802.1X を使用すべきか、決定に迷うことがあります。この 2 つのテクノロジは互いに相補関係にあり、両方同時に使用できる場合もあります。

IEEE 802.1X は、バックエンドの認証サーバーがクライアントを認証し、サーバー側で特定のクライアントに指定されたポリシーに基いて、ネットワークアクセスを承認することができます。EAP-TLS などの b 認証方式を使用することで、サーバーおよびクライアント側でキーを提供できます。認証プロセスを効果的に実行するため、ワイヤレスアクセスポイントである Network Attached Storage (NAS) にもキーが提供されます。その後クライアントと NAS はキーを使用して、クライアントと NAS 間の安全なワイヤレスデータ送信を実行することができます。

注　これはクライアントと NAS の間での、ワイヤレスメディアを使用したデータトラフィックのみを暗号化するものであり、NAS を超えたデータセキュリティは提供しません。

インターネットから企業のエンタープライズネットワークにアクセスする際、ほとんどの場合は、クライアントが企業のエンタープライズネットワークへの VPN を確立する必要があります。VPN 接続を確立することにより、企業のエンタープライズネットワーク内での、クライアントと VPN サーバー間のデータセキュリティが保証されます。

この場合、IEEE 802.1X と VPN を組み合わせることで互いに機能を補完し合い、公共の場所からインターネットにアクセスするクライアントに対して、必要なレベルのデータセキュリティを提供することができます。

Windows XP での 802.11 および 802.1X サポート

Windows XP は、出荷時の状態で 802.11 NIC ドライバおよび 802.1X をサポートしています。Windows XP のクライアントは、前のセクションで説明したクライアント (嘆願者) 側として動作します。Windows XP では、ワイヤレスのネットワークドライバおよびカードをサポートするための拡張機能が追加されました。

主要な NIC ベンダはすべて 802.1X をサポートしており、そのほとんどは 802.1X の Windows ドライバをリリースしています。サポートに関する詳細については、ハードウェアのベンダにお問い合わせください。

802.11 ネットワーク用に 802.1X を実装するには、ワイヤレス AP が認証システムとして動作する必要があります。主要なエンタープライズ AP ベンダはすべて、802.1X のサポートを開始しています。

このシナリオを完成させるには、認証サーバーサポートが必要です。Microsoft Windows 2000 IAS サーバー (RADIUS サーバー) は修正されて、ワイヤレスエンドポイントをサポートできるようになり、エンタープライズ対応ネットワークとしての安全な 802.11の図式が完成されました。このテクノロジの展開について記載された文書へジャンプするには、関連リンクのセクションを参照してください。

Windows XP での WEP 認証使用に関する更なる注意点

同じ WEP キーに複数の AP が設定されている場合、AP は追加の最適化を実行します。NIC は、古い AP から取得した WEP キーを共有キーとして使用して、802.11 認証を実行しようとします。これが成功すると、AP は即座にステーションを認証済リストに加えます。

認証に失敗すると、NIC は AP に対してオープン認証を行い、完全な 802.1X 認証が実行されます。AP は、ステーションがオープン認証を行ったか、または共有キー認証を行ったかを識別できなければなりません。ステーションが、共有キー認証により新しい AP へのアクセス権を取得した場合も、アカウントレコード更新の目的で、新しい AP により 802.1X 認証が開始されます。

新しい AP が 802.1X を実行している間に、共有キー認証によってステーションネットワーク接続を有効にすると、ステーション上でネットワーク接続が中断されないよう保証できます。ステーションが新しい AP で 802.1X 認証を正常に完了できない場合、AP の制御対象ポートを使用したステーションへのネットワーク接続が強制終了されます。これにより、ネットワークのセキュリティが維持されます。

XP のその他のワイヤレス機能

802.1X のほかに、Windows XP では、以下のワイヤレス LAN 機能もサポートしています。

**メディア検知。**ワイヤレス LAN NIC が複数のアクセスポイント間を移動したかどうかを判断します。移動により、再認証やその他の設定変更が必要となる場合があります。
**自動ネットワーク検出および関連付け。**ワイヤレスネットワークインターフェイスカード (NIC) に、論理アルゴリズムを使用して利用可能なワイヤレスネットワークを検出し、最も適切なものと関連付けるよう指示します。
電源モード **サポート。**NIC に、電源が AC であるかバッテリーであるかを通知し、必要に応じて省電力を実行できるようにします。
**ネットワークの場所のサポート。**コンピュータがネットワーク内で移動したことをアプリケーションに通知します。アプリケーションはこの情報を使用して、ネットワークの場所に合わせて自動的に設定を更新します。

ワイヤレスエンタープライズ向けのより良いセキュリティソリューションの探求

Microsoft では、産業界との共同作業により、ネットワークデータトラフィックの機密性と安全性を確保するためのセキュリティソリューションおよびプロトコルの開発、定義、および実装に努めています。その対象範囲には、ネットワークケーブル、電話回線、またワイヤレス技術の応用など、あらゆるデータ伝送方法が含まれます。

Microsoft は、802.11 および IP Security (IPSec) の両方に適用できる Advanced Encryption Standard (AES) に基いた次世代暗号化方式の草案作りに深くかかわっています。

Microsoft は、現在知られているインターネットからの攻撃および攻撃の最適化を無効にする、802.1X に基いた高速再キーイング方式の開発のため、現在も IEEE タスクグループとの共同作業を行っています。

Microsoft は、ワイヤレス ISP を介して企業のネットワークにアクセスしているリモートユーザーに、VPN ソリューションを推奨しています。PPTP および L2TP VPN テクノロジのどちらも、公共のインターネットを介してビジネス取引を行っているユーザーに対して b セキュリティを提供します。

802.1X に加え、現在 802.11 固有のセキュリティソリューションがいくつか市場に出ています。一般にこれらのソリューションは独自仕様であり、特定のベンダのハードウェアやインフラストラクチャに限定されています。独自仕様であるため、現在知られている攻撃に対する保護能力を査定するのは困難です。パスワードのみを基盤とするソリューションは、辞書攻撃や仲介者攻撃に対して脆弱な傾向にあります。

802.1X の将来の認証機構

将来の Windows クライアントバージョンには、Protected Extensible Authentication Protocol (PEAP) も含まれる可能性があります。PEAP は、移動環境での、相互認証およびセッションキー生成の機構を提供します。サーバー認証およびセッションキーネゴシエーションは、PPP EAP-TLS 認証プロトコルを使って実行されます。サーバー認証が成功した後、クライアントは、TLS 設定によって保護された整合性およびプライバシーに対して、PPP EAP 機構を使用し、認証を実行します。基本的には、別の EAP 方式が、整合性保護された TLS 暗号化スイートの中にラップされています。

将来の Windows クライアントでは、クライアント認証に EAP-MS-CHAP-V2 を使用する可能性があります。その場合は、整合性保護された TLS 暗号化スイートの中に EAP-MS-CHAP-V2 認証方式がラップされることになります。PEAP および EAP-MS-CHAP-V2 では、チャレンジ/レスポンス方式を使用したユーザー名/パスワードベースの認証が利用できます。また PEAP の開発により、一時パスワードを含む 2 要素認証などの認証スキームも利用可能になるでしょう。

インターネットへの ゲスト アクセス

将来の Microsoft Windows クライアントでは、EAP-TLS 認証方式を使用した、インターネットへのゲストアクセスがサポートされる可能性があります。ゲストアクセスモードでは、クライアントはサーバー側の証明書を検証しますが、サーバーはクライアントを検証しません。サーバー認証およびセッションキーネゴシエーションは、PPP EAP-TLS 認証プロトコルを使って実行されます。

企業のエンタープライズネットワークからインターネットへのゲストアクセスにより、ビジターがネットワークにアクセスできるようになります。ゲスト認証プロセスが完了すると、サーバーは、ワイヤレスアクセスポイントである NAS に VLAN (仮想 LAN) 情報を提供します。ゲストとして認証されたクライアントのデータトラフィックは、NAS によって特定の VLAN に送られ、その後直接インターネットに送られます。ビジターは、VPN 接続を確立することによって、ほかの企業内エンタープライズネットワークにもアクセスできます。

まとめ

エンタープライズ対応の安全なワイヤレス LAN ネットワークは現実のものとなっています。WEP には、セキュリティの脆弱性といった弱点がありますが、802.1X と組み合わせて使用することで、WEP 特有の問題を解決し、これらのネットワークに提供されているセキュリティを大幅に強化することができます。Windows XP は、出荷時の状態で、802.1X のサポート、およびワイヤレスネットワークに役立つその他の機能を提供しています。Microsoft は、ネットワークを侵入行為から保護するための新たなセキュリティプロトコルおよびオプションを探求し続けています。

Windows XP でのワイヤレス 802.11 セキュリティ

トピック