PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する

  • [アーティクル]

付録 B: ソリューションで WPA を使用する

公開日: 2004年9月7日

このドキュメントで説明するワイヤレス ローカル エリア ネットワーク (WLAN) ソリューションは、動的 Wired Equivalent Privacy (WEP) または Wi-Fi Protected Access (WPA) WLAN 保護のいずれでも同じように問題なく動作します。Wired Eauivalent Privacy (WEP) および Wi-Fi Protected Access (WPA) WLAN 保護の実装には若干の相違があるので、この付録で説明します。

現在では、WPA を使用するうえで次のような潜在的な問題があります。

  • WPA 設定の手動構成: グループ ポリシーを使用した Windows® XP クライアント WPA 設定のサポートは、Windows Server 2003 Service Pack 1 以前のバージョンの Windows では使用できません。Windows Server 2003 Service Pack 1 を入手し、組織内でこれを展開できるようになるまでは、Windows XP 対応の WLAN 設定をスクリプトする方法がないため、手動でクライアントを構成する必要があります。Service Pack 1 は WLAN 設定のグループ ポリシー オブジェクト (GPO) を編集するサーバー上にのみインストールする必要があり、クライアントやドメイン コントローラ、IAS サーバー上にインストールする必要はありません。

  • WLAN クライアントの制限された可用性: このドキュメントの作成時には、マイクロソフトでは、Windows XP Service Pack 1 以降に対応する WPA サポートのみ提供します。

  • WPA 準拠のハードウェアの可用性: 現在では、すべての Wi-Fi 認定ハードウェアに対して WPA サポートが義務付けられていますが、既存のネットワーク機器で WPA をサポートするためのアップグレードが必要になる場合があります。現時点で WPA をサポートしていないアクセス ポインタまたはネットワーク アダプタに対しては、ファームウェア アップデートを入手する必要があります。製造元で WPA アップデートを用意していない場合、機器を交換しなければならない場合も、まれですがあります。

トピック

WEP の代わりに WPA を使用する
WEP から WPA へ移行する
参照情報

WEP の代わりに WPA を使用する

このガイドの大部分の説明は WPA と動的 WEP の両方に適用されます。ただし、以下の 2 つの点では双方についての説明が異なります。

  • 「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「WLAN の IAS リモート アクセス ポリシーを作成する」

  • 「第 6 章: ワイヤレス LAN クライアントを構成する」の「WLAN 設定 GPO を作成する」

WPA を使用して WLAN に対する IAS リモート アクセス ポリシーを作成する

動的 WEP の代わりに WPA WLAN 保護を使用するには、クライアントのセッション タイムアウト値を 60 分でなく 8 時間に設定する必要があります。WPA には新しい WLAN 暗号化キーを生成するための組み込みのメカニズムがあるため、クライアントは再認証を頻繁に行う必要がありません。8 時間は、クライアントが有効な最新の資格情報を持つことを保証するのに妥当な値です (たとえば、クライアントのアカウントが無効になった後でも、クライアントが接続した状態のままになることが不可能になります)。非常に高度なセキュリティ環境では、必要に応じてこのタイムアウト値を減らすことができます。

「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」の「WLAN アクセス ポリシー プロファイル設定を変更する」では、次の手順を使用してリモート アクセス ポリシー プロファイル設定を行う必要があります。

ワイヤレス アクセス ポリシー プロファイル設定を変更するには

  1. [インターネット認証サービス] MMC で、[Allow Wireless LAN Access] ポリシーのプロパティを開いて [プロファイルの編集] をクリックします。

  2. [ダイヤルインの制限] タブで、[クライアントが接続できる時間 (セッション タイムアウト) (分)] フィールドに数値「480」 (480分、つまり 8 時間) を入力します。

  3. [詳細設定] タブで、Ignore-User-Dialin-Properties の属性を追加し、それを "True" に設定します。次に Termination-Action の属性を追加し、それを "RADIUS-Request" に設定します。

また、ワイヤレス アクセス ポイント (AP) でのセッション タイムアウトを、この手順で設定したタイムアウト値と同じ (またはそれを超える値) に変更する必要があります。

WPA に対する Windows XP WLAN 設定を手動で構成する

GPO サポートが Windows Server 2003 Service Pack 1 で使用可能になるまでは、クライアント上で WPA 設定を手動で構成する必要があります。WPA は、WPA クライアントのダウンロードをインストールした Windows XP Service Pack 1 (または Windows XP Service Pack 2) でサポートされます。

注: GPO サポートが使用可能になった場合、次の手順を実行して、同じ設定を使用するワイヤレス ネットワーク ポリシーを作成することもできます。

WPA WLAN 設定を手動で構成するには

  1. [ワイヤレス ネットワーク接続] インターフェイスのプロパティを開き、[ワイヤレス ネットワーク] のタブを開きます。[利用できるネットワーク] ボックスの一覧に WLAN が表示された場合は、それを選択して [構成] をクリックします。WLAN が表示されない場合は、[追加] ([優先するネットワーク] セクション) をクリックします。

  2. [ネットワーク名 (SSID)] フィールドに (WLAN 名が表示されていなければ) WLAN 名を入力します。

    注: 既に使用している WLAN があり、このソリューションの 802.1X ベースの WLAN を使用してこのサイドバイサイドを実行する場合、新しい WLAN に対しては異なるサービス セット識別子 (SSID) を使用する必要があります。この新しい SSID をここで使用します。

  3. [ワイヤレス ネットワーク キー] セクションで、ネットワーク認証タイプとして ([WPA PSK] でなく) [WPA] を選択し、データ暗号化タイプとして [TKIP] を選択します (使用しているハードウェアがサポートしていれば、[TKIP] ではなくより強力なセキュリティを備えた [Advanced Encryption Standard (AES)] を選択できます)。

  4. [IEEE 802.1x] タブをクリックして、[EAP の種類] ドロップダウン リストから [保護された EAP (PEAP)] を選択します。

  5. [設定] をクリックして、PEAP 設定を変更します。[信頼されたルート証明機関] ボックスの一覧から、CA のルート CA 証明書を選択します (これは、IAS サーバー証明書を発行するためにインストールした CA です。IAS サーバー証明書の詳細については、第 4 章を参照してください)。

    重要: CA をバックアップから復元するのではなく、最初から CA を再インストールする必要がある場合は、クライアント設定を編集し、新しい CA に対してルート CA 証明書を選択する必要があります。

  6. [認証方法を選択する] で [セキュリティで保護されたパスワード (EAP-MSCHAP v2)] が選択され、[すばやい再接続を有効にする] オプションがオンになっていることを確認します。

  7. [OK] をクリックして、各プロパティ ウィンドウを閉じます。

WPA 向けに Pocket PC 2003 を構成する

このドキュメントの作成時点では、Pocket PC 2003 は WPA をネイティブでサポートしていませんが、今後はこれが実装される可能性もあります。また、Pocket PC での WPA サポートが他のベンダーから入手可能になる可能性もあります。

ページのトップへ

WEP から WPA へ移行する

動的 WEP を基にした安全な WLAN ソリューションを展開している場合、WPA に移行するには、このセクションで示す手順を実行する必要があります。移行を行う場合は、事前に WPA ソフトウェア サポート (Windows XP WPA コンポーネントなど) および WPA ハードウェア サポート (AP ファームウェアとネットワーク アダプタ ドライバのアップデート) が展開されていることを確認する必要があります。この手順にある、GPO での WPA 設定に関する参照情報は、Windows Server 2003 Service Pack 1 以降で GPO を編集する場合にのみ有効です。このドキュメントの作成時点では、このサービス パックはまだリリースされていません。Windows 2003 Service Pack 1 以降を使用していない場合、この付録の「Windows XP WLAN 設定を手動で構成する」の説明に従ってください。

使用している AP で動的 WEP と WPA を同時にサポートする場合に、WEP から WPA へ移行するには

  1. 動的 WEP および WPA の両方をサポートするようにすべてのワイヤレス AP を構成します。

  2. 新しい WLAN クライアント設定 GPO を作成します。WPA に対して適切な設定を行うワイヤレス ネットワーク ポリシーを作成します (この付録の「Windows XP WLAN 設定を手動で構成する」での説明を参照してください)。次に、既存の WEP GPO を無効にして WPA GPO を有効にし、すべての WPA 設定がすべてのクライアントに送信されるようにします。次に GPO が更新された後に、クライアントは WLAN 上の WPA を使用して起動します。

    注: クライアントを手動で構成する場合、WEP 設定を含む GPO を無効にする必要があります。これを行わないと、手動の WPA 設定はGPO によって上書きされます。

  3. IASリモート アクセス ポリシー セッションのタイムアウトと、AP でのクライアント セッション タイムアウトをアップデートする必要があります (詳細については、前述の「IAS リモート アクセス ポリシー」を参照してください)。

AP で WEP およびWPA の同時使用をサポートしていない場合に、WEP から WPA に移行するには

  1. WPA ネットワークに対して新しい WLAN SSID を作成します。

  2. クライアント ネットワーク設定 GPO を編集し、WPA パラメータを使用して新しい SSID を追加します (詳細については、前述の「Windows XP WLAN 設定を手動で構成する」を参照してください)。手動でクライアントを構成する場合、新しい SSID と、その SSID の WPA 設定を使用してクライアントを構成する必要があります。どちらの場合も、古い WEP SSID に対する設定を削除しないでください。

  3. サイトごとに作業する場合、AP を WEP から WPA サポートに再構築し、AP の SSID を変更します。各 AP を再構成すると、クライアントは新しい SSID に切り替えて、WPA を使用します。

  4. すべての AP を再構築したら、すべての IAS サーバー上のリモート アクセス ポリシーをアップデートします。リモート アクセス ポリシーのセッション タイムアウト値を 60 分から 8 時間に変更し、ワイヤレス AP で同じ設定を変更する必要があります (詳細については、この付録の「IAS リモート アクセス ポリシー」を参照してください)。

  5. 移行が完了したら、GPO から WEP SSID を削除します。

ページのトップへ

参照情報

ここでは、重要な補足情報やこの付録に関連するその他の参考資料を紹介します。

ページのトップへ