PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する
-
[アーティクル]
-
-
付録 A: エンタープライズで PEAP を使用する
公開日: 2004年9月7日
マイクロソフトは、ワイヤレス ローカル エリア ネットワーク (WLAN) をセキュリティ保護するために 2 つのソリューションを作成しました。第 1 のソリューション「**ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス ソリューション)」では、クライアント証明書を使用してワイヤレス クライアントを認証します。これは大規模な企業組織を想定したものです。次に、「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」 (このガイドのタイトル) では、パスワード、および保護された拡張認証プロトコル (PEAP) を使用してワイヤレス クライアントを認証します。後者のガイドは、中小規模の組織を想定しています。しかし、PEAP の使用を小規模組織に限定する理由は何もありません。大規模な企業組織でも、PEAP およびパスワードを使用する認証を使用して WLAN をセキュリティ保護できます。
この付録では、パスワードと PEAP の導入を計画している大規模組織向けに、両方のソリューションの各章を参照してこのソリューションを導入する方法について説明します。両ソリューションとも同じ技術アーキテクチャおよびコンポーネントを使用しているので、第 1 のソリューションの企業向けの内容を取り出し、証明書認証プロトコルを PEAP およびパスワードを使用するプロトコルに置き換えるのは、比較的簡単です。この付録の目的は、高度な管理委任、RADIUS ログ記録、サーバーの役割分離など、エンタープライズ WLAN ソリューションに関連する詳細を含んだ統合ガイドを提供することです。
この付録では、簡潔に表示するため、"EAP-TLS ソリューション" は第 1 のソリューション「**ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス ソリューション)」を指し、"PEAP ソリューション" は 第 2 のソリューション「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」を指すこととします。Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) は、第 1 のソリューションで使用されている、クライアント証明書に基づいた認証プロトコルの名称です。
EAP-TLS ソリューションから必要なもの
EAP-TLS ソリューション ガイドは大規模組織向けなので、主にそちらを参照してください。このガイドでは、大規模組織にとって関心事となる計画、導入、および運営上の詳細 (管理委任など) について説明しています。以下の表は、EAP-TLS ソリューションの章の一覧です。各章について、EAP-TLS ソリューションの内容がこの統合ガイドに関連するかどうかを簡単に説明します。PEAP ソリューションの内容を EAP-TLS ソリューションでの指示と置き換えて使用すべき箇所を取り上げて説明します。
たとえば、2 つのソリューションの各章の対応関係は以下の表に示されています。しかし、適用範囲や使用技術の違いにより、1 対 1 の対応にはなっていません。
表 A.1: EAP-TLS ソリューションと PEAP ソリューションでの章の対応関係
| 第 1 章: 概要 |
第 1 章: PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する |
| 第 2 章: セキュリティで保護されたワイヤレス LAN ネットワーク戦略を決定する |
はじめに: ワイヤレス LAN のセキュリティに対応した戦略を選択する |
| 第 3 章: セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ |
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する |
| 第 4 章: 公開キー基盤を設計する |
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する |
| 第 5 章: ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する |
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する |
| 第 6 章: 802.1X を使用してワイヤレス LAN のセキュリティを設計する |
第 2 章: ワイヤレス LAN のセキュリティの実装を計画する |
| |
第 3 章: 環境を準備する |
| 第 7 章: 公開キー基盤を実装する |
第 4 章: ネットワーク証明機関を構築する |
| 第 8 章: ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを実装する |
第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する |
| 第 9 章: 802.1X を使用してワイヤレス LAN セキュリティを実装する |
第 6 章: ワイヤレス LAN クライアントを構成する |
| 第 10 章: 運用ガイドの紹介 |
第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する |
| 第 11 章: 公開キー基盤を管理する |
第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する |
| 第 12 章: RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する |
第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する |
| 第 13 章: テスト ガイド |
第 7 章: セキュリティ保護されたワイヤレス LAN ソリューションをテストする |
EAP-TLS ソリューションでは、公開キー基盤 (PKI)、RADIUS、WLAN の各コンポーネントが可能な限り独立になるよう構成されており、各コンポーネントを別のアプリケーションで再利用できます。つまり、EAP-TLS ソリューションには重複部分があります。たとえば、PKI と RADIUS の章には共にサーバー構築手順が含まれています。これは、大規模組織では、CA サーバーと IAS サーバーの実装を、情報管理部門の異なるグループが担当する可能性があるからです。また、設計や実装に関する章の理論上の手順は、PEAP ソリューションの場合には誤解を招く可能性があります。こうした理由から、まず PEAP ソリューションをひととおり読んでプロセスの全体像をつかんでから、EAP-TLS ソリューションの個々の設計や実装の詳細に戻ってください。
以下、PEAP ソリューションの各章に関連させて EAP-TLS ソリューションの各章を参照する方法について説明します。
#### 第 1 章: 概要
第 1 章はソリューションの概要で、ガイドの各章や付録について簡単に説明しています。主に EAP-TLS ガイドを使用して作業するユーザーは、EAP-TLS ソリューションの第 1 章を参照してください。
#### 第 2 章: セキュリティで保護されたワイヤレス LAN ネットワーク戦略を決定する
この章の内容は、PEAP ソリューションの「はじめに: ワイヤレス LAN のセキュリティに対応した戦略を選択する」の内容とほとんど同じです。PEAP ソリューションの紹介は、両ソリューションに対する前書きとして有効なので、EAP-TLS ソリューションの第 2 章の代わりにこちらを参照してください。
#### 第 3 章: セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ
この章は、証明書ベース WLAN ソリューションのアーキテクチャ概要について説明しており、そのうち以下の項目の冒頭を除くすべてが関連しています。
- EAP-TLS (証明書) を使用した 802.1X の動作概要の説明。PEAP ソリューションの「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」に記載されている説明を参照してください。
- 対象組織の説明。
- 重要なソリューション設計基準の一覧。
- 組織のさまざまな場所で使用されている各種サーバー コンポーネントの使用形態の説明。
- ソリューションの拡張方法に関する説明。
- ソリューションの要素を使用した、その他のネットワーク アプリケーション (802.1X 優先セキュリティや仮想プライベート ネットワーク (VPN) など) のサポート例。
証明機関 (CA) に関する参照情報は、次の章の参照にも関連する場合があります。
#### 第 4 章: 公開キー基盤を設計する
この章では、シンプルな PKI の計画プロセスについて詳細に説明しています。PEAP ソリューションにも、シンプルな、専用 CA に関する手順の説明があります。WLAN クライアントに証明書を発行する必要がない場合でも、PKI を設計する際に以下の章を参照することを検討してください。組織が大きいほど、単純なネットワーク認証の他に、なんらかの証明書が必要になる可能性が高まります。この章は、PEAP ソリューションで説明されている PKI より堅牢で柔軟な PKI の設計に役立ちます。
#### 第 5 章: ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する
EAP-TLS ソリューションのこの章で説明しているガイドに従ってください。
#### 第 6 章: 802.1X を使用してワイヤレス LAN のセキュリティを設計する
EAP-TLS ソリューションのこの章で説明しているガイドに従ってください。
#### 第 7 章: 公開キー基盤を実装する
前述のような完全な機能を持つ PKI を実装する場合にだけ関連します。それ以外の場合は、PEAP ソリューションの「第 4 章: ネットワーク証明機関を構築する」に従ってください。
#### 第 8 章: ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを実装する
この章のガイダンスに従ってください。また、補足情報については、PEAP ソリューションの「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」を参照してください。
#### 第 9 章: 802.1X を使用してワイヤレス LAN セキュリティを実装する
IAS リモート アクセス ポリシーおよびクライアントのグループ ポリシー オブジェクト (GPO) の設定手順については、PEAP ソリューションの「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」と「第 6 章: ワイヤレス LAN クライアントを構成する」の手順に従ってください。PEAP ソリューションの第 5 章には、ワイヤレス AP 設定やスクリプトに関する有益な詳細情報が提供されており、EAP-TLS ソリューションにはない RADIUS クラインの入力や IAS 設定のレプリケーションの自動化に役立ちます。
#### 第 10 章、第 11 章、および第 12 章: ソリューションを運用する
EAP-TLS ソリューションのこれらの章で説明しているガイダンスの指示に従ってください。また、WLAN に関する問題のトラブルシューティングについては、PEAP ソリューションの「第 7 章: セキュリティ保護されたワイヤレス LAN ソリューションをテストする」のガイダンスを参照してください。詳細な手順やテクニックが説明されており、EAP-TLS の各章の補足情報として役立ちます。
#### 第 13 章: テスト ガイド
この章の内容に従ってください。EAP-TLS ソリューションの「第 4 章: 公開キー基盤を設計する」で説明している完全機能の PKI を実装しない場合は、この章で説明している PKI 関連のテストの一部を無視してください。
#### スクリプト
PEAP ソリューションで使用しているスクリプトは、EAP-TLS ソリューションのスクリプトから開発されたものです。PEAP スクリプトには EAP-TLS スクリプトより多くの機能が含まれていますが、EAP-TLS スクリプトの機能をすべて含むわけではありません。たとえば、EAP-TLS スクリプトには、より高度な CA 監視機能が含まれています。ほとんどの場合、PEAP ソリューションに用意されているスクリプトを使用してください。ただし、各ソリューションのスクリプトを別フォルダに格納して、状況に応じて使い分けることもできます。スクリプトは、テクニックの基本的な実例として用意されているので、個々のニーズに応じて自由に変更してください。
[](#mainsection)[ページのトップへ](#mainsection)