無線LANの構築(あちこ)
必要な機材
無線LANを構成するためには基本的に2つの機器が必要です。
・無線LANアダプタ
・無線LANアクセスポイント
無線LANアダプタ
無線LANに接続するための機器です。有線LANのNICにあたります。コンピュータは無線LANアダプタを接続することで、無線LANの利用が可能になります。無線LANアダプタには、拡張カードに接続するタイプやUSBポートに接続するタイプがあります。近年では、無線LANアダプタを内蔵するタイプのノートパソコンも発売されています。本書では無線LANアダプタを接続したコンピュータを無線LANクライアントと呼びます。
無線LANアクセスポイント
無線LANクライアント同士が通信するための電波中継器です。有線LAN4のハブにあたります。スター型トポロジのように無線LANアクセスポイントに無線LANクライアントが接続する形態です。一般的に、無線LANアクセスポイントは有線でルータやスイッチに接続されています。なお、アドホックモード(後述)では無線LANアクセスポイントは必要ありません。本書では「AP」または「アクセスポイント」と略します。
インフラストラクチャモード
互いに通信できる無線LAN機器のグループをサービスセットといいます。サービスセットには3種類あります。
IRSS(Independent Basic Service Set) : アドホックモードのサービスセット名です。
BSS(Basic Service Set identity) : インフラストラクチャモード(APが1台の場合)のサービスセット名です。
ESS(Extended Service Set identity): インフラストラクチャモード(APが複数台の場合)のサービスセット名です。
SSID(Service Set Identifier)
SSIDとは、サービスセット識別子と呼ばれ、どの無線LANに所属するか識別するために使用されます。サービスセットがBSSである場合に利用される識別子をBSSIDといいます。BSSIDは、そのネットワークのアクセスポイントのMACアドレスと同じものです。
BSSの場合と異なり、ESSでの無線LANでは、電波を使って通信するため、複数のアクセスポイントがある場合、混信する可能性があります。混信を避けるために付けられるネットワーク名のような識別子をESSIDといいます。
※全てのAPが同じSSIDを設定する必要があります。
アクセスポイントと無線LANクライアントはSSIDを設定することで、どのサービスセットに所属するか設定できます。
アソシエーション
・パッシブスキャン
・アクティブスキャン
ローミングとは、無線LANクライアントが移動し、接続しているアクセスポイントの電波が届かなくなった場合に、別のアクセスポイントに接続を自動的に切り替える機能です。携帯電話が自動的に受信感度の高い基地局に切り替えるハンドオーバー機能に似ています。
アクセスポイントの設置位置
アクセスポイントは電波を使って通信をしています。そのため、設置位置を決める上で考慮する点が主に三つあります。
・電波が届く範囲を考慮する
アクセスポイントの電波は一般的に無指向性なので多方向に発信されます。正方形の部屋ならば中央にアクセスポイントを設置すると最も無駄がありません。また、電波を遮断する障害物がないか、指向性のアンテナを使用する場合にはアンテナの方向は関係ないかどうかも考慮します。
無指向性とは、全方向に電波を放射、感知するアンテナの事です。指向性アンテナは可変容量ダイオード等を用いて簡易に指向性を制御できるアンテナで、電波がどこから来ているかを知ることができます。
・電波干渉となるものを考慮する
無線LANの電波には2.4GHz帯の周波数を使用する規格があります。そのため、ドライヤーやコードレス電話のように同じ周波数帯を使用するものが近くにあると通信障害が起きます。また、周波数に限らず、金属は電波を吸収する性質があります。アクセスポイントと無線LANクライアントの途中に金属製品がないように気を付けましょう。
・複数のアクセスポイントを使う場合には異なるチャネルを使用する。
チャネルとは使用する周波数帯を分解したものです。こうする事で、同時に複数の機器がお互いに電波干渉することなく無線LANを利用できるようになります。アクセスポイントの設置位置によっては、通信エリアが重複する場合があります。この場合に各アクセスポイントが同じチャネルを使用していた場合、電波干渉が発生してしまいます。そのため、異なるチャネルを使用します。
周波数帯
・ISM(Industry Science and Medical)バンド
産業科学医療用に従来使用されていた2.4GHzの周波数帯をISMバンドと呼びます。医療用のメスや電子レンジに利用されています。
・5GHz帯
従来、衛星携帯電話に使われているため屋外での使用が禁止されています。しかし、4.9GHz~ 5.091GHz帯は解放され使用できるようになりました。
無線LANのセキュリティ
WEP(Wired Equivalent Privacy)
WEPとは無線通信を暗号化する技術です。先述のSSIDの隠蔽やMACアドレスフィルタリングでは盗聴には無防備でした。そこで、通信内容を暗号化することで盗聴を防ごうと考えられました。
WEPには以下のような特徴があります。
・クライアントとAPは同じWEPキーを設定する事で通信可能となる。
・WEPキーは手動で更新する必要がある。
・暗号化に必要な暗号キーはWEPキーとIV(ランダムなデータ)を連結したものを使用する。
・64bitの場合、WEPキーは40bitにする必要がある。
・128bitの場合、WEPキーは104bitにする必要がある。
・送信データの改ざん検知にはCRC32というアルゴリズムを使用する。
・CRC32で算出した改ざん検知用のデータ「ICV」は送信データに連結される。
現在では、WEPの脆弱性が発見されています。これについては次項で確認します。
WPAとはWEPの脆弱性を改善した規格です。大きな違いは以下の通りです。
ユーザ認証にIEEE802.1xとWPA-PSKが使用可能)
・IEEE802.1x
認証用のサーバを使用し、ユーザ名とパスワードによるユーザ認証を行います。WPAエンタープライズとも呼ばれます。概要は次項で紹介します。
・WPA-PSK
PSKを使用してAPとクライアントの接続を確立します。WEPキーと異なり、PSKは暗号化には利用されません。接続が確立すると、APから暗号化に使用する共有キーが送信されます。
暗号化にTKIP、改ざん検知にMICを採用(IEEE802.1x、WPA-PSK共通)
・TKIP
APが共有キーをユーザー毎に生成し、さらに定期的に共有キーを更新します。またIVが48bitに拡張されました。暗号キーは128bit固定で共有キーとIVを連結して作成されます。しかし、暗号化アルゴリズムはWEPと同じRC4を使用しています。
・MIC
CRC32 よりも強力な改ざん検出機能です。WPAでは、CRC32と併用されています。Michaelという技術を使用しています。APから提供されたMICキーを使用し、改ざん検知用のMICを生成します。
IEEE.802.11i(WPA2)
IEEE802.11iは、WPAを更にセキュリティを強化した規格です。また、WPA2とも呼ばれます。セキュリティが強化された点は、暗号化アルゴリズムにAESが採用されたことです。AESとはアメリカ政府も利用している強力な暗号化アルゴリズムです。WEPやWPAで利用されていたRC4よりも解読が困難とされています。
WPAでは、RC4(暗号化)とMIC(改ざん検知)のためにそれぞれの暗号キーとMIC気0の二つのキーによる処理が必要でした。
IEEE802.11iではCCMPという技術を用いて、AESで使用する暗号キー1つで暗号化と改ざん検知の両方行えるようになり、処理が効率的になっています。
認証にはWPA同様、IEEE802.1xとWPA-PSKが使用できます。
主なIEEE802.1x認証の流れは以下の通りです。
①クライアントとAPがお互いの存在確認をする。
②クライアントはAPを経由して、認証サーバとユーザ認証を行う。
③認証サーバは認証が成功すると暗号キーを生成し、APとクライアントに渡します。
※定期的に暗号キーは再生成されます。