無線LANのセキュリティ

無線LANのセキュリティ

主なセキュリティ対策

無線LANでは、データの漏洩や無線LANへの不正接続を防止するために、データの暗号化、端末認証などのセキュリティ対策があります。

データの暗号化

ワイヤレス通信では何も対策をしないと電波の範囲内にいる他のクライアントが、データを受信することが可能です。

そこで同じ電波内にいる他のクライアントがデータを傍受できないよう、RC4やAES(Advanced Encryption Standard)などの暗号化アルゴリズムを介して、データの暗号化をします。

端末認証

またワイヤレス通信では、電波が届く範囲であればアクセスポイントを介してインターネット接続することが可能です。

こういった不正接続を防止するためにも事前共有鍵認証(PSK認証)や、認証(RADIUS)サーバを介したIEEE802.1X認証などの手法が用いられます。

端末認証について

前ページで紹介した事前共有鍵認証、IEEE802.1X認証についてもう少し詳しく確認していきましょう。

事前共有鍵認証:PSK(Pre-shared key)認証

PSK認証は、クライアント、アクセスポイントが、それぞれ暗号鍵(パスフレーズ)を共有した上で、行われる認証方式です。共有済みの暗号鍵(パスフレーズ)を介して認証を行います。

IEEE802.1X認証

一方、IEEE802.1X認証は、アクセスポイントを介して、間接的に認証(RADIUS:Remote Authentication Dial-In User Service)サーバによって行われるIEEE802.1xプロトコルを利用した認証方式です。

クライアントは認証する際、アクセスポイントに認証要求をしますが、アクセスポイントはそのまま認証サーバに情報を中継します。

認証サーバは、アクセスポイントから受け取った情報を元に認証を許可するかどうかを通知し、アクセスポイントは認証サーバからの情報を元に、クライアントへの認証の許可をします。

実際に許可をするのはアクセスポイントであるため、この構成図ではオーセンティケータ(認証装置)という立ち位置になります。

またデータのやり取りで用いられるプロトコルは、IEEE802.1Xに基づいた、様々な認証が行えるEAP(PPP Extensible Authentication Protocol)です。

セキュリティ(暗号化)の規格

無線LANで用いられる主にデータの暗号化を軸としたセキュリティ規格としてWEP、WPA1~3を紹介します。

WEP(Wired Equivalent Privacy)

暗号化の際には64ビットまたは128ビットの共通鍵(WEPキー)を使用します。この共通鍵は、送信側と受信側で、暗号化、復号化のためのWEPキーを設定します。

暗号化の際には、RC4 アルゴリズムを元に暗号鍵が生成されます。またデータの完全性を保証するCRC32アルゴリズムを使用しますが、改ざん検知まではできません。

WPA(Wi-Fi Protected Access)

WEPのセキュリティ上の脆弱性を改良して生まれたのがWPAです。暗号化にはTKIP(Temporal Key Integrity Protocol)を使用します。TKIPにより通信の度に、暗号鍵を変えることができます。

暗号化自体のアルゴリズムには、RC4が用いられます。また改ざん検知には、MIC(Message Integrity Code)という方法が用いられます。

WPA2(Wi-Fi Protected Access2

標準化が完了したIEEE802.11iを反映させて誕生したのが、WPA2です。現在最も広く普及した規格になります。WPAとほとんど同じ動作をしますが、WPA2ではCCMPを使ってデータの暗号化します。

CCMP(Counter-mode CBC-MAC Protocol)は、AESというアルゴリズムに基づいて暗号化を行うプロトコルであり、
CCMPを介して最長 256 ビットの暗号鍵が利用できます。

また改ざん検知ではCCM (Counter with CBC-MAC)を介して改ざん検知ができます。

※AES(Advanced Encryption Standard):RC4より高いセキュリティを実現できる暗号化のアルゴリズム

WPA3(Wi-Fi Protected Access 3)

WPA3は、WPA2の脆弱性をさらに改善した規格です。

KRACK(無線LANの脆弱性を攻撃する総称)を無効化するために、認証方式としてSAE(Simultaneous Authentication of Equals)というハンドシェイクの手順を用いられます。

またWPA3ではハッカーなどが行う総当たり攻撃から保護するために、一定回数のログインに失敗したユーザをブロックする機能が含まれています。


NEXT>> ネットワークのセキュリティ対策