データの暗号化と認証の設定
暗号化の概要
WEP 暗号化を有効にする
システム管理者のタスク
クライアントを WEP と MD5 の認証用に設定する
WEP または TKIP 認証でクライアントを WPA-PSK 用に設定する
TKIP 暗号化と TLS 認証を使用してクライアントを WPA 用に設定する
TKIP 暗号化と TLS 認証または PEAP 認証を使用してクライアントを WPA 用に設定する
CKIP 暗号化と LEAP 認証を使用してクライアントを CCX 用に設定する
WEP(Wired Equivalent Privacy)暗号化と共有認証は、ネットワーク上でのデータの保護を支援します。 WEP は、データが伝送される前に暗号キーを使ってデータを暗号化します。 同じ暗号キーを使用するコンピュータのみがネットワークにアクセスしたり他のコンピュータによって送信された暗号化されたデータを復号できます。 認証は、アダプタからアクセス ポイントへの追加検証を提供します。WEP 暗号化アルゴリズムは、あらゆるタイプのネットワークに対する攻撃に対し、安全性が劣ります。 TKIP と CKIP アルゴリズムでは WEP プロトコルが向上され、既存のネットワークへの攻撃を弱め、WEP の弱点が強化されています。
802.11 は、64 ビットと 128 ビットの WEP 暗号化を使用する [オープン システム] と [共有] の 2 種類のネットワーク認証をサポートします。 オープン システムは特定のアクセス ポイントに関連付けるのに暗号化認証の方法を必要としません。 サポートされる認証スキーマは、オープン認証と共有認証です。
データの暗号化 (WEP、WEP、CKIP、または TKIP) がオンの場合、ネットワーク キーを使用して暗号化が行われます。 ネットワーク キーは自動的に提供される(ワイヤレス ネットワーク アダプタに提供されている場合など)こともあれば、自分でキーを入力し、キーの長さ(64 ビットか 128 ビット)、キーの形式(ASCII 文字か 16 進数の値)、キー インデックス(特定のキーが保管される場所)を指定することもできます。 キーの長さが長いほど、安全性も高くなります。 キーを 1 ビット長くすると、可能なキーの数は 2 倍になります。
802.11 では、ワイヤレス ステーションに最高 4 つのキーを設定できます。 キー インデックスの値は、1、2、3、または 4 になります。 特定のキー インデックスに保管されているキーを使用して、アクセス ポイントかワイヤレス ステーションが暗号化されたメッセージを転送する場合、転送されるメッセージには、本文の暗号化に使用されたキー インデックスが示されます。 受信側のアクセス ポイントやワイヤレス ステーションでは、キー インデックスに保管されているキーが取得され、メッセージ本文の復号化に使用されます。
802.1x では、静的キーと動的キーの、2 種類の暗号化キーが使用されます。 静的暗号化キーは手作業で変更され、安全性は低くなります。 MD5 認証では、静的な暗号化キーのみが使用されます。 動的な暗号化キーは、定期的に自動更新されます。 このため、暗号化キーはより安全です。 動的な暗号化キーを使用するには、TLS、TTLS、PEAP、LEAP などの 802.1x 認証方法を使用することが必要です。
802.1x の認証の要点
802.1x の認証方法では、パスワード、証明書、およびスマート カード(データを保管するプラスチック製のカード)を使用します。 802.1x パスワードの同期機能は、 [MD5、TLS、TTLS、LEAP クリデンシャル] ダイアログの [Windows のログオンを使用する] オプションは、802.1x クリデンシャルが Windows のユーザ名とパスワードを使用できるようにします。 802.1x 認証オプションは、 インフラストラクチャ モードでのみ使用できます。
WLAN では、WEP (Wireless Encryption Protocol) によるデータの暗号化を使用にしてセキュリティを強化できます。 64 ビットまたは 128 ビットのレベルの暗号化を選択できます。 また、キーを使用してデータを暗号化することもできます。 キー インデックスと呼ばれるパラメータは、プロファイルに複数のキーを作成するオプションを提供します。 ただし、一度に使用できるキーは 1 つのみです。 また、プライバシーを確実にするためにプロファイルをパスワードで保護できます。
WEP キーを自動的に作成するにはパス フレーズを使用します。パス フレーズを使用するか、WEP キーを手動で入力するかを選択できます。 64 ビットの暗号化を使用する場合は、忘れにくい任意の 5 文字までの英数半角文字 (たとえば Acme1) でパス フレーズを入力するか、接続するネットワークに対応する WEP キーを 10 個の16進数で入力します。 128 ビットの暗号化では、13 文字の英数半角文字でパス フレーズを入力するか、WEP キー用の 26 個の16進数文字を入力して、対応するネットワークに接続することができます。
注: ワイヤレス ネットワークにある他のデバイスが使用するのと同じ暗号化の種類、キー インデックス番号と WEP キーを使用する必要があります。
次の例では、既存のプロファイルを編集する方法と、WEP 暗号化を適用する方法について説明します。
注: 開始する前に、ネットワーク WEP パスフレーズまたは 16 進キーについてシステム管理者にお問い合わせください。
WEP 暗号化を有効にするには以下の手順に従います。
- パス フレーズの使用: 有効にするには、このオプションをクリックします。 パス フレーズのフィールドに、テキスト フレーズを 5文字(64 ビットの場合) または 13文字 (128 ビットの場合)までの英数文字(0-9、a-z または A-Z)で入力します。
- 16 進キーの使用: 有効にするには、このオプションをクリックします。 16 進キーのフィールドに、10 文字 (64 ビットの場合) までの英数文字(0-9、A-F)、または 26 文字 (128 ビットの場合) までの英数文字(0-9、A-F)を入力します。
![]() |
注: 次の情報は、システム管理者を対象に書かれています。 詳細は、管理者権限と制限されたユーザを参照してください。 |
EAP-TLS や EAP-TTLS の証明書がない場合は、認証を行うためにクライアント証明書を入手する必要があります。 一般的に、ネットワークで証明書を取得する方法については、システム ネットワーク管理者に問い合わせてください。 証明書は、Internet Explorer か Windows の [コントロール パネル] からアクセスできる [インターネット オプション] で管理できます。 [インターネット オプション] の [コンテンツ] ページを使用します。
Windows XP と 2000 を使用する場合: クライアント証明書を入手する際に、[秘密キーの保護を強力にする] を選択しないでください。 証明書で秘密キーの保護を強力にすると、この証明書を使用するたびに、パスワードの入力が必要になります。 TLS/TTLS 認証のサービスを設定する際は、このオプションを必ずオフにします。 オンにすると、プロンプト ダイアログを表示する対象となるログインしたユーザが存在しないため、802.1x サービスで認証に失敗します。
スマート カードに関する注意事項
スマート カードをインストールすると、証明書は自動的にコンピュータにインストールされ、個人証明書ストアとルート証明書ストアから選択できるようになります。
手順 1: 証明書を入手する
TLS 認証を行うには、ログインしたユーザのアカウントに対し、ローカル データベースに有効なクライアント(ユーザ)証明書が必要です。 また、ルート ストアにトラステッド CA の証明書が必要です。
証明書は、次の 2 つの方法で入手できます。
注: 初めて証明書を入手する場合は、トラステッド CA の証明書をルート ストアにインストールするかどうかを尋ねられます。 ダイアログには、これがトラステッド CA の証明書であることは表示されませんが、証明書の名前が、CA のホストであるトラステッド CA の証明書であることを示します。 [はい]をクリックします。この証明書は、TLS と TTLS の両方に必要です。
TLS 認証を使用して、WEP または TIKP 暗号化を行う WPA 認証を使用するプロファイルを設定するには
手順 2: Intel(R) PROSet で使用する証明書を指定する
注:クライアント証明書を入手して、インストールします。 詳しくは手順 1 を参照するか、システム管理者に問い合わせてください。[中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。 チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
サーバ/証明書名を入力します。 サーバ/証明書名がわかっている場合は、その名前を入力します。 サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
クライアント証明書:このオプションでは、Windows のログインしたユーザの個人用証明書ストアから、クライアント証明書が選択されます。 この証明書がクライアントの認証に使用されます。 インストールされている証明書のリストを表示するには、[選択] ボタンをクリックします。
証明書に関する注:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。
WEP 認証と MD5 認証を新しいプロファイルに追加するには以下の手順に従います。
注: 作業を始める前に、システム管理者に RADIUS サーバのユーザ名とパスワードを問い合わせてください。
- 接続時にクリデンシャルを入力する: ネットワークにログオンするたびにユーザ名とパスワードの入力が求められます。
- Windows のログオンを使用する: このオプションは、802.1x クリデンシャルが Windows のユーザ名とパスワードを使用できるようにします。 接続する前に [クリデンシャル] ダイアログが表示され、Windows のログオン クリデンシャルの入力を求めます。
- ユーザ クリデンシャルの保存: 保存されたクリデンシャルを使用してネットワークにログオンします。 [設定] をクリックして、クリデンシャルのダイアログを開きます。 認証サーバに作成したユーザ アカウントのユーザ名、ドメイン、およびパスワードを入力します。 これらのクリデンシャルは、この 802.1x プロファイルを今後使用するために保存されます。 このユーザ名とパスワードは、Windows ユーザ ログオンのユーザ名/パスワードと一致する必要はありません。 [OK] をクリックしてクリデンシャルを保存します。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
- [セキュリティの設定] ダイアログで [Windows ログオンを使用する] を選択せず(手順 13)ユーザ クリデンシャルを設定しなかった場合は、このプロファイルへの接続が試行されると [クリデンシャルの入力] ダイアログが表示されます。 Windows のユーザ名とパスワードを入力します。 [ユーザ クリデンシャルの保存] のチェックボックスをチェックして、クリデンシャルをこの 802.1x プロファイルで今後使用するために保存します。
認証サーバを使用していない場合は、WPA-PSK(Wi-Fi Protected Access - Pre Shared Key) を使用します。 このモードは、802.1x 認証プロトコルを使用しません。 このモードでは WEP または TKIP データ暗号化を使用できます。 WPA-PSK では、PSK(Pre-Shared Key)の設定が必要です。 256 ビットの PSK に、パス フレーズか、64 個の 16 進文字を入力します。 データの暗号化キーは、PSK から取得されます。
WPA-PSK ネットワーク認証で WEP または TKIP 暗号化を使用するプロファイルを設定するには以下の手順に従います。
TLS、TTLS、PEAP では、WPA(Wi-Fi Protected Access)モードを使用できます。 この 802.1x 認証プロトコルでは、データの暗号化オプションに [WEP] または [TKIP] を使用します。 WPA (Wi-Fi Protected Access) モードは、802.1x 認証にバインドします。 データの暗号化キーは、802.1x キー交換から取得されます。 データ暗号化を向上するために、WFP (Wi-Fi Protected) アクセスでは TKIP (Temporal Key Integrity Protocol) が使用されます。 TKIP では、キーの再発行を含む、重要なデータ暗号化の強化が行われます。
[ユーザ名] フィールドにユーザ名を入力します。
リストから [証明書発行元] を選択します。 デフォルトとして、[トラステッド CA のいずれか] を選択します。
[中間証明書を許可する] チェックボックスをチェックすると、サーバ証明書チェーンで、サーバ証明書と指定した CA の間に指定されていない証明書を使用することができます。 チェックしない場合は、指定した CA が直接サーバ証明書を発行することが必要です。
サーバ名を入力します。 サーバ名がわかっている場合は、その名前を入力します。 サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
証明書に関する注: 指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。
TTLS 認証:これらの設定では、ユーザの認証に使用されるプロトコルと必要な情報が定義されます。 TTLS では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。 クライアントは、この暗号化チャネルを通じたサーバの検証で、別の認証プロトコルを使用することもできます。 一般的にパスワードに基づくプロトコルが使用されます。 チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。
PEAP 認証:PEAP 設定は、クライアントを認証サーバで認証する際に必要になります。 PEAP では、クライアントが EAP-TLS を使用してサーバを検証し、クライアントとサーバ間に TLS 暗号化チャネルが作成されます。 クライアントは、この暗号化チャネルを通じたサーバの検証で、別の EAP プロトコルを使用することもできます。 たとえば、MSCHAP (Microsoft Challenge Authentication Protocol) バージョン 2 などです。 チャレンジ/応答パケットは、保護された TLS 暗号化チャネルで送信されます。
次の例で、TTLS 認証または PEAP 認証を使用して、WEP または TKIP 暗号化と WPA を使用する方法を説明します。
サーバ名を入力します。
- サーバ名がわかっている場合は、その名前を入力します。
- サーバ名に対応するオプションを正確に選択するか、ドメイン名を指定します。
- 接続時にクリデンシャルを入力する: ネットワークにログオンするたびにユーザ名とパスワードの入力が求められます。
- Windows のログオンを使用する: このオプションは、802.1x クリデンシャルが Windows のユーザ名とパスワードを使用できるようにします。 接続する前に [クリデンシャル] ダイアログが表示され、Windows のログオン クリデンシャルの入力を求めます。
- ユーザ クリデンシャルの保存: 802.1x 認証プロファイルを使用する場合は、このボックスを選択して Windows のユーザ名とパスワードを今後の使用のために保存します。 [設定] をクリックしてユーザ名、ドメイン、パスワードを入力します。 [パスワードの確認] テキストボックスにパスワードを再入力して [OK] をクリックして設定を保存し、ダイアログを閉じます。 このユーザ名とドメインは、クライアントの認証に先立って、システム管理者が認証サーバに設定したユーザ名と一致する必要があります。 ユーザ名では大文字と小文字が区別されます。 このユーザ名で、TLS トンネルの認証プロトコルで認証の際に送信される ID が指定されます。 このユーザ ID は、暗号化チャネルが検証および確立された後に、サーバーに安全に転送されます。 ユーザ パスワードを再入力します。 確認された場合は、[パスワード] フィールドに入力されたパスワードの文字が表示されます。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
証明書に関する注:指定した ID は証明書の [発行先] フィールドと一致し、認証システムで使用される認証サーバ(RADIUS サーバなど)に登録されていることが必要です。 証明書は、認証サーバに対して「有効」であることが必要です。 このための必要要件は認証サーバによって異なり、一般的に、証明書の発行者が証明機関として認証サーバに認識されていることが必要になります。 ログイン時には、証明書のインストール時と同じユーザ名を使用します。
- [セキュリティの設定] ダイアログで [Windows ログオンを使用する] を選択せず(手順 15)ユーザ クリデンシャルを設定しなかった場合は、このプロファイルへの接続が試行されると [クリデンシャルの入力] ダイアログが表示されます。 Windows のユーザ名とパスワードを入力します。 [ユーザ クリデンシャルの保存] のチェックボックスをチェックして、クリデンシャルをこの 802.1x プロファイルで今後使用するために保存します。
![]() |
注: LEAP プロファイルは、Intel(R) PROSet を使用してのみ設定できます。 |
特定の ESS または無線 LAN ネットワークに接続するには Intel(R) PROSet CCX (v1.0) プロファイルを設定する必要があります。 プロファイルの設定には、LEAP、CKIP および Rogue AP 検索の設定が含まれます。
CCX セキュリティ設定のプロファイルを設定するには以下の手順に従います。
- 接続時にクリデンシャルを入力する: ワイヤレス ネットワークに接続するたびにユーザ名とパスワードを入力するには、このボックスを選択します。 ユーザ名とパスワードは、最初にシステム管理者によって認証サーバに設定される必要があります。 手順 13 に進みます。
- Windows のログオンを使用する:このオプションは、802.1x クリデンシャルが Windows のユーザ名とパスワードを使用できるようにします。 ユーザ名とパスワードを入力する必要はありません。 手順 13 に進みます。
- ユーザ クリデンシャルの保存:802.1x 認証プロファイルを使用する場合は、このチェックボックスを選択して Windows のユーザ名とパスワードを今後の使用のために保存します。 [設定] をクリックしてユーザ名、ドメイン、パスワードを入力します。 [パスワードの確認] テキストボックスにパスワードを再入力して [OK] をクリックして設定を保存し、ダイアログを閉じます。 このユーザ名とドメインは、クライアントの認証に先立って、システム管理者が認証サーバに設定したユーザ名と一致する必要があります。 ユーザ名では大文字と小文字が区別されます。 このユーザ名で、TLS トンネルの認証プロトコルで認証の際に送信される ID が指定されます。 このユーザ ID は、暗号化チャネルが検証および確立された後に、サーバーに安全に転送されます。 ユーザ パスワードを再入力します。 確認された場合は、[パスワード] フィールドに入力されたパスワードの文字が表示されます。
注: [Windows のログオンを使用する] が灰色表示されている(アクセス不可)場合、シングル サインオン機能はインストールされていません。 [Windows のログオンを使用する] 機能のインストール手順については、シングル サインオン機能のインストールとアンインストールを参照してください。
アクセス ポイントは WLAN 環境に従って異なる認証のタイプを選択するための設定を提供します。 クライアントは、802.11 規格で接続を確立するためにクライアントとアクセス ポイント間で行われる認証ハンドシェーク中に認証アルゴリズム フィールドを送信します。 CCX を有効にしたアクセス ポイントによって認識される認証アルゴリズムの値は、認証タイプによって異なります。 たとえば、LEAP を指示する「Network-EAP (ネットワーク EAP)」は 0x80 の値を持ち、802.11 で指定されたオープン システムの認証である「Open (オープン システム)」とEAP ハンドシェークを必要とする 「Required EAP (必須 EAP)」では 0x0 の値を持ちます。
アクセス ポイント: [Network-EAP] チェックボックスをチェックし、[Open] と [Required EAP] チェックボックスのチェックマークを外して設定する LEAP 認証タイプのみを使用して CCX を有効にしたネットワークです。 これにより、アクセス ポイントは LEAP クライアントのみを認証と接続に許可するように設定されます。 この場合、アクセス ポイントは 802.11 認証アルゴリズムが 0x80(LEAP)に設定されていることを予期し、認証アルゴリズムの値に 0x0 を持つクライアントが認証を試行すると拒否します。
クライアント: クライアントが認証アルゴリズム値 0x80 を送信しない場合、802.11 認証ハンドシェークは失敗します。 起動中に無線 LAN ドライバがすでにロードされているが Intel(R) PROSet サプリカントがまだロードされていない場合には、クライアントは認証アルゴリズム値 0x0 を持つ 802.11 認証を送信します。 Intel(R) PROSet のサプリカントがロードされ、LEAP プロファイルが実行されると、認証アルゴリズムの値に 0x80 を使用して、802.11 認証が送信されます。
アクセス ポイント: [Network-EAP]、[Open]、[Required EAP] チェックボックスがチェックされている場合、802.11 認証アルゴリズム値 0x0 と 0x80 の両方を受け入れます。 ただし、クライアントが関連付けられ認証されると、アクセス ポイントは EAP ハンドシェークが実行されることを予期します。EAP ハンドシェークがただちに行われない場合、アクセス ポイントは約 60 秒間クライアントに応答しません。
クライアント: この場合は、クライアントは認証アルゴリズム値 0x80 または 0x0 を送信します。 両方の値は受け入れが可能で、802.11 認証ハンドシェークは成功します。 起動中に無線 LAN ドライバがすでにロードされると、クライアントは 認証アルゴリズム値 0x0 で 802.11 認証を送信します。 これは認証を受けるには適していますが、接続を確立するには対応する EAP または LEAP クリデンシャルがアクセス ポイントと通信する必要があります。
[Open] および [Required EAP only]
アクセス ポイント: アクセス ポイントの設定で [ネットワーク-EAP] チェックボックスがオフ、[オープン システム] および [必要な EAP] チェックボックスがオンの場合、アクセス ポイントでは認証アルゴリズム値 0x80 を使用する 802.11 認証を試行するすべてのクライアントが拒否されます。 アクセス ポイントは認証アルゴリズム値 0x0 を使用するクライアントを受け入れ、EAP ハンドシェークがただちに実行されることを予期します。 この場合、クライアントは特定のネットワーク設定に適した MD5、TLS、LEAP または他の EAP 方式を使用します。
クライアント: この場合、クライアントは認証アルゴリズム値 0x0 を送信する必要があります。 前述したように、最初の 802.11 認証ハンドシェークが繰り返されます。 まず、無線 LAN ドライバは認証アルゴリズム値 0x0 を使用して認証を開始し、サプリカントが処理を繰り返します。 クライアントでは、サプリカントがロードされ、LEAP プロファイルが実行された後でも、認証アルゴリズム値 0x0 を持つ 802.11 認証が送信されます。
LEAP プロファイルは、CCX により要求される Rogue AP 機能のクライアント実装を確実に実行します。 クライアントは、認証に失敗したアクセス ポイントを記録して、その情報を認証と接続が可能なアクセス ポイントに送信します。 また、サプリカントは認証アルゴリズムのタイプを 0x80 に設定します。 実装されるネットワーク設定と上述の [Open] および [Required EAP] のみ での設定が必要になる可能性があります。 この設定を使用可能にするには、クライアントは、認証アルゴリズム値 0x80 を必要とする上述の Network-EAP only と反対に、認証アルゴリズム値 0x0 を使用する必要があります。LEAP プロファイルはクライアントが [Network-EAP only]、[Open] および [Required EAP only] をサポートできるようにします。
注:詳細は、www.cisco.com (英語)にある Cisco Client extensions バージョン 2.0 ドキュメントを参照してください。