無線LANセキュリティの救世主 IEEE802.1ｘについて 環境情報3年 蟻川　朋未

はじめに 無線ＬＡＮの脆弱性 もはや従来のままでは対応できなくなっている →IEEE802.1xに注目

プレゼンテーション内容 １．無線LANセキュリティの実状とIEEE802.1ｘ ２. IEEE802.1xとは ３．実際の導入 ４．まとめ

1. 無線LANセキュリティの実状とIEEE802.1x

1-1．無線LANセキュリティの 実状　 SSID（ESSID） WEP（共通鍵） MACアドレスフ ィルタリング

1-2．IEEE802.1xによる 　　　　セキュリティ強化 ・認証の厳密化 ・鍵配布

2.　IEEE802.1xとは

2-1.IEEE802.1xの誕生 1998年 IEEE（米国電気電子技術者協会）で有線LAN向けの仕様として検討開始 2001年 仕様決定 2001年　仕様決定 2002年2月　公開 不正なLANアクセスを防ぎ、正規ユーザーだけにLANを使わせるための認証規格 →無線LANに適用

2-2.認証の厳密化 ・認証サーバーとアクセスポイントが連携して、ユーザーを認証 ・WEPでの通信を開始する前にユーザー名/パスワードや電子証明書を使って認証し、不正なユーザーのアクセスを拒否する。 ・認証方式はEAPにより選択可能

鍵配布 認証時にWEPキーを端末に配布する。 一定時間たつと新しいWEPキーを再配布する Air Snortなどの攻撃を防ぐことができる

2-3.IEEE802.1xを適用した認証シーケンス                                                                                                                                                                                                             

3.　実際の導入

3-1.では導入してみよう 802.1ｘ対応のアクセスポイントを 導入する場合、これらをチェックすること 　802.1ｘ対応のアクセスポイントを 　導入する場合、これらをチェックすること ①動作確認済みのRADIUSサーバー（認証サーバー）の種類 ②認証方式 ③802.1x対応のクライアントソフト

3-1-1.RADIUSサーバーとは RADIUS・・・ダイヤルアップ接続のための認証システム、または認証を行うためのプロトコル

①RADIUSサーバーの種類 大きく三つに分けられる Windows2000 Serverに標準で付属するRADIUSサーバー 　「Internet Authentication Server(IAS)」 米Funk Software社の「Odyssey」 アクセスポイント・ベンダーが販売しているRADIUSサーバー

IASの場合 アイコム、インテル、コンテックはIASとの連携動作だけを保証 メリット 　・Windows2000Serverをすでに利用しているなら追加の費用がかからない。 　・マイクロソフトが無償でクライアントソフトを配布

Odysseyの場合 NECインフロンティア、エンテラシス・ネットワーク、富士通、プロキシムがサポート IASとの連携動作も保証

アクセスポイント・ベンダーがサポートしているRADIUSサーバーの場合 NEC、シスコシステムズ、メルコ シングル・ベンダーでシステムを構築する場合 RADIUSサーバー、アクセスポイント、無線LANカード、とも自社製品の組み合わせでしか動作を保証しない

RADIUSサーバ－の種類① Enterpras ステラクラフト （TLS） NavisRadius4.3 日本ルーセント fullflex wireless　アクセンス・テクノロジー 初めて一般的な認証手順を全てサポート AirStation Radius IEEE802.1x/EAP対応RADIUSサーバソフト　メルコ Capcella Radius Server　ZAOnetworks （MD5、TLS）

RADIUSサーバーの種類② SecureACS シスコシステムズ株式会社 （LEAP、EAP-PEAP、EAP-TLS、EAP-MD5） IAS Microsoft Steel Belt RADIUS、Odyssey　Funk社 FreeRADIUS　freeradius.org　

3-1-2.認証方式 MD5-Challenge TLS PEAP EAP-TTLS LEAP

MD5 クライアント認証はMD５アルゴリズムを用いたパスワード方式 →簡単なパスワードだと破られる サーバー認証を行わない →別のサーバーに変えられて盗聴されるという危険性

TLS SSLの後継 デジタル証明書を用いたPKI（公開鍵暗号）による相互認証 WEPキーの配布 パケットの暗号化

EAP-TTLS 米FunkSoftware社による TLS認証の後、RADIUSでのユーザー認証を実行する デジタル証明書は用いない

PEAP Microsoft社による TLS認証の後、EAP自体をカプセル化して安全性を高めた上で認証 アクセスポイント間でのローミング機能がある

認証方式の比較

3-1-4.802.1xの導入                                                                                                                                             

3-1-5. ＳＦＣでの導入 現状 機種：MELCO社 AIRCONNECTWLA-L11 規格：ARIB STD-T66/RCR STD-33　　　　　　　　IEEE802.11b準拠 ESSID設定　 　　学部→ 000000SFC　大学院 → 000000MAG 無線チャンネル設定　主に「10」を設定 WEP設定　なし

SFCでの導入 RADIUSサーバー：IAS 認証方式：TTLS、PEAP、LEAP SSIDのAnyアクセス拒否が可能なもの →富士通のFMWT-52AB 　プロキシムのORiNOCO AP-2000 ??

4.まとめ 認証方式やRADIUSサーバーなど乱立しているので、自分の環境に合わせて導入方法を選択しよう。