WLAN セキュリティ
WPA1 および WPA2 について
Wi-Fi 保護アクセス (WPA または WPA1) および WPA2 は、無線 LAN システム用のデータ保護とアクセス コントロールを提供する Wi-Fi Alliance の規格ベースのセキュリティソリューションです。WPA1 は、IEEE 802.11i 規格に準拠していますが、規格の承認前に実装されたものです。これに対して、WPA2 は、承認された IEEE 802.11i 規格が Wi-Fi Alliance によって実装されています。
デフォルトで、WPA1 ではデータの保護に Temporal Key Integrity Protocol (TKIP) およびメッセージ整合性チェック (MIC) が使用されますが、WPA2 では Counter Mode with Cipher Block Chaining Message Authentication Code Protocol を使用したより強力な Advanced Encryption Standard (AES-CCMP) が使用されます。デフォルトでは、WPA1 および WPA2 のどちらも 802.1X を使用して認証キー管理を行います。ただし、次の方法も使用できます。
802.1X
IEEE によって定義された無線 LAN セキュリティの規格。802.1X for 802.11、または単に 802.1X と呼ばれます。802.1X をサポートするアクセス ポイントは、無線ネットワークを介して通信を行う相手となるワイヤレス クライアントと認証サーバ (RADIUS サーバなど) の間のインターフェイスとして機能します。[802.1X] が選択されている場合は、802.1X クライアントのみがサポートされます。802.1X は、Cisco 2700 シリーズの AP の AUX ポートではサポートされていません。
PSK (WPA 事前共有キーまたは WPA パスフレーズ)
PSK を選択した場合、事前共有キー (またはパスフレーズ) を設定する必要があります。このキーは、クライアントと認証サーバの間でペアワイズマスター キー (PMK) として使用されます。
CCKM (Cisco Centralized Key Management)
CCKM では、迅速なキーの再生成技術を使用しています。この技術を使用すると、クライアントは、通常 150 ミリ秒 (ms) 以下で、コントローラを経由せずにあるアクセス ポイントから別のアクセス ポイントにローミングできます。CCKM により、クライアントが新しいアクセス ポイントと相互に認証を行い、再アソシエーション時に新しいセッションキーを取得するために必要な時間が短縮されます。CCKM の迅速かつ安全なローミングにより、ワイヤレス VoIP (Voice over IP)、エンタープライズリソースプランニング (ERP)、Citrix ベースのソリューションなどの時間依存型アプリケーションで認識できるほどの遅延は発生しません。CCKM は、CCXv4 に準拠する機能です。CCKM が選択されている場合は、CCKM クライアントのみがサポートされます。
CCKM を有効にすると、アクセス ポイントの動作は、高速ローミングのコントローラとの次の点で異なります。
- クライアントから送信されるアソシエーション要求の Robust Secure Network Information Element (RSN IE) で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合、コントローラは完全な認証を行いません。代わりに、コントローラは PMKID を検証し、フォーウェイ ハンドシェイクをします。
- クライアントから送信されるアソシエーション要求の RSN IE で CCKM が有効になっているものの、CCKM IE がエンコードされておらず、PMKID だけが RSN IE でエンコードされている場合でも、AP は完全な認証を行います。CCKM が RSN IE で有効になっている場合、このアクセス ポイントではアソシエーション要求と一緒に送信される PMKID は使用されません。
802.1X+CCKM
通常の動作状態の間、802.1X が有効になっているクライアントは、主要な RADIUS サーバとの通信を含む完全な 802.1X 認証を実行することにより、新しいアクセス ポイントとの相互認証を行います。ただし、802.1X および CCKM の迅速で安全なローミング用に WLAN を設定した場合、CCKM が有効になっているクライアントは、RADIUS サーバに対して再認証せずに、あるアクセス ポイントから別のアクセス ポイントに安全にローミングを行います。このオプションが選択されている場合、CCKM クライアントと非 CCKM クライアントの両方がサポートされるため、802.1X+CCKM はオプションの CCKM と見なされます。
単一の WLAN では、WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM のクライアントに接続を許可できます。このような WLAN のアクセス ポイントはいずれも、ビーコンとプローブ応答で WPA1、WPA2、および 802.1X/PSK/CCKM/802.1X+CCKM 情報要素をアドバタイズします。WPA1 または WPA2、あるいは両方を有効にした場合は、データトラフィックを保護するために設計された 1 つまたは 2 つの暗号方式 (暗号化アルゴリズム) を有効にすることもできます。具体的には、WPA1 または WPA2、あるいはその両方に対して、AES または TKIP、またはその両方を有効にすることができます。TKIP は WPA1 のデフォルト値で、AES は WPA2 のデフォルト値です。
AAA Override について
WLAN の AAA Override オプションを使用すると、WLAN で Identity ネットワーキングを設定できます。これにより、AAA サーバから返される RADIUS 属性に基づいて、個々のクライアントに VLAN タギング、Quality Of Service (QoS)、およびアクセス コントロール リスト (ACL) を適用することができます。
レイヤ2セキュリティの前提条件
同じ SSID を持つ WLAN には、ビーコン応答とプローブ応答でアドバタイズされる情報に基づいてクライアントが WLAN を選択できるように、一意のレイヤ2セキュリティ ポリシーが設定されている必要があります。使用可能なレイヤ2セキュリティ ポリシーは、次のとおりです。
- なし (オープン WLAN)
- Static WEP と 802.1x はどちらも、ビーコン応答とプローブ応答でアドバタイズされるため、クライアントはこれらを区別できません。したがって、同じ SSID を持つ複数の WLAN では、それらの両方を使用できません。
- 802.1x WEP はサポートされていません。
- Static WEP は、1810、1830、1850、2800、および 3802 アクセス ポイントではサポートされていません。
- CKIP
- WPA+WPA2
- 同じ SSID を持つ複数の WLAN で WPA と WPA2 を使用することはできませんが、同じ SSID を持つ 2 つの WLAN は、PSK を使用する WPA/TKIP と 802.1X を使用する Wi-Fi Protected Access (WPA)/Temporal Key Integrity Protocol (TKIP) で設定するか、802.1X を使用する WPA/TKIP または 802.1X を使用する WPA/AES で設定することができます。
- TKIP サポートが設定された WLAN は RM3000AC モジュールでは有効になりません。
- WPA2+WPA3
- 拡張オープン
WLAN セキュリティの設定方法
静的 WEP レイヤ2セキュリティ パラメータの設定 (GUI)
手順
[Configuration]>[Tags & Profiles]>[WLANs]を選択します。[WLANs]ページで、WLAN の名前をクリックします。[Edit WLAN]ウィンドウで[Security]タブをクリックします。[Layer 2 Security Mode]ドロップダウンリストから[Static WEP]オプションを選択します。- (任意)
[Shared Key Authentication]チェック ボックスをオンにして、認証タイプを共有に設定します。このチェック ボックスをオフのままにすると、認証タイプはオープンに設定されます。 [Key Size]を[40 bits]または[104 bits]に設定します。[40 bits]: 40 ビット暗号化を使用したキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。[104 bits]: 104 ビット暗号化を使用したキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。
- 適切な
[Key Index]を設定します。1~4 の範囲で選択できます。 [Key Format]を[ASCII]または[Hex]のいずれかに設定します。- 有効な
[Encryption Key]を入力します。[40 bits]: 40 ビット暗号化を使用したキーには、ASCII テキスト文字が 5 文字と 16 進数文字が 10 文字必要です。[104 bits]: 104 ビット暗号化を使用したキーには、ASCII テキスト文字が 13 文字と 16 進数文字が 26 文字必要です。
[Update & Apply to Device]をクリックします。
静的 WEP レイヤ2セキュリティ パラメータの設定 (CLI)
始める前に
管理者特権が必要です。
手順
| コマンドまたはアクション | 目的 |
|---|---|
configure terminal例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
wlan profile-name wlan-id SSID_Name例: Device# wlan test4 1 test4 |
WLAN コンフィギュレーション サブモードを開始します。profile-name は設定する WLAN のプロファイル名です。wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1~512 です。SSID Name は、最大 32 文字の英数字からなる SSID です。(注) すでにこのコマンドを設定している場合は、 wlan profile-name コマンドを入力します。 |
disable ft例: Device (config-wlan) % disable ft |
高速移行を無効にします。 |
no security ft over-the-ds例: Device (config-wlan)# no security ft over-the-ds |
WLAN のデータ ソース経由の高速移行を無効にします。 |
no security ft例: Device (config-wlan)# no security ft |
WLAN の 802.11r 高速移行をディセーブルにします。 |
no security wpa{akm | wpa1 | wpa2}例: Device (config-wlan)# no security wpa wpa1 ciphers tkip |
WLAN の WPA/WPA2 サポートを無効にします。 |
security static-wep-key [authentication {open | shared}]例: Device (config-wlan) # security static-wep-key authentication open |
キーワードは次のとおりです。static-wep-key: 静的な WEP キー認証を設定します。 |
WPA + WPA2 レイヤ2セキュリティ パラメータの設定 (GUI)
[Configuration]>[Tags and Profiles]>[WLANs]をクリックします。[Add]をクリックして新しい WLAN プロファイルを追加するか、編集するプロファイルをクリッ クします。[Edit WLAN]ウィンドウで[Security]>[Layer2]をクリックします。[Layer 2 Security Mode]ドロップダウン メニューから[WPA + WPA2]を選択します。- セキュリティ パラメータを設定して
[Save and Apply to Device]をクリックします。
WPA + WPA2 レイヤ2セキュリティ パラメータの設定 (CLI)
始める前に
管理者特権が必要です。
手順
| コマンドまたはアクション | 目的 |
|---|---|
configure terminal例: Device# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
wlan profile-name wlan-id SSID_Name例: Device# wlan test4 1 test4 |
WLAN コンフィギュレーション サブモードを開始します。profile-name は設定する WLAN のプロファイル名です。wlan-id はワイヤレス LAN の ID です。指定できる範囲は 1 ~ 512 です。SSID Name は、最大 32 文字の英数字からなる SSID です。(注) すでにこのコマンドを設定している場合は、 wlan profile-name コマンドを入力します。 |
security wpa {akm | wpa1 | wpa2}例: Device (config-wlan) # security wpa |
WLAN の WPA または WPA2 サポートを有効にします。 |
security wpa wpa1例: Device (config-wlan) # security wpa wpa1 |
WPA を有効にします。 |
security wpa wpa1 ciphers [aes | tkip]例: Device (config-wlan) # security wpa wpa1 ciphers aes |
WPA1 暗号を指定します。次のいずれかの暗号化タイプを選択します。
WPA1 および WPA2 のデフォルト値は、それぞれ TKIP および AES です。(注) CLI を使用してのみ TKIP 暗号化を有効または無効にできます。GUI での TKIP 暗号化の設定はサポートされていません。 WGB に VLAN 設定がある場合、 |
security wpa akm {cckm| dot1x | ft | pmf | psk} |
CCKM、802.1x、Fast Transition、Protected Management Frame、または PSK を有効または無効にします。 |
security wpa akm psk set-key {ascii | hex} psk-key |
PSK を有効にしている場合は、このコマンドを入力して事前共有キーを指定します。 WPA の事前共有キーには、8~63 文字の ASCII テキスト、または 64 桁の 16 進数文字が含まれている必要があります。 |
security wpa akm ft {dot1x | psk} |
高速移行に対して認証キー管理スイートを有効または無効にします。 (注) AKM スイートとして PSK または高速移行 PSK を選択できます。 |
security wpa wpa2例: Device (config-wlan) # security wpa |
WPA2 を有効にします。 |
security wpa wpa2 ciphers aes例: Device(config-wlan)# security wpa wpa2 ciphers aes |
WPA2 暗号化を設定します。aes: WPA/AES のサポートを指定します。 |
show wireless pmk-cache |
PMK キャッシュの有効期間タイマーの期限が切れるまでの残りの時間を表示します。 802.1X 認証キー管理で WPA2、または CCKM 認証キー管理で WPA1 または WPA2 を有効にした場合、必要に応じて、PMK キャッシュ ライフタイム タイマーを使用して、クライアントでの再認証をトリガーします。タイマーは、AAA サーバから受信したタイムアウト値または WLAN のセッション タイムアウト設定に基づきます。 802.1X 認証キー管理で WPA2 を有効にした場合、コントローラは opportunistic PMKID キャッシュと sticky (non-opportunistic) PMKID キャッシュの両方をサポートします。sticky PMKID キャッシュ (SKC) では、クライアントは複数の PMKID (アソシエートする AP ごとに異なる) を保存します。 opportunistic PMKID キャッシュ (OKC) は、クライアントあたり 1 つの PMKID だけを保存します。デフォルトで、コントローラは OKC をサポートします。 (注) このコマンドは、VLAN オーバーライド フィールドに VLAN プーリング機能を含む VLAN ID を表示します。 |
end例: Device (config)# end |
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
