とは

PMKは pairwise master key の略で、暗号鍵を生成する基になるデータのこと。IEEE802.1X認証が終わると端末側と認証サーバ側でPMKを共有する。PMKキャッシュでは、PMKを複数のアクセス・ポイントにも持たせることでIEEE802.1Xの認証手順を省く。

とは

無線通信を利用したLAN。様々な規格が存在する。IEEE802.11 Working Groupで規格の標準化を行う。CSMA/CA方式。

※ 参考書に IEEE802.11iとeはあんまり解説されてなかったので省略。 ※ 2.4Ghz 帯域に電子レンジ、Bluetoothがいて、電波干渉が発生する。

通信方式

大きく2つ存在する。アドホックモードとインフラストラクチャモード。

・アドホックモード
アクセスポイント(以下、AP9を介さず無線LAN機器同士で直接通信する。DSやPSP同士で利用される。

・インフラストラクチャモード APを使用して無線LAN機器同士が通信を行うモード。企業内ネットワークにおいては、こっちが一般的。

チャネル

データの送受信に必要な周波数の幅のこと。無線LANでは、無線LAN機器同士でデータを送受信するためには、同じチャネルを使用する必要がある。
電波干渉を防ぐために近くに存在するアクセスポイント同士で異なるチャネルを使用するように設定することが必要。

• 802.11b は 1ch/6ch/11ch/14ch(日本だけ)のチャネル設計が推奨
• 802.11g は 1ch/5ch/9ch/13chのチャネル設計が推奨

セル

無線LANにおいてセルとはアクセスポイントから電波が届く範囲のこと。カバレッジとも呼ばれる。

伝送速度

1台のクライアントで全帯域を使用できるわけではなく、複数クライアントで「電波」を共有する必要があるため、実際には54 / クライアント台数になるのがシンプルな考え方。

BSSとESS

無線LANのインフラストラクチャモードで1つのAPとそのAPの電波内にいる配下の無線LANクライアントで構成されるネットワークをBSS(Basic Service Set)という。複数のBBSで構成されるネットワークはESS(Extended Service Set)という。

• BSSIDは48ビットで無線LANにおけるネットワーク識別子。BSSIDは通常、その無線LANネットワークのアクセスポイントのMACアドレスと同じものとなる。
• ESSIDはESSのID。最大32文字の英数字でAPや無線LAN端末に設定する。

無線LANでは、ESSIDが同じもの同士が通信することができる。ESSIDが異なっている場合、無線LANの電波がお互いに届く範囲でも、伝送規格や周波数が同じであっても無線LAN間での通信はできない。

SSIDとESSIDの違い

• SSIDは無線LANにおけるアクセスポイントの識別子
• ESSIDはアクセスポイントの識別子であるSSIDを複数のアクセスポイントを設置したネットワークにおいても使用できるようにした拡張識別子のこと。

ローミング

無線LANにおいて、ローミングは無線LANクライアントが異なるAP間を渡り歩けるような機能のこと。

隠れ端末

WLAN端末間において電波を通しにくい遮蔽物があったり、WLAN端末間に距離がありすぎてお互いの電波を検知できない場合は、ビジー状態と認識できないため、フレームの衝突が起こり、スループットが低下する。これを CAMA/CA wtith RTS/CTSで対処している。

IEEE802.11フレームフォーマット

Ethernetフレームサイズは64～1518byte。

接続手順

• パッシブスキャン：APからブロードキャストされるビーコンフレームを受信してESSIDの確認をし合いAuthenticationのフェーズに移行
• アクティブスキャン：APから一定時間ビーコンを受信できなかった場合にWLAN端末が行いたいESSIDの情報をプローブリクエストで送信しAPからその応答が得られれば、Authenticationフェーズに移行

使用チャネル・変調方式・ESSIDの相互確認後→「認証→アソシエーション→データのやりとり」という基本的なフローの理解が大事。

WEP(Wired Equivalent Privacy)とは

無線LAN通信において使用される暗号化技術。通信内容を傍受されない様に暗号化して送ります。 WEPは、RC4アルゴリズムをベースとした共通鍵暗号を採用している。暗号化は64bit or 128bitの共通鍵が使用される。この共通鍵をWEPキーと呼ぶ。

※ 現在は、脆弱性のあるWEPを使用することはほとんどない

無線LANのセキュリティ対策

• ESSIDステルス：ESSIDはビーコンやプローブに平文で含まれるため、だれでも簡単に入手できる。AP側の設定で、ビーコンにESSIDを含めない、そもそもビーコンをブロードキャストしない、ESSIDが一致しない限り、プローブ要求を無視する実装をする。また、ESSIDは漏洩することを前提として、1. デフォルト値は変更する 2. 興味を持たれる名前にしない
• ANY接続の拒否 : AP側で「ANY接続許可」を無効にする
• MACアドレスのフィルタリング : あらかじめAPに登録したMACアドレスのWLAN端末のみアクセスできるようにする。MACアドレスの偽装は容易なので注意が必要。
• 無線LANコントローラの導入：無線LANコントローラにより、不正APの監視、検知、排除を行うことができる。

WPA規格のTKIPまたはWPA2規格のCCMP

WPA2はIEEE802.11iが規格策定。
WPAはIEEE802.11iが標準化されるまでの暫定的な規格。2004年6月にIEEE802.11iの標準化作業が完了し、2004年9月にWPA2を策定。
WPA2は暗号化方式にCDCMP(Counter-mode CBC-MAC Protocol)を採用。CCMPは暗号化アルゴリズムにAESを採用。
IEEE802.1X認証は無線LANクライアントやアクセスポイントに手動で「認証鍵」の情報を設定しません。認証成功後に認証サーバ(Radiusサーバ9が自動的に生成しクライアントに配布します。

IEEE802.1X

有線LANや無線LANにおけるユーザ認証の規格。IEEE802.１X認証を行うためにはサプリカント、認証装置、認証サーバの3つの構成要素が必要となります。

• サプリカント(supplicant)
  クライアントのこと。また、クライアント上にインストールするソフトウェア。

• 認証装置(Authenticator)
  サプリカントと認証サーバの仲介役となるネットワーク機器。IEEE802.1X対応のLANスイッチまたは無線LANアクセスポイントのこと。

• 認証サーバ(Authentication Server) ユーザ認証を行うサーバのこと。IEEE802.1X/EAPに対応したRadiusサーバを使用する。

802.1X認証では、様々な認証が行えるようにEAP(PPP Extensible Authentication Protocol)プロトコルをサポートしている。EAPはPPP(Point-to-Point Protocol)を拡張したプロトコルであり、データリンク層プロトコルと認証プロトコルの仲介役となります。Authentication層はMD5,TLS,TTLS,PEAP,LEAPが利用可能。