エンタープライズ:ニュース | 2002/07/19 22:20:00 更新 |
無線LAN環境のセキュリティ(後編) 有効な対策とは? (2/2)
増える802.1x対応製品
ただ802.1xにも問題がないわけではない。前編で触れたとおり、802.1xでもセキュリティ上の脆弱性が指摘されている。また方式が乱立しており、主なものだけでも、サーバ/クライアントの双方で電子証明書を利用するEAP(Extensible Authentication Protocol)-TLS、導入が容易なEAP-TTLS、シスコシステムズ独自方式のLEAP(EAP-Cisco Wireless)、EAP-MD5などがある。相互接続性や将来的な拡張を考えると、今すぐ「これ」と決めてしまうのも躊躇される。
さらに、802.1xをサポートしているOSは、現時点ではWindows XPのみだという点も、企業全体での導入を考えると障壁になるかもしれない。このうちWindows XPがサポートしているのは、EAP-TLSのみだ。
それでも業界全体を見れば、802.1xへの対応は確実に広まっている。今年後半以降、確実に導入事例は増えていくだろう。
例えば、シスコシステムズなどは積極的に、LEAP対応の無線LAN製品を展開している。またメルコが日本ルーセント・テクノロジーの協力で発表したオフィス向けの無線LANソリューション、「BAO」(BUFFALO Anywhere Office)では、EAP-TLS対応のRADIUS認証サーバ、「Navis Radius v4.2」を利用している。この製品はいずれ、EAP-TTLSにも対応する計画だ。
メルコのAirStasioin Proと組み合わせて802.1x/EAP-TLS認証を実現する「Navis Radius v4.2」。こちらは管理画面
サーバに関してはまた、「fullflex RADIUS」で知られるハッピーサイズの関係会社、アクセンス・テクノロジーも、EAP-MD5/EAP-TLS/EAP-TTLS対応の802.1xサーバを開発中だ。また日本にはまだ未上陸だが、米ファンクソフトウェアでは、802.1x準拠のクライアント/サーバ型製品、「Odyssey」をリリースしている。
他に、無線LAN環境と既存のネットワークとの間で、一種のゲートウェイの役割を果たしながら、セキュリティを実現するハードウェアアプライアンス型製品が、国内市場に投入されている。北米では昨年後半から提供されていた製品群だ。
まだ正式発表には至らないものの、先日のN+Iで紹介されたリーフエッジの「Edge Controller」
これらは、RADIUSサーバやLDAPといったバックエンドの認証サーバと連携しての認証を実現するほか、アクセス制御やQoS、VPNトンネルの設定、ローミングといった多様な機能を提供する。
製品名 | 開発元 | 国内販売代理店 |
「WG-1000」 | 米ブルーソケット | 東陽テクニカ |
「Vernier Networks System」 | 米バーニア・ネットワークス | テクマトリックス |
「Edge Controller」「Connect Server」 | 米リーフエッジ | エスシー・コムテクス |
だがネットワーク管理者には、こうした製品を導入するだけで安心してほしくはない。WEPキーやESS-IDはもちろん、無線LANアクセスポイントや認証用パスワードの適切な更新・管理が必要だ。また並行して、不正侵入検知システム(IDS)や管理ツールを用いた継続的なネットワーク監視も重要だ。
つまるところ結論は、一般的なセキュリティ対策の話と同じで、無線と有線の両方にわたって、一時的な対応ではなく、継続的な取り組みが必要なのだ。
関連記事APのセキュリティレベルを高める「鉄壁 無線LAN」
アクセンス・テクノロジー、802.1x対応認証サーバソフトの試用版を配布
一挙公開、N+I展示会で見つけた「尖った」製品
ルーセントの802.1xサーバ、今年後半にはEAP-TTLSもサポート
「エンタープライズの無線LANに必要なセキュリティを提供」と米バーニア
802.1x,それともIPSecベースのVPN?
Opinion:ワイヤレスを実用的に
速報:今年のiLabsは無線LANのセキュリティがテーマ
企業無線LANシステムを防御する方法
[高橋睦美,ITmedia]