802.1xは無線LANの救世主になるか

NetWorld＋Interop 2002 LasVegasで5月6日に行われた「WLAN（無線LAN）セキュリティ」のクラスでは，iLabsのインストラクターとして参加している米シスコシステムズのクリス・エリオット氏が壇上に立ち，無線LANのセキュリティ技術について率直に語った。

【海外記事】

2002年5月7日更新

　米ラスベガスで開催中のNetWorld＋Interop 2002 LasVegas（N+I 2002 LasVegas）の主要なテーマは，セキュリティ，ワイヤレス（無線），それにストレージだ。複数のベンダーが製品を持ち寄ってデモンストレーションを行うInteropNet Labs（iLabs）にも，それが反映されている。

　このiLabsでは期間中，来場者向けにデモンストレーションの概要と技術的背景を説明する「iLabs Class」という教育セミナーを開催している。5月6日に行われた「WLAN（無線LAN）セキュリティ」のクラスでは，iLabsのインストラクターとして参加している米シスコシステムズのクリス・エリオット氏が壇上に立ち，無線LANのセキュリティ技術について率直に語った。

　同氏はこのセミナーの中で，コンパックコンピュータのPDA製品「iPaq」を利用して，無線LANを盗聴し，ネットワークに関する重要な情報を見つけ出せることを示した。

　エリオット氏は，N+I 2002 LasVegasに合わせてラスベガスに到着した際に，「空港からラスベガス周辺を10分ほどドライブしたが，その間に16もの無線LANアクセスポイントを発見した。そのうち10個では，ESS-IDをブロードキャストしており，簡単に，そのネットワークをただで使えてしまった」そうだ。

　ちなみに，N+I 2002 LasVegasの会場で無線LANアクセスポイントが提供されていることを紹介したが，エリオット氏によれば，「実は，このネットワークはWEPなしで運用している。安全ではないので，使うときは気をつけて」ということだ。

「期待できる」802.11i

　さて，現在IEEE802.11b/aのセキュリティ対策としては，ESS-IDの設定やMACアドレスの登録によるアクセス制御，それにWEPが挙げられる。電波の届くところならばどこからでもネットワークにアクセスできるのが無線LANのメリットだ。だがこれは，悪意あるユーザーが電波の範囲内に入れば，容易にパケットキャプチャが行えるということも意味する。

　これら3つのセキュリティ対策も，パケットのスニファリングとデコードによって突破される可能性は大きい。「802.11は，実際のところ安全なメカニズムを提供していない。家庭での利用にはよくても，企業ネットワークで採用するには不十分だ」（同氏）

　この問題の解決を目指して，IEEEで仕様策定が進められている新しい規格が「802.11i」だ。802.11iでは，TKIP（Temporary Key Integrity Ptorocol）を利用してデータの整合性をチェックする。またRC4に代わり，次世代の標準暗号化方式であるAES（Advanced Encryption Standard）を採用するほか，マネジメントフレームについても暗号化を行う。

「802.11iはまだ正式な仕様ではないが，パブリックプレビューを見る限りとてもいい規格になると思う」（エリオット氏）

　もう1つのより現実的な対策が，802.1xとEAP（Extensible Authentication Protocol）である。今回の展示会で注目されているのも，この2つの技術だ。

　ただエリオット氏の説明によると，EAPは，複数の仕様が乱立している状態にある。EAP-MD5に加え，シスコシステムズの独自仕様であるLEAP（EAP-Cisco），CA（認証局）で発行される電子証明書を利用したEAP-TLS，一方向のサーバ認証のみだが，導入が容易であり，システム構成によって非常に高いセキュリティを実現できるEAP-TTLSなどだ。

　さらに同氏は，上位レイヤでセキュリティを確保する手段として，IPSec VPNとSSHについて触れた。ただ「IPSecは高いセキュリティを実現するが，ベンダー独自の実装も多く，同一のクライアントで統一する必要が出てくる。一方，SSHはユーザーサイドでは簡単に利用できるが，反面管理者にとっては管理が面倒になる」（エリオット氏）

　今回のiLabsでは，これら複数のEAPの方式のEAPと802.1x，およびIPSecを利用して，相互接続デモンストレーションを行う。また有線ネットワークと無線ネットワーク上でシームレスなVLANを実現すると言うことだ。

現時点での対策

　ここでひとつ誤解してはいけないのは「802.1xにも弱点がある」（エリオット氏）という点。802.1xには，アソシエーション属性に起因する問題のほか，攻撃者が認証プロセスに割り込んで情報を取得する「man in the middle」攻撃に遭う可能性もある。ただ，各ベンダーではこれら問題の解決に向けて活動しており，「ファームウェアのアップグレードなどの手段で解決できるだろう」と同氏は言う。

「今の時点でお勧めできる無線LANの設定となると，まずユニークなESS-IDを利用しないこと。またMACアドレス認証を利用し，できればWEPは40ビットではなく104ビット（国内では一般に128ビットと言われる）を利用することだ。さらに，鍵は定期的に変更する。また，セキュリティ上の基本だが，ファームウェアもアップグレードする」（エリオット氏）。さらに同氏は「できれば802.1xを使うこと」も対策に付け加えた。

　残念ながら，Windows XPを除けば，802.1xを実装した製品はまだ少ないが，今回のデモンストレーションの参加企業を見る限り，対応製品は今後増えてくると期待できる。今後はさらに，有線ネットワークで利用している既存の認証システムやRADIUSサーバとの統合手法が問われることになりそうだ。

関連リンク

NetWorld＋Interop LasVegas 2002

Copyright © ITmedia, Inc. All Rights Reserved.

---