<解説>

IEEE802.1x とは、LAN でのユーザー認証の方式を定めた規格の名称で、無線だけでなく有線で利用することもで想定しています。

現状では、無線LANではWEPと言う暗号化通信規格が使われています。IEEE802.1xでは、このWEPと組み合わせて使うことが現状では多いでしょう。
ただし、当然ですが、WEPで暗号化されるのは無線LAN区間のみで、有線LAN区間は従来と同様です。

IEEE802.1x を使わない場合は、無線LANで、アクセスポイントと無線 LAN カードが通信する場合には認証は行われません。

そのため誰でも使えてしまうという問題があり、802.1x 規格が登場しました。IEEE802.1x規格に、準拠した機器を使うと、接続時に認証することができるのであらかじめ定められたユーザーにのみ利用を許可することができます。

ユーザー認証自体はアクセス ポイントが行うわけでなく、Radius サーバーと呼ばれる認証用サーバーにリクエストを送って処理を行います。認証の手順には標準的な EAP-MD5、電子証明書を使う EAP-TLS、パスワードを使う LEAP などがあります。

Windows XP SP1 は、 IEEE802.1x (EAP-MD5) に対応しており、対応したアクセス ポイントであれば ActiveDirectory のユーザー認証と組み合わせることができるようになりました。しかし、セキュリティは高いのですが認証用サーバーが必要なので、利用されるのは企業ユーザーや無線LANスポットなどです。

無線LANが誰でも使えてしまうと言う問題は、Windows XPにワイヤレスネットワーク機能が付加された時に注目を集めました。初期の無線LAN機器は自身のID(ESSID、SSID)をブロードキャスト(無線を通じて通知する)してしまうので、利用可能なワイヤレスネットワークにリストアップされ、暗号化されて無かったら、簡単に誰でも利用できてしまうと言うことがありました。

また、暗号化していても、64ビット程度の暗号化では、容易に破られると言われて、セキュリティー上は問題が多いとされています。
WEPでは、128ビットの暗号化も使えますし、実際問題としては、暗号化されている無線LANデータをキャプチャー(モニタして、取り込むこと)して、暗号を解析するのは、素人には簡単にできるものではなく、盗聴のプロでも非常に面倒で困難な作業であり、盗聴して価値のあるような産業スパイが狙うようなデータをやり取りしている場合以外は、WEPによる暗号化で十分だと思われます。

また、最近の無線LAN機器は工場出荷時の設定で、自身のIDを広報する機能はオフ(スティルス)になっており、機器を設定を調べないとIDは分からないようになっています。また、接続をMACアドレスによって制限できるので、認証機能がなくても、利用者を制限することは可能です。

従って、MACアドレス制限とWEPによる暗号化機能で、一般的なセキュリティーは十分確保可能と思われます。

WEPによる暗号化は、128ビットの方が強力ですが、暗号化処理により通信速度も低下するので、鉄筋など電波が屋外に漏れる心配が少ない場合や盗聴しようとする者が現れる危険性を想定する必要がない一般ユーザーの場合は、負荷の少ない64ビットぐらいでも、いいのではないかと思います。

WEP(Wired Equivalent Privacy)では、RC4秘密鍵を使って通信内容を暗号化しますが、あらかじめ無線アクセス ポイントと無線 LAN カードが装備されているマシンに同じ秘密鍵をセットしておき、同じ鍵を持たないと通信ができないようになっています。

また、暗号に使用する鍵の長さは 40 bit と 128 bit があり、この鍵はあらかじめ決められているため、それがわかってしまうと内容を盗聴可能と言うことで、IEEE802.1x規格では、 WEPで使用する暗号鍵を動的に変更することができ、WEPの安全性を高くできます。

しかし、 IEEE802.1xを利用するためには、前述のように認証サーバが必要であり、認証サーバが存在しない環境で、この機能を有効にし、WEP暗号化を設定すると、WindowsXPのワイヤレスネットワーク機能(もしくは、無線ユーティリティーが間接的に利用する状態)では、IEEE802.1X認証に失敗すると数分間経過後にワイヤレス通信を切断する現象が発生します。

通常の無線LANアクセスポイントは、IEEE802.1X認証を許可しないので、WindowsXP SP搭載1パソコンから、ワイヤレス接続する際にはIEEE802.1X認証を無効に設定する必要があるわけです。

トラブル防止のために、WindowsXP SP搭載1パソコンでは、IEEE802.1X認証の設定を確認する必要があるでしょう。

また、WEP方式を改良し、簡単に解析できない仕組みを採用したWPA(Wi-Fi Protected Access)方式もあります。この方式では個人/SOHO事業者向けの「WPAホーム」と企業向けの「WPAエンタープライズ」の2種類が用意されていて、WPAエンタープライズには IEEE802.1X認証 機能も対応しています。

WPAを使うためにはアクセスポイントとクライアント側のLANドライバ・接続ソフトが対応している必要があります。WindowsXPではSP1にWindows XP Wireless Protected Accesssサポート修正プログラム(Q815485)を適用すれば、WPAが利用可能になります(WPA機能を使わないのに、このパッチを適用するとトラブルが発生することがあるので注意、WEPでの接続が出来なくなる)。

・最近の製品は、セキュリティー面から、IDをブロードキャストする機能をデフォルトで停止している製品もあり、直接設定が必要な場合もある。

・データの暗号化は事業所では必要と思われるが、最近の経験から家庭で利用する場合、設定の詳しい人がいないときは、のちのちのために敢えて、暗号化なしで接続の設定のしやすさとパフォーマンスを有線させた方が良いと思うようになった(Any接続を拒否する機能も標準となり、状況が変化したこともある)。

・実際、屋外でSSID(ESID)の通知機能を停止している製品では、接続情報を知らないでつなぐことは難しく、キャプチャーしてモニタ・解析する手間と技術をかける価値がある情報が流れているわけでもなく、家庭ではそこまで必要ないと思うのである。

・MACアドレス制限設定も家庭利用では無理にする設定する必要もないと思う(プロなら、"MACアドレスのなりすまし"も可能とは言われているし、実際問題、家庭で利用する無線LANにそこまでして入り込むメリットはない)。

・電波強度は低く、無指向性であるので、いったん屋外にでると、電波は拡散してしまい、それなりの設備と技術がないと有効な情報を盗聴するのは困難である(筆者も、一応、第一種無線従事者免許を持っているので、多少、無線には詳しいはず(^^?です)。とは言え、無線というのは届いてほしいところには届かないで、届いてほしくないところには思わぬ強度で届くこともあるので、注意は必要。

・SSIDを非通知で他の無線LANへの接続自体はできない場合でも、干渉により自分の無線LANのパフォーマンス低下を生じることがあり、その場合は、干渉の影響の少ないチャネルを探して、設定変更する必要がある。

・無線LANの規格には、2003年現在で、 IEEE802.11b,IEEE802.11a,IEEE802.11gがあり、IEEE802.11bが普及しているが、これからは、理論値54Mb/sの通信が可能で、比較的電波が回り込み安く、家庭でも中継ポイントが不要な2.4GHz 帯を利用し、IEEE802.1b(11Mbps) 製品との混在環境でも使用できる、IEEE802.11g規格のものが増えると思われる。これに対応して製品では、チャネルとモードの選択で、他の無線LANと干渉を最小限にする運用がしやすいだろう。

・結論的には、家庭で使うワイヤレスLANには暗号化までは、必要ないのではないかと思います(パフォーマンスも落ちますしね)。

もちろん出来るなら暗号化も使うほうが安心感はあります。ですが、設定変更するための情報をきちんと管理して、自分で対応できる方や身近に相談できる方がいることが必要です。

無線LANで使っているノートパソコンを出先へ持っていって、ダイヤルアップ接続の設定をして貰って使った後、自宅で接続できなくなり、操作しているうちに無線LANの設定を削除してしまい、助けを求められたこともあります。設定画面に入るためのIDとパスワードも分からないし、当然、暗号化パスワードも分からない始末で、面倒な作業になりました。

 

・これが、問題のIEEE802.1X認証設定

・ここは、アクセスポイント構成かどうかの設定、利用可能なネットワークの設定で問題はないでしょう。