6. 1. 概要
本製品には、5つのセキュリティ機能を持っております。
- ネットワーク名(SSI D)によるセキュリティ(3項を参照)
- 無線ネットワークへの接続認証によるセキュリティ - 無線データの暗号化によるセキュリティ
WEP64または128ビット(従来の暗号化)
IEEE802.1X(2003年2月現在)
- ANY 接続(ネットワーク名 ANY の無線端末による接続)拒否によるセキュリティ - ネットワーク名のスキャン不可によるセキュリティ
また、アクセスポイント設定のパスワードによるセキュリティ機能をサポートしていま す。
本製品のセキュリティ機能とネットワークオペレーティングシステムのセキュリティ 機能(ネットワーク接続時のユーザー名/パスワードによる認証)、および
オペレーティングシステムのセキュリティ機能(アクセス権やデータの暗号化など)と 併せることで、よりセキュリティレベルの高いネットワークシステムを構築することを 推奨します。ネットワークオペレーティングシステムのセキュリティ機能、およびオペ レーティングシステムのセキュリティ機能については、ご使用の製品のマニュアルなど を参照してください。
6. 2. 無 線 ネ ッ ト ワ ー ク へ の 接 続 認 証 に よ る セ キ ュ リ テ ィ
(Ac c es s Cont r ol )
本製品は、2つの認証機能を持っております。
- アクセスポイントによる認証機能(MAC Aut hent i c at i on)
- Radi us サーバによる認証機能(Radi us Aut hent i c at i on)
(1) アクセスポイントによる認証機能(MAC Aut hent i c at i on)
本機能は、アクセスポイントに接続される無線端末の MAC アドレス(無線 LAN カー ドや無線 LAN USB ボックスなどの MAC アドレス)を事前にアクセスポイントに登録 しておくことで、登録されていない無線端末からの接続を拒否する機能です。登録 できる MAC アドレス数は1000件です。
図 6‑ 1 アクセスコントロール画面
注意;複数のアクセスポイントを使用し、無線端末がローミングして使用する場合、
接続する全てのアクセスポイントにその無線端末の MAC アドレスを登録して おく必要があります。
MAC Aut hent i c at i on の設定 1. ブラウザを起動します。
2. 「Conf i gur e」−「Sec ur i t y」タブの「MAC Ac c es s 」タブで設定します。
3. [ Enabl e MAC Ac c es s Cont r ol ] のチェックボックスをチェックし、[ Oper at i on Type] で Pas s t hr u を選択します。
4. 「MAC Ac c es s Cont r ol Tabl e」で、
・ [ Add] :MAC アドレスを新規に追加します
・ [ Edi t ] :登録済みの MAC アドレスを編集します
・ [ Del et e] :登録済みの MAC アドレスを削除します
5. 追 加 [ Add] 、 編 集 [ Edi t ] で 、 登 録 す る MAC ア ド レ ス と 追 加 、 編 集 し ま す 。 [ Comment ] に端末名やユーザー名を入力し、MAC アドレスと関連付けると管理 しやすくなります。
(2) Radi us サーバによる認証機能(Radi us Ser ver )
本機能は、アクセスポイントに接続される無線端末を Radi us サーバで認証するもの で、アクセスポイントとは別に Radi us サーバが必要です。
図 6‑ 2 Radi us サーバ
Radi us サーバによる認証機能の設定
Radi us サーバの設定方法は、購入された Radi us サーバのマニュアルなどの説明 書を参照してください。
1. 「Conf i gur e」−「RADI US」タブの「RADI US Aut h」タブで設定します。
図 6‑ 3 Radi us サーバによるアクセスコントロール画面
2. [ Enabl e Pr ai mar y RASI US Aut hent i c at i on Ser ver ] をチェックし Enabl e にし 設定を行います。
3. バ ッ ク ア ッ プ の 設 定 を す る 場 合 [ Enabl e Bac k‑ up RADI US Aut hent i cat i on Ser ver ] をチェックし Enabl e にし設定をおこないます。
4. [ Aut hent i cat i on Li f et i me] (15 分( 900) ‑ 12 時間( 43200) :Def aul t =15 分); 認証保持時間。設定した時間中、対象の無線端末からのアクセスがないとき、
自動的に登録を削除される時間を設定します。」
5. MAC Addr es s For mat Type を選択します。フォーマットタイプはは RADI US サ ーバーにリストされている MAC アドレスの フォーマットに一致している必要
・ Das h del i mi t ed ( ダッシュで区切る) : xx‑ yy‑ z z ‑ aa‑ bb‑ c c のように、デ ィジットの各ペアの間にダッシュがあります。
・ Col on del i mi t ed ( コロンで区切る) : xx: yy: z z : aa: bb: c c のように、ディ ジットの各ペアの間にコロンがあります。
・ Si ngl e das h del i mi t ed ( 単一のコロンで区切る) : xxyyz z ‑ aabbc c のよう に、6番目と7番目のディジットの間にダッシュがあります。
・ No del i mi t er s ( 区切り文字無し) : xxyyz z aabbc c のように、16 進数のペ ア間に文字やスペースがありません。
6. [ Ser ver Addr es s i ng For mat RADI US] サーバーを I P アドレスまたは名前で識 別するようにします。
7. [ Ser ver Name/ I P Addr es s ] の右側のフィールドにサーバーの I P アドレスまた は名前を入力します。
8. [ Des t i nat i on Por t ] (1812、または、1645:Def aul t =1812);Radi us サーバ側 で使用しているポートと同じポート番号を指定します。
9. [ Shar ed Sec r et ] ;アクセスポイントが Radi us サーバへ直接アクセスする際 のパスワード(共通鍵)。Radi us サーバ側で設定されたパスワード(32 文字 まで)と同じ設定をします。[ Conf i r m Shar ed Sec r et ] に確認のためパスワー ドを再度入力します。
10. [ Bac kup( Opt i on) ] :Pr i mar y Ser ver が不在の時、ここで指定した Radi us サー バの認証サーバをセカンダリサーバとします。
11. [ Enabl e RADI US MAC Ac c es s Cont r ol ] をチェックし Enabl eにし OK をクリッ クします。
<注意>
( [ Enabl e RADI US MAC Ac c es s Cont r ol ] は設定前にチェックを付けるとエラー になります。)
<注意 2>
「RADI US Acc t 」の「Enabl e Bac kup RADI US Aut hent i c at i on Ser ver 」の設定お よび「Li nk I nt egr i t y」の設定を行う場合は先に「Li nk I nt egr i t y」の設定を行 って下さい。又、「Enabl e Bac kup RADI US Aut hent i c at i on Ser ver 」の設定後 は絶対に「Li nk I nt egr i t y」のタブをクリックしないで下さい、万が一クリッ クしてしまった場合は、初期化( 工場出荷時状態P93をご参照下さい) に戻 して下さい。
12. Radi us サーバの設定
Radi us サーバへ設定する内容
・ Radi us サーバに直接アクセスするアクセスポイントの定義ファイルへの 設定
Radi us サーバを使用するアクセスポイントの I P アドレスとパスワード
(共通鍵;32文字まで設定)を Ser ver St at i on Fi l e に設定します。
・ 認証する無線端末を定義ファイルへ設定
認証する無線端末の MAC アドレスとパスワードを Us er s Fi l e に設定し ます。
6. 3. 無 線 デ ー タ の 暗 号 化 に よ る セ キ ュ リ テ ィ ( Wi r el es s Dat a Enc r ypt i on)
本製品は、I EEE802. 11 準拠の WEP64bi t と拡張した 128bi t RC4 による無線データの暗号 化を提供します。また、最新の I EEE802. 1X に準拠した暗号化もサポートしています。
暗号化の設定
1. ブラウザを起動します。
2. 「Conf i gur e」−「Sec ur i t y」タブの「Enc r ypt i on」タブをクリックします。
「Enabl e Enc r ypt i on」を Enabl e にし、「Enc r ypt i on Key」を 64bi t または 128bi t のどちらかで入力します。
暗号化のキーは最大4つまで設定でき、128bi t または64bi t で設定 できます。64bi t で設定する場合は ASCI I で英数半角5文字、HEX で英 数半角( 0〜F) 10桁、128bi t は ASCI I で英数半角13文字、HEX で英 数半角( 0〜F) 26桁、で任意の値を「Enc r ypt i on Key1〜4」にそれぞれ入 力します。
暗号化キーはすべての無線端末で同一の値(キー配列も同一)に設定され る必要があります。アクセスポイントが使用するキーを「Encr ypt Dat a Tr ans mi s s i on Us i ng」で選択します。
図 6‑ 4 暗号化設定画面
a. 無線データの暗号化設定
無線データの暗号化設定には3種類のモードがあります。
モードの設定は「Sec ur i t y」タブの「802. 1X」で設定します。
・ None 従来のWEP64bi t または128bi t を使用した暗号化。
・ 802. 1X 2003 年 2 月現在の 802. 1X で規定されている暗号化。802. 1X モードを使用する場合は、別途 802. 1X を対応した RADI US サーバが必要です。
・ Mi xed 802. 1X と WEP が混在している場合に使用します。
802. 1X Sec ur i t y Mode= None の場合
「Enc r ypt i on St at us 」を Enabl e にし、「Key Lengt h」を 64Bi t s または 128Bi t s のどちらかを選択します。
暗号化のキーは最大4つまで設定でき( 「Encr ypt i on」で設定します) 、 128bi t または64bi t で設定できます。64bi t で設定する場合は英 数半角5桁、128bi t は英数半角13桁で任意の値を「Encr ypt i on Key1
〜4」にそれぞれ入力します。
暗号化キーはすべての無線端末で同一の値(キー配列も同一)に設定さ れる必要があります。
「Deny Non‑ Enc r ypt i on Dat a」を Enabl e にして、さらにアクセスポ イントが使用するキーを「Enc r ypt Dat a Tr ans mi s s i on Us i ng」で選択 します。
802. 1X Sec ur i t y Mode= 802. 1X の場合
「Wi r el es s I nt er f ac e」欄のキー設定は必要ありません。
802. 1X Sec ur i t y Mode= Mi xed の場合
「Enc r ypt i on St at us 」を Enabl e にし、「Key Lengt h」を 64Bi t s または 128bi t s のどちらかを選択します。次に「Enc r ypt i on Key1」
にのみキーを入力します。従来の WEP を使用した端末はこのキーを使用 して通信します。
3. 設定後は「OK」をクリックしてください。
6. 4.
Enable Closed System
I EEE802. 11 規格には、誰でも簡単に接続できることを目的に、「ANY 接続」と「ネッ トワーク名スキャン」機能がありますが、ネットワークの脆弱性が問題となります。
本製品では、この問題を解決するために上記機能を禁止する機能を独自機能として 提供しています。本機能を使用しますと、I EEE802. 11 規格に準拠した他社の製品が 接続できなくなる可能性があります。
「ANY 接続」「ネットワーク名スキャン」禁止機能の設定
1. 「Wi r el es s 」で[ Enabl e Cl os ed Sys t em] をチェックします。
図 6‑ 5 Cl os ed Sys t em設定画面
6. 5. セキュリティ向上の施策
無線ネットワークのセキュリティレベルを更に高いものにするためには、以下のことを 推奨します。
- 定期的に使用する暗号鍵を変更します。
- アクセスポイントが送信時に使用する暗号鍵と、無線端末が送信時に使用する暗 号鍵を別のものを使用します。
- 暗号鍵を書いた紙などは捨ててください。
6. 6. アクセスポイントの設定時のセキュリティ
アクセスポイントの設定は、管理者が行ない、誰でもが設定できないようパスワードな どによるセキュリティが必要です。パスワードはデフォルトのまま使用せずに、必ず変 更して使用してください。
( 1) Read、Read/ Wr i t e Pas s wor d の設定 パスワードはプロトコルごとに設定します。
SNMPパスワード
「Sc anTool 」で設定する場合に使用するパスワード
「Conf i gur e」−「Management 」−「Pas s wor ds 」タブで設定します。
SNMP Read Pas s wor d(1〜64 文字の英数字:Def aul t = publ i c);アクセスポ イントの状態をモニタするためのパスワードを設定します。
SNMP Read/ Wr i t e Pas s wor d(1〜64 文字の英数字:Def aul t = publ i c );アク セスポイントの状態モニタと設定内容の編集を行うためのパスワードを設定 します。
HTTPパスワード
ブラウザで設定、あるいはモニタを行う場合のパスワード
「Conf i gur e」−「Management 」−「Pas s wor ds 」タブで設定します。
HTTP Pas s wor d(1〜64 文字の英数字:Def aul t = publ i c );アクセスポイント の状態をモニタするためのパスワードを設定します。