セキュリティ

6 . 1 .   概 要  

本製品には、５つのセキュリティ機能を持っております。 

- ネットワーク名（SS‑ I D）によるセキュリティ（３章を参照） 

- 無線ネットワークへの接続認証によるセキュリティ  - 無線データの暗号化によるセキュリティ（ 

- ANY 接続（ネットワーク名 ANY の無線端末による接続）拒否によるセキュリティ   - ネットワーク名のスキャン不可によるセキュリティ 

- I EEE802. 1x を使用したセキュリティ 

また、アクセスポイント設定のパスワードによるセキュリティ機能をサポートしていま す。 

本製品のセキュリティ機能とネットワークオペレーティングシステムのセキュリティ 機能（ネットワーク接続時のユーザー名／パスワードによる認証）、および、オペレー ティングシステムのセキュリティ機能（アクセス権やデータの暗号化など）と併せるこ とで、よりセキュリティレベルの高いネットワークシステムを構築することを推奨しま す。ネットワークオペレーティングシステムのセキュリティ機能、および、オペレーテ ィングシステムのセキュリティ機能については、ご使用の製品のマニュアルなどを参照 してください。 

 

6 . 2 .   無 線 ネ ッ ト ワ ー ク へ の 接 続 認 証 に よ る セ キ ュ リ テ ィ

（ A c c e s s   C o n t r o l ）  

本製品は、２つの認証機能を持っております。 

- アクセスポイントによる認証機能（ＡＰ  Aut hent i c at i on） 

- Radi us サーバによる認証機能（Radi us   Ser ver ）   

（ １ ）   ア ク セ ス ポ イ ン ト に よ る 認 証 機 能 （ Ａ Ｐ  A u t h e n t i c a t i o n ）  

本機能は、アクセスポイントに接続される無線端末の MAC アドレス（無線 LAN カ ードや無線 LAN  USB ボックスなどの MAC アドレス）を事前にアクセスポイントに 登録しておくことで、登録されていない無線端末からの接続を拒否する機能です。

登録できるMAC アドレス数は、アクセスポイントE, アクセスポイントS の場合、

４９７です。 

  図 6‑ 1  アクセスコントロールタブ 

 

注意；複数のアクセスポイントを使用し、無線端末がローミングして使用する場 合、接続する全てのアクセスポイントにその無線端末のMAC アドレスを登 録しておく必要があります。 

 

ＡＰ  Aut hent i c at i on の設定 

1.   ＡＰ  マネージャを起動し、アクセスポイントを選択します。 

2.   [ Edi t ] ボタンをクリックし、パスワードを入力します。 

3.   [ Ac c es s   Cont r ol ] タブを選択し、 

[ ＡＰ  Aut hent i c at i on] をクリックします。 

4.   ｢Set up  Ac c es s   Cont r ol ｣画面（右図）で、 

・ [ Add] ：MAC アドレスを新規に追加します 

・ [ Edi t ] ：登録済みの MAC アドレスを編集します 

・ [ Del et e] ：登録済みの MAC アドレスを削除します 

・ [ Del et e  Al l ] ：全ての登録済みの MAC アドレスを削除します 

・ [ I mpor t   Fi l e] ：設定済みの MAC ｱﾄﾞﾚｽﾃｰﾌﾞﾙをファイルからｲﾝﾎﾟｰﾄします 

・ [ Save  Fi l e] ：現在の設定内容をファイルに保存します 

5.   追加[ Add] 、編集[ Edi t ] で、登録する MAC アドレスと追加、編集します。

[ Comment ] に端末名やユーザー名を入力し、MAC アドレスと関連付けると管

Access Control Table

理しやすくなります。 

  図 6‑ 2  MAC アドレス入力   

6.   [ I mpor t   Fi l e] , [ Save  Fi l e] では、対象のファイル名を選択、または、入力 します。 

  図 6‑ 3  MAC アドレスによるアクセスコントロール   

（ ２ ）   Ra di us サ ー バ に よ る 認 証 機 能 （Ra di us   S e r v e r ）  

本機能は、アクセスポイントに接続される無線端末を Radi us サーバで認証するも ので、アクセスポイントとは別に Radi us サーバが必要です。 

  図 6‑ 4  Radi us サーバ 

Radi us サーバによる認証機能の設定 

書を参照してください。 

1.   [ RADI US  Ser ver ] タブをクリックします。 

  図 6‑ 5  Radi us サーバによるアクセスコントロール   

2.   [ Enabl e  RADI US  Ac c es s   Cont r ol ] をチェックします。 

3.   [ Aut hent i c at i on  Li f et i me] （15 分‑ 12 時間：Def aul t =2 時間）；認証保持時 間。設定した時間中、対象の無線端末からのアクセスがないとき、自動的に 登録を削除される時間を設定します。 

4.   [ Aut hent i c at i on  Pas s wor d] ；アクセスポイントが Radi us サーバへ直接アク セスする際のパスワード（共通鍵）。Radi us サーバ側で設定されたパスワー ド（32 文字まで）と同じ設定します。 

5.   [ I P  Addr es s ] ：Radi us サーバの I P ｱﾄﾞﾚｽを設定します。 

6.   [ Aut hent i c at i on  Por t ] （1812、または、1645：Def aul t =1812）；Radi us サ ーバ側で使用しているﾎﾟｰﾄと同じﾎﾟｰﾄ番号を指定します。 

7.   [ Sec ondar y  Ser ver ( Opt i on) ] ：Pr i mar y  Ser ver が不在の時、ここで指定し た Radi us サーバの認証サーバをｾｶﾝﾀﾞﾘｰサーバｰとします。 

8.   Radi us サーバの設定 

Radi us サーバへ設定する内容 

・ Radi us サーバに直接アクセスするアクセスポイントを定義ファイルへ設 定 

Radi us サーバを使用するアクセスポイントの I P ｱﾄﾞﾚｽとパスワード（共通 鍵；３２文字まで設定）を Ser ver   St at i on  Fi l e に設定します。 

・ 認証する無線端末を定義ファイルへ設定 

認証する無線端末の MAC アドレスとパスワードを Us er s   Fi l e に設定し ます。 

6 . 3 .   無 線 デ ー タ の 暗 号 化 に よ る セ キ ュ リ テ ィ （ W i r e l e s s   D a t a  E n c r y p t i o n ）  

本製品は、I EEE802. 11 準拠の WEP40bi t と拡張した 128bi t RC4 による無線データの暗号 化を提供します。 

暗号化の設定 

1.   ＡＰ  マネージャを起動し、アクセスポイントを選択します。 

2.   [ Edi t ] ボタンをクリックし、パスワードを入力します。 

3.   [ Wi r el es s   I nt er f ac e] タブをクリックします。 

4.   [ Sec ur i t y] をクリックし、｢Wi r el es s   Sec ur i t y  Set up｣画面を開く。 

5.   「Enabl e  Enc r ypt i on」をチェックします。 

6.   「Enc r ypt i on  Key」；暗号化に使用する鍵（共通鍵）の値を設定します。異なる ４つの鍵まで設定が可能です。 

・ WEP40bi t を使用する（無線データを 40bi t 長の鍵で暗号化）場合 

数字とｱﾙﾌｧﾍﾞｯﾄからなる５桁の文字（例：SECU1）、または、 0x の後に１６ 進数で１０桁（例：0xABCD1234FE）を入力します。 

・ 128bi t RC4 を使用する（無線データを 104bi t 長の鍵で暗号化）場合 

数字とｱﾙﾌｧﾍﾞｯﾄからなる１３桁（例：SECURE1234567）、または、 0x の後に １６進数で２６桁（例：0xABCD1234567890EFABCD123456）を入力します。 

7.   「Enc r ypt   Dat a  Tr ans mi s s i ons   Us i ng」；送信データの暗号化に使用する鍵番号

（Key  1‑ 4）を選択します。 

 

6 . 4 .   A N Y 接 続 拒 否 、 お よ び 、 ネ ッ ト ワ ー ク 名 の ス キ ャ ン 不 可 に よ る セ キ ュ リ テ ィ （C l o s e d   W i r e l e s s   S y s t e m ）  

I EEE802. 11 規格には、誰でも簡単に接続できることを目的に、「ANY 接続」と「ネット ワーク名スキャン」機能がありますが、ネットワークの脆弱性が問題となります。本製 品では、この問題を解決するために上記機能を禁止する機能を独自機能として提供して います。本機能を使用しますと、I EEE802. 11 規格に準拠した他社の製品が接続できなく なる可能性があります。 

 

「ANY 接続」「ネットワーク名スキャン」禁止機能の設定 

1.   「Wi r el es s   Sec ur i t y  Set up」で[ Cl os ed  Wi r el es s   Sys t em] をﾁｪｯｸします。 

  図 6‑ 7  暗号化設定２ 

 

6 . 5 .   D e n y  n o n ‑ e n c r y p t e d  D a t a  

無線データの暗号化プロトコルとして、２つあります。 

- 暗号化された無線データのみ送受信します。 

- 暗号化されたもの、されないものを両方送受信します。 

( 1)   Enabl e  Enc r ypt i on  &  Deny  non‑ enc r ypt ed  Dat a（チェックボックスをチェック：

Def aul t ）暗号化された無線データのみ受信し、設定された暗号鍵で暗号化して 送信します。 

( 2)   Enabl e  Enc r ypt i on  &  Al l ow  non‑ enc r ypt ed  Dat a（チェックボックスをチェッ クしない） 

暗号化されない無線データも受信でき、そのデータを送信した無線端末に送信 するときのみ、暗号化せずに送信します。 

この場合、ブロードキャストやマルチキャスト通信は、暗号化せずに送信され ます。 

 

6. 6.   I E E E 802. 1x に よ る セ キ ュ リ テ ィ 

I EEE  802. 1X 対応 RADI US サーバと I EEE802. 1xを対応したパソコン（ Wi ndows XP）とを組 み合わせることで，無線 LAN 端末の認証機能および暗号キーの自動生成・切り替えを実 現し強力なセキュリティにすることが可能です。 

 

サポートされているプロトコル 

・ EAP‑ TLS 

・ EAP‑ MD5   

Radi us サーバによる認証機能の設定 

Radi us サーバの設定方法は、購入された Radi us サーバのマニュアルなどの説明書 を参照してください。また無線端末の設定については、I EEE802. 1x をサポートして いる OS（Wi ndows XP など）のマニュアルなどを参照してください。 

①  「Ac c es s   Cont r ol 」タブの「802. 1x  Aut hent i c at i on」をクリックします。 

 

②  「Enabl e  802. 1x」をチェックします。 

  図 6‑ 9  I EEE802. 1x によるアクセスコントロール 

③  暗号化に使用するキー長を「 64bi t 」または「 128bi t 」のどちらかを選択します。 

④  暗号化キーの値はアクセスポイントが自動生成し、無線端末に配布します。こ のキーの値はアクセスポイントが定期的に変更を行います。この変更周期の時 間を「Enc r ypt i on  Key  Li f et i me」で選択します。 

⑤  RADI US サーバへの再認証間隔を「Aut hent i c at i on  Li f et i me」で選択します。 

⑥  RADI US サ ー バ の 認 証 時 に 使 用 す る パ ス ワ ー ド （ ユ ー ザ パ ス ワ ー ド ） を

「Aut hent i c at i on  Pas s wor d」に入力します。 

⑦  RADI US サーバ指定は I P アドレスで行います。主 RADI US サーバの I P アドレスを

「Pr i mar y  Ser ver 」 の 「I P  Addr es s 」に入力し、「Aut hent i c at i on  Por t 」に使 用するポート（RADI US サーバが使用するポート）を選択します。 

⑧  バックアップの RADI US サーバがある場合、「Sec ondar y  Ser ver 」に I P アドレス とポートを設定します。 

⑨  802. 1x  Aut hent i c at i on  Set up の画面ですべての項目を入力または選択した後、

OK をクリックします。 

⑩  802. 1x を Enabl e にすると、「Wi r el es s   I nt er f ac e」の「Sec ur i t y」での暗号化 設定画面の「Dynami c   WEP  Key  Enc r ypt i on  Enabl ed」が自動的にチャックされ ます。802. 1x モードでは Enc r ypt i on  Key は自動的に生成されるため、Enc r ypt i on  Key の入力は不要です。802. 1x をサポートしていない無線端末が混在する場合 は、「Enabl e  St at i c   WEP  Key  Enc r ypt i on」をチェックし、「Enc r ypt i on  Keyの

１」（混在して使用する場合、通常 WEP はキー１のみとなる）にキーを入力する。  

  図 6‑ 10  暗号化設定 

 

6. 7.   セ キ ュ リ テ ィ 向 上 の 施 策 

無線ネットワークのセキュリティレベルを更に高いものにするためには、以下のことを 推奨します。 

- 定期的に使用する暗号鍵を変更します。 

- アクセスポイントが送信時に使用する暗号鍵と、無線端末が送信時に使用する暗号 鍵を別のものを使用します。 

- 暗号鍵を書いた紙などは捨ててください。 

 

6. 8.   ア ク セ ス ポ イ ン ト の 設 定 時 の セ キ ュ リ テ ィ  

アクセスポイントの設定は、管理者が行ない、誰でもが設定できないようパスワードな どによるセキュリティが必要です。 

 

( 1)   Re a d 、Re a d/ Wr i t e  Pa s s wor d の 設 定 

Read  Pas s wor d（2‑ 31 文字の英数字：Def aul t   =  publ i c ）；アクセスポイントの状 態をモニタするためのパスワードを設定します。 

Read/ Wr i t e  Pas s wor d（2‑ 31 文字の英数字：Def aul t   =  publ i c ）；アクセスポイン トの状態モニタと設定内容の編集を行うためのパスワードを背呈します。 

ドキュメント内 PKWL007 ユーザーズガイド 第3版 ソフトウェア・ドキュメント （販売終了製造中止品） : LAN／ネットワーク機器 : 製品 | NECプラットフォームズ UG PK WL005 7 R03 (ページ 53-64)