6. 1. 概 要
本製品には、5つのセキュリティ機能を持っております。
- ネットワーク名(SS‑ I D)によるセキュリティ(3章を参照)
- 無線ネットワークへの接続認証によるセキュリティ - 無線データの暗号化によるセキュリティ
Ø WEP40または128ビット(従来の暗号化)
Ø IEEE802.1X(2001年12月現在)
- ANY 接続(ネットワーク名 ANY の無線端末による接続)拒否によるセキュリティ - ネットワーク名のスキャン不可によるセキュリティ
また、アクセスポイント設定のパスワードによるセキュリティ機能をサポートしていま す。
本製品のセキュリティ機能とネットワークオペレーティングシステムのセキュリティ 機能(ネットワーク接続時のユーザー名/パスワードによる認証)、およびオペレーテ ィングシステムのセキュリティ機能(アクセス権やデータの暗号化など)と併せること で、よりセキュリティレベルの高いネットワークシステムを構築することを推奨します。
ネットワークオペレーティングシステムのセキュリティ機能、およびオペレーティング システムのセキュリティ機能については、ご使用の製品のマニュアルなどを参照してく ださい。
6. 2. 無 線 ネ ッ ト ワ ー ク へ の 接 続 認 証 に よ る セ キ ュ リ テ ィ
( Ac c e s s Cont r ol )
本製品は、2つの認証機能を持っております。
- アクセスポイントによる認証機能(MAC Aut hent i c at i on)
- Radi us サーバによる認証機能(Radi us Aut hent i c at i on)
( 1 ) ア ク セ ス ポ イ ン ト に よ る 認 証 機 能 (MAC Aut he nt i c a t i on)
本機能は、アクセスポイントに接続される無線端末の MAC アドレス(無線 LAN カー ドや無線 LAN USB ボックスなどの MAC アドレス)を事前にアクセスポイントに登録 しておくことで、登録されていない無線端末からの接続を拒否する機能です。登録 できる MAC アドレス数は497です。
図 6‑ 1 アクセスコントロール画面
注意;複数のアクセスポイントを使用し、無線端末がローミングして使用する場合、
接続する全てのアクセスポイントにその無線端末の MAC アドレスを登録して おく必要があります。
MAC Aut hent i c at i on の設定 1. ブラウザを起動します。
2. 「Conf i gur e」−「Sec ur i t y」タブの「MAC Aut h」タブで設定します。
3. [ MAC Ac c es s Cont r ol St at us ] で Enabl e を 選 択 し 、 [ MAC Ac c es s Cont r ol Oper at i on] で Al l ow を選択します。
4. 「MAC Ac c es s Cont r ol Tabl e」で、
・ [ Add] :MAC アドレスを新規に追加します
・ [ Edi t ] :登録済みの MAC アドレスを編集します
・ [ Del et e] :登録済みの MAC アドレスを削除します
5. 追 加 [ Add] 、 編 集 [ Edi t ] で 、 登 録 す る MAC ア ド レ ス と 追 加 、 編 集 し ま す 。 [ Comment ] に端末名やユーザー名を入力し、MAC アドレスと関連付けると管理 しやすくなります。
( 2 ) Ra di us サ ー バ に よ る 認 証 機 能 (Ra di us S e r v e r )
本機能は、アクセスポイントに接続される無線端末を Radi us サーバで認証するもの で、アクセスポイントとは別に Radi us サーバが必要です。
図 6‑ 2 Radi us サーバ
Radi us サーバによる認証機能の設定
Radi us サーバの設定方法は、購入された Radi us サーバのマニュアルなどの説明 書を参照してください。
1. 「Conf i gur e」−「Sec ur i t y」タブの「RADI US Aut h」タブで設定します。
図 6‑ 3 Radi us サーバによるアクセスコントロール画面
2. RADI US MAC Ac c es s Cont r ol St at us ] を Enabl e にします。
3. [ Aut hent i c at i on Li f et i me](15 分‑ 12 時間:Def aul t =2 時間);認証保持時間。
設定した時間中、対象の無線端末からのアクセスがないとき、自動的に登録 を削除される時間を設定します。
4. [ Shar ed Sec r et ] ;アクセスポイントが Radi us サーバへ直接アクセスする際 のパスワード(共通鍵)。Radi us サーバ側で設定されたパスワード(32 文字 まで)と同じ設定します。[ Conf i r m Shar ed Sec r et ] に確認のためパスワード を再度入力します。
5. 「Ser ver St at us 」を Enabl e にします。
6. [ I P Addr es s ] :Radi us サーバの I P アドレスを設定します。
7. [ Aut hent i c at i on Por t ] (1812、または、1645:Def aul t =1812);Radi us サー バ側で使用しているポートと同じポート番号を指定します。
8. [ Bac kup( Opt i on) ] :Pr i mar y Ser ver が不在の時、ここで指定した Radi us サー バの認証サーバをセカンダリサーバとします。
9. Radi us サーバの設定
Radi us サーバへ設定する内容
・ Radi us サーバに直接アクセスするアクセスポイントの定義ファイルへの 設定
Radi us サーバを使用するアクセスポイントの I P アドレスとパスワード
(共通鍵;32文字まで設定)を Ser ver St at i on Fi l e に設定します。
・ 認証する無線端末を定義ファイルへ設定
認証する無線端末の MAC アドレスとパスワードを Us er s Fi l e に設定し ます。
6 . 3 無 線 デ ー タ の 暗 号 化 に よ る セ キ ュ リ テ ィ ( . W i r e l e s s D a t a E n c ) r y p t i o n
本製品は、I EEE802. 11 準拠の WEP40bi t と拡張した 128bi t RC4 による無線データの暗号 化を提供します。また、最新の I EEE802. 1X に準拠した暗号化もサポートしています。
暗号化の設定
1. ブラウザを起動します。
2. 「Conf i gur e」−「Sec ur i t y」タブの「Enc r ypt i on」 タ ブ を ク リ ッ ク し ま す 。 a. 無線データの暗号化設定
無線データの暗号化設定には3種類のモードがあります。
モードの設定は「Enc r ypt i on」タブ内の「802. 1X Sec ur i t y Mode」で設定し
ます。
・ None 従来のWEP40bi t または128bi tを使用した暗号化。
・ 802. 1X 2001 年 12 月現在の 802. 1X で規定されている暗号化。
802. 1X モードを使用する場合は、別途 802. 1X を対応した RADI US サーバが必要です。
・ Mi xed 802. 1X と WEP が混在している場合に使用します。
802. 1X Sec ur i t y Mode= None の場合
「Enc r ypt i on St at us 」を Enabl e にし、「Key Lengt h」を 40Bi t s または 128Bi t s のどちらかを選択します。
暗号化のキーは最大4つまで設定でき、128bi t または64bi t で設 定できます。64bi t で設定する場合は英数半角5桁、128bi t は英 数半角13桁で任意の値を「Enc r ypt i on Key1〜4」にそれぞれ入力しま す。
暗号化キーはすべての無線端末で同一の値(キー配列も同一)に設定さ れる必要があります。
「Deny Non‑ Enc r ypt i on Dat a」を Enabl e にして、さらにアクセスポ イントが使用するキーを「Enc r ypt Dat a Tr ans mi s s i on Us i ng 」で選択 します。
802. 1X Sec ur i t y Mode= 802. 1X の場合
「Wi r el es s I nt er f ac e」欄のキー設定は必要ありません。
802. 1X Sec ur i t y Mode= Mi xed の場合
「Enc r ypt i on St at us 」を Enabl e にし、「Key Lengt h」を 40Bi t s または 128Bi t s のどちらかを選択します。次に「Enc r ypt i on Key1」
にのみキーを入力します。従来の WEP を使用した端末はこのキーを使用 して通信します。
3. 設定後は「OK」をクリックし、 Suc c es s f ul という画面が表示されること を確認して「Cl os e」をクリックしてください。
図 6‑ 4 暗号化設定画面
6. 4. Cl os ed W i r el es s S y s t em
I EEE802. 11 規格には、誰でも簡単に接続できることを目的に、「ANY 接続」と「ネッ トワーク名スキャン」機能がありますが、ネットワークの脆弱性が問題となります。
本製品では、この問題を解決するために上記機能を禁止する機能を独自機能として 提供しています。本機能を使用しますと、I EEE802. 11 規格に準拠した他社の製品が 接続できなくなる可能性があります。
「ANY 接続」「ネットワーク名スキャン」禁止機能の設定
1. 「Wi r el es s Sec ur i t y Set up」で[ Cl os ed Wi r el es s Sys t em] をチェックします。
図 6‑ 5 Cl os ed Sys t em設定画面
6. 5. Deny non‑ enc r y pt ed Da t a
図 6‑ 6 Deny non‑ enc r ypt ed Dat a 設定画面
無線データの暗号化プロトコルとして、2つあります。
- 暗号化された無線データのみ送受信します。
- 暗号化されたもの、されないものを両方送受信します。
( 1) Enabl e Enc r ypt i on & Deny non‑ enc r ypt ed Dat a(チェックボックスをチェック:
Def aul t 状態)暗号化された無線データのみ受信し、設定された暗号鍵で暗号化 して送信します。
( 2) Enabl e Enc r ypt i on & Al l ow non‑ enc r ypt ed Dat a(チェックボックスのチェッ クを外す)
暗号化されない無線データも受信でき、そのデータを送信した無線端末に送信 するときのみ、暗号化せずに送信します。
この場合、ブロードキャストやマルチキャスト通信は、暗号化せずに送信されます。
6. 6. セ キ ュ リ テ ィ 向 上 の 施 策
無線ネットワークのセキュリティレベルを更に高いものにするためには、以下のことを 推奨します。
- 定期的に使用する暗号鍵を変更します。
- アクセスポイントが送信時に使用する暗号鍵と、無線端末が送信時に使用する暗 号鍵を別のものを使用します。
- 暗号鍵を書いた紙などは捨ててください。
6. 7. ア ク セ ス ポ イ ン ト の 設 定 時 の セ キ ュ リ テ ィ
アクセスポイントの設定は、管理者が行ない、誰でもが設定できないようパスワードな どによるセキュリティが必要です。パスワードはデフォルトのまま使用せずに、必ず変 更して使用してください。
( 1) Re a d 、Re a d/ Wr i t e Pa s s wor d の 設 定
パスワードはプロトコルごとに設定します。
l SNMPパスワード
「ScanTool」で初期設定する場合に使用するパスワード
「Conf i gur e」−「SNMP」タブで設定します。
l HTTPパスワード
ブラウザで設定、あるいはモニタを行う場合のパスワード
「Conf i gur e」−「HTTP」タブで設定します。
Read Pas s wor d(2‑ 31 文字の英数字:Def aul t = publ i c );アクセスポイントの状 態をモニタするためのパスワードを設定します。
Read/ Wr i t e Pas s wor d(2‑ 31 文字の英数字:Def aul t = publ i c );アクセスポイン トの状態モニタと設定内容の編集を行うためのパスワードを設定します。
図 6‑ 7 SNMP 画面
図 6‑ 8 HTTP 画面
( 2) T r a p Hos t Al e r t の 設 定 本機能を使用することで、
- アクセスポイントが、誰かにリセット/ リロードされたこと - 設定を不正に変更しようとしたこと(パスワード不一致)
- 有線 LAN 側の障害、および、障害復旧
を指定した Tr ap Hos t へアラート通知することができます。
設定方法
1. 「Tr ap Hos t I P Addr es s 」;上記アラートを通知するホストの I P アドレスを設定します。
2. 「Tr ap Hos t Pas s wor d」;上記アラートを通知するホストの SNMP パスワードを設定 します。
図 6‑ 9 SNMP 画面
( 3) S NMP I P Ac c e s s L i s t の 設 定
アクセスポイントへのアクセス(状態のモニタと設定)を許可する端末を指定し ます。Def aul t では、全ての端末からアクセスできる設定になっています。
設定方法