本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


初級ネットワーク講座
第21回 セキュリティは安心?「無線LAN」基礎知識

社内や家庭内のネットワークの基本であるLAN。LANは無線LANと有線LANとに大別される。このうち無線LANは、LANケーブル敷設の煩わしさがなく利便性が高い。その反面、電波を用いての通信のため安全性の面で懸念され、他の電波との混信のためデータの送受信が不安定になるなどの課題も挙げられている。しかし、それら課題となっていたセキュリティも次第に向上してきたことから、安全なネットワークを構築することが可能となった。今回は無線LANの仕組みについて問題点も含めて説明する。

1 無線LANの基礎知識

1-1 無線LANと有線LANの違いって何だろう?

無線LANと有線LANは、パソコンでLANを利用する場合、電波(無線)か、LANケーブル(有線)を使って接続するかによる違いがある。
 LANケーブル敷設の煩わしさがなく利便性が高い無線LAN。職場のLANケーブルでつまずくこともなければ、ノートパソコンを持って街角に出れば、ホットスポットのある場所では気軽にインターネットに接続することができる。
 無線LANは、石造りの建物では新たにLANを配線できない、または、家の中にケーブルを張り巡らすのは見苦しいという理由から、欧米や古い石造りの建物が多いヨーロッパで発達している。日本でもある程度、普及はしているものの、まだまだ有線LANが主流だ。主な理由としては、目に見えない電波を用いて通信を行うという特質上、盗聴などによる情報漏洩が起こりやすい、盗聴されているということが発覚しにくいといったセキュリティ面の問題が挙げられる。また、公表されているほどの速度が出ない、通信が不安定といった問題もあるだろう。
 セキュリティも含めて欠点がカバーされれば、無線LANは更に普及してくるであろう。現に、携帯端末や携帯ゲーム機、携帯電話にも無線LAN機能が搭載されてきており、街角のホットスポットも増えてきている。

1-2 無線LANを使ったネットワーク構成

無線LANを使ったネットワーク構成としては、以下の「アドホックモード」「インフラストラクチャモード」「WDSモード」がある。

無線LANの接続形態
●アドホックモード
1:1の通信モードである。無線LANアクセスポイント(親機)を介さずに直接、数台のパソコンの無線LANアダプタ(無線LANカード、無線LANボード:子機)同士だけでデータ通信を行うことができる。
この場合、同時に他の無線LANアダプタは介在できない。実用としてはあまり用いられていないが、携帯用ゲーム機同士での通信に用いられることが多い。
●インフラストラクチャモード
1:多の通信モードで現在最も普及している。無線LANアクセスポイントを介して複数台のパソコンの無線LANアダプタとデータ通信を行う。
無線LANアクセスポイントの基本機能は、有線LANでのブリッジ機能と同等である。これで、同じ無線LANアクセスポイントに無線で接続されているパソコン同士のデータ通信は可能となる。インターネットやサーバ類と接続されることが一般的なのでアクセスポイントは、有線LANのアダプタを少なくとも1つ持っていて、あらかじめ有線LANにて別のネットワーク機器と接続しておく必要がある。
●WDSモード
WDS(Wireless Distribution System)とは、無線LANアクセスポイント同士をアドホックモードのように無線で通信できる形態である。別名、「リピータ機能」「アクセスポイント間通信」とも呼ばれる。WDSモードは、国際標準化されておらず、ベンダごとに仕様はまちまちで、互換性がとれないことが多いので注意が必要である。また、WDSモードを用いる場合は、すべての無線LANアクセスポイントがWDSモードに対応している必要がある。

図1 無線LANの接続形態

図1 無線LANの接続形態

コラム:アドホックモードにチャレンジ!
 今では1万円以下でも入手できる無線LANアクセスポイント。無線LANの草創期、1990年代後半頃には量産されておらず、アクセスポイントもベンダ直販で10万円を超え、高価な商品であった。
 しかし、どうしてもアクセスポイントなしで無線LANをやりたいと衝動にかられた。そこでアドホックモードを思いついた。
 まずは、無線LANアダプタ2台を用意し、それぞれパソコンに装着する。1台のパソコンにはインターネットに接続している有線LAN(LANケーブル)を接続し、更にそのパソコンをルータとして機能するように設定した(route printコマンド:第18回初級ネットワーク講座参照)。
 これによって、パソコン2台間での無線LANは実現した。LANケーブルなしでインターネットに接続できることは感動的であった。

1-3 無線LANの国際標準

無線LANは、国際標準としてIEEE802.11シリーズで規格化されている。



表1 IEEE802.11で標準化が行われている規格


表1 IEEE802.11で標準化が行われている規格

現実にはIEEE802.11a、IEEE802.11b、IEEE802.11g、IEEE802.11nの規格が使われている。このうち現在IEEE802.11nは策定中で、ドラフトバージョン2.0が公開され、各ベンダが先行して製品化・販売している。それぞれ同じ規格同士であれば問題ないが、異なる規格同士での通信の互換性には注意が必要である。

製品購入の際には、無線LANアクセスポイント、無線LANアダプタの対応している規格に注意が必要である。特に無線LANアクセスポイントを置き換えた際に、使用できなくなる無線LANアダプタが出てくる可能性がある。

また業界団体で、「Wi-Fi Alliance」というのがある。Wi-Fi Allianceは、IEEE802.11シリーズを利用した無線LAN機器間の相互接続性などを検証する団体である。無線LAN機器の相互接続性などが検証された製品には「Wi-Fi」のロゴを貼付することができる。利用者はこのロゴを確認できれば異なる機種、異なるベンダの製品であっても相互接続が保証される。最近の携帯ゲーム機器にもWi-Fiのロゴが貼付されている。

コラム:英文字のウラ話
 IEEE802.11の次にくる英文字、いわゆる枝番は、a,b,c,d,e,f,g,〜とアルファベット順になっている。IEEE802.11にはa,b,j,g,nとある。欠番になっているのは、無線LAN関連の技術(例:IEEE802.11iは暗号化であるWPA2:後述)や研究、実験用で、実用化されなかったものである。
 IEEE802.11aとIEEE802.11bではIEEE802.11aの方が先に標準化され、しかも通信速度が高速なのに日本では先にIEEE802.11bの方が普及した。
 当時、IEEE802.11aが用いる周波数帯は免許が必要であったため、免許不要のIEEE802.11bが先に普及したのである。
 ちなみにIEEE802.11jは、IEEE802.11aの周波数帯を変更し、日本でも免許なしで使えるようにした仕様である。いわゆる日本向けの仕様でIEEE802.11jの「j」がいかにもJapanの「j」のように思えるが、たまたま標準化の順番が「i」の次の「j」だったのである。その後、電波法の省令改正によって制約は残るものの免許なしでもIEEE802.11aで用いる周波数帯が使えるようになったため、IEEE802.11aが急速に普及しIEEE802.11jの必要性がなくなった。
通信手順

IEEE802.11a、IEEE802.11b、IEEE802.11gで用いられているのがCSMA/CA(Carrier Sense Multiple Access/Collision Avoidance:搬送波感知/衝突回避)である。有線LANであるイーサネットは、CSMA/CD(Carrier Sense Multiple Access/Collision Detection:搬送波感知/衝突検出)である。
 最後の「回避」と「検出」の違いだが、有線LANでは、自分が電気信号(データ)を送出しながら、本線上の電気信号を受信している。これによって、他の機器が同時に送出した電気信号と衝突したかどうかが検出できる仕組みになる。衝突を検出したら、信号の送出をやめ、一定時間待った後で再送出する。しかし無線LANでは、本線上の電気信号を受信する仕組みがないため、衝突が検出できない。そのためCSMA/CA方式では、もし通信中のホストが存在した場合、通信終了後、すぐに送信を開始するのではなく、ある長さの待ち時間(衝突を回避するための時間)をとってから送信を開始する。

ビーコン信号

親機である無線LANアクセスポイントは、定期的(90ミリ秒間隔)にビーコン信号を送信する。データフレームをやり取りしている場合は、データフレームとデータフレームの合間にビーコン信号を流している。1回のビーコン信号は1ミリ秒で、その中には、無線LANアクセスポイントを識別するESS-ID(Extended Service Set IDentifier:32文字以内(256ビット)の英数字)及びBSS-ID(Basic Service Set IDentifier:48ビット、無線LANアクセスポイントのMACアドレス)などのデータが含まれる。ビーコン信号の通信速度は、どの規格であっても1Mbpsである。
 子機である無線LANアダプタ(無線LANカード、無線LANボード)は、このビーコン信号を受信する。無線LANアダプタはビーコン信号によって、周囲の無線LANアクセスポイントを検出するとともに、ビーコン信号の電波強度によって無線LANアクセスポイントごとに最適な通信速度を選択する。例えばIEEE802.11gの場合、ビーコン信号の電波強度によって12種類(54Mbps>48Mbps>36Mbps>24Mbps>18Mbps>12Mbps>11Mbps>9Mbps>6Mbps>5.5Mbps>2Mbps>1Mbps)の中から通信に最適な速度を選択する。無線LANアクセスポイントからの距離が長くなったり、障害物が多くなったり、また、他者からの電波による干渉もあると電波強度が弱くなり通信速度は落ちる。通信速度が最大54MbpsのIEEE802.11gを用いていたとしても、実際は1Mbpsで通信していることがありうる。
 データフレームやり取りの最中にアクセスポイントからのビーコン信号の電波強度が弱くなり「通信速度の低下」が発生したり、ビーコン信号が受信できず「ビーコン信号の喪失」が発生する場合がある。

ローミング

あらかじめ無線LANアクセスポイントを複数用意し、それらを有線/無線で接続しておき、無線LANアダプタが移動した場合、無線LANアダプタに対する無線LANアクセスポイントを自動的に切り替える機能をローミングという。
 ローミングによって、シームレスな無線LANネットワークを構築することができる。ローミングを行うためには、複数の無線LANアクセスポイントで同一のESS-IDの設定がされていなければならない。無線LANアクセスポイント切り替えのきっかけは、IEEE802.11の仕様上では特に定義されておらず、ベンダ固有の仕様になっている。頻繁にアクセスポイントが切り替わるものもあれば、なかなか切り替わらないものもあるので、用途に応じて選択する必要がある。



図2 ローミング


図2 ローミング

ローミングには、レイヤ2ローミングとレイヤ3ローミングがある。 レイヤ2ローミングは、無線LANアクセスポイントが同一のネットワークにある。レイヤ3ローミングは、無線LANアクセスポイントが異なるネットワークにある。ローミングで切り替わるとIPアドレスが変わる。

1-4 セキュリティ

無線LANはその利便性により急速に普及すると考えられていたが、電波という目に見えない媒体を伝送路にしているので、特に企業ではセキュリティに対する不安が払拭できずに導入が躊躇されるケースが多い。
 しかし近年、無線LANのセキュリティも向上してきている。暗号化の強化やIEEE802.1xによる認証の仕組みの導入によって、管理者が無線LANに適切なセキュリティ対策を施すことにより、安全なネットワークを構築することが可能となった。無線LANのセキュリティは、「アクセス制御」「暗号化」に大別できる。

アクセス制御
●ESS-ID
ESS-ID(Extended Service Set IDentifier)は、SSID(Service Set IDentifier)の拡張版。無線LANアクセスポイントの識別子で、最大32文字までの英数字を任意に設定できる。無線LANアクセスポイントと無線LANアダプタのESS-IDが一致していないと通信できない。かつては無線LANにおける認証方法であったが、もともとビーコン信号に含まれている(公開されている)情報であり、WindowsXPや各種ツールで容易にESS-IDが分かるので、セキュリティ的には意味をなさない。接続するアクセスポイントの選択に用いられる。
●ANY接続拒否
無線LANアクセスポイントがESS-IDの空白、または“any”が設定されている無線LANアダプタからの接続要求を拒否する。
●ESS-ID隠蔽
無線LANアクセスポイントが発するビーコン信号にESS-IDを含めない。
●MACアドレスフィルタリング機能
無線LANアクセスポイントにあらかじめ通信を許可する無線LANアダプタのMACアドレスを登録しておく。登録以外のMACアドレスから無線LANアクセスポイントにアクセスがあった場合、それを拒否する。
●IEEE 802.1x認証
無線LANアクセスポイントとRADIUS(認証)サーバとの組み合わせにより無線LANアダプタのアクセスを制限する。
●認証・検疫システム
ネットワークに設定したセキュリティポリシーにより、クライアントの隔離/治療を行うシステム。
暗号化
●WEP(Wired Equivalent Privacy)
IEEE802.11で採用された。RC4と呼ばれる暗号化アルゴリズムを元にしている。WEPは様々な脆弱性が発見・報告されている。繰り返し攻撃によって共通鍵がわからなくても暗号文が解読できる。暗号強度は弱い。
◆RC4
共通鍵暗号方式のストリーム暗号方式である。共通鍵の鍵長は40ビットまたは128ビットを利用する。
●WPA(Wi-Fi Protected Access)
Wi-Fi Allianceが2002年に制定したセキュリティシステムである。WEPに替わるもので、暗号化と認証を組み合わせている。従来のESS-IDとWEPキーに加えて、ユーザ認証機能を備え、暗号鍵を一定時間ごとに自動的に更新する。暗号化プロトコルにはTKIPを使用。エンタープライズ(EAPを利用したID、パスワード認証を使用)とパーソナル(PSK:Pre Shared Key:事前共有鍵による暗号化方式を使用)の2種類がある。暗号強度はやや強い。
◆TKIP(Temporal Key Integrity Protocol)
WEP脆弱性の原因の1つとされるRC4を見直したもの。TKIPが使用する鍵は、無線LANアクセスポイントと無線LANアダプタで、パケットごとに共通な128ビットの一時キー(TK:Temporal Key)をもとにして自動生成される。
●WPA2(Wi-Fi Protected Access2)IEEE802.11i
Wi-Fi Allianceが2004年に制定したセキュリティシステム。AES方式の暗号化を規格に取り込み、従来のWPAよりも更に堅牢になった。WPAと同様にエンタープライズ及びパーソナルの2種類がある。暗号強度は強い。
◆AES(Advanced Encryption Standard)
共通暗号鍵方式のブロック暗号方式である。共通鍵の鍵長は128ビット、192ビット、256ビットの3つが利用できる。米商務省標準技術局(NIST)によって2001年に米国政府の標準暗号化技術として認定された方式。従来のDES、RC4などの暗号化方式の弱点を抜本的に見直し、更に強固な暗号化方式とした。

1-5 無線LANの将来

次世代の無線LANの規格として、IEEE802.11vht(802.11 very high throughput)の標準化作業が進められている。vhtは高速なスループットの無線LANで、デュアルリンクで1Gbps以上を実現する。ギガビットWi-Fiとも呼ばれている。802.11nに採用されたMIMO技術と同じく、マルチリンク技術を実装し、シングルリンク(接続)で500Mbps以上の達成を目標にしている超高速無線LANとして期待されている。この802.11vhtには、6GHz以下の周波数帯を使った「IEEE802.11ac」と、60GHz帯のミリ波帯を使った「IEEE802.11ad」という2種類の規格が存在する。現在、実験段階が終了し、実用化に向けての試作品づくりやBluetoothの上位規格であるIEEE802.15.3cとの共存性も含めて検討がなされている。今後の動向にも是非着目していただきたい。
 また、全国の公立小中学校に対しICT(情報通信技術整備)化、耐震化、エコ化を進めていこうという「スクール・ニューディール」政策により、配線を考慮すると無線LAN環境が今後、教育現場で整備されていくと期待されている。

2 無線LANアクセスポイントの選び方

無線LANを構築する場合、無線LANの範囲にする環境(オフィス内のみならず周囲環境も考慮する)、求める情報セキュリティの度合いや利用者の利便性の面などから選ぶことが重要である。今回は無線LANアクセスポイントを選択する際に確認したい点を、注意すべき内容にふれながら紹介する。

無線規格(IEEE802.11a/b/g/n)によるポイント
●新設の場合
無線LANアクセスポイント、無線LANアダプタを同一規格にするのが望ましい。 IEEE802.11nが理想的であるが、規格策定途中なため、ベンダや製品同士の互換性に十分に注意する必要がある。いずれも最高速度54MbpsであるIEEE802.11a、IEEE802.11gでは、使用周波数は高くなるほど電波の減衰が大きくなることを踏まえると、使用周波数が低いIEEE802.11gがお勧めだ。ただし、電波が遠くまで飛ぶということは、その範囲内で同じIEEE802.11gを使用している可能性も高くなり、電波の干渉などによって不安定になることが多い。また使用する電波の周波数帯がISMバンドで不安定になることが多い。無線LANの範囲が狭い(見通し30m内外)または障害物が少なく、安定した通信を求めるのであればIEEE802.11aをお勧めする。
●増設の場合
現状の無線LANアクセスポイント、無線LANアダプタの規格/オプション機能などを確認して互換性のある製品を選択する。
IEEE802.11nは、IEEE802.11a、IEEE802.11b、IEEE802.11gとの互換性をもつが、前述のとおり策定中であるので、注意が必要である。
セキュリティ面でのポイント
●電波の出力強度はどのくらいか
電波の出力は強ければ強いほどいいのかといえばそうでもない。不必要に強すぎると、他所に電波が漏れることになり、セキュリティ低下の要因にもなりかねない。アクセス制御や暗号化などの対処は当然必要だが、ビーコン信号に含まれる情報によって情報漏洩ということもなりかねない。例えば、gooによる「エリア情報検索実験」では、漏れたビーコン信号によって位置情報を公表されている。
●MACアドレスフィルタリングの数は十分か
どの機種にも登録できる上限値がある。
●認証機能(IEEE802.1x)に対応しているか
認証(RADIUS)サーバとの組み合わせで、アクセスを許可されたユーザだけをネットワークに接続可能にし、セキュアなネットワークが構築できる。
●暗号化の対応は充実しているか
「1-4 セキュリティ」にて解説のとおり。
●設定が容易か
上記セキュリティなどの設定が必要である。例えばMACアドレスフィルタリングを用いる場合、各LANアダプタのMACアドレス(48ビット、16進数12桁)を入力しなければならない。
●設定は有線だけからか
無線から設定可能な場合、管理者の利便性は増すが、第三者が設定変更することも可能である。
機能面でのポイント
●高速化機能(フレームバースト)があるか
●ルータ機能を持っているか
●WDS(リピータ機能)対応か
●ローミング機能を持っているか
●有線LANのインターフェースが複数あるか
●VWN(Virtual Wireless Network)機能があるか
VWNは有線LANでいうところのVLANに相当する。有線LANのVLANと同様に無線LANでもVLANでネットワークを分割したい場合、VWN機能がない場合、VLANの数だけ無線LANアクセスポイントが必要になる。VWN機能があると1台の無線LANアクセスポイントでVLANを設定することができる。
●電源スイッチがあるか、または自動電源ON/OFF機能があるか
●PoE(Power over Ethernet)機能があるか
無線LANアクセスポイントはなるべく高い場所に設置した方が電波は遠くまで到達する。無線と光は同じ性質であり、無線LANアクセスポイントは床に置くよりも見通しのいい高いところ(例えばロッカーの上)に置くほうが電波の届く範囲が広くなるからだ。しかし、そのためにはLANケーブルとともに電源コードも必要で外観がよくない場合がある。LANケーブルの代わりにUSB配線とし、そのUSBで給電できる製品もある。
●スパニングツリー(IEEE802.1d)機能があるか
無線LANアクセスポイントは、レイヤ2(データリンク層)の機器でブリッジやL2スイッチと同じ仲間に属する。ということは無線LANアクセスポイントとL2スイッチでループ配線(閉塞状態)を作るとネットワークがダウンしてしまう(第20回初級ネットワーク講座参照)。無線LANアクセスポイントへの配線を二重化する場合、スパニングツリー機能が必要である。
●リンクインティグリティ(Link Integrity)機能があるか
同一範囲内にローミング設定した複数の無線LANアクセスポイントのうち、1つに障害が発生した場合、接続中のLANアダプタを正常に稼働している無線LANアクセスポイントに自動的に切り替えて通信を継続させる機能である。
●ロードバランス機能があるか
無線LANアクセスポイントが複数ある場合、特定の無線LANアクセスポイントに負荷が集中することがある。その場合、他方の無線LANアクセスポイントに負荷を分散させる機能である。オフィスに無線LAN対応のパソコンが多数ある場合に有効である。
●USBインターフェースがあるか
ハードディスクを共有することが可能である。
●耐タンパ機能があるか
無線LANアクセスポイントは通常、利用者に近いところに設置される。管理者の目が行き届かなくなる可能性が高い。盗難やいたずらなどに対しての備え、例えば無理やり設置場所から無線LANアクセスポイントを取り外そうとした場合、すべての設定が消去される機能などがある。
【次号予告】
 現在、ツイストペアケーブルや光ファイバを用いたLANが主流である。かつては同軸ケーブルという直径1cm程度の太い線を用いていた。その生い立ちからツイストペアケーブル、光ファイバまでの流れ、あわせてギガビット通信の仕組みまでを説明する。

取材協力 : 株式会社アイテック

掲載日:2009年8月 5日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2009年07月07日掲載分

検索

このページの先頭へ