[index] AT-TQ2403EX リファレンスマニュアル 3.4

セキュリティー


  - SSIDのブロードキャスト
  - 無線クライアントの分離
  - モード
  - なし(プレーンテキスト)
  - スタティックWEP
  - IEEE802.1x
   - RADIUSサーバーの設定
   - キーの更新
  - WPAパーソナル/エンタープライズ
   - WPAバージョン
   - 暗号スイート
   - RADIUSサーバーの設定
   - キーの更新


無線通信のセキュリティーの設定を行います。

  1. 「SSIDのブロードキャスト」「無線クライアントの分離」を必要に応じて設定します。
  2. 「モード」で暗号化の認証方式を選択してください。
  3. 2.で選択した認証方式に付随する項目を設定してください。
    Note - 認証方式や認証方式に付随する項目は、接続する無線クライアントと合わせてください。
  4. 「適用」ボタンをクリックしてください。
 

SSIDのブロードキャスト

SSIDをブロードキャストするか否かを設定します。デフォルトは「チェックなし」です。セキュリティー対策のためには、「チェックなし」をお勧めします。

表 1
項目名
説明
チェックあり ビーコン信号にネットワーク名を含みます。SSIDが未設定であるか、ANYが設定されている無線クライアントから、本製品のネットワーク名を検出することが可能となります。
チェックなし ビーコン信号にネットワーク名を含みません。SSIDが未設定であるか、ANYが設定されている無線クライアントからは、本製品のネットワーク名を検出できません。無線クライアントを本製品に接続するためには、無線クライアントに本製品と同じSSIDを設定しておかなければなりません。

Note - この設定は、「詳細設定」/「イーサネット設定」画面の内部ネットワークインターフェースに対して適用されます。ゲストネットワークインターフェースが有効となっている場合は、それにも適用されます。
VWN(バーチャル・ワイヤレス・ネットワーク)におけるこの設定は、「詳細設定」/「VWN」画面にあります。
 

無線クライアントの分離

本製品に接続している無線クライアント間の通信を許可するか否かを設定します。デフォルトは「チェックなし」です。

表 2
項目名
説明
チェックあり 無線クライアント同士の通信を禁止します。
チェックなし 無線クライアント同士の通信を許可します。

Note - WDSの接続相手となっているアクセスポイントとの通信は分離できません(相手のアクセスポイントに接続している無線クライアントとの通信が可能です)。
 

モード

暗号化の認証方式を選択します。デフォルトは「無し(プレーンテキスト)」です。
セキュリティー対策のためには、「WPAパーソナル」または「WPAエンタープライズ」をお勧めします。

表 3
項目名
説明
無し(プレーンテキスト) 認証および暗号化を行いません。誰でも自由に本製品に接続することができます。
スタティックWEP 固定キーをもとにRC4アルゴリズムによる暗号化を行います。無線クライアント個別の認証は行いません。WEPは脆弱なため、固定キーで運用するなら「WPAパーソナル」の使用をお勧めします。
IEEE802.1x RADIUSサーバーで無線クライアント個別の認証とキー生成を行い、本製品と無線クライアント間の通信にWEP暗号化を行います。WEPキーは一定間隔で更新されるため、「スタティックWEP」よりは安全ですがTKIPよりは脆弱です。RADIUSサーバーをご使用になる場合は、「WPAエンタープライズ」の使用をお勧めします。
WPAパーソナル 事前共有キー(PSK)をもとに無線クライアント個別のキーを生成、本製品と無線クライアント間で認証と暗号化を行います。暗号アルゴリズムにはAESまたはTKIPを使用します。
WPAエンタープライズ RADIUSサーバーで無線クライアント個別のキーを生成、本製品と無線クライアント間で認証と暗号化を行います。暗号アルゴリズムにはAESまたはTKIPを使用します。

Note - 無線LANで接続しているコンピューターから本製品の設定を変更しているときにセキュリティー設定を変更すると、本製品との通信ができなくなりますのでご注意ください。
設定を続ける場合は、無線LANカードのセキュリティー設定を本製品に合わせて変更するか、有線LANで接続しているネットワーク上のコンピューターから本製品にアクセスしてください。
 

なし(プレーンテキスト)

 

スタティックWEP

WEP暗号化に関する設定を行います。

表 4
項目名
説明
送信するWEPキーの番号 1〜4のWEPキーのうち、実際に使用するキーを選択します。デフォルトは「1」です。
キーの長さ WEPキーの強度を選択します。デフォルトは「128ビット」です。

64ビット
16進数では、10桁のWEPキーを直接入力します。
ASCIIでは、5文字の半角英数記号を入力し、WEPキーを自動生成します。

128ビット
16進数では、26桁のWEPキーを直接入力します。
ASCIIでは、13文字の半角英数記号を入力し、WEPキーを自動生成します。

152ビット
16進数では、32桁のWEPキーを直接入力します。
ASCIIでは、16文字の半角英数記号を入力し、WEPキーを自動生成します。
キーのタイプ WEPキーの生成方法を選択します。デフォルトは「16進数」です。

ASCII
任意の文字列からWEPキーが自動生成されます。
入力されるWEPキーの大文字・小文字は区別されます。

16進数
16進数(0〜9、A〜F、a〜f)でWEPキーを直接入力します。
入力されるWEPキーの大文字・小文字は区別されません。
WEPキー 「キーの長さ」と「キーのタイプ」に合わせてWEPキーを入力します。
1〜4の4種類のキーを登録しておくことができます(実際に通信で使用するのはひとつです)。
通信を行うためには、無線クライアントでも「送信するWEPキーの番号」で選択したキーと同じWEPキーを設定する必要があります。
認証 通常は「オープンシステム」を選択します。
デフォルトは「オープンシステム」です。
セキュリティー対策のためには、「オープンシステム」にすることをお勧めします。

オープンシステム
無線クライアントが正しいWEPキーを持っているか否かに関係なく、任意の無線クライアントの接続を許可します。
しかしながら、無線クライアントは接続を許可されただけであり、アクセスポイントとトラフィックの交換を行うためには、正しいWEPキーを使用してデータを暗号化/復号化しなければなりません。
この認証アルゴリズムは、プレーンテキスト、IEEE802.1x、WPAモードでも使用されます。

共有キー
無線クライアントがアクセスポイントに接続する際に、正しいWEPキーを要求します。
クライアントが誤ったWEPキーを持っている場合、アクセスポイントに接続できません。

「オープンシステム」と「共有キー」の両方の選択
「共有キー」を使うように設定された無線クライアントは、有効なWEPキーを持っていれば、アクセスポイントに接続できます。
「オープンシステム」としてWEPキーを使用するように設定された無線クライアントは(共有キーは無効)、アクセスポイントに接続できます。

 

IEEE802.1x

IEEE 802.1X認証に関する設定を行います。

 

RADIUSサーバーの設定

設定内容は、下の「WPAパーソナル/エンタープライズ」の「RADIUSサーバーの設定」を参照してください。
 

キーの更新

ブロードキャストキー(ブロードキャストフレームを暗号化する際に使用するキー)、ユニキャストキー(ユニキャストフレームを暗号化するキー、無線クライアントごとに異なります)の各々は、タイマーと送受信カウンターを持っており、次の設定に従ってこれらのキーが更新されます。

表 5
項目名
説明
キー更新間隔 ブロードキャストキーとユニキャストキーの更新間隔を0〜86400(秒)で設定します。ブロードキャストキーとユニキャストキーの更新は同時に行われます。0を設定すると、定期的なキーの更新を行いません。デフォルトは「300」です。
キー更新が発生すると、「フレーム送受信数によるキー更新」を管理している送受信カウンターのすべてもリセットされます。
フレーム送受信数によるキー更新 送受信したフレーム数が1,000,000に達したときに暗号キーの更新を行うか否かを設定します。デフォルトは「有効」です。
更新は、ユニキャストキー(無線クライアントごと)、ブロードキャストキーごとに行われます。ただし、ブロードキャストキーの更新が発生した場合、ユニキャストキーの更新も同時に行われます。キー更新が発生すると、更新されたキーの「キー更新間隔」を管理するタイマーもリセットされます。

Note - 再認証時間(Session-Timeout)によって再認証が発生した場合も、ユニキャストフレームの送受信カウンターがリセットされます。
 

WPAパーソナル/エンタープライズ

WPA認証に関する設定を行います。

 

WPAバージョン

WPAの種類を選択します。WPAのみをサポートする無線クライアントと、WPA2をサポートするものが混在する環境では両方を選択します(無線ネットワークの全体的なセキュリティーは、WPAと同じレベルとなります)。デフォルトは「WPA」「WPA2」の両方です。

表 6
項目名
説明
WPA WPAのみに対応する無線クライアントを使用する場合、「WPA」を選択します。
WPA2 WPA2に対応する無線クライアントを使用する場合、「WPA2」を選択します。
事前認証を有効にする (WPAエンタープライズのみ)
「チェックあり」にすると、無線クライアントが現在使用しているアクセスポイントから、対象となるアクセスポイントに、事前認証情報を中継します。これにより、無線クライアントがローミングしたときの認証をスピードアップします。この機能は、WPA2のみで使用できます。

Note - WPAは、IEEE 802.11iのドラフト段階における機能の実装です。WPA2は、IEEE 802.11iが正式なものとなった後、IEEE 802.11iの必須機能のすべての実装です。
 

暗号スイート

暗号プロトコルを選択します(両方を選択することもできます)。デフォルトは「TKIP」です。

表 7
項目名
説明
TKIP TKIPは、WEPと同様にRC4で暗号化しますが、暗号キーは無線クライアントごとに異なったものとなり、また一定回数使用すると、新たなものに変更されます。
CCMP(AES) 米国商務省の承認した標準技術を用いた暗号化を行います。この暗号化方式は、強力なアルゴリズムを持ちます。
キー (WPAパーソナルのみ)
暗号キーを設定します。8〜63文字の半角英数記号を入力します。大文字、小文字は区別されます。

Note - WPA規格では、TKIPは必須項目、CCMP(AES)はオプション項目ですが、本製品では、TKIP、CCMP(AES)とも実装しています。
 

RADIUSサーバーの設定

表 8
項目名
説明
内蔵RADIUSサーバーを使う 認証に用いるRADIUSサーバーを選択します。
「チェックあり」にすると、本製品内蔵のRADIUSサーバーを使用します。
「チェックなし」にすると、外部のRADIUSサーバーを使用します(外部RADIUSサーバーのIPアドレスなどの入力が必要)。
デフォルトは「チェックあり」です。
RADIUS IP プライマリーとして使用する、外部RADIUSサーバーのIPアドレスを入力します。
デフォルト「127.0.0.1」は、内蔵RADIUSサーバーのIPアドレスです。
(例)192.168.2.30
ポート番号 プライマリー、セカンダリーそれぞれの外部RADIUSサーバーのポート番号を1〜65534の範囲で入力します。デフォルトは「1812」です。アカウンティング用のポート番号は、「このポート番号+1」となります。
RADIUSキー プライマリー、セカンダリーそれぞれの外部RADIUSサーバーに接続するためのパスワードを128文字までの半角英数記号で入力します。
セカンダリーRADIUS IP セカンダリーとして使用する外部RADIUSサーバーのIPアドレスを入力します。
デフォルト「0.0.0.0」のとき、セカンダリーRADIUSサーバーは無効です。
RADIUSアカウンティングを有効にする 「チェックあり」にすると、ユーザーを認証した外部のRADIUSサーバーを使用して、ユーザーがセッション中に使用したリソース(使用時間や送受信データの総計など)を記録することができます。
デフォルトは「チェックなし」です。
ダイナミックVLANでVLAN IDを必須とする 「チェックあり」にすると、RADIUSサーバーからの認証応答にVLAN IDが含まれていなければ、その認証要求を行った無線クライアントの通信を禁止します。
デフォルトは「チェックなし」です。

Note - 本製品の内蔵RADIUSサーバーで認証を行う場合、SP1またはSP2を適用していないWindows Vista内蔵サプリカントを使用した無線クライアントからは接続することができません。
Note - 「RADIUS IP」「セカンダリーRADIUS IP」に「999.999.999.999」のようなアドレスを設定すると、「255.255.255.255」のように設定されます。
Note - 「RADIUS IP」に「詳細設定」/「イーサネット設定」画面の「スタティックIPアドレス」に設定したIPアドレスを入力しないでください。
 

キーの更新

ブロードキャストキー(ブロードキャストフレームを暗号化する際に使用するキー)、ユニキャストキー(ユニキャストフレームを暗号化するキー、無線クライアントごとに異なります)の各々は、タイマーと送受信カウンターを持っており、次の設定に従ってこれらのキーが更新されます。

表 9
項目名
説明
ブロードキャストキー更新間隔 ブロードキャストキーの更新間隔を0〜86400(秒)で設定します。0を設定すると、定期的なキーの更新を行いません。デフォルトは「86400」です。
キー更新が発生すると、「フレーム送受信数によるキー更新」を管理しているブロードキャストキーの送受信カウンターもリセットされます。
フレーム送受信数によるキー更新 送受信したフレーム数が1,000,000に達したときに暗号キーの更新を行うか否かを設定します。デフォルトは「有効」です。
更新は、ユニキャストキー(無線クライアントごと)、ブロードキャストキーごとに行われます。ブロードキャストキーの更新が発生すると、「ブロードキャストキー更新間隔」を管理するタイマーもリセットされます。

Note - WPAエンタープライズで再認証時間(Session-Timeout)によって再認証が発生した場合も、ユニキャストフレームの送受信カウンターがリセットされます。


Copyright (C) 2011,2012 アライドテレシスホールディングス株式会社

PN: 613-001582 Rev.B