802.11 WLANプロトコルを展開する方法はそれほど安全ではないため、何もできません。幸い、IEEE(およびMicrosoft、Cisco、その他の業界をリードする企業)は802.11の欠陥を発見しました;その結果、IEEE 802.1x規格はワイヤレスローカルエリアネットワーク(WLAN)と通常のローカルエリアネットワークにはるかに堅牢なIDを提供します。検証とセキュリティの仕組みWindows 2000またはWindows Server 2003ドメインコントローラとWindows XPクライアントを組み合わせて使用して、802.1xを展開できます。 802.1xの仕組み
802.1xはポートベースのアクセス制御を実装しています。 WLANでは、ポートはアクセスポイント(AP)とワークステーション間の接続です。 802.1xには2つのタイプのポートがあります:未制御および制御。現在使用しているのは非制御ポートです。デバイスがポートに接続し、他のネットワークデバイスと通信できるようにします。代わりに、制御ポートは接続先装置が通信できるネットワークアドレスを制限します。次に何が起きているのか理解できたかもしれません。802.1xではすべてのクライアントが制御ポートに接続できますが、これらのポートは認証サーバーにトラフィックを送信するだけです。クライアントが認証されると、非制御ポートの使用を開始することが許可されます。 802.1xの謎は、非制御ポートと制御ポートが同じ物理ネットワークポートに共存する論理デバイスであるということです。
認証のために、802.1xはさらにネットワークデバイスに対して2つの役割、サプリカントとオーセンティケーターを定義します。申請者は、ネットワークリソースへのアクセスを要求するデバイス(802.11bネットワークカードを搭載したラップトップなど)です。認証者は、申請者を認証し、申請者へのアクセスを許可するかどうかを決定するデバイスです。ワイヤレスAPはオーセンティケーターとして機能できますが、業界標準のリモート認証ダイヤルインユーザーサービス(RADIUS)プロトコルの方がより柔軟です。このプロトコルはWindows 2000に含まれています; RADIUSによって、APは認証要求を受け取り、Active Directoryに対してユーザを認証するRADIUSサーバに要求を転送します。
802.1xは、認証にWired Equivalent Privacy(WEP)を使用せずに、業界標準のExtensible Authentication Protocol(EAP)以降のバージョンを使用します。どちらの場合も、EAP /PEAPには独自の利点があります。それらは認証方法の選択を可能にします。デフォルトでは、802.1xはEAP-TLS(EAP-Transport Layer Security)を使用します。ここでは、EAPで保護されたすべてのトラフィックがTLSプロトコルによって暗号化されます(SSLと非常によく似ています)。認証の全プロセスは次のとおりです。
1.ワイヤレスワークステーションは、非制御ポートを介してAPに接続しようとします。 (この時点ではワークステーションは認証されていないため、制御ポートを使用することはできません)。 APはプレーンテキストチャレンジをワークステーションに送信します。
2.それに応じて、ワークステーションは独自のIDを提供します。
3.AP有線LANを使用して、ワークステーションからRADIUSオーセンティケーターにID情報を転送します。
4. RADIUSサーバーは指定されたアカウントに対してクエリを実行し、必要な資格情報を判断します(たとえば、デジタル証明書のみを受け入れるようにRADIUSサーバーを構成することができます)。この情報は信任状要求に変換され、ワークステーションに返されます。
5.ワークステーションはAPの非制御ポートを介して認証情報を送信します。
6. RADIUSサーバーは認証情報を認証し、認証に合格した場合は、認証キーをAPに送信します。このキーは暗号化されているため、APのみが復号化できます。
7.APはキーを復号化し、それを使用してワークステーション用の新しいキーを作成します。この新しいキーはワークステーションに送信され、ワークステーションのプライマリグローバル認証キーを暗号化するために使用されます。
APは定期的に新しいグローバルグローバル認証キーを生成し、それをクライアントに送信します。これは802.11の長命の固定キーの問題を解決し、攻撃者は総当たり攻撃を通して容易に固定キーを攻撃することができます。
クライアントでの802.1xの設定
Windows XPでの802.1xクライアントの設定は非常に簡単で、ここでいくつかの基本的な手順を簡単に紹介します。
1.ネットワーク接続フォルダを開き、802.1xを使用する接続を右クリックして、propertyコマンドを選択します。
2. [ワイヤレスネットワーク]タブに切り替えて、802.1xに使用するWLAN接続を選択します。設定ボタンをクリックします。
3. [ワイヤレスネットワークのプロパティ]ダイアログで、[認証]タブに切り替えます。
4. [このネットワークでIEEE 802.1x認証を有効にする]チェックボックスがオンになっていることを確認し、適切なEAPの種類を選択します。通常、企業ネットワークではスマートカードまたはローカル記憶域証明書と共にEAP-TLSを使用し、小規模ネットワークではPEAPを使用できます(既にWindows XP Service Pack 1をインストール済みの場合のみ)。小規模ネットワーク用に802.1xを展開する< Br>小規模なネットワークを使用している場合、802.1xは非常に難解だと思うかもしれません。良い知らせは、あなたが完全な公開鍵基盤を持っておらず、多くの作業を必要としなくても、あなたは802.1xを展開することができるということです。この記事では、実行する必要がある手順について説明します。簡単に言うと、PEAPを使用するようにWindows XP SP 1以降のクライアントをセットアップし、次にRADIUS接続を提供するWindowsインターネット認証サービス(IAS)を実行する少なくとも1台のコンピューターをセットアップする必要があります。各IASサービスには、お客様が署名したデジタル証明書、またはサードパーティの証明機関(CA)から購入したデジタル証明書が必要です。やらなければならないことはたくさんあります。もちろん、最初にIASをインストールする必要がありますが、プロセスは簡単です。大企業向けの802.1xの展開
少なくとも1つのドメインコントローラを備えたWindows 2000ネットワークを使用する場合は、リモートアクセスにActive DirectoryとWindows 2000を利用するように、より柔軟な802.1xインフラストラクチャを設定できます。戦略をサポートします。最初はあなたのクライアントのためのデジタル証明書を入手することです。幸い、ドメイン内のコンピュータのコンピュータ証明書を自動的に要求するグループポリシーを作成することで、これらの証明書を簡単に取得できます。この手順を完了したら、必要なインフラストラクチャ(IASを含む)の残りを展開し、RADIUSを使用してIASサーバーと通信するようにワイヤレスAPを構成できます。そうすれば、WLANトラフィックが安全に保護されたことを確認して安心することができます。