平成17年度テクニカルエンジニア(ネットワーク)午後Ⅰ 問Ⅱ設問4解答と解説

Table of Contents

解答

(1)IEEE802.1xはユーザ認証のみで暗号化を行わないから

(2)ユーザごとの暗号キーの配布・更新を自動化できるから

解説

単純なWEPによる暗号化だけでない無線LANのセキュリティに関する問題です。
問題文には言葉として明確に出てきていませんが、WPA(WiFi Protected Access)
について理解しておくようにしましょう。

単なるWEPの暗号化では、長時間パケットをキャプチャされてしまうと、同じ
暗号キーで暗号化したパケットが出てきてしまい、元の平文データを解析され
てしまう危険性があります。また、同じアクセスポイントに接続するユーザは
同じWEPキーを利用するという欠点もあります。それらを改善するためにWPAが
あります。
WPAは無線LANセキュリティを規定するIEEE802.11iのサブセットです。WEPの脆
弱性が話題になっていた頃、なるべく素早く、ハードウェアの変更もなるべく
抑えてWEPよりも強固なセキュリティを実装できるようにするためにWPAが規定
されています。WPAに対応するには、基本的にハードウェアを変更することな
く、ファームウェアのアップデートで対応することができます。

WPAではTKIP(Temporal Key Integrity Protocol)によって自動的に暗号キーの
生成・更新を行うことができます。TKIPはIEEE802.1xのユーザ認証と組み合わ
せて、ユーザごとに異なる暗号キーを配布します。ただ、実際には暗号キーそ
のものではなく暗号キーを生成する元になるPMK(Pairwise Master Key)という
データを配布し、そこから暗号キーを生成することになります。長時間同じ暗
号キーを使い続けると、解析される危険性が高まるので1万パケットごとに自
動的に暗号キーを更新する仕組みも備えています。
なお、WPAでIEEE802.1xのユーザ認証を組み合わせるには認証サーバ(RADIUSサーバ)
が必要となります。家庭向けや中小企業では認証サーバを用いるのは難しいの
で認証サーバを必要としないWPA-PSK(Pre Shared Key)もあり目的に応じて使
い分けます。

ただ、WPAではWEPの脆弱性を完全に解決したわけではありません。同じ暗号キ
ーを使ってしまう危険性を少なくしているものの、暗号化そのものについては
RC4を利用しています。そのため、単なるWEP暗号化よりも危険性はかなり小さ
いものの、同じ暗号キーで暗号化したパケットを収集されてしまえば、暗号が
解析される可能性はあります。
さらに強固なセキュリティを実装するには、IEEE802.11iが必要です。IEEE802.11i
は暗号化方式にAES(Advanced Encryption Standard)を用いています。

以上のことを踏まえて、解答を考えます。

(1)
IEEE802.1xはあくまでもユーザ認証の機能です。不正なユーザを無線LANアク
セスポイントに接続させないことはできますが、パケットを暗号化する機能は
ありません。そのため、WEPによる暗号化はやはり必要です。

(2)
IEEE802.1xのユーザ認証とともに暗号キーを生成する元になるPMKをユーザご
とに自動的に配布することができます。また、一定の通信ごとに自動的に更新
することができます。こうしたことから、営業担当者が手動でキーの設定をす
る必要がなくなり、作業負荷が小さくなると考えられます。

【参考URL】

written by Gene


解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!