技術要素 - 10.ネットワーク - 1.ネットワーク方式 - 3.無線LAN

Last Update : April 12 2018 09:41:09

     

a. 無線LAN

無線LANは、LANケーブルではなく、無線(赤外線や電波)を使ってLAN接続を行う方法。LANケーブルの配線を気にせずネットワークを利用できる利便性がある。
無線LANを用いてネットワークに接続するには、パソコンに無線LAN機器を接続し、無線通信を受け付けるアクセスポイントと呼ばれる基地局が必要になる。
アクセスポイントは、有線ネットワークとのルーティング機能を持つ場合が多い。


b. 無線LANの規格

代表的なIEEE 802.11諸規格についての特長をまとめました。

  • IEEE 802.11b
    1997年にIEEE 802.11規格が完成した後、2.4GHz帯を使用した高速通信の実現を目的として11bが規格化されました。オリジナルのIEEE 802.11規格をベースにCCK変調方式を採用し、伝送速度はIEEE 802.11規格の1~2Mbpsから11Mbpsに飛躍しました。この伝送速度向上により、家庭での利用が広まり、無線LANが普及しました。
    使用周波数が低いので、障害物の影響は受けにくい。
  • IEEE 802.11a
    1997年に、アメリカ連邦通信委員会が5GHz帯の一部(合計300MHzの帯域)を免許不要な無線アクセス用に開放しました。この5GHz帯を使用し、最大54Mbpsの伝送速度を実現した規格が11aです。変調方式はOFDM方式を採用しています。一方、当時の日本では、5GHz帯の利用に関して諸事情により使用チャンネルが限られていましたが、後述の省令改正によってIEEE 802.11aで使用できるチャンネルは国際標準と同様のものに変更されています。
    障害物の影響は受けやすいが、ノイズに強い。
  • IEEE 802.11g
    2.4GHz帯を使用するIEEE 802.11bとの上位互換性を保ちつつ、伝送速度の高速化を目的とし、さらに5GHz帯を使用しているIEEE 802.11aとの上位互換性を図ることを目指して規格化され、最大伝送速度は11aと同様の最大54Mbpsを実現しています。現在普及している一般的な無線アクセスポイント(以降AP)はデュアルモードに対応しており、IEEE 802.11b/g端末が混在するネットワークに対応することが可能です。
  • IEEE 802.11n
    IEEE 802.11nは100Mbps以上の更なる高速化をターゲットとした規格であり、2009年現在ではDraftバージョン2.0が公開され、製品化されています。  11n規格は2.4/5GHzの2つの周波数帯を使用でき、最大600Mbpsの伝送速度を実現します。この高速化はMIMO(Multiple Input Multiple Output)やチャンネルボンディング、フレームアグリゲーションといった複数の技術を組み合わせることにより実現されています。これらの中で最も特長的なMIMOとは、複数のアンテナを同時に使用して1つのデータストリームを分割、多重化して同時に送受信することで単位時間あたりのデータ送受信量を増加させる技術です。 従来のように1本のアンテナだけを使用した場合の伝送速度にくらべて、理論的にはアンテナを増やした分だけ、伝送速度を向上させることができます。現在の11nドラフト規格では最大4データストリームまで規定されており、11n Draft2.0規格対応製品では送受信に使用するアンテナ数によって、「2×2」(送信に2本、受信に2本のアンテナを使用する)や「3×3」(送信に3本、受信に3本)といった形で表示されます。

規格 周波数帯 伝送速度
802.11b 2.4~2.5GHz 最大11Mbps
802.11a 5.15~5.35GHz
5.47~5.725GHz
最大54Mbps
802.11g 2.4~2.5GHz 最大54Mbps
802.11n 2.4GHz / 5GHz 最大600Mbps


c. 無線LANのモード

無線LANでは子機同士の無線通信において、大きく2つのモードが存在します。
アドホックモードとインフラストラクチャモードです。

アドホックモード
アドホックモードはアクセスポイント(以降AP)と呼ばれる親機(基地局)は存在せず、子機(端末)同士が直接通信するモードです。最近では携帯用ゲーム機同士での通信にも使用されています。
アドホックモード利用の場合は通信対象となる子機(端末)のWirelessの設定を“アドホックモード”に設定して利用します。

インフラストラクチャモード
一般的な無線LANの利用モードはインフラストラクチャモードであり、この場合、子機(端末)間の通信は親機(AP)を介して行われます。
インフラストラクチャモードの接続は家庭内LAN、企業向けLANともに利用されています。

WDS
親機(AP)同士で有線LANを無線接続するWDSモードが存在します。このモードは下記のように有線の敷設が困難な隣接ビル間接続や金属などの電波を通さない障害物があるときに迂回して通信する場合などで利用されます。
なお、WDSモードは標準化されておらず、メーカー各社では各機種独自の中継方法が実装されています。そのため、異機種間でのWDS接続はできないケースが多く、注意が必要です。

d. 無線LANのセキュリティー

無線LAN機器及び無線LANを含むネットワークが持つセキュリティー機能には大きく「データの暗号化」と「アクセス制御」の二種類があり、それぞれ下記のような方式があります。

データの暗号方式及びセキュリティー方式

  • WEP ( Wired Equivalent Privacy )・・・セキュリティー強度 : 低
    RC4と呼ばれる暗号化アルゴリズムを元にした共有鍵暗号方式で、IEEE 802.11で採用された。秘密鍵には40bitまたは128bitのデータを使用する。
    WEPは無線上のデータを保護するために IEEE 802.11で規定されました。しかし現在、インターネット上で暗号を解読するツールも配布されており、条件によっては1分程度で解読する方法もインターネット上で公開され、安全な方式とは言えなくなってきています。
    WEPが脆弱な理由: 
    一つの無線アクセスポイントと複数のクライアントで、暗号化用の鍵を共有しており、パスワードが変更されない限り、同一の鍵が使用され続けます。また暗号アルゴリズムも複雑ではないため、短時間で暗号の解読が可能となってしまいます。
  • WPA ( Wi-Fi Protected Access )・・・セキュリティー強度 : 中
    Wi-Fi Allianceが2002年に制定したセキュリティーシステムで、暗号化と認証の組み合わせ。暗号化プロトコルにはTKIPを使用。エンタープライズ(EAPを利用したID,パスワード認証を使用)、パーソナル(PSK ”Pre Shared Key, 事前共有鍵”による暗号化方式を使用)の2種類がある。
    WPAは、従来のSSIDとWEPキーに加えて、ユーザ認証機能を備えた点や、暗号鍵を一定時間毎に自動的に更新する「TKIP」(Temporal Key Integrity Protocol)と呼ばれる暗号化プロトコルを採用するなどの改善が加えられている。
    WPAは2002年10月にWi-Fi Allianceが制定したセキュリティーシステムで、暗号化プロトコルにTKIP、ユーザー認証にPSK、EAPを利用しています。TKIPはパケット毎に暗号鍵を更新するため、WEPに比べてはるかにセキュリティー強度が高くなっています。しかしながら2008年11月にWPAで使われるTKIPに関して、通信の一部分について暗号解読成功例が報告されており、安全面での考慮が必要になってきています。
  • WPA2 ( Wi-Fi Protected Access2 ) ・・・セキュリティー強度 : 高
    Wi-Fi Allianceが2004年に制定したセキュリティーシステム。AES暗号に対応し、WPAより堅牢なセキュリティー方式。
    WPAと同様にエンタープライズ及びパーソナルの2種類がある。
    WPA2は、IEEE 802.11i規格に準拠したセキュリティー方式です。WPA2では、認証とデータ暗号化にAES(Advanced Encryption Standard)アルゴリズムをベースにしたCCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)が採用されています。AESは暗号化としては非常に強力ですが、CPU負荷が高くなるので、通信速度の維持のためにはAES暗号化のためのハードウェアが実装されていることが重要です。
    またWPA2では、事前認証、認証キーの保持を行う方法が規定されているため、ローミング時の再認証が不要となり、ハンドオーバー時間を短縮することが可能です。
  • TKIP ( Temporal Key Integrity Protocol )・・・セキュリティー強度 : 中
    パケット毎に暗号鍵を自動生成する暗号化プロトコル
  • AES ( Advanced Encryption Standard ) ・・・セキュリティー強度 : 高
    米商務省標準技術局(NIST)によって2001年に米国政府の標準暗号化技術として認定された方式
    アメリカ合衆国の国立標準技術研究所(NIST)が認定した暗号化方式です。暗号化を行なう鍵の長さとして、WEPの40/128bitに対して128/192/256bitとより長い鍵を使用できるようになっていることで、より安全な方式と言えます。但し処理速度が遅いため、専用のチップによりハードウェア処理が実装されていることが重要です。

アクセス制御の方法

  • SSID ( Service Set ID ) ESSID (Extended SSID )・・・セキュリティー強度 : 低
    無線LANにおけるアクセスポイントの識別子(32文字)、グループ名。
    SSIDはユーザー認証の方法として使用されることもありますが、本来セキュリティーを目的としたものではなく、無線LAN クライアント機器の接続を容易にするためのものです。よって他の暗号化、認証システムを併用しないと、パケットをキャプチャーするソフトウェアによって容易にSSIDの値が知られ、不正アクセスされる危険性が非常に高くなります。また、無線接続時ビーコン信号以外にSSIDを含むフレームが存在するため、キャプチャーソフトウェアによっては、隠蔽モードでもSSIDを読み取られる可能性があります。
  • ANY接続拒否機能・・・セキュリティー強度 : 低
    SSIDが空白または”any”が設定されているクライアントからの接続要求を拒否する機能
  • SSID隠蔽機能・・・セキュリティー強度 : 低
    ビーコン信号にSSIDを含めない機能
  • MACアドレスフィルタリング機能・・・セキュリティー強度 : 低
    MACアドレスで、アクセスポイントに対するクライアントのアクセスを制限する機能
    特定のMACアドレスを持つ無線クライアントからの接続の許可または禁止を行います。クライアントのMACアドレスを登録するだけで簡単にセキュリティー環境を構築することが可能ですが、無線送受信パケットのMACアドレスが盗み見られた場合、「なりすまし」による不正アクセス被害を受ける可能性があります。
  • IEEE 802.1x認証・・・セキュリティー強度 : 高
    RADIUSサーバーによるクライアント認証機能
    アクセスポイントに接続してきたユーザーをRADIUSサーバーで認証し、アクセスの可否を判断します。プロトコルはEAP(Extensible Authentication Protocol) を使用します。IEEE 802.1x の認証方式には、MD5/PEAP/TTLS/TLS など複数あります。OS やクライアント、アクセスポイントによってはサポートしている認証方式が違う場合があるので使用の際には注意が必要です。

    認証タイプ 特長
    EAP Extensible Authentication Protocol
    PPPを拡張し、複数の認証方式を利用できるようにした規格。RFC2284で規定。
    EAP-MD5 デジタル証明書を必要としないため認証の実施が容易に可能。しかしながらセキュリティー面の問題が指摘されていることもあり、近年ではあまり使用されない。
    EAP-TTLS 暗号化されたトンネル内で認証するため、セキュリティー的には以下の「EAP-PEAP」と同等。別途有償のサプリカントソフトウェアが必要。
    EAP-PEAP
    Microsoft、Cisco、RSAが提案する認証方式。
    暗号化されたトンネル内で認証する。Microsoft Windows 2000 SP3/SP4及びXP付属のサプリカントで実施が可能。
    EAP-TLS
    クライアント証明書を使用して認証する。
    デジタル証明書を使用した相互認証で、セキュリティー的に強固。Microsoft Windows 2000 SP3/SP4及びXP付属のサプリカントで実施が可能。

  • 認証・検疫システム・・・セキュリティー強度 : 高
    ネットワークに設定したセキュリティーポリシーにより、クライアントの隔離/治療を行うシステム

電波干渉の回避
無線LANで使用する電波は、チャンネル(ch)と呼ぶ周波数帯に分割されています。近年、主に使用されるIEEE 802.11b/gでは2.4GHz帯を5MHz間隔で13個に分割し、1~13chとして使用されますが、同じチャンネルの電波同士がぶつかると、通信速度が低下するなど、問題となる場合があります。そのため、IEEE 802.11b/gの場合は各APが使用するchを1ch、6ch、11chのように周波数が重なり合わないように選んで無線LANを構築する必要があります。

PoE (Power over Ethernet)
電波は高い位置から送信されるとより遠くまで届きやすくなりますので、APはブラケットを使用して天井や壁の高い位置に設置されるケースが多くなります。一般的にコンセントは壁の低い位置に設置されているため、APに電気を供給するために施工者は頭を悩ますことになります。このような問題を解消するためにはPoEによる給電が効果的です。PoEはIEEE 802.3afという標準規格で規定されており、対応する給電機器(Power Sourcing Equipment: PSE)から受電機器(Powered Device : PD)が動作するために必要な電気をLANケーブル(UTPケーブル)経由で供給することができます。また、UTPケーブルは最大100mの距離を接続できることが規格上決められていますので、PoE対応スイッチから100mの範囲内でAPの設置場所を自由に決めることができるようになります。このようにPoEを併用すると、電源に悩まされることなく自由なレイアウトでAPを設置し、ワイヤレスオフィスを実現することができます。


  [ 例題 ] 
  1. 平成14年度秋期 問64  無線LAN


     

www.it-shikaku.jp