メニュー 閉じる

小規模企業における WPA2-Enterprise Wi-Fi セキュリティの導入

はじめに

無線ネットワークを設定するとき、WPA と WPA2 の両方のバージョンに適用される、2 つの非常に異なる Wi-Fi 保護アクセス (WPA) セキュリティ モードを見つけることができます。

もう1つは、企業や組織で使用されるエンタープライズモードで、RADIUS、802.1X、802.11i、またはEAPモードとも呼ばれます。 このモードは、より優れたセキュリティとキー管理を提供し、VLANやNAPなどの他のエンタープライズタイプの機能をサポートしています。

ここでは、Windows Server を使用しない非ドメイン ネットワークを実行している場合でも、中小企業におけるエンタープライズ Wi-Fi セキュリティの理解、設定、および管理に役立つ情報とヒントを共有します。

エンタープライズ モードの利点を理解する

エンタープライズ モードでは、ユーザーはユーザー名とパスワード、またはデジタル証明書を使用して Wi-Fi ネットワークにログオンすることが可能です。 どちらの認証タイプも、Wi-Fi デバイスの紛失や盗難、または従業員が組織を離れたときに、サーバー上でいつでも変更または取り消すことが可能です。

エンタープライズ モードでは、各ユーザーに動的で一意の暗号化キーを提供するため、無線ネットワークでのユーザー間の盗聴を防ぐこともできます。


この機能は、’s New Roman’、’s New Roman’および’s New Roman’をサポートします。 パーソナルモードは、ブルートフォース辞書攻撃を受けやすく、ハッカーに暗号化キーを知られてしまう可能性があります。

Consider All Server Options

中小企業が Windows Server を持っている場合、必要な RADIUS サーバーに Internet Authenticate Service (IAS) または Network Policy Server (NPS) 機能を使用することが可能です。

他にも、ドメイン ネットワークがない場合に最適なオプションがいくつかあります:

  • RADIUS サーバーを内蔵した AP を購入して使用する。 例えば、HP ProCurve 530 や ZyXEL NWA-3500 または NWA3166 などがあり、約 150 ドル以上します。
  • RouterOSやZeroshellなど、RADIUSサーバーを内蔵した独自のルーター/ゲートウェイを作成することができます。 これは通常、サーバーにソフトウェアをインストールすることで実現します。
  • AuthenticateMyWiFi などのホスト サービスを使用して、独自のサーバーをセットアップするのに必要な時間、費用、専門知識を節約することができます。
  • TekRADIUSのような無償のGUIベースのWindowsアプリケーションのような無償のオープンソースサーバーを使用します。
  • Windows、Mac OS X 用の Elektron ($750) や Windows 用の ClearBox ($599) などの RADIUS サーバー ソフトウェアを購入して使用します。

クライアント設定の緩和

RADIUS サーバーを実行するだけではなく、エンタープライズ モードではエンドユーザーのコンピューターや Wi-Fi デバイスでより複雑なクライアント設定を行う必要があります。 パーソナル モードでは、プロンプトが表示されたらパスフレーズを入力するだけなので、通常、エンド ユーザーが行うことができます。 しかし、Enterpriseモードでは、サーバーの認証局(CA)証明書をクライアントにインストールし(EAP-TLSを使用する場合はユーザーごとの証明書も)、ワイヤレスセキュリティと802.1X認証の設定を手動で行う必要がある場合が多いようです。

Windows Server が使用されている場合、少なくともドメインに参加している Windows マシンに対しては、グループ ポリシーを使用して、証明書を配布し、リモートで一元的に設定を構成することができるかもしれません。 XpressConnect および Quick1X です。 これらのタイプのユーティリティでは、セキュリティおよび認証設定を指定またはキャプチャして、クライアント セットアップ プログラムを生成します。 エンドユーザー(またはITスタッフ)は、このプログラムを実行し、コンピュータの設定を自動化することができます。 また、RADIUSサーバーのCA証明書(EAP-TLSを使用する場合は、エンドユーザー証明書も)の配布を支援することもできます。

全体的な手順を理解する

WPA/WPA2-Enterprise および 802.11 のセットアップ手順をより理解するのに役立つと思われるのが、この手順です。

  1. RADIUSサーバーを選択、インストール、および設定するか、ホストされたサービスを使用します。 あるいは、GoDaddy や Verisign などのパブリック CA から電子証明書を購入することで、すべてのクライアントにサーバ証明書をインストールする必要がなくなります。 EAP-TLS を使用する場合、各エンド ユーザーにデジタル証明書も作成します。
  2. サーバー上で、RADIUS クライアント データベースに各 AP の IP アドレスと共有秘密を入力します。
  3. 各 AP で、WPA/WPA2-Enterprise のセキュリティを設定し、RADIUS サーバーの IP アドレスとその特定の AP 用に作成した共有秘密を入力します。
  4. 各 Wi-Fi コンピューターおよびデバイスで、WPA/WPA2-Enterprise 用セキュリティを設定して 802.1X 認証設定を行います。

Summary

企業 Wi-Fi セキュリティを設定するにあたって小規模企業が持つべき主な関心事項について説明してきました。 これで、利点、サーバー オプション、およびクライアント設定の簡略化について、基本的な理解が得られたと思います。

基本的な認証が完了したら、認証およびアカウンティング機能を試してみることができます。

基本的な認証を実行したら、認証とアカウンティング機能を試すことができます。

div

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です