無線LANの暗号化規格について | 無線LANトラブル対応実記(1)

無線LANの暗号化規格について | 無線LANトラブル対応実記(1)

イントロダクション

全般的に記事がビジネス寄りの話で、「お前本当に情シスか!?」と疑念を持たるかもしれません。
だからというだけではないですが、今回はゴリゴリの技術の話をしたいと思います。

それも私の最も不得意とする領域、ネットワークの話です。
不得意だったので失敗した話です。

失敗談から学べる教訓もある、というのもあります。
失敗したから色々調べてちょっとだけ無線LANに詳しくなりました。

不得意なので用語の誤りや認識違いがあるかもしれません。
でも不得意だからこそわからない人が理解できる言葉に置き換えつつ説明していきたいと思います。

スポンサーリンク

無線アクセスポイントを更新したら問題噴出!

無線APを更新しよう(ついでに)

私の会社のオフィス内のネットワークはほぼ無線LANになっています。
私が転職した時点では既に無線LAN化は完了していました。

転職後間もない頃に社内ネットワーク更新の話が持ち込まれました。
その際に合わせて無線アクセスポイント(以下無線AP)も更新してはどうかという提案をベンダーから受けました。

更新前の無線APの管理画面は1台ずつ個別に接続しなければいけなかったし、高速通信が可能な5GHz帯の規格・IEEE802.11acに対応していませんでした。
パソコンや無線子機が全てIEEE802.11ac対応できているわけではありませんでしたが、この機会に無線APの集中管理とIEEE802.11ac対応を進めるため、無線APの切り替えを行うことにしました。

導入する機種はCiscoのAironet 1830 シリーズです。

Cisco Mobility Expressで最大50台までの無線APを一元管理できます。
また、個々のAPが連動して出力調整を自動で行ったり、使用状況等の様々なレポートを見ることができます。

高い利便性とIEEE802.11ac推進のために無線APの更新を決定しました。

ただ、ネットワーク工事のメインは基幹ネットワークのハブの更新やケーブルのメンテナンスでした。
工事規模も更新全体の中では無線APの更新の割合が大きくなかったので、正直ついでに更新することにしました。

工事明けの月曜日、ひっきりなしに電話がかかってくる

幹線のLANやハブを更新するので、インターネット・イントラネット問わず使えなくなります。
そのためネットワーク工事は基本土日に行います。

ネットワーク図に基づいてセグメント毎に通信確認を行い、無線APも全台接続確認を行いました。
ちなみに確認したパソコンはIEEE802.11ac対応の無線子機内蔵のノートパソコンでした。

保守ベンダーの作業者と一緒に無線APの設置場所を調整したり、導通確認したりしていたら丸1日かかりました。
全ての個所の導通が確認できたので、とりあえず作業完了となりその日は撤収しました。

そして週明けの月曜日。

「無線LANに繋がらない!」
「なんかネットワーク速度遅いんだけど」

朝からジャンジャン電話がかかってきます。
一応予想はしていた事態なので、保守ベンダーの担当者には待機してもらっていました。

とりあえず優先度が高いのは繋がらない人たち。
ネットワーク問題なのでリモート保守ができないので現場を1つずつ回ります。

接続ができなくなった原因の大半は無線LANの暗号化規格の設定誤りでした。

無線LAN暗号化規格について

無線LANはその名の通り無線ですから、通信内容が傍受される危険性があります。
安全な通信のためには通信の暗号化が必要です。

暗号化規格は国際標準で定められており、一般的に3種類あります。

WEP(Wired Equivalent Privacy)

WEPは最初に規定された暗号化規格です。

古い規格なので、古い通信規格しかサポートしていません。
またWEPの暗号化アルゴリズムであるRC4は既に解析されており、セキュリティとしては用途を達しません。

古い機器との互換性を持たせるために残っている状態です。

WPA(Wi-Fi Protected Access)

WEPの脆弱性を解消するために登場したのがWAPです。
WEPしかサポートされていない機器の一部はファームウェアのアップデートでWPAに対応することができるため、無線LANのセキュリティ仕様であるIEEE802.11iの暫定規格となりました。

暗号化方式はTKIPと、一部AESをサポートしています。
TKIPはWEPをより複雑化したものですが、暗号化アルゴリズムはWEPと同じRC4なので結局解析されてしまいます。
そのためセキュリティのためにはAESが推奨されています。

認証方式として共通鍵方式(所謂パスワード入力)を用いた「パーソナル」と認証サーバを必要とする「エンタープライズ」のがあります。
ちなみに「WPA-PSK」という表記の場合、「パーソナル」に該当します。

WPA2(Wi-Fi Protected Access2)

WPAが暫定規格だったのに対してWPA2はIEEE802.11iの正式規格です。
暗号化方式はAESをサポートしており、解析が困難なためセキュリティ強度が高くなっています。

認証方式はWPA同様に「パーソナル」「エンタープライズ」があります。

セキュリティ的にはWPA2が推奨ですが、機器によっては規格に対応していないものもあります。
そのために継続してWPAやWEPでの認証が残っている場合があります。
逆にセキュリティを確保するためにWPA2しかサポートしていない機器も存在します。

発生していた事象

無線APの更新によるパソコン側の設定変更を省略するために、認証のSSID/パスワードは更新前後で同じにしていました。
更新前後共に、社内の無線LANの認証は「WPA2-PSK(ASE)」がルールになっていました。

ここで問題が発生します。
更新前の機器はWPA-PSK、WPA2-PSKのどちらもに対応していましたが。
しかし更新後の機種がサポートしている認証方式はWPAの場合はエンタープライズのみでした。
(WPA2はパーソナルもエンタープライズも両方OK。)

接続がうまくいかなくなっていた機器は、無線LAN認証方法が誤って「WPA-PKS」で設定されていました。
更新前のWPAパーソナルでも無線APでは認証がうまくいっていたのですが、更新後は認証できなくなっていた、というのが原因でした。

対処としては現象が発生しているパソコンの無線LAN設定にて認証方式を「WPAパーソナル」から「WPA2パーソナル」に変更し、現象は改善しました。

スポンサーリンク

完全解決まではまだ遠い

認証方式以外の原因の機器が残った

しかし一部パソコンでは認証方式がWPA2パーソナルになっているにも関わらず引き続き無線LANに接続ができなかったり、通信速度が遅延しています。
引き続き無線LANについての調査は継続することになります。

原因と教訓

この事象が発生した真の原因は、自身の知識不足と、それを補う策を講じなかったことだと思います。

機器の仕様としてWPAパーソナルがサポートされていないことはベンダーは認識していました。
立会いしてくれたベンダーの方に調査を依頼したところ、「認証方式がWPAパーソナルなのが原因です」とすぐに判明しました。

仕様を認識していたのに共有しなかったベンダーを責めるべきかというとそうではないと思います。
機器の仕様は事前に提供されていて、きちんと理解した上で読めばサポートされている認証方式が新旧の機器で違うことは読み取れます。
双方の機器のサポートしている機能の違いのどこに着目しておくべきかがわからなければいけません。

それがわからないのであれば、新旧機器の機能の違いによる注意点をベンダーに確認する等の手を打たなければいけません。そこで情報が提供されなかったのに、事象が発生した途端「WPAパーソナルは駄目ですよ」と言われたのであれば、ベンダーを責める要素はあるかもしれません。
幹線の更新のついでということもありそこを怠り、ベンダーから提示された機器の機能的精査が不十分なまま切り替えを行ったため、今回の事象が発生したものと考えます。

次回は無線LAN接続の障害になった事象をさらに紹介していきます。

参考にしたサイト

WPAとWPA2の違い | Qiita
ワイヤレスセキュリティープロトコル: WEP、WPAとWPA2 | NetSpot

ネットワーク・インフラカテゴリの最新記事