[[CISCO入門]]
#setlinebreak(on)
[[Moroha's Wiki]]に戻る &br;
バージョン: &Version; &br;
オンラインユーザー数: &online;
閲覧数表示 本日/トータル: &counter(today); / &counter(total); &br;
最終更新:&lastmod();&br;
*無線セキュリティ [#x214d3d7]
**WEP(Wired Equivalent Privacy) [#pc790dc9]
-RC4アルゴリズムによる共通鍵暗号
-64/124bit鍵を使用
-24bitのIV(パケット毎に異なる値)を付加
-暗号鍵の更新仕組みは無い
※現在では推奨されていない
**WPA(Wifi Protected Access) [#hcb9d6d4]
2002年にWi-fi alliance策定
***TKIP(Temporal key Integrity Protocol) [#cb6b2af6]
TKIPはWEPの脆弱性を改善した技術です。
-RC4アルゴリズムによる共通鍵
-48bitIVを付加
-暗号鍵更新の仕組みあり
-MICにより改竄検出
TKIPではあらかじめクライアントとAPに設定した値をそのまま暗号鍵として使用せず、
セッション毎に乱数や送受信端末のMACアドレスなどを利用して一時鍵を生成し通信に利用する。
このため、同じ鍵が使用される時間が短く、鍵の解読が困難になった。
また、MIC(Message Integrity Check)と呼ばれるハッシュ値を挿入して改竄検知機能も実装された。
***IEEE802.1x EAP認証 [#s9930eb4]
-イーサネットLAN及び無線LANにおける認証
-RADIUSサーバによる中央集中型人称
-クライアントとサーバ双方向認証(不正クライアント及び不正アクセスポイントの除外)
-サプリカント(IEEE802.1x対応クライアント)、オーセンティケータ(IEEE802.1x対応AP)、RADIUSサーバで構成
-認証のタイプは複数ある
-認証に成功すると暗号鍵が更新される
PKI(Public Key Infrastructure)
「公開鍵暗号基盤」又は「公開鍵暗号方式を利用したセキュリティインフラ」
証明書環境
*IEEE802.1x/EAPによる認証方式の比較 [#r94862af]
,認証方式,PKIの有無,サーバ認証,クライアント認証,暗号鍵動的管理,セキュリティ強度,特徴
,EAP-MD5,×,なし,ユーザ名/パスワード,×,△,チャレンジレスポンス認証、サーバ認証無し、暗号鍵固定
,EAP-TLS,○,証明書,証明書,○,◎,証明書による相互認証、全てのクライアントに証明書が必要
,EAP-TTLS,○,証明書,ユーザ名/パスワード,○,○,TLSを拡張、クライアントにソフトウェア追加が必要
,PEAP,○,証明書,ユーザ名/パスワード,○,○,TLSを拡張
,LEAP,×,ユーザ名/パスワード,ユーザ名/パスワード,○,△,認証局(証明書)不要、シスコ独自、脆弱性の問題あり
,EAP-FAST,×,ユーザ名/パスワード,ユーザ名/パスワード,○,○,シスコ独自、LEAPの脆弱性を解消
**PSK(PreShared Key:事前共通鍵)認証(個人向け) [#y39a30bf]
Radiusサーバ等を利用しない。
PSK認証では事前にクライアントとAPに共通鍵(8-63文字)を
設定し、共通鍵の一致によってお互いを認証する。
*IEEE802.11i(WPA2) [#ld0f04fa]
2004年に策定され、現在最も強固なセキュリティとして実装が推奨される。
**AES-CCMP [#l10f50ac]
-AESアルゴリズムによる共通暗号鍵:RC4よりAESへ強化
-暗号鍵更新の仕組みあり
-CBC-MACにより改竄検出
CCMP(Counter-mode with CBC-MAC Protocol)ではデータの暗号化とともに
CC-MAC(Cipher block Chaining Message Authentication Code)と
呼ばれる方式で電子署名を行います。これによってデータの暗号化と改竄検知の両方を実現します。
IEEE802.1i(WPA2)ではWPAと同様に企業用、個人用の認証を準備しています。
-IEEE802.1x EAP認証
-PSK(事前共通鍵)認証
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
