@IT会議室 新規書き込み停止(2012年10月9日)のお知らせ

@ITの会員制度「@ITクラブ・メンバーシップ」(@ITクラブ)は、10月9日より、弊社が運営するメディアの共通会員制度である「アイティメディアID」へ移行することになりました。これに伴い、@ITクラブのサービスの一部を変更させていただきます。

@IT会議室については、2012年10月9日をもって新規書き込みを終了いたしました(閲覧は引き続き可能です)。今後、質問や回答などは「QA@IT」(http://qa.atmarkit.co.jp/)をご利用くださいますよう、お願い申し上げます。

802.1xとWPAエンタープライズの違い


巻き髪

2010-05-22 11:11

お世話になっております。

無線LANの接続設定をする際に、例えばmacですと
・WEP
・WPA
・WPA2
・WPAエンタープライズ
・WPA2エンタープライズ
・802.1x
が、選択肢としてあります。

当方の環境は802.1x認証(ユーザ認証)を用いたネットワークなのですが、
なぜかWPA2エンタープライズでも接続できます。
(WPAエンタープライズは接続できません。暗号化方式がTKIPだと無理みたいです。)

802.1x認証はRADIUSサーバを使用しますが、
WPA2エンタープライズもRADIUSを使用するということで、
両者の違い(区別?)がわかりません。

WPA2エンタープライズには暗号化にAESが使用されているぐらいしか
違いが思いつかないのですが、なにか決定的な違いがあるのでしょうか?

コメント

2010-05-24 10:53

エンタープライズ付きの名称は、特定のWPA設定値の組み合わせでしょう。
無線の設定項目には、負食う数の選択肢がありますが、

「安全性重視→機器への負荷=スループット低下」→スループットを稼ぐには、高性能の機器が必要
「安全性中庸→低負荷=スループット良好」→安価な機器でも良いが、安全性はほどほど

のトレードオフがありますが、回線速度や、周辺環境も影響してきますね。最終的にどの程度の速度が必要なのか、無線はどこまで漏れているのかという見極めです。

性能に直結しないネーミングは、ある意味眉唾ですね。
「エンタープライズ」なら、高性能で高価な機器が必要になるはずです。
でもこのあたりの性能は搭載チップで決まり、「最高性能」を誇れるのは数ヶ月から半年です。

<<ご教示普及委員会>> ご教授
_福田太郎_ hthrjn1021(atmark)gmail.com


2010-05-24 19:42

別の選択肢になっていることからして、やはり別物のような気がします。

「802.1X」というのが省略した言い方で、実際は「802.1X with dynamic WEP」のことだったりしませんか?

だとすると認証部分(802.1X/EAP)が同じだけで、あとの部分(鍵管理、暗号化)は違うということでしょうね。

2010-05-24 20:27

>たらおさん
回答ありがとうございました。
…非常にむずかしいですね。。
頭の弱い私には、読解するだけで時間を要しましたw

正直きちんと理解できていないかもしれないですが、エンタープライズと謳っていても
機器によって差がでてくるということでしょうか?

>blunderさん
回答ありがとうございました。
「802.1X with dynamic WEP」…恥ずかしながら初めて聞きました。
当方の無線LAN設定マニュアルを確認したところ、XP SP3の設定において
「データの暗号化」という設定項目で「WEP」を選択していました。
(プラス、[認証]タブで802.1x認証を有効にする設定をしています)
ということは、おっしゃるとおりの「802.1X with dynamic WEP」ということなんでしょうか?
そうなると、セキュリティの種類がWEPとWPAで違うから、
当方の環境のWPA/WPA2エンタープライズと802.1xは別物。ということになりますか?

でも、なぜWPA2エンタープライズでも接続できてしまうのでしょうか。。。


2010-05-26 12:18

えっと。WPA/WPA2で、パーソナルは「共有キー」、エンタープライズは「802.1X認証」です。

巻き髪さんの環境はおそらくWPA2エンタープライズで、認証が802.1X認証になっているだけではないですか。

ダイナミックWEPは802.1X認証で、かつWPA/WPA2で「ない」場合ですが、もしそれだったら、「ダイナミックWEP」を明示的に指定すると思います。

2010-06-02 14:51

>blunderさん
Mac OS X においてAirMacのセキュリティの種類を確認したところ、802.1xの表記が「802.1x WEP」となっていました。
当方の環境の設定では、上記の「802.1x WEP」を選択するよう指示されているのですが
これは「ダイナミックWEP」でしょうか????


2010-06-03 13:39

巻き髪さん、こんにちは。
たぶんダイナミックWEPではなさそうです。ググってみたら、こんなページがありました。

http://support.apple.com/kb/TA21448?viewlocale=ja_JP&locale=ja_JP

そこにこんな記述があります。

旧式の「802.1X 認証」方式に出会った場合、ユーザは WEP パスワードダイアログで指示されます。「802.1X 認証」方式は、スタティックキーを使用していてセキュリティが劣るため、お勧めできません。


ということは、802.1X認証で、かつスタティックキーを使う(通常の)WEPというものもあり、それが「旧式の」802.1X認証方式だと言っているように聞こえます。

すいませんが、僕もこれが何やら「怪しげ」だと感じるだけで、それ以上のことはよく分からないです。WPA2エンタープライズの利用をお勧めします。
では。

2010-06-05 13:29

追加です。

一口に802.1Xといっても、認証プロトコル(EAP)はいろいろあって、共通鍵暗号用の鍵素材を生成できるタイプのもの(EAP-TLSなど)と鍵素材を生成できないタイプのもの(EAP-MD5など)があります。

EAP-MD5などを使っている場合は、認証時に共通鍵暗号用の鍵素材を作れないですから、スタティックキーを使うWEPになってしまうのではないか、と思います。WPA/WPA2の場合は、認定対象からそのタイプの認証プロトコルは除外されているので、つねに認証時に鍵素材を生成し、それをもとにセッション鍵を作ることができます。ダイナミックWEPの場合もおそらく同じだと思います。

その辺も関係するかもしれないので、チェックされたほうがよろしいかと思います。
では。

2010-06-22 14:53

>blunderさん
非常に遅くなってしまいましたが、
回答ありがとうございました。

802.1X認証で、かつスタティックキーを使う(通常の)WEPというものもあり、それが「旧式の」802.1X認証方式だと言っているように聞こえます

EAP-MD5などを使っている場合は、認証時に共通鍵暗号用の鍵素材を作れないですから、スタティックキーを使うWEPになってしまうのではないか、と思います。

Windowsの設定で確認しましたところ、
セキュリティの種類:802.1x
暗号化の種類:WEP
ネットワークの認証方法の選択:EAP(PEAP)
認証方法:EAP-MS-CHAP v2
というものでした。

教えていただいたAppleのHPを見たところ
WPA Enterprise の基礎は 802.1X で、これは有線、ワイヤレスのいずれにも使用されます。

とあったので、
「WPA2エンタープライズも802.1x認証方式も要は同じ」という認識で大丈夫でしょうか?

2010-06-24 12:36

巻き髪さん、こんにちは。

認証方式だけ見ると、巻き髪さんの環境はWPA2でもサポートされている方式(PEAPv0/EAP-MSCHAPv2)になっているようです。ですので、その点だけとれば、見方によっては同じといえば同じといえるのかもしれません。

ただ巻き髪さんの環境では暗号化はWEPのようですので、その点ではWPA2(AES, CCMP)とは決定的に違いますね。データの完全性チェックやリプレイ検出もWPA/WPA2のほうが強化されています。特にWPA/WPA2の場合は鍵管理プロトコルがあって、PMK/PTKとか、4ウェイハンドシェイクがあります。

鍵管理プロトコルの部分はアクセスポイントだけでなく、認証サーバも関わってくるので、同じ802.1Xでも、802.1X+WEPとWPA2エンタープライズとでは同じとは言い切れないと思います。

詳しくはWi-Fi Allianceが配布しているホワイトペーパを見てください。「Wi-Fi Securityについて」というタイトルのPDFの文書です(日本語版)。

http://www.wi-fi.org/knowledge_center_overview.php?docid=4582

では。

2010-06-24 15:01

>blunderさん
またまたありがとうございました!
認証方式だけ見ると、巻き髪さんの環境はWPA2でもサポートされている方式(PEAPv0/EAP-MSCHAPv2)になっているようです。ですので、その点だけとれば、見方によっては同じといえば同じといえるのかもしれません。

なるほど!WPA2でもサポートされている認証方式だからWPA2エンタープライズでも接続ができたのですね。

暗号化は違うとのことですね。。
教えていただいたページで、もう少し勉強してみます。

最後までご丁寧にありがとうございました!感謝です!!!