Novell Doc: 管理ガイド

18.1 無線LAN

無線LANは、モバイルコンピューティングに不可欠な側面となってきています。現在、ほとんどのラップトップにはWLANカードが内蔵されています。WLANカードによる無線通信に関する802.11規格がIEEEにより策定されました。当初、この規格は最大伝送速度 2MBit/sについて提供されましたが、その後、データ伝送速度を高めるために複数の補足事項が追加されています。これらの補足事項では、モジュレーション、伝送出力、および伝送速度などの詳細が定義されています(表 18-1参照)。さらに、多数の企業が専有権またはドラフト機能を持つハードウェアを実装しています。

表 18-1 各種WLAN規格の概要

名前	帯域(GHz)	最大伝送速度(MBit/s)	メモ
802.11レガシー	2.4	2	廃止、実質上、使用可能なエンドデバイスはなし
802.11a	5	54	干渉が少ない
802.11b	2.4	11	あまり普及せず
28.29oz	2.4	54	広く普及、11bと後方互換
802.11nドラフト	2.4および/または5	300	Common(通常のネットワーキング)

802.11レガシーカードは、SUSE® Linux Enterprise Serverではサポートされません。802.11a、802.11b、802.11g、および802.11nドラフトを使用する大半のカードは、サポートされています。通常、新しいカードは 802.11nドラフト規格に準拠していますが、802.11gを使用するカードも使用可能です。

18.1.1 機能

無線ネットワークでは、高速で高品質、そして安全な接続を確保するために、さまざまなテクニックや設定が使用されています。動作のタイプが違えば、それに適したセットアップ方式も異なります。適切な認証方式を選択するのは難しいことがあります。利用可能な暗号化方式には、それぞれ異なる利点と欠点があります。

基本的に、無線ネットワークは管理ネットワークとAd-hocネットワークに分類できます。管理ネットワークには、管理要素のアクセスポイントがあります。このモード(インフラストラクチャモードとも呼ばれます)では、ネットワーク内のWLAN局の接続はすべてアクセスポイント経由で行われ、イーサネットへの接続としても機能できます。Ad-hocネットワークには、アクセスポイントはありません。アドホックネットワークでは、局同士が直接に通信するので、通常、アドホックネットワークは管理ネットワークより高速です。ただし、アドホックネットワークでは、参加局の伝送範囲と数が大幅に制限されます。それらのネットワークでは、WPA認証もサポートしません。そのため、通常はアクセスポイントを使用します。また、WLANカードをアクセスポイントとして使用することも可能です。この機能ををサポートしているカードも存在します。

認証

有線ネットワークよりも無線ネットワークの方がはるかに盗聴や侵入が容易なので、各種の規格には認証方式と暗号化方式が含まれています。IEEE 802.11規格のオリジナルバージョンでは、これらがWEPという用語で説明されています。ただし、WEPは安全でないことが判明したので(セキュリティ)、WLAN業界(Wi-Fi Allianceという団体名で協力)はWPAという新規の拡張機能を定義しており、これによりWEPの弱点がなくなるものと思われます。その後のIEEE 802.11i規格には、WPAと他の認証方式および暗号化方式が含まれています(WPAはドラフトバージョンの802.11iに基づいているので、この規格はWPA2と呼ばれることもあります)。

認可された局だけが接続できるように、管理ネットワークでは各種の認証メカニズムが使用されます。

オープン

オープンシステムとは、認証を必要としないシステムです。任意の局がネットワークに参加できます。ただし、WEP暗号化(暗号化を参照)は使用できます。

共有キー(IEEE 802.11に準拠)

この方式では、認証にWEPキーが使用されます。ただし、WEPキーが攻撃にさらされやすくなるので、この方式はお勧めしません。攻撃者は、局とアクセスポイント間の通信を長時間リスニングするだけで、WEPキーを奪取できます。認証処理中には、通信の両側が1度は暗号化形式、1度は暗号化されていない形式で同じ情報を交換します。そのため、適当なツールを使えば、キーを再構成することが可能です。この方式では認証と暗号化に WEPキーを使用するので、ネットワークのセキュリティは強化されません。適切なWEPキーを持っている局は、認証、暗号化および復号化を行うことができます。キーを持たない局は、受信したパケットを復号化できません。したがって、自己認証を行ったかどうかに関係なく、通信を行うことができません。

WPA-PSK (IEEE 802.1xに準拠)

WPA-PSK (PSKはpreshared keyの略)の機能は、共有キー方式と同様です。すべての参加局とアクセスポイントは、同じキーを必要とします。キーの長さは256ビットで、通常はパスフレーズとして入力されます。この方式では、WPA-EAPのような複雑なキー管理を必要とせず、個人で使用するのに適しています。したがって、WPA-PSKはWPA Homeとも呼ばれます。

WPA-EAP (IEEE 802.1xに準拠)

実際には、WPA-EAPは認証システムではなく、認証情報を転送するためのプロトコルです。WPA-EAPは、企業内の無線ネットワークを保護するために使用されます。プライベートネットワークでは、ほとんど使用されていません。このため、WPA-EAPはWPA Enterpriseとも呼ばれます。

WPA-EAPは、ユーザを認証するのにRadiusサーバを必要とします。EAPには、サーバへの接続と認証手段として、TLS(Transport Layer Security)、TTLS(Tunneled Transport Layer Security)、およびPEAP(Protected Extensible Authentication Protocol)の、3種類の方法が用意されています。簡単に説明すると、これらのオプションは以下のように働きます。

EAP-TLS: TLSの認証は、サーバとクライアント両方の、証明書の相互交換に依存しています。はじめに、サーバがクライアントに対して証明書を提示し、それが評価されます。証明書が有効であるとみなされた場合には、今度がクライアントがサーバに対して証明書を提示します。TLSはセキュアですが、ネットワーク内で証明書管理のインフラストラクチャを運用することが必要になります。このインフラストラクチャは、プライベートネットワークでは通常存在しません。
EAP-TTLSとPEAP: TTLSとPEAPは両方とも、2段階からなるプロトコルです。最初の段階ではセキュリティ接続が確立され、2番目の段階ではクライアントの認証データが交換されます。これらの証明書管理のオーバヘッドは、もしあるとしても、TLSよりずっと小さいものです。

暗号化

権限のないユーザが無線ネットワークで交換されるデータパケットを読み込んだりネットワークにアクセスしたりできないように、さまざまな暗号化方式が存在しています。

WEP (IEEE 802.11で定義)

この規格では、RC4暗号化アルゴリズムを使用します。当初のキー長は40ビットでしたが、その後104ビットも使用されています。通常、初期化ベクタの24ビットを含めるものとして、長さは64ビットまたは128ビットとして宣言されます。ただし、この規格には一部弱点があります。このシステムで生成されたキーに対する攻撃が成功する場合があります。それでも、ネットワークをまったく暗号化しないよりはWEPを使用する方が適切です。

非標準のダイナミックWEPを実装しているベンダーもいます。これは、WEPとまったく同様に機能し、同じ弱点を共有しますが、キーがキー管理サービスによって定期的に変更されます。

TKIP (WPA/IEEE 802.11iで定義)

このキー管理プロトコルはWPA規格で定義されており、WEPと同じ暗号化アルゴリズムを使用しますが、弱点は排除されています。データパケットごとに新しいキーが生成されるので、これらのキーに対する攻撃は無駄になります。TKIPはWPA-PSKと併用されます。

CCMP (IEEE 802.11iで定義)

CCMPは、キー管理を記述したものです。通常は、WPA-EAPに関連して使用されますが、WPA-PSKとも併用できます。暗号化はAESに従って行われ、WEP規格のRC4暗号化よりも厳密です。

18.1.2 YaSTでの設定;

無線ネットワークカードを設定するには、YaSTコントロールセンターで、［ネットワークデバイス］ > ［ネットワーク設定］の順に選択します。一般的なネットワーク設定を構成できるネットワーク設定ダイアログが開きます。一般的なネットワーク設定の詳細については、セクション 17.4, YaSTによるネットワーク接続の設定;を参照してください。システムにより検出されたすべてのネットワークカードが［概要］タブの下にリストされます。

リストから目的のワイヤレスカードを選択し、［編集］をクリックして、ネットワークカード設定ダイアログを開きます。［Address］タブの下で、IPアドレスとして動的/静的のどちらを使用するかを決定します。［全般］と［ハードウェア］の設定(［デバイスの起動］または［Firewall Zone］など)、およびドライバ設定も調整できます。大抵の場合、事前設定値を変更する必要はありません。

［次へ］をクリックして、無線ネットワークカードの詳細設定ダイアログに進みます。NetworkManagerを使用している場合(詳細はセクション 17.5, NetworkManager参照)は、無線デバイスの設定を調整する必要はありません。これは、それらの設定がオンデマンドでNetworkManagerによって設定されるからです。［次へ］と［はい］を使用して設定を完了します。コンピュータを特定の無線ネットワーク内でのみ使用する場合は、ここでWLAN操作の基本設定を行ってください。

図 18-1 YaST:無線ネットワークカードの設定

動作モード

WLANでは、局を3つのモードで統合できます。最適なモードは、アドホック (アクセスポイントのないピアツーピアネットワーク)、管理 (アクセスポイントにより管理されるネットワーク)、またはマスタ (アクセスポイントとしてネットワークカードを使用)など、通信するネットワークによって異なります。WPA-PSKまたはWPA-EAPモードを使用するには、動作モードを［管理］に設定する必要があります。

ネットワーク名(ESSID)

無線ネットワークのすべての局が相互に通信するには、同じESSIDが必要です。何も指定しなければ、カードは自動的にアクセスポイントを選択できますが、それが意図したアクセスポイントとは異なる場合があります。Use ［Scan Network］で使用可能な無線ネットワークのリストを取得します。

認証モード

ネットワークに適した認証方法を選択します(［暗号化しない］、［WEP-Open］、［WEP-Shared Key］、［WPA-EAP］、または［WPA-PSK］)。WPA認証を選択した場合は、ネットワーク名(ESSID)を設定する必要があります。

キーの入力タイプ

WEPおよびWPA-PSKの認証方法では、キーの入力が必要です。キーは、［パスフレーズ］(［ASCII］文字列として)入力するか、［16進］文字列として入力します)。

WEPキー: ここでデフォルトキーを入力するか、［WEPキー］をクリックして高度なキー設定ダイアログに入ります。キー長を設定します(［128ビット］または［64ビット］)。デフォルト設定は、［128ビット］ビットです。ダイアログ下部にあるリスト領域では、局で暗号化に使用するキーを最大4つまで指定できます。［デフォルト設定とする］を押して、4つのうち1つをデフォルトキーとして定義します。この方法で変更しない限り、YaSTでは最初に入力したキーがデフォルトキーとして使用されます。標準キーが削除された場合は、残りのキーの1つを手動でデフォルトキーに設定する必要があります。［編集］をクリックし、既存のリストエントリを変更するか、新規のキーを作成します。新規作成の場合、ポップアップウィンドウが表示され、キーの入力タイプ(［パスフレーズ］、［ASCII］、または［16進］)を選択する必要があります。［パスフレーズ］を選択した場合は、前に指定した長さに従ってキーの生成に使用するワードまたは文字列を入力します。［ASCII］を選択した場合は、 64ビットキーであれば 5文字、 128ビットキーであれば 13文字を入力する必要があります。［Hexadecimal］を選択した場合は、64ビットキーであれば10文字、128ビットキーであれば26文字を16進表記で入力します。
WPA-PSK: WPA-PSK用のキーを入力するには、入力方法として［パスフレーズ］または［16進］を選択します。［Passphrase］モードでは、 8から 63文字を入力する必要があります。［16進］モードでは、64文字を入力します。

エキスパート設定

このボタンをクリックすると、WLAN接続の詳細設定用ダイアログが開きます。通常、事前設定値を変更する必要はありません。

チャネル: WLAN局が使用するチャンネルの指定を必要とするのは、［Ad-hoc］モードと［マスタ］モードだけです。［管理］モードでは、カードはアクセスポイントに使用可能なチャネルを自動的に検索します。［アドホック］モードでは、自局と他局との通信用に提供されているチャンネル(国によって11から14局)から1つを選択します。［マスタ］モードでは、使用するカードがアクセスポイント機能を提供する必要のあるチャネルを指定します。このオプションのデフォルト設定は［自動］です。
転送ビットレート: ネットワークのパフォーマンスに応じて、あるポイントから別のポイントへの伝送について特定のビットレートを設定できます。デフォルト設定の［自動］では、システムは最大許容データ伝送速度を使用しようとします。ビットレートの設定をサポートしていないWLANカードもあります。
Access Point: 複数のアクセスポイントがある環境では、MACアドレスを指定することで、その1つを事前に選択できます。
電源管理の使用: 旅行中は、電力節減技術でバッテリの動作時間を最大限に延ばしてください。電源管理に関する詳細についてはセクション 15.0, 電源管理を参照してください。電源管理を使用すると、接続品質に影響したり、ネットワーク待ち時間が増大する場合があります。

［次へ］をクリックして、セットアップを完了します。WPA-EAP認証を選択した場合は、自局をWLANに展開する前にもう1つ必要な設定ステップがあります。ネットワーク管理者から受け取った証明書を設定します。TLSの場合は、［Identity］、［Client Certificate］、［Client Key］、および［Server Certificate］に適切な値を入力します。TTLSとPEAPでは、［Identity］と［Password］が必要です。［Server Certificate］と［Anonymous Identity］は、必要に応じて指定してください。YaSTは/etc/certから証明書を検索します。したがって、付与された証明書はこの場所に保存し、これらのファイルへのアクセスを0600(所有者による読み取り/書き込み)に制限してください。［詳細］をクリックして、WPA-EAPセットアップ用の高度認証ダイアログを入力します。EAP-TTLSまたはEAP-PEAP通信の第2ステージ用の認証方法を選択します。前のダイアログでTTLSを選択した場合は、any、MD5、GTC、CHAP、PAP、MSCHAPv1またはMSCHAPv2を選択します。PEAPを選択した場合は、any、MD5、GTCまたはMSCHAPv2を選択します。自動的に決定された設定を変更する必要がある場合は、［PEAP version］を使用して特定のPEAP実装を使用するように強制できます。

重要: 無線ネットワークでのセキュリティ

ネットワークトラフィックを保護するために、サポートされている認証方式と暗号化方式の1つを必ず使用してください。暗号化されていないWLAN接続では、第三者がすべてのネットワークデータを盗聴することができます。弱い暗号化(WEP)でも、まったく暗号化しないよりはましです。詳細については、暗号化とセキュリティを参照してください。

18.1.3 ユーティリティ

パッケージwireless-toolsには、無線LAN固有のパラメータの設定と統計の取得を可能にするユーティリティが含まれています。詳細については、http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Tools.htmlを参照してください。

18.1.4 WLANのセットアップに関するヒントとテクニック

これらのヒントでは、速度と安定性を微調整する方法や、WLANのセキュリティの側面について説明します。

安定性と速度

無線ネットワークのパフォーマンスと信頼性は、主として参加局が他局からクリーンな信号を受信するかどうかに依存します。壁などの障害物があると、信号が大幅に弱くなります。信号強度が低下するほど、伝送速度も低下します。操作中には、コマンドライン(Link Qualityフィールド)でiwconfigユーティリティを使用するか、またはNetworkManagerかKNetworkManagerを使用して、信号強度を確認します。信号品質に問題がある場合は、他の場所でデバイスをセットアップするか、またはアクセスポイントのアンテナ位置を調整してください。多くのPCMCIA WLANカードの場合、受信品質を実質的に向上させる補助アンテナを利用できます。メーカ指定のレート(54MBit/sなど)は、理論上の上限を表す公称値です。実際の最大データスループットは、この値の半分以下です。

セキュリティ

無線ネットワークをセットアップする際には、セキュリティ対策を導入しなければ、伝送範囲内の誰もが簡単にアクセスできることを忘れないでください。したがって、必ず暗号化方式をアクティブにする必要があります。すべてのWLANカードとアクセスポイントが、WEP暗号化をサポートしています。これでも完全に安全とは言えませんが、潜在的な攻撃者に対する障害物は存在することになります。通常、プライベート用であればWEPで十分です。WPA-PSKも適していますが、WLAN機能を持つ古いアクセスポイントやルータには実装されていません。デバイスによっては、ファームウェア更新を使用してWPAを実装できます。さらに、Linuxは大半のハードウェアコンポーネント上でWPAをサポートしますが、WPAサポートのないドライバもあります。WPAが使用できない場合、暗号化しないよりはWEPを使用することをお勧めします。高度なセキュリティ要件を持つ企業では、無線ネットワークの運用にWPAを使用する必要があります。

18.1.5 トラブルシューティング

WLANカードが応答しない場合は、必須ファームウェアをダウンロードしたかどうかを確認します。詳細については、/usr/share/doc/packages/wireless-tools/README.firmwareを参照してください。

複数のネットワークデバイス

通常、最近のラップトップにはネットワークカードとWLANカードが搭載されています。DHCP (自動アドレス割り当て)を使用して両方のデバイスを構成すると、名前解決とデフォルトゲートウェイに問題が発生することがあります。これは、ルータはpingできるがインターネット上でナビゲーションできないことを示しています。詳細については、http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_ClientsにあるSupport Databas (サポートデータベース)を参照してください。

Prism2カードの問題

Prism2チップ搭載のデバイスには、複数のドライバが用意されています。各種カードがスムーズに動作するかどうかは、ドライバに応じて異なります。この種のカードの場合、WPAに使用できるのはhostapドライバだけです。この種のカードが正常に動作しない場合、まったく動作しない場合、またはWPAを使用する必要がある場合は、/usr/share/doc/packages/wireless-tools/README.prism2を参照してください。

18.1.6 詳細情報

Linux用の無線ツールを開発したJean Tourrilhesのインターネットページには、無線ネットワークに関して役立つ情報が多数提供されています。詳細については、http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.htmlを参照してください。