QA@IT
この質問・回答は、@IT会議室からインポートされたものです。

802.1xとWPAエンタープライズの違い

0 PV

お世話になっております。

無線LANの接続設定をする際に、例えばmacですと
・WEP
・WPA
・WPA2
・WPAエンタープライズ
・WPA2エンタープライズ
・802.1x
が、選択肢としてあります。

当方の環境は802.1x認証(ユーザ認証)を用いたネットワークなのですが、
なぜかWPA2エンタープライズでも接続できます。
(WPAエンタープライズは接続できません。暗号化方式がTKIPだと無理みたいです。)

802.1x認証はRADIUSサーバを使用しますが、
WPA2エンタープライズもRADIUSを使用するということで、
両者の違い(区別?)がわかりません。

WPA2エンタープライズには暗号化にAESが使用されているぐらいしか
違いが思いつかないのですが、なにか決定的な違いがあるのでしょうか?

投稿者: 巻き髪

回答

>blunderさん
またまたありがとうございました!

認証方式だけ見ると、巻き髪さんの環境はWPA2でもサポートされている方式(PEAPv0/EAP-MSCHAPv2)になっているようです。ですので、その点だけとれば、見方によっては同じといえば同じといえるのかもしれません。

なるほど!WPA2でもサポートされている認証方式だからWPA2エンタープライズでも接続ができたのですね。

暗号化は違うとのことですね。。
教えていただいたページで、もう少し勉強してみます。

最後までご丁寧にありがとうございました!感謝です!!!

投稿者: 巻き髪

編集 履歴 (0)

巻き髪さん、こんにちは。

認証方式だけ見ると、巻き髪さんの環境はWPA2でもサポートされている方式(PEAPv0/EAP-MSCHAPv2)になっているようです。ですので、その点だけとれば、見方によっては同じといえば同じといえるのかもしれません。

ただ巻き髪さんの環境では暗号化はWEPのようですので、その点ではWPA2(AES, CCMP)とは決定的に違いますね。データの完全性チェックやリプレイ検出もWPA/WPA2のほうが強化されています。特にWPA/WPA2の場合は鍵管理プロトコルがあって、PMK/PTKとか、4ウェイハンドシェイクがあります。

鍵管理プロトコルの部分はアクセスポイントだけでなく、認証サーバも関わってくるので、同じ802.1Xでも、802.1X+WEPとWPA2エンタープライズとでは同じとは言い切れないと思います。

詳しくはWi-Fi Allianceが配布しているホワイトペーパを見てください。「Wi-Fi Securityについて」というタイトルのPDFの文書です(日本語版)。

http://www.wi-fi.org/knowledge_center_overview.php?docid=4582

では。

投稿者: blunder

編集 履歴 (0)

>blunderさん
非常に遅くなってしまいましたが、
回答ありがとうございました。

802.1X認証で、かつスタティックキーを使う(通常の)WEPというものもあり、それが「旧式の」802.1X認証方式だと言っているように聞こえます

EAP-MD5などを使っている場合は、認証時に共通鍵暗号用の鍵素材を作れないですから、スタティックキーを使うWEPになってしまうのではないか、と思います。

Windowsの設定で確認しましたところ、
セキュリティの種類:802.1x
暗号化の種類:WEP
ネットワークの認証方法の選択:EAP(PEAP)
認証方法:EAP-MS-CHAP v2
というものでした。

教えていただいたAppleのHPを見たところ

WPA Enterprise の基礎は 802.1X で、これは有線、ワイヤレスのいずれにも使用されます。

とあったので、
「WPA2エンタープライズも802.1x認証方式も要は同じ」という認識で大丈夫でしょうか?

投稿者: 巻き髪

編集 履歴 (0)

追加です。

一口に802.1Xといっても、認証プロトコル(EAP)はいろいろあって、共通鍵暗号用の鍵素材を生成できるタイプのもの(EAP-TLSなど)と鍵素材を生成できないタイプのもの(EAP-MD5など)があります。

EAP-MD5などを使っている場合は、認証時に共通鍵暗号用の鍵素材を作れないですから、スタティックキーを使うWEPになってしまうのではないか、と思います。WPA/WPA2の場合は、認定対象からそのタイプの認証プロトコルは除外されているので、つねに認証時に鍵素材を生成し、それをもとにセッション鍵を作ることができます。ダイナミックWEPの場合もおそらく同じだと思います。

その辺も関係するかもしれないので、チェックされたほうがよろしいかと思います。
では。

投稿者: blunder

編集 履歴 (0)

巻き髪さん、こんにちは。
たぶんダイナミックWEPではなさそうです。ググってみたら、こんなページがありました。

http://support.apple.com/kb/TA21448?viewlocale=ja_JP&locale=ja_JP

そこにこんな記述があります。

旧式の「802.1X 認証」方式に出会った場合、ユーザは WEP パスワードダイアログで指示されます。「802.1X 認証」方式は、スタティックキーを使用していてセキュリティが劣るため、お勧めできません。

ということは、802.1X認証で、かつスタティックキーを使う(通常の)WEPというものもあり、それが「旧式の」802.1X認証方式だと言っているように聞こえます。

すいませんが、僕もこれが何やら「怪しげ」だと感じるだけで、それ以上のことはよく分からないです。WPA2エンタープライズの利用をお勧めします。
では。

投稿者: blunder

編集 履歴 (0)

>blunderさん
Mac OS X においてAirMacのセキュリティの種類を確認したところ、802.1xの表記が「802.1x WEP」となっていました。
当方の環境の設定では、上記の「802.1x WEP」を選択するよう指示されているのですが
これは「ダイナミックWEP」でしょうか????

投稿者: 巻き髪

編集 履歴 (0)

えっと。WPA/WPA2で、パーソナルは「共有キー」、エンタープライズは「802.1X認証」です。

巻き髪さんの環境はおそらくWPA2エンタープライズで、認証が802.1X認証になっているだけではないですか。

ダイナミックWEPは802.1X認証で、かつWPA/WPA2で「ない」場合ですが、もしそれだったら、「ダイナミックWEP」を明示的に指定すると思います。

投稿者: blunder

編集 履歴 (0)

>たらおさん
回答ありがとうございました。
…非常にむずかしいですね。。
頭の弱い私には、読解するだけで時間を要しましたw

正直きちんと理解できていないかもしれないですが、エンタープライズと謳っていても
機器によって差がでてくるということでしょうか?

>blunderさん
回答ありがとうございました。
「802.1X with dynamic WEP」…恥ずかしながら初めて聞きました。
当方の無線LAN設定マニュアルを確認したところ、XP SP3の設定において
「データの暗号化」という設定項目で「WEP」を選択していました。
(プラス、[認証]タブで802.1x認証を有効にする設定をしています)
ということは、おっしゃるとおりの「802.1X with dynamic WEP」ということなんでしょうか?
そうなると、セキュリティの種類がWEPとWPAで違うから、
当方の環境のWPA/WPA2エンタープライズと802.1xは別物。ということになりますか?

でも、なぜWPA2エンタープライズでも接続できてしまうのでしょうか。。。

投稿者: 巻き髪

編集 履歴 (0)

別の選択肢になっていることからして、やはり別物のような気がします。

「802.1X」というのが省略した言い方で、実際は「802.1X with dynamic WEP」のことだったりしませんか?

だとすると認証部分(802.1X/EAP)が同じだけで、あとの部分(鍵管理、暗号化)は違うということでしょうね。

投稿者: blunder

編集 履歴 (0)

エンタープライズ付きの名称は、特定のWPA設定値の組み合わせでしょう。
無線の設定項目には、負食う数の選択肢がありますが、

「安全性重視→機器への負荷=スループット低下」→スループットを稼ぐには、高性能の機器が必要
「安全性中庸→低負荷=スループット良好」→安価な機器でも良いが、安全性はほどほど

のトレードオフがありますが、回線速度や、周辺環境も影響してきますね。最終的にどの程度の速度が必要なのか、無線はどこまで漏れているのかという見極めです。

性能に直結しないネーミングは、ある意味眉唾ですね。
「エンタープライズ」なら、高性能で高価な機器が必要になるはずです。
でもこのあたりの性能は搭載チップで決まり、「最高性能」を誇れるのは数ヶ月から半年です。

<<ご教示普及委員会>> [s]ご教授[/s]
_福田太郎_ hthrjn1021(atmark)gmail.com

投稿者: たらお

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。