MACアドレスの書式違いにつまずく

 だが,問題はこれだけでは解決しなかった。無線LAN端末からAPまでは接続できたものの,MACアドレスの認証段階でアクセスがまた制限されてしまったのだ。

 この問題は,MACアドレス・フィルタリングの部分でも互換性に問題があったために発生した。これはRADIUSサーバーのへのアクセス記録を調べたことで明らかになった。X社製APとY社製APでは,RADIUSサーバーに通知するMACアドレスの書式が全く異なっていたのである。

図2 A社は認証サーバーとの相性にも考慮し無線LAN機器を1社のメーカー製品に限定
WEPによる暗号化通信だけでなく,認証サーバーを使いクライアントのMACアドレスを管理,端末ごとにアクセス制限をかけていた。しかし,ここでもX社製APとY社製APの仕様の違いから接続トラブルが発生。結局,A社はX社製APを増設することにした。
 MACアドレスは一般的には「01:23:45:AB:CD:EF」といった形式で表記される。ただしA社が本社ビルで利用していたX社製のAPは,MACアドレスを「01-23-45-ab-cd-ef」というように,コロンではなくハイフンでつなぎ,RADIUSサーバーに送信する仕様になっていた(図2[拡大表示])。RADIUSサーバーにはこの書式で,無線LANカードのMACアドレスを登録してあった。

 ところがY社製のAPでは,同じMACアドレスを「012345abcdef」と,単にアルファベットを羅列した形態で送信していた。

 人間の目から見れば「01-23-45-ab-cd-ef」と「012345abcdef」は同じMACアドレスとして通じる。しかし,RADIUSサーバーはまったく異なるアカウントとして解釈してしまう。このため,正式なMACアドレスにもかかわらず,RADIUSサーバーはアクセスを受け付けなかったわけだ。

 今回の経験でA社は,WEPやMACアドレス・フィルタリングといったごく標準的な機能であっても,メーカー間で微妙な差があることを身をもって知った。今後もこうした問題が発生することを避けるため,Y社製のAPを,本社と同一のX社製に置き換えた。

既存APのファームを変更
WPA対応にして安全性を強化

企業に無線LANを本格展開するなら,セキュリティ仕様がWEPでは心もとない。対策の一つがWEPの弱点を補った最新技術のWPAの導入である。一般にWEP対応のAPはファームウエアの更新でWPAに対応できる。

 製造業のB社は2年前,本社に無線LANを導入した。AP十数台を設置し,WEPによる暗号化やMACアドレス・フィルタリングによるカード単位でのアクセス制限をかけていた。

 しかし「WEPの暗号化通信は容易に解読できる」との指摘が専門家などから相次ぎ,B社内でも経営会議の場でこの問題が取り上げられた。情報システム担当部門は早急に新たなセキュリティ対策を講じる必要に迫られた。

 WEPは,パケットごとにWEPキーで生成した暗号鍵を使う。だが,これを周期的に使い回すという欠陥がある。傍受したパケットからいったんWEPキーを割り出せば,全端末の通信内容を解読できてしまう。この鍵を使って部外者が無断でAPに接続し,社内LANに侵入する危険も高まる。

出典:2004年1月12日号 92ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。