全学無線LANアクセスポイントの増 設について 武藏  泰雄† †熊本大学総合情報基盤センター・ネットコミュ ニケーション研究部

1.背景

  平成17年4月1日より「独立行政法人等の保有する個人情報の保護に関する法律」施行されました。しかしながら残念なことに本大学においても同年10月 27日にメディアで個人情報漏洩事件が報じられました。そして同年11月7日に「熊本大学保有個人情報保護の取組み強化へのお願い」という文書が教職員に 配布されました。また同年4月15日には本大学のホームページが書き換えられ被害が発生しました。平成17年は熊大において重大な情報セキュリティ事件が 発生した年でありました。またこの年は無線LANのWEP等の暗号鍵が、比較的容易に特定できる技術やツールが出まわり、更には特定の部局で無線LANが 乱立していて、外部から容易に接続できることが大学関係者以外に漏れる等の情報が入って来たため、無線LANのセキュリティ向上は急務であると認識されま した。

  そのため、平成17年度12月9日付けで最高情報セキュリティ責任者より「無線LAN使用状況調査(依頼)」があり、そして翌年の平成18年3月2日付け で学内にその調査結果が通知されました。その結果、本学では、研究室等を中心に約100箇所余りの無線LAN基地局(アクセスポイント、以後APと称す) が設置されていることが分かりました。これらのほとんどAPでは、セキュリティの設定が可能であるにも関わらず、ほとんど無条件で自動的に接続されるもの が多くありました。したがってこのままの状態を放置すれば、無線LAN APを介して個人情報漏洩事件等がいつ発生してもおかしくない状態であることが分かりました。



  最初はこの様なAPは即刻取り除くべきであるということになりましたが、無線LANの利便性を考えれば、例えば、この報告書の著者も無線LANを大学内の みならず、出張先等でも愛用しているような状態であり、空港やホテル等、出張先の公共の場所においてもそのインターネットへのアクセシビリティを確保する 上で無線LANの提供するサービスは既にインフラであり、必要不可欠なものとして認知されているものと考えられます。

ただ、実際セキュリティレベルを挙げた無線LAN APを設置することは意外の他難しいためか、例えば、学外の例としては出張先でのホテル等では、無線LAN APを最初の間は設置していたものの、無線LANに関するセキュリティ脆弱性がメディア等で報道されるにつれ無線LANサービス自体の廃止や、有線LAN への切り替えまたは戻すケースが増加しております。#1

しかしながら、セキュリティの問題は合理的で的確な対策を講ずることによって排除または抑制されるものであり、よりやわらかなサービスをもたらすであろうユビキタス社会を推進するためにも、 サービスの後退ではなく、よりセキュアなサービス展開のためにも、よりセキュアな無線LAN APの設置は必須と考えられ、既に導入した全学無線LAN AP(平成14年〜平成17年度の期間)の置き換え計画を、平成18年4月〜平成19年6月までにかけて立案し、総合情報基盤センターおよび情報企画課と ともにこれを実施致しました。

#1 テル等の客室によっては何らかの原因で無線電波が届かず不安定であり客からの苦情処理が意外な負担になっているケースがあること等も、無線LANサービス の廃止や減少の原因となっています。

2.全学無線LAN強化推進計画

2.1 無線LAN AP条件

  全学無線LANのAP(アクセスポイント)のセキュリティ強化計画 は、平成18年4月〜9月の期間に掛けて下記の項目を重点的に考慮し、導入すべきAPの調査選定や導入試験を経て立案されました。

(1) ユーザ認証は大きく変更しないこと
    セキュリティの確保のため
(2) 高性能なアクセスサーバの設置場所の検討
    高いスループットを実現
(3) 通信暗号化
    WEP(Wired Equivalent Privacy) 128bit以上、L2TP、およびIPSec(VPN)等採用
(4) Windows, MacOS XやLinux等に対応
(5) 最高54Mbpsの帯域を利用可能であること
    無線LANの物理的通信規格には、IEEE80211b (11Mbps)およびIEEE802.11g (54Mbps)等があるが、少なくともこの2つの規格は満たすこと

(1)のユーザ認証については、セキュリティの要の一つである。本大学における無線LAN利用は、一般公衆無線LAN網等がとっている方式のうち、最初 Webアクセスを途中で奪って認証Webサーバへ強制的に接続し、認証が正常に終了後、Webアクセスを含めたすべてのアクセスを許可する方式を採用して いる。(2)の設置場所の検討は、慎重に行う必要があり、そのため大変お忙しい時期ででしたが、各部局長宛てに平成18年11月14日付けで出された「全 学無線ＬＡＮアクセスポイント増設について(依頼)」という調査依頼によって平成18年12月上旬までにその数や場所が報告され、これらの情報が設置場所 や敷設工事等の設計が行われました。(3)の通信暗号化はPCと無線LAN APとの通信を傍受されないためのものですが、WEPについても長時間の傍受によって通信暗号化ための暗号鍵が解読できる技術が開発されており、よりセ キュリティの高い暗号化方式が使えるようにAPを選定する必要があります。(4)は当然ですが、OSがあまりにも新しいと接続ができない場合がありますの で、平成18年度でのOSを想定しています。(5)については、購入されるノートPC等の無線LANがIEEE802.11b以上に対応していればOKと いうことになります。

2.2 学無線LANの仕組み

　全学無線LANは、本学の既設学内ネットワーク(KUIC)の一部 として構成されています。このKUICの基幹部分は10Gbpsを備えたL3スイッチで構成され、各建屋内の各中継盤に設置したL2スイッチとは 1Gbpsで接続され、そして各PCへは情報コンセントを介して最大100Mbpsで接続されています(図2)。全学無線LANのAPもこのL2スイッチ に接続されていますが、既存のネットワークとは違うIPアドレス体系を設定しています。

  この全学無線LAN用の専用IPネットワークは、既存のIPネットワークとは分離されており、認証後にアクセス制御装置を介して全学無線LANへ接続され ます。全学無線LAN APの役割は、PCとの無線通信接続を行い、IPネットワークに関する情報は基本的には、アクセス制御装置からのPCまでそのまま何も換えずにブリッジン グ(APとPC間の無線通信そのものはWEP等で暗号化されています)するだけです。

  実際PCがAPと無線交信に成功すると、DHCPによってアクセス制御装置からIPアドレスが自動的に割り当てられます。IPアドレスがPCに割り当てら れると、そのPCはWebアクセスを開始しますが、そのWebアクセスはアクセス制御装置によって認証Webサーバへ強制的に接続されます。そしてこの認 証が正常に終了しないと、Webアクセスを含めてすべてサービスが使えません。この時点で、部外者の接続を阻止することが可能となります。#2

#2 例えWEP等の暗号化鍵が判明してそれで接続を試みたとしても、サービスを無断利用する目的であればそれは阻止できます。しかし無線通信を傍受されている ことは変わりはないので、SSHやSSL/TLSやメールの暗号化等のアプリケーションレベルでの暗号化通信を使うことが推奨される。

2.3 証サーバの仕組み

　認証サーバは、全学無線LANの利用開始時に利用者の認証を行うシ ステムです。認証サーバに接続されたPCは、利用者へID等の入力を促す画面をWebブラウザに表示します(図1,2)。この認証サーバは、アクセス制御 装置と連携しており、認証が正常に終了すれば該当PCのIPアドレスからKUICへの接続をある一定期間許可します。この認証サーバの認証用のデータは、 本大学ポータルをベースとしたデータで構成されていますので、大学構成員であれば即使用することができます。

2.4 アクセス制御サーバ

　図2に示すように、アクセス制御サーバば、全学LAN IPネットワーク(KUIC)と全学無線LAN IPネットワークの間に設置され、認証サーバと連携して、KUICと全学無線LANとのセキュアに接続するための装置です。簡単に言ってしまえば、動的に アクセス制御が可能なファイアーウォールまたはゲートウェイに相当します。そのためこれらのゲートウェイの性能が全学無線LANの性能の一つである通信速 度に影響を与えます。そのため実際には複数台を設置し、DHCPによって接続先を分散しております(9台)。

2.5 アクセスポイント(無線基地局)

　新たに、導入されるアクセスポイントについては平成18年9月まで の調査結果、Cisco Systems社製のCisco Aironet 1131AG-J-K9に決定されました。このAPに決まった理由は、無線LAN通信規格IEEE802.11b/g/aのすべてに対応していること、ま た周波数も2.4GHz/5GHzに対応していること、更に近隣の不正APを検知できる機能を有するところからです。また無線データ通信の暗号化では WEPは当然として、WPA2(AES-CCMP)やTKIPにも対応しています。

  無線LANのセキュリティは、先に述べた認証との連携の他に、AP側のMACアドレスによる制御、すなわち、WEPやWPA2等による無線通信の暗号化、 そしてTKIP等採用することによって守られています。

  最初のセキュリティはMACアドレスを登録することでしたが、PC側の無線LANカードやチップのMACアドレスを簡単に変更できるところからこの方法で はセキュリティを維持することはできません(図3)。




  そこで無線データ通信そのものを暗号化する技術が開発され、例えばWEPがこれに相当するもので現在でも良く使われています(図4)。しかしながら、 WEP 40bit程度あれば、2、3時間で解読できることが分かっており、やはり最低でもWEP 128bitまたAES等を使ったより高度な暗号化を使うWPA2等を採用することが望ましくなっています。WEP 128bitについても、数時分間データを採集できれば概ねキーが解読できることが分かっており、WEP 128bitも完璧ではないことが
わかります。

  そこでTKIPという技術が開発されました(図5)。この方法は、先に述べたように、無線データ通信を行うのですが、WEPと同じの弱点を克服するため、 時間経過やAPにおける無線LANのトポロジー変更が起こると、暗号化キーの再配布を行い、通信暗号化キーが簡単に解読できないようになっています。

2.6 アクセスポイントの設置場所

3 全学無線LANの利用方法

  全学無線LANの利用方法について簡単に説明します。詳細は、総合情報基盤センターのホームページから、「全学無線LANシステムの利用方法」をご覧くだ さい。なお、全学無線LANの利用有資格者は、在学中のすべて学生および在職中の教職員となります。

3.1 無線LAN利用時に必要なもの

(1) セキュリティアップデートされたPC
(2) 無線LAN機能を有するPC
   IEEE802.11b規格に対応した無線LAN機能を有するノートPC等がこれに相当します。また無線LAN機能を有する最近ノートPCは、\fbox {Fn}キー等で簡単にON・OFFができる様になっており、これを押し忘れて、総合情報基盤センター等に尋ねられるケースもありますので、無線LANの ON・OFFについてはマニュアル等で十分確認をお願い申し上げます。尚、無線LAN機能がない場合は、無線LANカードやUSBスティック型無線 LAN装置別途購入してください。この場合は、それらの装置がご利用のOSや環境で確実に動作することを店頭でご確認の上ご購入ください。
(3) ESS-IDとWEPキーの入手
    総合情報基盤センターの「ホームページ」→「全学無線LANシステムの利用方法」から学内LANからのみアクセスできる情報をご参照ください(図13)。

図13 ESS-IDとWEPキーの入手ページ

(4) 認証様のユーザ(ID)名とパスワード
    認証用のユーザID(アカウント)とパスワードは、「熊本大学ポータル」で使用するものと同じです(図14)。

3.2 利用上の注意点

  利用上の注意は当然ながら厳密に守る必要があります。

(1) WEPキーや個人のパスワードの取り扱いに注意
(2) 認証用のユーザID名やパスワードの貸し借りは厳禁
(3) 多重ログイン等、一つのユーザID名(アカウント)を同時に利用は不可
(4) 利用にあたり、法律、社会一般道徳ならびにネットワーク上の道徳の遵守

3.3 PCの無線LAN機能を有効にする

  PCの無線LAN機能をまずONにします。元々装備されているPCではPCのマニュアルをみながらこの機能をONにします。無線LANカードを別途購入し た場合は、カードのマニュアルに従ってドライバ等をインストールしてください。ドライバのインストールは最初だけです。

3.4 無線LAN APへの接続

  はじめてPCから無線LAN APへ接続するためには、ESS-IDとWEPキーの設定を行います。この設定も通常は一回で済み、次回から自動的に設定されるようになります。ESS- IDとWEPキーの入手については、総合情報基盤センターの「ホームページ」→「全学無線LANシステムの利用方法」
から学内LANからのみアクセスできる情報をご参照ください(図13)。

3.5 ネットワークへ接続

  全学無線LANへTCP/IP接続するにはIPアドレス、ゲートウェイアドレス、ブロードキャストアドレス、およびDNSサーバアドレスは自動取得の設 定、つまりDHCP設定にしてください。上述の無線LAN APとPCの接続が完了すると、DHCPによってIPアドレス等を取得後IP接続がはじまります。

  IP接続がはじまったら、ブラウザで適当なホームページへアクセスしてください。すると認証サーバがそのWebアクセスを奪い取って認証ホームページへ誘 導します(図15)。


   この認証ホームページが表示されたら、ユーザID名とパスワードを入力して、[Logon User]ボタンをクリックしてください。しばらくするとアクセスしようとしていたホームページに接続されます。

この時点で、Webアクセス以外のメールやSSH/FTP等のその他のネットワークアプリケーションも利用可能となり、KUICやインターネットへの接続 ができるようになります。

また全学無線LANの利用を終了する時は、ブラウザを開き、アドレスにhttp://1.1.1.1/を入力し、アクセスすると、図16の様な画面が開き ます。この画面右上の\fbox{Logoff}ボタンをクリックすると接続が終了します。ネットワーク機能は30分間の利用がないと、自動的に接続が切 れますので恐らく、実際的には適当に放っておいても接続が切れます。

3.6 認証時の注意点

  認証時にWebブラウザで次の様なウィンドウが表示された場合は、下記の対応を
してください。まず認証局の関係です。

(1) 画面に図17のようなウィンドウやダイアログ等が表示された場合、一時的に現在表示されている認証を受け入れ、熊本大学の認証局にアクセスしてPCの Webブラウザに登録してください。次回からはこのウィンドウが表示されなくなります。

                          http://ca.kumamoto-u.ac.jp/


(2) IEの場合
  画面に図18のようなウィンドウやダイアログ等が表示された場合、Netscapeの場合と同様に一時的に現在表示されている認証を受け入れ、熊本大学の 認証局にアクセスしてPCのWebブラウザに登録してください。次回からはこのウィンドウが表示されなくなります。

図18 認証局の問題(IE)

3.7 Firefox2.0/IEv7について

  Firefox2.0並びにIEv7は、認証時や通常のWebアクセスがうまく行きません。

3.7.1 Firefox2.0の場合

  Firefox2.0では標準でSSL2.0でのWebアクセスが設定されていないため、図19の様なウィンドウが表示されます。そこで、この SSL2.0の設定を有効にします。設定はまずアドレスバーに、「about:conifg」と入力します(図20)。設定リストが表示されますので、下 記の項目を「false」から「true」に変更します。対象の行をダブルクリックで「false」→「true」に変更します(図21)。 Firefoxを終了してもう一度Firefoxを起動します。これで無線LANでFirefox
が利用可能となります。

3.7.2 IEv7の場合

  IEv7でも標準でSSL2.0でのWebアクセスが設定されていないため、図22の様なウィンドウが表示されます。そこで、このSSL2.0の設定を有 効にします。IEのメニュー「ツール」から「インターネットオプション」を選択します(図23)。そして「詳細設定」→「SSL 2.0を使用する」にチェックを入れます(図24)。この後、IE7を閉じてもう一度IE7を起動します。次回から無線LANのIEv7利用が可能になり ます。

3.8 Windows Vista + IEv7

  Windows VistaとIEv7で全学無線LANを使用する場合、下記の設定が必要となります。

まずIEv7のSSL2.0の設定を変更します。この変更は先述の小節3.7.2を参照して変更してください。次に下記アドレスへアクセスします(図 25)。

                          http://ca.kumamoto-u.ac.jp/



ウィンドウ中央の【認証局証明書のダウンロードは「こちら」をクリック・・・】の「こちら」を右クリックして、「対象をファイルに保存」を選択します。こ の時、保存した場所とファイル名を確認しておきます(図26)。

図26 証局へのアクセス

次に、保存した認証局証明書(ここでは、デスクトップ上にダウンロードしている)をダブルクリックします。セキュリティの警告のウィンドウが開きますが、
「開く」をクリックします(図27)。すると証明書のウィンドウが開きます。

図27 認証局の証明書を開く

「証明書のインストール」をクリックします(図28)。

図28 認証書のインポート

次に証明書のインポートウィザードのウィンドウが開きます(図29)。「次へ」をクリックします。

図29 証明書のストア設定の選択

次に「証明書をすべて次のストアに配置する(P)」を選択します。そして「参照」をクリックします(図30)。

図30 証明書ストアの設定開始

すると証明書ストアの選択のウィンドウが開きます(図31)。「信頼されたルート証明機関」を選択した後に、「OK」をクリックします。

図31 証明書ストア設定

図31と同じウィンドウが表示されますが、一部図32に示すように、「証明書をすべて次のストアに配置する」の項目で、「信頼されたルート証明機 関」になっていること確認します。
そして「次」をクリックしてください。

図32 証明書ストア設定完了

すると図33に示すウィンドウが表示されますので。「完了」をクリックします。

図33 認証書のインポートの実行

その後セキュリティ警告のウィンドウが開きますが(図34)、内容を確認して
「はい(Y)」をクリックします。

図34 セキュリティ警告

その後小さなウィンドウ(ダイアログ)が表示されたら、「OK」をクリックして
ください(図35)。

図35 証明書インポート確認

次にIEv7の「ツールメニュー」から「インターネットオプション」をクリックします(図36)。インターネットオプション」のウィンドウが開きます。

図36 インターネットオプション

「コンテンツ」タブ→「証明書」をクリックします(図37)。

図37 コンテンツと証明書

「証明書」のウィンドウが開きます。「信頼されたルート証明機関」タブをクリックして、そこに「ca.kumamoto-u.ac.jp」があることを確 認します(図38)。

図38 信頼されたルート証明機関

ca.kumamoto-u.ac.jp」が確認できたらここで終了です。しかしながら、この時点でまだ「ca.kumamoto-u.ac.jp」が確 認できない場合は更に次の手を打ちます。

まず「スタート」メニューから「検索の開始」欄に「mmc」と入力し(図39)、「Enter」キーを押します(この時、「ユーザアカウント制御」のウィ ンドウが開きますが、「続行」をクリックして下さい)。

図39 コンソールルートの検索

すると「コンソールルート」が起動します(図40)。「ファイル」→「スナップインの追加と削除」をクリックします。

図40 コンソールルートの起動

「利用できるスナップイン」で「証明書」をダブルクリックします。なお、「証明書」は下の方にありますので、スクロールバーで移動してください(図 41)。

図41 証明書の選択

次に証明書スナップインのウィンドウが開きます。「コンピュータアカウント(C)」を選んで「次へ」をクリックして下さい(図42)。

図42 証明書スナップイン

するとコンピュータの選択のウィンドウが開きます(図43)。「ローカルコンピュータ(L):(このコンソールを実行しているコンピュータ)」を選んで、 「完了」をクリックして下さい。

図43 コンピュータの選択

「選択されたスナップイン」に「証明書(ローカルコンピュータ)」が追加されている事を確認後、「OK」をクリックします(図44)。

図44 スナップインの選択と確認

次に、「コンソールルート」のウィンドウにて、「コンソールルート」→「証明書(ローカルコンピュータ)」→「信頼されたルート証明機関」→「証明書」を 順次ダブルクリックしていきます。ウィンドウの右側の「操作」から「他の操作」をクリックして、「すべてのタスク」→「インポート」をクリックします(図 45)。

図45 すべてに証明書インポート

すると「証明書のインポートウィザード」のウィンドウが開きます。「次へ」をクリックして下さい(図46)。

図46 証明書インポート開始

CA局からダウンロードした証明書ファイルを、「参照」をクリックして選択します。その後「次へ」をクリックします(図47)。

図47 証明書インポート用ファイルの指定

「証明書ストア」で「証明書を全て次のストアに配置する」を選択します。証明書ストアが「信頼されたルート証明機関」になっている事を確認します。「次 へ」をクリックします(図48)。

図48 証明書を全ての次のストアに配置

そして「証明書のインポートウィザードの完了」です。ここで「完了」をクリックしま(図49)。

図49 証明書インポート完了

次に「正しくインポートされました。」というウィンドウが開きます。「OK」をクリックします(図50)。

図50 インポート完了メッセージ

この時点で、証明書がインポートされます。「ca.kumamoto-u.ac.jp」がインポートされている事を確認してください(図51)。

図51 証明書インポート確認

「ファイル」→「終了」をクリックして、コンソールの設定を保存して終了します(図52)。

図52 コンソールの設定保存と終了

  これらの設定は有線LANでお願いします。無線LAN以外に方法がない場合は、
別のPCでUSBキーディスク等を介してFirefox2.0等のブラウザをインストー
ルする方法があります。

謝辞

　平成18年度の全学無線LANの整備は、高度情報化キャンパス整備 計画の一つであり、高度情報化キャンパス推進化費で行われております。熊本大学の教職員および学生の皆様のご理解ご協力につきまして、この場を借りて厚く 感謝申し上げる次第です。

参考文献

[1] Cisco Aironet 1130ag Datasheet, http://www.cisco.com/japanese/warp/public/3/jp/product/hs/wireless/airo1130/prodlit/-
pdf/1130ag\_ds.pdf