Wireless

Wireless 第52回「Catalyst9800シリーズのWPA3の設定について」

こんにちは。TEと申します。

今回はCatalyst9800シリーズのWPA3の設定についてご紹介させて頂きます。

 

WPA3については、既にご存じの方も多いかと思いますので、詳しい説明は割愛させて頂きますが、簡単に言うとWPA2の後継として登場した最新の無線セキュリティ規格の事です。これまで主流だったWPA2では、クライアントに暗号鍵を再インストールさせて暗号データを盗聴する攻撃(KRACKs)に対して脆弱性などが発見されたこともあり、今後はセキュリティ強度の高いWPA3が主流になっていくと思われます。

そこで、今回はC9800シリーズ(バージョン17.6.4)でWPA3を利用する場合、どのような設定項目があるのか実際の設定画面を交えてご紹介したいと思います。

 

では、早速ですが、C9800シリーズのWPA3の設定画面を見ていきましょう。

 C9800シリーズでWPA3を設定する場合は、上図の通り、WLAN(SSID)毎のレイヤ2セキュリティモードで「WPA3」を選択します。ただし、こちらを選択するとWPA3に対応していないクライアントは接続する事が出来なくなってしまいます。ですので、WPA3非対応のクライアントがある場合は、WPA2などのSSIDを別途設定するか、セキュリティ強度は下がってしまいますが「WPA3+WPA2」を選択して、混合モードとして利用する形が良いかと思います。

 

続いて、保護された管理フレーム(PMF: ProtectedManagement Frames)の設定についてです。

保護された管理フレーム(PMF)とは、MFP (Management Frame Protection)という管理用データのセキュリティ強化機能によって保護された管理フレームの事です。

一つ目の「PMF」の項目では、WPA3の場合、PMF必須となっている為、「必要」しか選択ができません。これにより通常は暗号化されない管理用の通信の暗号化が可能となります。また、PMF非対応のクライアントは接続できなくなるので、PMF非対応のクライアントがいるときは、レイヤ2セキュリティモードをWPA2+WPA3等にしてPMFは「オプション(PMFが使えたら使う)」を選択する形が良いかと思います。

 

二つ目の「Association Comeback Timer」では、クライアントが再接続を試みる場合の待機時間(1?10秒)を設定することができます。もう少し詳しく説明するとPMFを有効化している場合、接続済みクライアントと同じMACアドレスのクライアントから新たに接続要求をAPで受信した場合、正しいクライアントかどうかを判断する為に接続を一時的に拒否し、待機させます。この時の待機時間を設定する項目になります。

 

 三つ目の「SAクエリ時間」は、Association Comeback Timerで待機させている間にコントローラは既存クライアントが今も接続中か確認する為にメッセージを送り、クライアントからの応答を待ちます。この時の待機時間(100 ? 500ミリ秒)を指定する事ができます。もし、この待機時間中に応答が無ければ、コントローラは既存クライアントの接続を解除し、同じMACアドレスのクライアントは正しいクライアントと判断して再接続を許可する事になります。これらを組み合わせることによって、不正クライアントの接続などを防止する事が可能となります。

 

 続いて、WPAパラメータの設定についてです。

最初のレイヤ2セキュリティモードでWPA3を選択した場合は、「WPA3ポリシー」のみを選択します。WPA3+WPA2を選択した場合は、「WPA2ポリシー」もチェックします。

 

続いて、WPA2/WPA3暗号化の設定では、暗号化方式を選択します。デフォルト設定の「AES(CCMP128)」では、WPA3-Personal(パスワードによる認証)とWPA3-Enterprise(RADIUSサーバを利用した証明書認証)どちらの認証方法にも対応しており、それ以外の暗号化方式では、WPA3-Enterpriseのみ利用が可能となっております。特に「GCMP256」を選択した場合は、WPA3で新たに追加されたセキュリティ強度が最も高い192bit暗号オプションのEnterprise認証が利用可能となります。ただし、こちらをサポートするAPは2023/1/31時点ではC9124/C9130/C9236/C9162/C9164/C9166のみとなりますので、ご注意ください。

 

最後は認証キー管理の設定です。こちらの設定によりWPA3-PersonalかWPA3-Enterpriseもしくはオープンのどの認証方法を利用するのかが決まります。デフォルトの「802.1x」を選択するとWPA3-Enterprise 認証を利用する事になりますが、今回はWPA3で新たに追加された「SAE(SimultaneousAuthentication of Equals)」と「OWE(Opportunistic WirelessEncryption)」についてご紹介します。

「SAE」は、簡単に言うと通信に鍵情報を流さずに暗号鍵交換する仕組みの事でWPA3-Personal認証を利用する事になります。これにより、KRACKs攻撃が出来なくなり、仮にパスワードが単調なものであったとしても盗聴によるパスワードの特定が困難な為、より安全にWPA3-Personalを利用することが可能になります。

「OWE」は、オープンセキュリティのワイヤレスネットワークに暗号化を提供する仕組みなので、認証無しのオープンで利用する事になります。従来は、公衆無線LANなどのように認証設定を行わないワイヤレスネットワークでは暗号化ができませんでしたが、OWEにより認証無しでも暗号化する事が可能となります。また、OWEは通常のオープンネットワークだけでなく、キャプティブポータルを利用したネットワークでも使用することができるので、カフェや空港、オフィスのゲストネットワーク等より多くの環境でご利用頂けるおすすめの機能となっております。

 

今回ご紹介したWPA3の機能により無線LANのセキュリティ強度を大幅に高めることが可能となります。しかしながら、WPA3は機能が多い分、設定ミスなどにより思わぬトラブルが発生してしまうリスクもあるかと思います。そういったリスクを減らすためにもC9800シリーズの様に全拠点のAPを一括管理できる無線LANコントローラをWPA3と併せてご提案頂くのが良いと考えております。

 

以上となります。最後までご覧頂きありがとうございました。

 引き続きよろしくお願い致します。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事