ワイヤレスネットワーク

CCENT対策

WLANの概要

802.11で標準化されたWLANはCSMA/CDの仕組みと似ていて、一度に同じメディア(電波の周波数)を使えるのは、片方だけである。そのため、各ホストはその周波数が利用可能かどうか確認したうえで送信を開始することになる。したがってWLANでは常に半二重通信が利用されることになる。

一般出来な無線アクセスポイントはインフラストラクチャモードという状態で機能し、Basic Service Setと呼ばれるWLAN利用可能エリアを提供する。利用可能エリアの識別にはそのアクセスポイントのMACアドレスがBSSIDとして与えられる。また、これの別名としてユニークであることを保証しないが、人間にとって理解しやすいSSIDも付与されている。利用可能エリアへのアソシエーションが行われた後は、全てのフレームはアクセスポイント経由で行われ、同じBSS内に所属するホスト同士がP2Pで通信することはない。つまり、APは一つのVLANを提供しているような状況と言える。APは言わばスイッチとして同じVLAN内に所属するホストの通信を中継する。

BSS外にいるホストと、BSS内にいるホストが通信する際はDistribution-Systemというアクセスポイントに接続された機器が、BSS外との通信を中継する。DSを用いることで、一つのアクセスポイントで複数のSSIDを発信させ、それぞれに異なる802.1qVLANタグを付与することもできす。なお、この際BSSIDは各SSIDごとに異なる値が付けられる。APの物理アドレスの末尾を1ずつインクリメントしていくように設定される。

一つのアクセスポイントで対応できないような広い範囲をカバーするためのプロトコルとして用意されたのが、ESS(Extend Service Set)という概念で、同じSSIDを複数のエリアで使用し、ハンドオーバー(ローミングと言われる)もシームレスに行うことが出来る。これに関してもBSSIDは各APごとに異なる値を利用する。

ここまではアクセスポイントのインフラストラクチャモードの役割に関してみてきたが、各ホストがP2Pで直接やり取りする「アドホックモード」に関しても802.11で標準化されており、この接続が成立しているネットワーク自体をIndependent Basic Service Set(IBSS)と呼ぶ。

windows10でアドホック接続する方法 - マイクロソフト コミュニティ

なお、IBSSに関してはWindowsで対応しなくなっている模様。

アクセスポイントはカバーしたい領域に応じて様々な使われ方をしている。

一つは一つのAPで届かない範囲をカバーするため、WLAN電波の中継を行うリピーターモードである。リピーターモードでは発信元のオリジナルAPから遠いホストから届いた信号を、オリジナルAPに中継する必要がある。これに伴い通信が本来の倍必要になるのでスループットの大きさは減少する。

このリピータモードに似た機能として、複数台のAPが必要になる広域な範囲でWLANを提供したい場合はWLANの「メッシュネットワーク」を構築する。DSに直接接続してあるAPを中心に放射状に複数のAPを配置し、どのAPで受信した信号も、DSに効率よく到達できるようネゴシエーションが行われる独自のルーティングプロトコルが走っている。

さらにWLANに対応していない古い機器に対応するため、APからの信号を有線信号に変換してLANを提供するワークグループブリッジモードもある。一つのLANだけを提供するuWGBと、Cisco独自の複数のLANを提供するWGBの2種類が存在する。

建物間、または都市間で2点もしくはそれ以上の拠点を同じLANに所属させたいとき、ちょうどLANのブリッジのように、拠点間をつなぐ通信をAPの「ブリッジモード」で提供できる。LANの信号を特殊な指向性アンテナで送るべく、ブリッジモードが信号の変換を行う。

ワイヤレスの利用できる電波の周波数帯は大きく分けて2つある。2.4GHz帯は、2.4-2.4835GHzの狭い周波数帯を3つに分けて利用している。一方5GHz帯は5.150か5.825GHzの広い周波数帯を4つに分けて利用している。各AP-ホスト間はこの合計7つの周波数帯の中から、自分のハードウェアが対応している周波数帯を選んで利用することになる。古い機器では2.4GHz帯しか対応しておらず、3つしか利用可能なチャンネルのない2.4GHz帯の電波は込み合っており、5GHz帯の利用が強く望まれている。

なお5GHz帯と2.4GHz帯の両方が使えるようになったのは2009年の802.11nであり、それまではどちらか片方の周波数帯しか利用できなかった。このときも帯域幅は最大600Mbpsしか出ないので、1000Mbsのギガビットイーサネットよりも劣る。

1000Mbsのギガビットイーサネットを超える帯域幅を提供するようになったのは802.11acで6930Mbsを提供するが、5GHzのみの対応で、大して普及しなかった。

2.4GHz, 5Ghz帯両方に対応したうえ、802.11acの四倍の帯域幅を提供する802.11axが2019年に標準化され、Wi-Fi6という通称で注目されている。

WLANの管理

自律型APとは、ワイヤレスの通信を有線LANのパケットに自力で変換することを可能にする。自立型APは自分で管理用のIPアドレスを持ち、それぞれ個別に管理が行われる。これは、同じSSIDを全てのAPに設定したり、全てのAPで新しいVLANをホストさせたりするのに大変な作業量が必要になってしまう。複数のVLANを利用するのに自立型APを利用するトポロジは推奨されない。

更に自立型APを利用している場合、トポロジの変更が行われることになるので、STPによるネゴシエーションをハンドオーバーの度に行わなくてはならない。よって自立型AP間のハンドオーバーはシームレスに行われることが出来ない。これも自立型APが拡張性の高いネット―ワークを提供できない理由の一つである。

この問題の解決を解決するのがクラウドベースAPアーキテクチャであり、APの管理がすべてクラウド上のアプリケーションでおkなわれるようになる。このサービスは`Cisco Merakiと呼ばれ、このサービスに対応しているAPは電源を投入すると自動でクラウド上のアプリケーションとネゴシエーションを行い、自分で設定を完了する。ワイヤレスネットワークの監視などもこのアプリケーションを介して行われる。後述する、Split-MAC アーキテクチャと比べ、管理パケットを除く通信パケットはすべて、キャンパスネットワークのトポロジ通りに行われるため、シンプルである。

Cisco Merakiを始めてみた - 新人社内SEのメモ書き

自律型APの欠点を解消するもう一つの方法がSplit-MACアーキテクチャである。ここまでの2つのアーキテクチャはスイッチの管理を除いて、APがパケットの処理、アソシエーションの際のホストの承認、QoSの信頼境界等をすべてになってきた。そのため、管理用のパケットを除けば、全てのデータはトポロジ通りの処理が行われてきた。

このアーキテクチャでは、そうしたAPが担っていた処理の中でも信号の送受信・暗号化・MACアドレスの管理等、リアルタイム性の必要ない処理だけを残して切り離し、必要最低限の機能をLightWeight APが担い、残りの処理は必要に応じてWireless LAN Controllerへパケットを転送して実行する。Lightweight APとWLCの間はCAPWAPというプロトコルでかプセリングが行われ、パケットはUDPで転送される。

無線LAN - Cisco無線LAN - LWAPP/CAPWAPの概要

このプロトコルはAPとWLCが別のネットワークに存在してもトンネルを形成することが出来る。そのためWLCの機能を完全にクラウド上に実装してしまう方法もある。(後述)また、カプセリングは制御用のデータと実際のデータとで別れ、それぞれ別のポート番号が使われる(5246と5247)。どちらのカプセリングも暗号化が行われる。レイヤ3のカプセリングでありVLANタグを付与するわけではないので、WLC-AP用にVLANを設定する必要はない。(ただし、WLCとスイッチ間はトランキングがされる必要がある。AP-WLC-Switchという論理的な3点接続ではWLC-Switch間でVLANの設定が必要で、AP-WLC間には不要である。もっとも物理的にはWLCとAPはスイッチを介して(トンネリングを通して)繋がっているものであるからAP-WLC間もトランキング接続を通過している様に見えている。)

各APは自分のWLCを見つけるのにプリインストールされたX.509という証明書を利用するので、悪意のあるWLCと接続してしまう危険はない。なお、Lightweigt APは実装されている機能が少なく、単独で機能することは不可能で完全にWLCに依存する。

WLCの配置場所によってアーキテクチャの名前が違う。最も単純なのはキャンパスネットワークのコアスイッチの上にWLCを接続すること。(Unified Deployment)。また、これを更にルータの向こう側、パブリッククラウドなどに配置するCloud Based Deploymentも可能である.。

さらに全てのアクセスレイヤスイッチにWLCの機能を持たせるEmboded Deploymentや、もっとも小さなネットワーク向けに一部の lightweight APにWLCの機能を持たせ、残りはすべて普通のlight weight APを利用するMobility Express DEploymentもある。

WLCのセキュリティ

WLCのセキュリティは3つの要素に分解される。

  • APはアソシエーションを行いたいクライアントが悪意のある存在ではないか確認を行いたい。また、クライアント側もそのあくせすポイントが本当に悪意を持ったものではなく、自分の接続を意図するAPであるかどうかを確かめたい(認証)

  • アソシエーションが行われた後、クライアントとAPが送受信しあう信号は、そのBSS内にいる悪意のあるホストには読み取られない様に暗号化されている必要がある。その暗号化方式はクライアントとAPには解読できるが、同じBSS内にいるホストには解読できないものでなくてはならない。(通信の秘匿性)

  • 通信がAPからホストに、或いはホストからAPに送信される際、その通信の内容が中間者によって改竄されているかもしれない。メッセージが中間者によって改竄されていないこと、直接受信していることを確かめることが出来る必要がある。(通信の完全性)

この3つの要素を満たすために、様々な認証システムと通信の秘匿性・完全性を担保するプロトコルが開発されてきた。 まず認証システムから見ていく。

認証システム

オープン認証

APとのアソシエーションに認証を必要としない。実際にはリクエストを送った全てのホストとアソシエーションするが、認証作業自体は全く別の方法(Webブラウザでのパスワード認証とか)に委ねている

WEP

1999年に802.11で最初に規定された認証プロトコルで、2004年脆弱性の発見まで全てのワイヤレス接続機器の標準認証プロトコルであった。既に非推奨とされている。APとクライアントが共通のパスワード(鍵)を使って認証する方法であった。

EAP(802.1x)

WEPが非推奨となって、新たな標準化された認証プロトコルが採用されるのではなく、よりスケーラブルで技術進歩に対応した新しい認証システムに柔軟に対応していくためのフレームワークとしてEAP(Extensive Authentication Protocol)が発表された。実はこのフレームワーク自体は既に有線で存在していたものの(802.1x)、WPAの危険性もあって代替する認証プロトコルが求められる中、有線より先に無線で利用が広まったといういきさつがある。EAP802.1xと呼ばれることがあるのはそれが所以である。

IEEE802.1X認証とは、EAPとは

現在、このEAPフレームワークに準拠した認証システムが既に4つ発表されており、そのうちの一つは既に非推奨になってしまっている。また、この4つに共通した仕組みとして、認証の際にホストとAPのアソシエーションそのものは既に取り扱ったOpen Authenticationで行い、実際にそのパケットをWLCやスイッチに転送するかどうかは、ホストとRadius/DiameterなどのAuthentication Serverで行うという特徴がある。

プロトコルの具体的な内容に関してはあまり深く触れないことにする。

  • Lightweight EAP (LEAP): 既に非推奨となった。
  • EAP-FAST : Ciscoが開発した認証システム。標準化もされている。
  • Protected-EAP (PEAP): マイクロソフトCiscoRSA-Securityの三社による共同開発プロトコル。三社の揉め合いにより標準化されず、結局各ベンダ独自のPEAPがベンダことに使われている。
  • EAP-TLS: TLS(SSL)の仕組みを使い、ユーザーにもAP側にも証明書を持たせて認証する。非常に安全であるが、両方に証明書が必要であるため、クライアントの数が膨大になれば、それだけ証明書のインストールの手間が膨大になる。そのため、あまり利用されていない。

EAPのはなし(2)|Wireless・のおと|サイレックス・テクノロジー株式会社

通信の秘匿性と完全性

通信の秘匿性と完全性の2要素は複数のプロトコルによって担保されてきたものの、そのうち一つが既に非推奨となってしまっている。

  • TKIP: 非推奨だが、WPAではCCMPとともに採用されていた
  • CCMP: WPA2で採用されている、AESアリゴリズムという暗号化方式を利用したプロトコル
  • GCMP WPA3で採用されている、AESアリゴリズムという暗号化方式を利用したプロトコル

秘匿性・完全性・認証システム

WPAとは、その機器(ホスト・アクセスポイント)がセキュリティの担保が出来ているかどうかをWi-Fi Allianceという非営利団体が認定してくれるサービスの名前であり、この認定を受けるにはWi-Fi Allianceが定めるセキュアなプロトコルが利用可能である必要がある。

最初のWPAでは秘匿・完全性の担保にTKIPまたはCCMPを利用していることが求められた。また認証システムにEAP802.1x)を利用していることが求められた。

WPA2ではTKIPの利用が出来なくなってCCMPを利用する必要があった。

WPA3ではCCMPも利用できなくなり、GCMPが必要となった。また総当たり攻撃からの保護も求められるようになった。

WLCの設定

WLCの物理ポートはコンソールポートの他、ディストリビューションポートとサービスポートに分かれている。サービスポートは一つのVLAN にしか対応しておらず、トランキングは出来ない。一般的にキャンパスネットワークのマネジメントVLANに接続される。WLC自体の設定などに利用されるもので、アクセススイッチに常時接続されている。

一方、ディストリビューションポートは、APからのデータパケットと、APの管理パケットの両方の転送に用いられる。CAPWAPのトンネリングが行われる接続はすべてこのポートでやり取りされることになる。APやそれより下位のホストに対するSNMP、TFTPなどの管理パケットもこのポートが利用される。このポートはAPが常に複数のVLANに対応していると仮定して802.1Qで常時トランキングがされている。(前述したように、AP-WLC間は専用カプセリングで接続がされ、トランキングが不要だが、WLC-Switch間はトランキングの必要あり)WLCに接続するスイッチポートも、当然トランキングの設定が必要になる。普通、ディストリビューションポートは複数用意されているので、スイッチ-WLC間はリンクアグリゲーションを行うことになる。ただし、ダイナミックトランキングプロトコルネゴシエーション)は利用できない。

WLCには仮想インターフェース(VLAN)も複数存在し、それぞれに別のIPアドレスが付与されている。これは今までスイッチに付与する管理用インターフェース(SVI)が一つしか存在しなかったのとは対照的である。

  • Dynamic interface VLANごと(=SSIDごと)に存在する。Wired-LANのスイッチに接続され、WLAN信号をVLANタグを付与してLANに送信する。
  • Virtual Interface DHCPサービスを提供するインターフェース。各ホストはこのアドレスにDHCP DISCOVERを送り、このインターフェースがその信号を実際のDHCPへとリレーする。このアドレスはホストとWLCの間でしか利用されないので、リーティング不可のIPアドレスを付与されることが望ましい。
  • Management Interface: CAPWAPトンネルの終点となるインターフェース。通常のトラフィックとAPの管理トラフィックはすべてここへ転送される。また、マネジメント用のSVIのユーザーもこのインターフェースに存在することになっている。

実際の設定の手順はWLCのGUI設定画面を利用して以下のように行われる。

1: Radiusサーバーを作成する。

2: VLANごとにDynamic Interfaceを作成する。作成時にVLAN IDを指定する。作成後の設定画面で各Dynamic InterfaceのIPアドレスデフォルトゲートウェイ、アドバタイズするDHCPサーバーのアドレス(ここではDHCPリレーを利用するのでVirtual InterfaceのIPアドレスを指定しておけばよい)などを決定する。この情報は各APにてVLANごとにアソシエーション時に配信される。

3: WLANを作成する。SSIDなどを設定し、関連付けるDynamic Interfaceを選択する。VLAN10にSalsesというDynamic Interfaceを作成してあるなら、作成したWLANにSalesを紐づける。

また利用する標準化規格を選択する。例えば5.4GHz帯しか利用しないのであれば、b/g/1997プロトコルはdisableにできる。セキュリティプロトコルQoSも同時に選択する。

4:WLANの詳細を設定する。セキュリティプロトコルQoSを選択する。

こうして設定されたWLANはWLCに対するマネジメントトラフィックを扱えなくなる。無線経由で管理用インターフェースにアクセスできなくなるのは、セキュリティ上好ましいがこれも設定によって変更可能である。