概要
無線LANを使用して、SUSE Linux EnterpriseŽコンピュータ間の接続を確立できます。この章では、無線ネットワークの原理と、無線ネットワークの基本的な設定方法について説明します。
無線LANは、モバイルコンピューティングに不可欠な側面となってきています。現在、ほとんどのラップトップにはWLANカードが内蔵されています。WLANカードによる無線通信に関する802.11規格がIEEEにより策定されました。当初、この規格は最大伝送速度 2MBit/sについて提供されましたが、その後、データ伝送速度を高めるために複数の補足事項が追加されています。これらの補足事項では、モジュレーション、伝送出力、および伝送速度などの詳細が定義されています。
表 29.1. 各種WLAN規格の概要
名前 | 帯域(GHz) | 最大伝送速度(MBit/s) | メモ |
|---|---|---|---|
802.11 | 2.4 | 2 | 廃止、実質上、使用可能なエンドデバイスはなし |
802.11b | 2.4 | 11 | 普及 |
802.11a | 5 | 54 | あまり普及せず |
28.29oz | 2.4 | 54 | 11bとの下位互換性あり |
また、最大伝送速度 22MBit/sのTexas Instrumentsの 802.11bバージョン( 802.11b+)のような独自規格もあります。ただし、この規格を使用するカードは一般的ではありません。
802.11カードは、SUSE Linux EnterpriseŽではサポートされていません。802.11a、802.11b、および802.11gを使用するカードのほとんどは、サポートされています。通常、新しいカードは802.11g規格に準拠していますが、802.11bを使用するカードも使用可能です。一般に、次のチップを内蔵したカードがサポートされています。
Aironet 4500, 4800
Atheros 5210、5211、5212
Atmel at76c502、at76c503、at76c504、at76c506
Intel PRO/Wireless 2100, 2200BG, 2915ABG, 3945ABG
Intersil Prism2/2.5/3
Intersil PrismGT
Lucent/Agere Hermes
Texas Instruments ACX100、ACX111
ZyDAS zd1201
普及していたが廃止になった古いカードも、多数サポートされています。WLAN カードと使用チップについての詳細なリストは、にあるAbsoluteValue Systemshttp://www.linux-wlan.org/docs/wlan_adapters.html.gzのWebサイトを参照してください。さまざまなWLANチップの概要は、http://wiki.uni-konstanz.de/wiki/bin/view/Wireless/ListeChipsatzを参照してください。
一部のカードの場合は、ドライバの初期化時にファームウェアイメージをカードにロードする必要があります。Intersil PrismGT、Atmel、TI ACX100およびACX111がその例です。ファームウェアは、YaSTオンラインアップデートを使用して簡単にインストールできます。Intel PRO/Wirelessカード用のファームウェアSUSE Linux Enterpriseに内蔵されており、この種のカードが検出されるとただちに、YaSTによって自動的にインストールされます。このトピックに関する詳細は、インストール済みシステムの/usr/share/doc/packages/wireless-tools/README.firmwareを参照してください。
無線ネットワークでは、高速で高品質、そして安全な接続を確保するために、さまざまなテクニックや設定が使用されています。動作のタイプが違えば、それに適したセットアップ方式も異なります。適切な認証方式を選択するのは難しいことがあります。利用可能な暗号化方式には、それぞれ異なる利点と欠点があります。
基本的に、無線ネットワークは管理ネットワークとAd-hocネットワークに分類できます。管理ネットワークには、管理要素のアクセスポイントがあります。このモード(インフラストラクチャモードとも呼ばれます)では、ネットワーク内のWLAN局の接続はすべてアクセスポイント経由で行われ、イーサネットへの接続としても機能できます。Ad-hocネットワークには、アクセスポイントはありません。局は相互に直接通信します。Ad-hocネットワークの場合は、伝送範囲と参加局の数が大幅に制限されます。そのため、通常はアクセスポイントを使用する方が効率的です。また、WLANカードをアクセスポイントとして使用することも可能です。ほとんどのカードは、この機能をサポートしています。
有線ネットワークよりも無線ネットワークの方がはるかに盗聴や侵入が容易なので、各種の規格には認証方式と暗号化方式が含まれています。IEEE 802.11規格のオリジナルバージョンでは、これらがWEPという用語で説明されています。ただし、WEPは安全でないことが判明したので(29.1.5.2項 「セキュリティ」)、WLAN業界(Wi-Fi Allianceという団体名で協力)はWPAという新規の拡張機能を定義しており、これによりWEPの弱点がなくなるものと思われます。その後のIEEE 802.11i規格には、WPAと他の認証方式および暗号化方式が含まれています(WPAはドラフトバージョンの802.11iに基づいているので、この規格はWPA2と呼ばれることもあります)。
認可された局だけが接続できるように、管理ネットワークでは各種の認証メカニズムが使用されます。
- オープン
オープンシステムとは、認証を必要としないシステムです。任意の局がネットワークに参加できます。ただし、WEP暗号化(29.1.2.3項 「暗号化」を参照)は使用できます。
- 共有キー(IEEE 802.11に準拠)
この方式では、認証にWEPキーが使用されます。ただし、WEPキーが攻撃にさらされやすくなるので、この方式はお勧めしません。攻撃者は、局とアクセスポイント間の通信を長時間リスニングするだけで、WEPキーを奪取できます。認証処理中には、通信の両側が1度は暗号化形式、1度は暗号化されていない形式で同じ情報を交換します。そのため、適当なツールを使えば、キーを再構成することが可能です。この方式では認証と暗号化に WEPキーを使用するので、ネットワークのセキュリティは強化されません。適切なWEPキーを持っている局は、認証、暗号化および復号化を行うことができます。キーを持たない局は、受信したパケットを復号化できません。したがって、自己認証を行ったかどうかに関係なく、通信を行うことができません。
- WPA-PSK (IEEE 802.1xに準拠)
WPA-PSK (PSKはpreshared keyの略)の機能は、共有キー方式と同様です。すべての参加局とアクセスポイントは、同じキーを必要とします。キーの長さは256ビットで、通常はパスフレーズとして入力されます。この方式では、WPA-EAPのような複雑なキー管理を必要とせず、個人で使用するのに適しています。したがって、WPA-PSKはWPA 「Home」とも呼ばれます。
- WPA-EAP (IEEE 802.1xに準拠)
実際には、WPA-EAPは認証システムではなく、認証情報を転送するためのプロトコルです。WPA-EAPは、企業内の無線ネットワークを保護するために使用されます。プライベートネットワークでは、ほとんど使用されていません。このため、WPA-EAPはWPA 「Enterprise」とも呼ばれます。
WPA-EAPは、ユーザを認証するのにRadiusサーバを必要とします。EAPには、サーバへの接続と認証手段として、TLS(Transport Layer Security)、TTLS(Tunneled Transport Layer Security)、およびPEAP(Protected Extensible Authentication Protocol)の、3種類の方法が用意されています。簡単に説明すると、これらのオプションは以下のように働きます。
- EAP-TLS
TLSの認証は、サーバとクライアント両方の、証明書の相互交換に依存しています。はじめに、サーバがクライアントに対して証明書を提示し、それが評価されます。証明書が有効であるとみなされた場合には、今度がクライアントがサーバに対して証明書を提示します。TLSはセキュアですが、ネットワーク内で証明書管理のインフラストラクチャを運用することが必要になります。このインフラストラクチャは、プライベートネットワークでは通常存在しません。
- EAP-TTLSとPEAP
TTLSとPEAPは両方とも、2段階からなるプロトコルです。最初の段階ではセキュリティが確立され、2番目の段階ではクライアントの認証データが交換されます。これらの証明書管理のオーバヘッドは、もしあるとしても、TLSよりずっと小さいものです。
権限のないユーザが無線ネットワークで交換されるデータパケットを読み込んだりネットワークにアクセスしたりできないように、さまざまな暗号化方式が存在しています。
- WEP (IEEE 802.11で定義)
この規格では、RC4暗号化アルゴリズムを使用します。当初のキー長は40ビットでしたが、その後104ビットも使用されています。通常、初期化ベクタの24ビットを含めるものとして、長さは64ビットまたは128ビットとして宣言されます。ただし、この規格には一部弱点があります。このシステムで生成されたキーに対する攻撃が成功する場合があります。それでも、ネットワークをまったく暗号化しないよりはWEPを使用する方が適切です。
- TKIP (WPA/IEEE 802.11iで定義)
このキー管理プロトコルはWPA規格で定義されており、WEPと同じ暗号化アルゴリズムを使用しますが、弱点は排除されています。データパケットごとに新しいキーが生成されるので、これらのキーに対する攻撃は無駄になります。TKIPはWPA-PSKと併用されます。
- CCMP (IEEE 802.11iで定義)
CCMPは、キー管理を記述したものです。通常は、WPA-EAPに関連して使用されますが、WPA-PSKとも併用できます。暗号化はAESに従って行われ、WEP規格のRC4暗号化よりも厳密です。
無線ネットワークカードを設定するには、YaSTの[]モジュールを起動します。ここで、ネットワークカードの管理にYaSTまたはNetworkManagerのいずれを使用するかを選択できます。YaSTを選択した場合は、[]のデバイスタイプに[]を選択し、[]をクリックします。[]で(図 29.1. 「YaST:無線ネットワークカードの設定」を参照)、WLAN操作の基本設定を行います。
- 動作モード
WLANでは、局を3つのモードで統合できます。最適なモードは、 (アクセスポイントのないピアツーピアネットワーク)、 (アクセスポイントにより管理されるネットワーク)、または (アクセスポイントとしてネットワークカードを使用)など、通信するネットワークによって異なります。WPA-PSKまたはWPA-EAPモードを使用するには、動作モードを[]に設定する必要があります。
- ネットワーク名(ESSID)
無線ネットワークのすべての局が相互に通信するには、同じESSIDが必要です。何も指定しなければ、カードは自動的にアクセスポイントを選択しますが、それが意図したアクセスポイントとは異なる場合があります。
- 認証モード
ネットワークに適した認証方法を選択します:、, 、または。WPA認証を選択した場合は、ネットワーク名を設定する必要があります。
- エキスパート設定
このボタンをクリックすると、WLAN接続の詳細設定用ダイアログが開きます。このダイアログの詳細については後述します。
基本設定を完了すると、自局がWLANで運用可能になります。
![[Important]](admon/important.png) | 無線ネットワークでのセキュリティ |
|---|---|
ネットワークトラフィックを保護するために、サポートされている認証方式と暗号化方式の1つを必ず使用してください。暗号化されていないWLAN接続では、第三者がすべてのネットワークデータを盗聴することができます。弱い暗号化(WEP)でも、まったく暗号化しないよりはましです。詳細については、29.1.2.3項 「暗号化」と29.1.5.2項 「セキュリティ」を参照してください。 | |
選択した認証方式によっては、YaSTの別のダイアログで設定を微調整するように要求されます。[]を選択した場合、何も設定項目はありません。この設定では、認証なしの暗号化されない動作が実装されるからです。
- 共有キー
キーの入力タイプを設定します。[]、[]、[]のいずれかを選択します。最大4つの異なるキーを使用して伝送データを暗号化できます。[]をクリックしてキー設定ダイアログを開きます。キー長を設定します:または。デフォルト設定は、[]ビットです。ダイアログ下部にあるリスト領域では、局で暗号化に使用するキーを最大4つまで指定できます。[]を押して、4つのうち1つをデフォルトキーとして定義します。この方法で変更しない限り、YaSTでは最初に入力したキーがデフォルトキーとして使用されます。標準キーが削除された場合は、残りのキーの1つを手動でデフォルトキーに設定する必要があります。[] をクリックし、既存のリストエントリを変更するか、新規のキーを作成します。新規作成の場合、ポップアップウィンドウが表示され、キーの入力タイプ([]、[]、または[])を選択する必要があります。[] を選択した場合は、前に指定した長さに従ってキーの生成に使用するワードまたは文字列を入力します。[]を選択した場合は、 64ビットキーであれば 5文字、 128ビットキーであれば 13文字を入力する必要があります。[]を選択した場合は、64ビットキーであれば10文字、128ビットキーであれば26文字を16進表記で入力します。
- WPA-PSK
WPA-PSK用のキーを入力するには、入力方法として[]または[]を選択します。[]モードでは、 8から 63文字を入力する必要があります。[]モードでは、64文字を入力します。
- WPA-EAP
ネットワーク管理者から受け取った証明書を設定します。TLSの場合は、[]、[]、[]、および[]に適切な値を入力します。TTLSとPEAPでは、[]と[]が必要です。Server CertificateAnonymous Identity]は、必要に応じて指定してください。YaSTは、
/etc/certで証明書を探すので、受け取った証明書はこの場所に保存し、これらのファイルに対するアクセス権は0600(所有者の読み取りと書き込み)に制限してください。[]をクリックして、WPA-EAPセットアップ用の高度認証ダイアログを入力します。EAP-TTLSまたはEAP-PEAP通信の第2ステージ用の認証方法を選択します。前のダイアログでTTLSを選択した場合は、
any、MD5、GTC、CHAP、PAP、MSCHAPv1またはMSCHAPv2を選択します。PEAPを選択した場合は、any、MD5、GTCまたはMSCHAPv2を選択します。PEAP version]を使用して特定のPEAP実装を使用するように強制できます。
[]をクリックしてWLAN接続の基本設定ダイアログを終了し、上級者用の設定に入ります。このダイアログでは、次のオプションを使用できます。
- チャネル
WLAN局が使用するチャンネルの指定を必要とするのは、[]モードと[]モードだけです。[]モードでは、カードはアクセスポイントに使用可能なチャネルを自動的に検索します。[]モードでは、自局と他局との通信用に提供されている 12のチャンネルから1つを選択します。[]モードでは、使用するカードがアクセスポイント機能を提供する必要のあるチャネルを指定します。このオプションのデフォルト設定は[]です。
- 転送ビットレート
ネットワークのパフォーマンスに応じて、あるポイントから別のポイントへの伝送について特定のビットレートを設定できます。デフォルト設定の[]では、システムは最大許容データ伝送速度を使用しようとします。ビットレートの設定をサポートしていないWLANカードもあります。
- Access Point
複数のアクセスポイントがある環境では、MACアドレスを指定することで、その1つを事前に選択できます。
WLANカードをアクセスポイントとして使用するには、hostap (hostapパッケージ)を使用します。このパッケージの詳細については、プロジェクトのホームページ(http://hostap.epitest.fi/)を参照してください。
kismet (kismetパッケージ)は、WLANパケットトラフィックのリスニングに使用するネットワーク診断ツールです。このツールを使用すると、ネットワーク内の侵入試行も検出できます。詳細については、http://www.kismetwireless.net/とマニュアルページを参照してください。
これらのヒントでは、速度と安定性を微調整する方法や、WLANのセキュリティの側面について説明します。
無線ネットワークのパフォーマンスと信頼性は、主として参加局が他局からクリーンな信号を受信するかどうかに依存します。壁などの障害物があると、信号が大幅に弱くなります。信号強度が低下するほど、伝送速度も低下します。操作中には、コマンドライン(Link Qualityフィールド)でiwconfigユーティリティを使用するか、またはNetworkManagerかKNetworkManagerを使用して、信号強度を確認します。信号品質に問題がある場合は、他の場所でデバイスをセットアップするか、またはアクセスポイントのアンテナ位置を調整してください。多くのPCMCIA WLANカードの場合、受信品質を実質的に向上させる補助アンテナを利用できます。メーカ指定のレート(54MBit/sなど)は、理論上の上限を表す公称値です。実際の最大データスループットは、この値の半分以下です。
無線ネットワークをセットアップする際には、セキュリティ対策を導入しなければ、伝送範囲内の誰もが簡単にアクセスできることを忘れないでください。したがって、必ず暗号化方式をアクティブにする必要があります。すべてのWLANカードとアクセスポイントが、WEP暗号化をサポートしています。これでも完全に安全とは言えませんが、潜在的な攻撃者に対する障害物は存在することになります。通常、プライベート用であればWEPで十分です。WPA-PSKも適していますが、WLAN機能を持つ 古いアクセスポイントやルータには実装されていません。デバイスによっては、ファームウェア更新を使用してWPAを実装できます。さらに、Linuxは、すべてのハードウェアコンポーネントでWPAをサポートしているわけではありません。このマニュアルの制作時点では、WPAが機能するのは、Atheros、Intel PRO/Wireless、またはPrism2/2.5/3チップを使用するカードの場合だけです。Prism2/2.5/3の場合、WAPが機能するのはhostapドライバを使用している場合だけです(を参照)。29.1.6.2項 「Prism2カードの問題」WPAが使用できない場合、暗号化しないよりはWEPを使用することをお勧めします。高度なセキュリティ要件を持つ企業では、無線ネットワークの運用にWPAを使用する必要があります。
WLANカードが応答しない場合は、必須ファームウェアをダウンロードしたかどうかを確認します。参照先 29.1.1項 「ハードウェア」. ここでは、判明している一部の問題について説明します。
通常、最近のラップトップにはネットワークカードとWLANカードが搭載されています。DHCP (自動アドレス割り当て)を使用して両方のデバイスを構成すると、名前解決とデフォルトゲートウェイに問題が発生することがあります。これは、ルータはpingできるがインターネット上でナビゲーションできないことを示しています。詳細については、http://en.opensuse.org/SDB:Name_Resolution_Does_Not_Work_with_Several_Concurrent_DHCP_ClientsにあるSupport Databas (サポートデータベース)を参照してください。
Prism2チップ搭載のデバイスには、複数のドライバが用意されています。各種カードがスムーズに動作するかどうかは、ドライバに応じて異なります。この種のカードの場合、WPAに使用できるのはhostapドライバだけです。この種のカードが正常に動作しない場合、まったく動作しない場合、またはWPAを使用する必要がある場合は、/usr/share/doc/packages/wireless-tools/README.prism2を参照してください。
Linux用の無線ツールを開発したJean Tourrilhesのインターネットページには、無線ネットワークに関して役立つ情報が多数提供されています。詳細については、http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.htmlを参照してください。