なんとなーく。
さっき書いてたら消えてみた（汗）
自分の整理の為にまとめてみてるだけだったんだけど、結構ショボーン。
そんなんで個人的なみかたを含めてメモしてみる。


1.ESSID
昔は認証の一つなんて言われてましたが、今となってはどうとやらですかね。
誰も無線通信していなかったり、ユーザがAPとすでに通信中の状態なら、あんまりESSIDはそう簡単に知ることができないかもしれないという人もいるかもしれませんが。
例えば無線クライアントがアソシエーションしたりするタイミングだとESSIDが入ったパケットを暗号化してない状態で投げてしまうので、ESSIDを知ることって簡単ですし。
クライアントが通信状態であれば、それはそれでAPもどきをつくってde-authenticationパケットを送信したげれば、もっかいアソシエーションしようとするので、ESSIDを簡単に知ることはできちゃいますという事になります。
そんなんで、ないよりまし・・・？程度ですかね。


オープンシステム認証みたいなのもあるけど・・・まあこれは誰でも接続できるので省くとして。(^^;;


2.MAC認証
文字通り、認証サーバなりAPなりにMACアドレスを登録して、登録されたクライアント以外からは接続させないというもの。
さて、安全そうに見えるMAC認証ですが、これもちょっとした事で簡単に認証をやぶる事ができちゃうので、認証として使えるかというと微妙ですかね。
MACアドレス認証をおこなうパケットは、暗号化されないヘッダー部分にMACアドレス情報を含んでいる為に簡単にMACアドレスの情報を知ることができちゃいます。
後は簡単にMACアドレスを詐称することができちゃうので、認証というには微妙だったりします。これをやるなら、他の認証とあわせて使うというのがいいかもしれません。
家庭用ならこれとかWEBとか設定しておけば、まあ十分かなぁと思います(^^;;
802.1xを家庭でやってたら、それはそれでちょいあきれるかも・・・（汗）


3.802.1x認証
企業に無線LANを導入しましょうか・・・・というとこれが本命なんでしょうか。
必要なものとして、サプリカントや認証サーバが必要だったり。
クライアント側に証明書をいれる必要があったりとまあ・・・面倒なんですよね(^^;;
クライアント、認証サーバ、アクセスポイントが全部同じ認証方式をサポートしててくれないと、駄目だったりもしてかなーり面倒(w
Windows XPだったらデフォルトで、サプリカントを含めてくれているのでそいう意味ではこの手のサプリカントを買わなくてOKというのはありますが。
さて、仕組みとしてはこんな感じ。
(1)無線LANくらいあんとからAPへ接続要求がやってきます。
(2)APは認証情報を認証サーバへ問い合わせします。
無線LANクライアントは認証サーバの存在を知らないんだけど、実際の認証は認証サーバが許可するか許可しないかを決定します。


802.1x認証はいろいろな種類の認証の仕組みにはEAPがもちいられています。
EAPにはいろいろな種類があります。


(1)EAP-TLS


SSL3.0を基にして標準化したTLS1.0をEAPフォーマットで実行するもので、TLSと認証方式はほとんど同じ。EAP-TLSは、認証サーバーと無線LANクライアントの両方にCAが発行したサーバ証明書、クライアント証明書が必要。
サーバとクライアントがこの証明書を交換し、情報に問題がなければOKという感じの公開鍵方式です。
さて、この電子署名はCAが持っている秘密鍵で暗号化しているので、CAが持つ公開鍵で復号化してあげれば改ざん可能っていうとこもありますが。


(2)EAP-TTLS


Windows XPにも対応しててくれれば、楽なんだけどね。
この方式はクライアント側に証明書を配る必要がなく、サーバ側の証明書＋ユーザ名、パスワードという認証方式になるんですが。
クライアントの証明書の管理なんかが必要なくて、管理者も楽だったりする。
ただし、Windows Xpに対応してないので、サプリカントを買わないととかになってみる。


(3)PEAP


あんまりEAP-TTLSと変わらないんだけど。
違いというとPEAPだとWindows Xpに組み込れているという利点があるので。
ここら辺を考えるとそっちのがいいのかなぁって気にはなってみる。


他にもWEB画面を利用して認証させる方法やVPNを使った形、そんなのもあるんだけど。
書きつかれたので今度にしよう（ｗ
本当は図とかいれるとわかりやすかったなぁと思ってみたんだけど・・・まあ。。いっか。
実際にはもうちょい細かく書き出すと無理だぁ・・・と思ってみて適当に(^^;;