コラム

ゼロから始める Aruba 無線LAN
アクセスポイントの導入（1）PSK・WEB認証をやってみた！

2023.05.22

こんにちは！無線LAN業務を担当しているシュガー（佐藤）です。
私たちはHPE Arubaの無線LAN機器を使用して最適な無線LAN環境を提供しています。いまオフィスや店舗での無線LANの導入を検討している方や導入はしているがセキュリティや運用面で困っている方などに参考となる情報を提供できればと、今まで得たノウハウを「○○やってみた！」の形でコラム掲載していきます。

無線LANの導入

無線LAN機器のアクセスポイント（AP）には家庭用と業務用があります。家庭用は安く簡単に利用できますが、“セキュリティが弱い（固定のパスワード）” “端末の接続可能台数が少ない” ”APの台数が増えると管理が難しくなる” などのデメリットがあります。反対に業務用は価格が高くなる分、”強固なセキュリティ機能“ ”多数の端末接続を前提とした製品設計” “複数APを管理する機能” など、家庭用のデメリットを補える機能/性能を持ち合わせています。

≪家庭用・業務用無線LANの違い≫
項目	家庭用	業務用
稼働状態	1台でのみ稼働	複数台まとめて稼働可能
同時接続数	少ない	多い
セキュリティ	弱い	設定次第で強固になる
運用管理機能	なし	あり
価格	安い	高い

通常、業務用無線LANの運用管理機能（コントローラー）と言うと専用ハードウェアですが、Arubaのコントローラーは物理と仮想の2パターンあります。仮想コントローラーの場合はAPのみで構成でき、グループ化された複数のAPのうちどれか1台で稼働します。仮想コントローラーが稼働しているAPで障害が起きた場合も、正常に稼働しているAPに自動移動するため、無線LAN全体のサービスを継続できる優れものです。

次に業務用無線LANで構成できるセキュリティの種類を紹介します。認証方式は複数ありますが、構成によっては家庭用とあまり変わらないセキュリティ強度になってしまいます。業務用として無線LANを導入する際は、十分に検討してセキュリティを固めるようにしましょう。

≪無線LAN認証の種類≫
認証の種類	認証方法	セキュリティ強度	構築難易度
PSK認証	共有鍵（固定パスワード）	×	簡単
WEB認証	ユーザー名、パスワード	×	ちょっと簡単
PSK＋MAC認証	共有鍵（固定パスワード）、MACアドレス	△	ちょっと難しい
EAP-PEAP認証	証明書（サーバー）、ユーザー名、パスワード	○	難しい
EAP-TLS認証	証明書（サーバー＆クライアント）	◎	とても難しい

手始めにPSK認証とWEB認証をやってみた！

実際に業務用無線LAN（Aruba）を使って電波を立ち上げてみます！
まずはセキュリティ強度が低い代わりに構築が簡単なPSK認証とWEB認証を試してみたいと思います。PSK認証は決まったパスワードの入力のみで認証される最も簡単な認証方式で、よくホテルなどで利用されています。Web認証はユーザー名とパスワードを使った認証で、こちらはカフェや鉄道のWi-Fiサービスでよく見かけます。この2つの認証は仕掛けが簡単で、APのみで実現できます。

使用した機材と大まかな手順は以下の通りです。

APの初期設定にてコンソールケーブルを使用しない手順となります。
他の機種やFWのバージョンによって手順等異なることがありますので、ご了承ください。

≪機材≫
アクセスポイント: ：Aruba iAP-505（FW 8.7.1.6）　※ 仮想コントローラー内臓（iAP）
PoEスイッチ: ：Aruba 1930 8G 2SFP 124W Switch（電力供給型スイッチ：LANケーブルを通して電力を供給）
LANケーブル: ：Cat-6（通信速度：1Gbps 、伝送帯域：250MHz）

アクセスポイント

PoE スイッチ

LAN ケーブル

業務用無線LANのAPへの電力は、PoE（Power over Ethernet）という規格で、LANケーブルを通じて供給されます。そのため家庭用無線LANと異なり、AP自体を設置する際にコンセントは不要です。（※オプションとなりますがACアダプタを使用することも可能です。）
電力を供給するPoEスイッチ（※こちらにはコンセントが必要）ですが、PoE規格にもいくつか種類があります。供給できる電力の違いで、PoE（IEEE 802.3af）、PoE＋（IEEE 802.3at）、 PoE++（IEEE 802.3bt）があります。現在主力のPoE+規格です。この時、LANケーブルはCat-6規格のものがお勧めです。

≪手順≫

① PoEスイッチに電源を入れ、PoEスイッチとiAPをLANケーブルでつなぐ
PoEスイッチから電力が供給されるとiAP筐体の左側のLEDランプが緑色に点灯、その後右側のLEDランプが点灯します。iAP筐体2つのLEDランプが点灯するまで時間がかかることもありますが焦らず、緑色に点灯するまで待ちましょう。ただし、PoEスイッチは機種によって電力供給をするポートとしないポートがわかれていたり、PoE機能のオン・オフのスイッチがついていたりします。この場合はいつまでたっても起動しないので、使用するPoEスイッチの仕様を確認しましょう。
また、LEDランプが緑色点灯以外の場合はマニュアルを確認してください。
② パソコンにて対象のSSID「SetMeUp-<機器のMACアドレス下6桁>」を選択する
初めて起動したiAPは初期設定用のSSID「SetMeUp-XXXXXX」を発信するので、まずはこの電波を選択します。
※ このSSIDは新しくSSIDを作成すると自動的に消えます。
③ 任意のWEBブラウザで<https://setmeup.arubanetworks.com> に接続する
この時点でiAPが持っているIPアドレスはわからないため、このURLでiAP上に起動している仮想コントローラーに接続をします。
④ ログイン画面が表示されたら「ユーザー名：admin /パスワード：機器のシリアルナンバー」を入力する
工場出荷時の管理者設定です。セキュリティ強化のため、管理者パスワードは必ず変更しましょう。
⑤［設定］＞［アクセスポイント］にて名前やIPアドレスを設定する
APの名前は「MACアドレス」、IPアドレスは「DHCP割当て」となっているので、任意の名前とIPアドレスを設定します。
⑥［設定］＞［システム］にて仮想コントローラー（VC）を構成する
仮想コントローラーの名前は「SSID名」、IPアドレスは「0.0.0.0」となっているので、任意の名前とIPアドレスを設定します。
今後の無線LAN設定（SSID作成等）は、この仮想コントローラーに対して行う事になります。
⑦［設定］＞［ネットワーク］にてSSID作成する
PSK認証とWEB認証用にSSIDを作成します。SSIDは「基本」「VLAN」「セキュリティ」「アクセス」の4項目設定があり、PSK認証とWEB認証では「基本」「セキュリティ」の設定が異なります。

PSK認証

WEB認証
⑧ 作成したSSIDを選択、必要な認証情報を入力し接続を確認する
作成したSSIDを選択し、PSK認証（左）は「パスワード」を入力、WEB認証（右）は「ユーザー名とパスワード」を入力し接続します。

この通り、PSK認証とWEB認証は簡単に実現することができました！

このままでは使えない・・・「セキュリティの強化」

今回PSK認証とWEB認証をやりましたが、このまま ”パスワードのみ” や ”ユーザー名とパスワード” を使った認証方法では、パスワード漏えいの不安が消えません。セキュリティ強度が弱いため、簡単に悪意ある人の侵入を許してしまいます。これでは会社で使う無線LANの認証方式として不安が残ります。 Wi-Fiの3大リスク『侵入』『盗聴』『タダ乗り』を防ぐためにも、もっと強固なセキュリティを実装したいですよね。
ここでAruba製品にはこの問題を解決することができる統合認証基盤ツール ”ClearPass“ があります。セキュリティの強化だけでなく端末の接続情報も管理できるため、インシデントが起きた際の原因究明がしやすくなります。
次回のコラムではClearPassについて掘り下げつつ、ClearPassを使ってPSK＋MAC認証をやってみたいと思います。