8.3.9. 接続セッティングの設定

8.3.9.1. 802.1x セキュリティの設定

802.1x セキュリティとは、PNAC (port-based Network Access Control) 用の IEEE 基準の名前です。簡単に言えば、802.1x セキュリティは、物理ネットワークから 論理ネットワーク を定義する手段です。論理ネットワークに参加を希望するすべてのクライアントは、正しい 802.1x 認証方法を使用してサーバー (例えば、ルーター) で認証を受けなければなりません。
802.1x セキュリティは最も多く無線ネットワーク (WLANs) の保護に関連付けられていますが、ネットワーク (LAN) へのアクセスを持つ侵入者を阻止するためにも使用できます。過去に於いて、DHCP サーバーは認証の無いユーザーに IP アドレスをリースするように設定されていましたが、各種理由でこれは非現実的で安全ではないため、今ではもう推奨できません。その代わりにポートベースの認証を介して論理的に安全なネットワークを確実にするために 802.1x セキュリティが使用されます。
802.1x は、WLAN と LAN のアクセス制御用のフレームワークを提供して、EAP (Extensible Authentication Protocol) タイプの1つを運搬する包装として機能します。EAP のタイプとは、ネットワーク上で WLAN セキュリティの達成方法を定義するプロトコルです。
有線、あるいは無線接続タイプ用に 802.1x セキュリティを設定するには、ネットワーク接続 ウィンドウを開いて (「新規接続の設定と既存接続の編集」参照) 該当する手順に従います:

手順8.15 有線接続には...

  1. 追加 ボタンをクリックして 802.1x セキュリティを設定する新規のネットワーク接続を選択してから 作成 をクリックするか、既存の接続を選択して 編集 をクリックします。
  2. 802.1x セキュリティ タブを選択して、そこにある この接続に 802.1x セキュリティを使用する チェックボックスにチェックを入れることで設定を有効にします。
  3. 「TLS (Transport Layer Security) セッティングの設定」 に進みます。

手順8.16 無線接続には...

  1. 追加 ボタンをクリックして 802.1x セキュリティを設定する新規のネットワーク接続を選択してから 作成 をクリックするか、既存の接続を選択して 編集 をクリックします。
  2. 無線セキュリティ タブを選択します。
  3. セキュリティ ドロップダウンをクリックして以下のセキュリティメソッドの1つを選択します:LEAP動的 WEP (802.1x)、あるいは WPA & WPA2 Enterprise
  4. どの EAP タイプが セキュリティ ドロップダウン内の選択肢に対応しているかについての説明は、「TLS (Transport Layer Security) セッティングの設定」 を参照してください。
8.3.9.1.1. TLS (Transport Layer Security) セッティングの設定
TLS (トランスポートレイヤーセキュリティ) では、クライアントとサーバーは TLS プロトコルを使用して相互に認証し合います。サーバーはデジタル証明書を維持していることを示して、クライアントはそのクライアント側の証明書を使用して自身の識別を証明することで、キー情報が交換されます。認証が完了すると、TLS トンネルの使用は終了します。その代わりにクライアントとサーバーは交換したキーで、AES, TKIP または WEP を使用してデータを暗号化します。
認証を希望する全クライアントに証明書が配布される必要があるということは、EAP-TLS 認証のメソッドが非常に強力であることを意味しますが、セットアップはより複雑になります。TLS セキュリティを使用すると、証明書を管理するための PKI (パブリックキーインフラストラクチャ) の諸経費が必要になります。TLS セキュリティを使用する利点は、パスワードが危険にさらされても (W)LAN へのアクセスが許可されないことです。侵入者は、認証するクライアントのプライベートキーにもアクセスを必要とします。
Network Manger は、対応する TLS のバージョンを決定しません。Network Manager は、ユーザーが入力するパラメーターを集め、手順を処理するデーモンである wpa_supplicant に渡します。このデーモンは、OpenSSL を使って TLS トンネルを確立します。OpenSSL は、SSL/TLS プロトコルバージョンを処理します。このバージョンには、両方の末端でサポートされる最高のバージョンが使用されます。
識別
ユーザー名やログイン名などの、EAP 認証メソッドの識別ストリングです。
ユーザーの証明書
クリックしてブラウズし、ユーザーの証明書を選択します。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
プライベートキー
クリックしてブラウズし、ユーザーのプライベートキーファイルを選択します。
プライベートキーのパスワード
ユーザーのプライベートキーに対応するユーザーのパスワードを入力します。
8.3.9.1.2. トンネル化した TLS セッティングの設定
匿名識別
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
内部認証
PAP — パスワード認証プロトコル
MSCHAP — チャレンジ ハンドシェイク認証プロトコル
MSCHAPv2 — Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
CHAP — チャレンジ ハンドシェイク認証プロトコル
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。
8.3.9.1.3. 保護された EAP (PEAP) セッティングの設定
匿名識別
この値は、非暗号化 ID として使用されます。
CA 証明書
クリックしてブラウズし、認証局 (CA) の証明書を選択します。
PEAP バージョン
使用する、保護された EAP のバージョン。Automatic、0、1 のいずれか。
内部認証
MSCHAPv2 — Microsoft チャレンジハンドシェイク認証プロトコルバージョン 2
MD5 — メッセージダイジェスト 5、暗号化ハッシュ関数。
GTC — Generic Token Card
ユーザー名
認証プロセスで使用するユーザー名を入力します。
パスワード
認証プロセスで使用するパスワードを入力します。

8.3.9.2. 無線セキュリティの設定

セキュリティ
なし — Wi-Fi 接続を暗号化しません。
WEP 40/128-bit キー — IEEE 802.11 標準からの Wired Equivalent Privacy (WEP) 。単一の事前共有キー (PSK) を使用。
WEP 128-bit パスフレーズ — パスフレーズの MD5 ハッシュを使用して WEP キーを引き出します。
LEAP — Cisco Systems の Lightweight Extensible Authentication Protocol 。
動的 WEP (802.1x) — WEP キーは動的に変更されます。
WPA & WPA2 パーソナル — IEEE 802.11i 標準からの Wi-Fi Protected Access (WPA) 。WEP に代わるもの。802.11i-2004 標準からの Wi-Fi Protected Access II (WPA2) 。パーソナルモードは、事前共有キー (WPA-PSK) を使用。
WPA & WPA2 エンタープライズ — RADUIS 認証サーバーで使用する WPA で、IEEE 802.1x ネットワークアクセスコントロールを提供。
パスワード
認証プロセスで使用するパスワードを入力します。

注記

WPA および WPA2 (個人およびエンタープライズ) の場合、自動、WPA、WPA2 を選択するオプションが加えられます。このオプションは、WPA と WPA2 の両方が利用可能なアクセスポイントでの使用を念頭に置いています。両方のプロトコル間でのローミングを防止したい場合は、どちらかのプロトコルを選択します。同一アクセスポイントでの WPA と WPA2 間のローミングは、サービスの損失につながる恐れがあります。
無線セキュリティタブの編集および WPA プロトコルの選択

図8.16 無線セキュリティタブの編集および WPA プロトコルの選択

8.3.9.3. PPP (Point-to-Point) セッティングの設定

メソッドの設定
MPPE (point-to-point encryption) を使用
Microsoft Point-To-Point Encryption プロトコル (RFC 3078)
BSD データ圧縮を許可
PPP BSD Compression プロトコル (RFC 1977)
Deflate データ圧縮を許可
PPP Deflate プロトコル (RFC 1979)
TCP ヘッダー圧縮を使用
低速シリアルリンク用に TCP/IP ヘッダーを圧縮 (RFC 1144)
PPP エコーパケットを送信
ループバックテスト用の LCP エコー要求およびエコー応答コード (RFC 1661)

8.3.9.4. IPv4 セッティングの設定

IPv4 セッティングタブの編集

図8.17 IPv4 セッティングタブの編集

IPv4 のセッティング タブではインターネットへの接続メソッドを設定して、必要に応じて IP アドレス、ルートおよび DNS 情報を入力することができます。IPv4 のセッティング タブは、以下の接続タイプの1つを作成して修正する時に利用可能になります。有線、無線、モバイルブロードバンド、VPN、 DSL。
DHCP を使用して DHCP サーバーから動的に IP アドレスを取得する場合は、方式 を単に 自動 (DHCP) にセットするだけです。
方式のセッティング

接続タイプ別で利用可能な IPv4 方式

方式 ドロップダウンメニューをクリックすると、設定している接続のタイプによっては、以下の IPv4 接続方式の1つを選択することができます。関連のある接続タイプ群に応じてすべての方針がここに一覧表示されています。
方式
自動 (DHCP) — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用する場合は、このオプションを選択します。DHCP クライアント ID フィールドに記入する必要はありません。
自動 (DHCP) アドレスのみ — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
ローカルのみリンク(Link-Local Only) — 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたくない場合に、このオプションを選択します。RFC 3927 にしたがってランダムなアドレスが選択されます。
他のコンピュータへ共有 — 設定しているインターフェースがインターネットもしくは WAN 接続の共有用である場合は、このオプションを選択します。
有線、無線、及び DSL 接続の方式
手動 — 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたい場合に、このオプションを選択します。
モバイルブロードバンド接続の方式
自動 (PPP) — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用する場合は、このオプションを選択します。
自動 (PPP) アドレスのみ — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
VPN 接続の方式
自動 (VPN) — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用する場合は、このオプションを選択します。
自動 (VPN) アドレスのみ — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
DSL 接続の方式
自動 (PPPoE) — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用する場合は、このオプションを選択します。
自動 (PPPoE) アドレスのみ — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
ネットワーク接続の静的ルート設定に関する詳細は、「ルートの設定」 を参照してください。

8.3.9.5. IPv6 セッティングの設定

方式
無視する — IPv6 セッティングを無効にしたい場合は、このオプションを選びます。
自動 — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用する場合は、このオプションを選択します。
自動、アドレスのみ — 接続しているネットワークが IP アドレスの割り当てにDHCP サーバーを使用しているが、DNS サーバーを手動で割り当てたい場合は、このオプションを選択します。
手動 — 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたい場合に、このオプションを選択します。
ローカルのみリンク(Link-Local Only) — 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てたくない場合に、このオプションを選択します。RFC 4862 にしたがってランダムなアドレスが選択されます。
他のコンピュータへ共有 — 設定しているインターフェースがインターネットもしくは WAN 接続の共有用である場合は、このオプションを選択します。
アドレス
DNS サーバー — コンマで区切られた DNS サーバーのリストを入力します。
ドメインを検索 — コンマで区切られたドメインコントローラーのリストを入力します。
ネットワーク接続の静的ルート設定に関する詳細は、「ルートの設定」 を参照してください。

8.3.9.6. ルートの設定

ホストのルーティング表は、ネットワークに直接接続されているルートで自動的に設定されます。このルートは、アップ の状態の時にネットワークインターフェースが監視することで学習されます。このセクションでは、VPN や 専用線などの媒介ネットワークや接続を移動してアクセスできるネットワークやホストへの静的ルートの入力方法について説明します。
静的ネットワークルートの設定

図8.18 静的ネットワークルートの設定

アドレス
アドレス — ネットワーク、サブネット、ホストの IP アドレスです。
ネットマスク — ネットマスクまたは入力した IP アドレスのプレフィックスの長さ
ゲートウェイ — ネットワーク、サブネット、ホストにつながるゲートウェイの IP アドレスです。
メトリック — ネットワークコスト、つまりこのルートに与える優先値。高い値よりも低い値の方が望ましい。
自動取得したルートを無視
接続に手動入力したルートのみを使用する場合は、このボックスにチェックを入れます。
ネットワーク上のリソースにのみこの接続を使用
この接続がデフォルトルートにならないようにするには、このチェックボックスを選択します。よくある例は、ヘッドオフィスへの接続が VPN や専用線で、インターネットのトラフィックにこの接続を使用してほしくない場合です。このオプションを選択すると、この接続で自動的に学習されたルートを使用することが明確なトラフィックか、手動で入力されたトラフィックのみがこの接続を経由します。