2009-05-01

バッファローの無線ルータ、AOSS機能は活かすか殺すか

先日、無線LANルータを買い換えました。あこがれの802.11n対応機です。300Mbps(理論値)!
今回、ちょっと贅沢に行こうと、次のような条件で機種を探しました。
  • 802.11nの300Mbps対応
  • 2.4GHz帯と5GHz帯の同時利用可能
  • 有線LANポートはgigabit(1000BASE-T)対応
結果、バッファロー(BUFFALO)の WZR-AGL300NH がミート。イーサネットコンバータとのセット(WZR-AGL300NH/E)で実売1万7千円前後(アマゾン)という価格が魅力でした。
無線ルータ(WZR-AGL300NH)が単体で(1万2千円くらい、イーサネットコンバータ(WLI-TX4-AG300N)が単体で(8千円くらいですから、セットのほうが断然お得です。「5GHz帯(11a)で11n(300Mbps)対応のコンバータ」というのは他メーカーからはあまり発売されておらず、価格競争もなさそうなわりにはアグレッシブな値付けです。

イーサネットコンバータはTV付近に置きます。PS3では、今まで1GBを超えることもあるファイルを802.11g(54Mbps)でダウンロードしてましたが、これでやっと次世代機の威力を発揮できます。テレビはまだSDブラウン管ですが。

WEPは使いたくないけど、DSはWEPしか使えない

さて、無線LANを設置する際に避けて通れないのがセキュリティ設定。
難しいことを考えなくても、暗号を最高強度に上げておけば当分は心配無用……と行きたいところですが、悩ましいのがニンテンドーDSの存在です。

我が家にあるDS以外の無線LAN対応機器、具体的にはPCやイーサネットコンバータ、PSP、iPhoneなんかはどれもWPA(AES)での接続が可能なのですが、DSだけはWEPでないと接続できないのです。かと言って今どきWEPで無線ネットワークを構築するのは、いくらなんでもちょっと。

でも大丈夫!
WZR-AGL300NHには「マルチセキュリティ」なる機能が搭載されていて、AES・TKIP・WEPの3種のセキュリティ方式の混在利用が可能、と公式サイトに書いてありました。
さらに、WEP接続の場合はLAN内の他の機器との通信を不許可にして、インターネットにのみ接続できるような設定も可能とあります。

それなら安心……と思って購入し、運用してみて確かに安心ではあるんですが、いくつか事前に思っていたことと微妙に違うポイントがあったので記しておきます。

AOSS機能を無効にするとマルチセキュリティが使えない

上述の「マルチセキュリティ」機能は、バッファローが誇るワンタッチ設定システム「AOSS」とガッチリ統合されていました。AOSS機能をオフにした場合、マルチセキュリティ機能は使えません

AOSS機能を有効にした場合の残念な点

AOSSを有効にした場合、対応子機を設定する際に暗号化キーを手入力したりしなくて済むので、ラクといえばラクです。バッファロー製イーサネットコンバータはもちろんのこと、PSPもDSもPS3もWiiもAOSSに対応していて、意外と対応機種は多いです。

しかし、AOSSを有効にした場合、(少なくともこのWZR-AGL300NHでは)次のような残念ポイントがありました。

  • SSIDの隠蔽(ステルス)ができない
    SSIDを全力でブロードキャストしてしまいます。もっとも、セキュリティ的な観点からは、SSIDの隠蔽は気休め程度の効果しかない(隠したつもりでも実は簡単に見つけることができる)ので、実質的なセキュリティ低下があるわけではないのですが。
  • MACアドレス制限(ホワイトリスト)に対応していない
    「あらかじめ無線ルータに登録したMACアドレスのみ通信可能にする」というホワイトリスト形式でのアクセス制限ができません。(接続してきた機器のMACアドレスを接続禁止にする、というブラックリスト形式での制限は可能)
    これもSSID同様、制限したつもりでも簡単にすり抜けられるので、実質的なセキュリティには影響ありません。

……一見残念なようで、よく考えると別に残念ではありませんでした。ただし後述しますが別に残念な点があります。

AOSS機能を有効にしても残念ではない点

AOSSで誤解されがちというか、「AOSSのデメリットと言われることが多いけど、実は誤解なポイント」もついでに書いておきます。
AOSSで多い誤解が、「AOSSを使わないといけない」という点。実はAOSSを使わずに(手動で)設定することもできるのです。AOSSに対応していないiPhone等はもちろん、DSやPSP等のAOSS対応機器を敢えて手動設定することだって可能です。

また、AOSSを使う場合、無線ルータがSSIDを勝手に決めるのが不愉快でしたが、WZR-AGL300NHの場合はβ版のファームウェア(Ver.1.51β以降)を使うことで、任意のSSIDを設定することができます。
暗号化キーも任意に設定できます。

マルチセキュリティ機能では最大6つのSSID

さて、本題のマルチセキュリティ機能。どんな設定ができるのか、概要です。
まず、これから書いていく設定はすべて、5GHz帯と2.4GHz帯でそれぞれ別々に設定できます。5GHz帯と2.4GHz帯で用途を分けることが多いでしょうから、これは便利。

そして各周波数帯ごとに、「AES」「TKIP」「WEP」の3つの暗号化方式を同時に利用できます。
使い分けはSSIDで行います。つまり、「AES用SSID」「TKIP用SSID」「WEP用SSID」の3つをそれぞれ設定できます。(両周波数帯合計で6つものSSIDを発信することになります)

さらにWEPに関しては、「64bit」「128bit」「停止」を選ぶことができます。「停止」にするとWEP接続を禁止します(SSIDも吹かなくなります)。周波数帯ごとに選べます。
また、WEP接続を隔離するか否かも設定でき、隔離する場合はWEP接続機器とWPA(AES/TKIP)接続機器どうしの通信は遮断されます。しつこいですが周波数帯ごとに選べます。
(「プライバシーセパレータ」機能をONにすれば、WPA機器どうしの通信も遮断できます)

というわけで、マルチセキュリティ機能はけっこう設定の自由度が高いのでした。MACアドレス制限ができない割には。
惜しむらくは、停止可能なのがWEPだけで、TKIPは止められないことくらいでしょうか。今や「TKIPには対応しているけどAES未対応」なんて機器は滅多にないですから、AESだけ残してTKIPは止めてしまいたいところです。これが最大の残念ポイントでしょうか。

具体的な設定例


というわけで、ウチでは次のように設定してみました。

【5GHz帯】(802.11a/n) 最大300Mbps
■WEP→使用しない(停止)
■TKIP→使用しない(停止できればいいのに)
■AES→PC、イーサネットコンバータ(経由でPS3等)で利用

【2.4GHz帯】(802.11b/g) 最大54Mbps
■WEP→128bit、隔離、DS専用
■TKIP→使用しない(これも停止できればいいのに)
■AES→iPhone、PSP等で利用

でもって無線ルータの有線ポートにはNASがつながっています。

使わないTKIPをどうするか

使わないけど止めることもできないTKIP接続。適当な暗号化キーを設定して放置しておくしかないですが、どうせ放置するなら暗号化強度を最大まで引き上げておきたいものです。
では、どんな暗号化キーを設定しておけばいいのか? …という話は、また次回。せっかくなので「暗号化キーをランダム生成するツール」でも作ることにします。
追記:作りました→無線LAN(WPA)の最強「暗号化キー」を作るには

0 件のコメント:

コメントを投稿

同ラベルリンク