大学ICT推進協議会 2024年度年次大会 (AXIES2024) における、原田さん@札幌学院大学の発表の中に、興味深い話がありました。
- 原田寛之, 後藤英昭, 漆谷重雄, ``6GHz帯を利用した次世代キャンパス無線LAN環境の検証と課題,'' 大学ICT推進協議会 2024年度年次大会 論文集 12PM1C-3, 2024. ( paper, slides )
- WPA3 Enterprise をサポートする基地局または WPA2 Enterprise で PMF が 使用可能な基地局に対する初回接続を行った場合はauthentication が WPA3ENT として保存される. この WPA3ENT は,WPA3 を必須とするモードである.
- WPA2 Enterprise のみをサポートしかつPMFが無効な基地局のエリアで初回接続を設定した場合は WPA2 となる.この WPA2 モードは,WPA2/WPA3 両方を含むという意味である.
このため,当該プロファイルの設定内容が WPA3ENT の場合,周波数帯を問わず基地局が WPA3 Enterprise をサポートしている場合は問題なく接続することができるが,基地局が WPA2 Enterprise でかつ PMF が無効と設定されている場合は接続に失敗する.
そういえば、他学を訪問中にWindowsがeduroamにつながらないとつぶやいている人が最近ちらほらいたなぁ……と。もしかすると、これが原因の一つかもしれません。
eduroamなどの対策をサクッと知りたい人は こちら。
この問題が起こる原因や条件などを知りたい人は、次の記事ご覧ください。
WPA2 EnterpriseとWPA3 Enterprise、そしてPMF (11w)とは
WPA3 EnterpriseがWPA2 Enterpriseのセキュリティ強化版なことは、みなさんご存じのことと思います。発表資料にある PMF ですが、IEEE 802.11w で規定される Protected Management Frames の略称で、無線LANの管理フレームを保護してセキュリティを向上させるものです。機能を指す場合は MFP (Management Frame Protection) と書かれることがあります。
最近の基地局の設定画面で 11w とか書かれていて、なんじゃこりゃと思った人も少なくないと思いますが、ざっくり言うと、
WPA2 Enterprise モードでも PMF が使われている状態
= WPA3 Enterprise で動作している状態
となります。え?
WPA3 Enterprise モードでは、PMF の使用が必須です。
WPA2 Enterprise モードでは、PMF を無効 (disabled)、利用可/オプション (optional)、必須 (required)を選ぶことができます。このうち、optional の設定は、WPA3 Transition Mode (TM)と呼ばれています。基地局側の設定が optional の場合は、PMF非対応の端末はPMFを使用しない (セキュリティの甘い)接続になり、他方、PMFに対応した端末はPMFを使う接続になります (そのように努力します)。
端末側から見ると、端末の設定が WPA2 Enterprise モードの場合でも、PMFに対応している場合は、WPA3 Enterprise として接続されます。
端末の設定が WPA3 Enterprise モードの場合、PMF が required か optional の設定になっている基地局には接続されますが、PMF (11w) が無効の基地局には接続されません。こんな感じ ↓
混乱してきました……?
WPA2 Enterprise手動設定のワナ
冒頭に示した問題が、発表スライドの12ページ目に図示されています。6GHz帯について調査した研究ですが、この部分は 2.4GHz / 5GHz帯だけの環境でも同様です。
この図から、初回の設定によって、Windows に設定される無線LANのモードが異なることがわかります。ちなみに、下部にある XML データは、Windows の内部で保持している無線LAN設定をエクスポートしたもののの一部です。コマンドラインで以下のようにすればエクスポートできます。
C:\Users\admin>netsh wlan export profile name="SSID"
<authentication>の値が WPA2 の場合は、基地局の PMF 設定に関わらず、接続を試みます。WPA3ENT の場合は、PMFが無効の基地局には接続できない、WPA3 Enterprise 専用モードになります。
eduroamにおける接続失敗のシナリオを考えてみます。
例えば、利用者の所属機関では PMF が有効な基地局が設置されていて、その人がWindowsのWi-Fiメニューに手でID・パスワードを打ち込んでeduroamの初回設定を行ったとします。この場合、Windows 11のモードは WPA3ENT に設定されることがあります (条件は別記事で)。
この利用者が他所の機関を訪問して、そこの基地局は PMF 無効に設定されていたとします。Windows 11が WPA2 モードに設定されていれば問題ないのですが、WPA3ENT に設定されている場合、接続失敗します。
「一度設定すればどこに行っても使える」というのがローミング基盤のウリの一つなので、訪問先によって接続できないというのは大きな問題でしょう。
基地局側の対策 (ローミングシステムの対策)
とにかく、PMFに対応した基地局に更新すべきです。
最近の基地局なら、WPA3 Enterprise Transition Modeに対応しているはずです。
Transition Mode (TM)を使うことによる弊害は、最近の端末なら、経験上ほとんどありません。Ralinkのチップを使ったWi-Fiドングルで接続トラブルを見たことはありますが、相当古いものです。
Wi-Fi 6 対応のデバイスでは、PMFのサポートが必須になっています。また、OpenRoaming で使われる Passpoint でも、PMFの使用が求められています。Passpoint が徐々に普及してきている2024年時点で、TMにすら対応できない (PMFの使用は問わない) ようなデバイスは、よほど古いものでしょう。そのようなデバイスは、セキュリティの観点からも、早急に更新すべきです。
ちなみに、最近の Android 端末は PMF を要求し、PMF が無効の基地局には接続できないことがあります。Googleの中の人から聞きました。つまり、公衆無線LANのように大勢の利用者が対象のシステムでは、PMF optional / required のいずれかの設定が必要になってきています。PMF非対応の基地局はまだ数年残るでしょうが、早めの更新をお奨めします。
端末・IdP側の対策
Windows の Wi-Fi メニュー (標準では右下にあるネットワーク接続のアイコンから開く) から手動設定するのはやめましょう。
IDプロバイダとなる組織としては、利用者にそのような手動設定をさせる運用を止めましょう。
WPA2 Enterprise / WPA3 Enterprise を正しく設定するには、必須項目が多いのです。特に、偽基地局に誘導されないようにするための「サーバ認証」の設定が、EAP-TTLSやPEAP、EAP-TLSといった認証方式では必要です。一般の利用者にとっては大変難しいです。例えば、eduroamの接続トラブルの原因の多くは、設定ミスです。
「Wi-FiメニューにID・パスワードを入力するだけじゃん?」 いえ、それだとサーバ認証の設定が少し危ういです。
(別の記事にするつもりですが、Windows の TOFU (Trust On First Use) の機能に救われているだけです)
手動設定がだめなら、どうやって設定すればいいの?
設定用のアプリや、ウェブサイトからのプロビジョニング (web-based provisioning) を使いましょう。利用者端末を組織で一括管理する体制なら、MDM (Mobile Device Management) でWi-Fi設定を流し込みましょう。
eduroamの場合、geteduroam が使えます (世界標準のお奨め設定法)。自分の大学・学校で使えない場合は、導入するように希望を出しましょう。基地局の設定に関わらず、組織が希望するモード (WPA2, WPA3ENT)でWi-Fi設定が行われます。
実は、この geteduroam は、名前に eduroam と書かれているものの、様々な WPA2 Enterprise ネットワークの設定に使える汎用のアプリです。
組織のウェブサイトが対応しているなら、ウェブサイトからの設定が簡単・確実です。Windows 11なら、わずか数クリックで端末のWi-Fi設定が済みます。実装例は以下のサイトにあります。
注: 2024/12時点で、ms-settings: URIスキームは WPA3ENT に対応していません。WPA2 のみ設定できます。
WPA2 と WPA3ENT のどちらのモードを使うかは、IDを提供する組織が決めることです。
- WPA2 モードで端末を設定した場合、先に述べたように、PMF が無効の基地局を運用する場所に行っても、無線LANに接続できます。セキュリティが少し犠牲になっても接続性を優先させたい場合は、WPA2 モードにするのがよいでしょう。
- WPA3ENT モードで設定した場合、PMF が無効の基地局を運用する場所では、無線LANに接続できません。接続性が少し犠牲になりますが、基地局側の PMF 対応が進むことで、徐々に問題は解消されることでしょう。
おしまい
