Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

事前共有キーの設定と管理

事前共有キーのメリットを理解し、WLANに追加し、定期的に更新してください。

事前共有キー(PSK)とは何ですか?

ジュニパーのAPは事前共有キー(PSK)をサポートしており、追加の認証サーバーなしでセキュアなチャネル暗号化を提供します。WLANが有効になっている場合、クライアントは無線ネットワークに接続するためにセキュアなPSKパスフレーズを提示する必要があります。

PSKを使用することで、新しいユーザーがSSIDに簡単にオンボーディングできるようになります。ユーザーはSSIDへのQRコードが記載されたメールを受信し、PSKを使用して認証します。PSKは、マルチ事前共有キー(MPSK)を介して、個別、ユーザーごと、またはグループごとに複数のユーザーに割り当てることができます。また、特定のPSKをデバイス数の設定に制限することもできます(ファームウェアバージョン0.10以降が必要)。

Mist platformの各PSKには独自のキー名が付けられています。これは基本的に、WxLANポリシー、キーのローテーション、Mistダッシュボードでの可視化に対するユーザーレベルの説明責任に活用できるIDです。例えば、同じSSID内の動的ネットワークセグメンテーションのために、対応するVLANにPSKを個別に割り当てることができます。これは、同じタイプのデバイスをグループ化したり、PSKを割り当てたり、異なるグループを異なるVLANにセグメント化したりできるため、ヘルスケア環境や倉庫環境などのIoTデバイスに特に便利です。

WLANセキュリティとPSK

WLANを設定するときは、次のオプションを検討してください。

  • WPA3/802.1X WPA3(Wi-Fi Protected Access 3)PSKには、APファームウェアv0.9.x以降が必要です。

  • WPA3/SAEには、APファームウェアv0.8.x以降が必要です。

    レガシーデバイスとの下位互換性を確保するために、ジュニパー Mist は、WPA-PSK および TKIP(Temporal Key Integrity Protocol)、WPA(Wi-Fi Protected Access)セキュリティ プロトコル、WEP(Wired Equivalent Privacy)もサポートします(ただし推奨しません)。これらはすべて、既知の脆弱性があります。これらのレガシーオプションは、デフォルトでは使用できません。PSK/TKIP、マルチモード、またはWEPキーでWPAを有効にする必要がある場合は、サポートチケットを作成してジュニパーMistサポートチームに連絡してください。

  • WPA3でマルチパスフレーズオプションを設定するには、APファームウェアバージョン0.14以降が必要です。

  • WPA2では、MistポータルでWLANのMPSKルックアップを行うには、ローカルとRADIUSの2つの方法があります。WPA3 では、RADIUS PSK を有効にできます。

    • (WPA2のみ) ローカル ルックアップを使用すると、キーはAPに保存され、サイトレベルと組織レベルの両方で作成できます。Mist Cloudへの接続は必要ありません。ローカルは通常、デバイスごとに PSK が設定される IoT に使用されます。キーのローテーションは有効期限が切れるときに行われます。ローカルルックアップは、APあたり最大5,000 PSKをサポートします。クライアントではなくデバイスをサポートしたい場合や、キーを頻繁に変更する必要がない場合に適したオプションです。

      Multiple Passphrases - Local Option Selected

    • (WPA2およびWPA3) RADIUS ルックアップでは、PSKがRADIUSサーバーに保存され、APからMAC認証要求が送信されます。RADIUS サーバは、Cisco AVPair を使用してパスフレーズを返します。RADIUS は通常、サードパーティの PSK ホスティング サービスと統合する場合に使用されます。RADIUSルックアップサポートには、Identity Services Engine(Cisco ISE)、Aruba ClearPass、RG Nets、Eleven Wirelessが含まれます。RADIUSルックアップには、ファームウェアバージョン0.8x以降が必要です。

      Multiple Passphrases - RADIUS PSK Option Selected

Access アシュアランスの追加オプション

追加機能のアクセスアシュアランス

Access アシュアランスサブスクリプションをお持ちの場合は、次のような追加のMPSK機能を有効にすることができます。

  • クラウドベースのPSKルックアップ。
  • 組織レベルで5,000を超えるPSKをサポート。
  • 自動クライアントオンボーディングとPSKポータル。
  • PSKの有効期限、ローテーション、PSKごとのアカウンティングと可視化などのPSKライフサイクル管理の機能(MistポータルのWi-Fiクライアントページを参照)。

Access アシュアランスサブスクリプションは、MPSKを使用している同時アクティブクライアントデバイスの数を、7日間(使用量のピークに対応する)にわたって集計して計算されます。

PSKを設定する

事前共有キーの追加、表示、変更は、WLAN設定ページ、事前共有キーページ、Wi-Fiクライアントページで行うことができます。

  • WLAN設定ページ—WLANに移動するか、新しいを作成します( WLANの追加を参照してください)。

    • セキュリティタイプWPA3 とパー ソナル(SAE) を選択するか、 WPA2パーソナル(PSK)を選択します。

    • パスフレーズを入力するか、複数のパスフレーズを有効にします

  • 事前共有キーページ—左側のメニューから、 サイト >無線 >事前 共有キーを選択します。

    Pre-Shared Keys Page

    • サイトのキーを表示するには—ページ上部にあるサイトを選択します。

      注:

      Access アシュアランスサブスクリプションでは、組織レベルで事前共有キーを表示することもできます。

    • キーのパスフレーズ、ロール、VLAN、またはその他のプロパティを変更するには:変更するキーをクリックします。変更を行い、[ 保存] をクリックします。

    • キーを追加または削除するには—ページの右上隅にあるボタン( インポートエクスポートキーの追加キーの削除)を使用します。

  • Wi-Fiクライアントページ—左側のメニューから、クライアント>Wi-Fiクライアントを選択します。

    • サイトまたは WLAN のキーを表示するには:ページ上部でサイトを選択するか、 フィルター ボックスに SSID を入力します。

    • パスフレーズを変更するには:SSIDをクリックしてWLANページに移動します。 セキュリティで、新しいPSKを入力します。次に、ページの右上隅にある[保存]をクリックします。

ベストプラクティスとして、PSKを毎週更新します。

ヒント:

電子メールを介してローテーションプロセスを自動化できます。 PSKの回転を参照してください。