Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

事前共有キーの設定と管理

概要 事前共有キーの利点を理解し、WLANに追加して、定期的に更新します。

事前共有キー(PSK)とは

ジュニパーのAPは事前共有キー(PSK)をサポートしており、認証サーバーを追加することなく、安全なチャネルで暗号化することができます。WLANで有効にすると、クライアントはワイヤレスネットワークに接続するためにセキュアPSKパスフレーズを提示する必要があります。

PSKを使用することで、新規ユーザーをSSIDにオンボーディングすることが簡単になり、ユーザーはSSIDへのQRコードが記載されたメールを受信し、PSKを使用して認証を受けることができます。MPSK(マルチ事前共有キー)を使用して、PSKを個別に、ユーザーごと、またはグループごとに複数のユーザーに割り当てることができます。また、特定のPSKを設定されたデバイス数に制限することもできます(ファームウェアバージョン0.10以降が必要です)。

Mistプラットフォーム内の各PSKには、それぞれ独自のキー名が割り当てられています。これは基本的に、WxLANポリシー、キーローテーション、Mistダッシュボードでの可視性に対するユーザーレベルのアカウンタビリティに活用できるIDです。例えば、同じSSID内で動的にネットワークをセグメント化するために、対応するVLANに個別にPSKを割り当てることができます。これは、同じタイプのデバイスをグループ化したり、PSKを割り当てたり、異なるグループを異なるVLANにセグメント化したりできるため、ヘルスケア環境や倉庫環境などのIoTデバイスで特に役立ちます。

WLANセキュリティとPSK

WLAN を設定するときは、次のオプションを考慮してください。

  • WPA3/802.1X WPA3(Wi-Fi Protected Access 3) PSK には AP ファームウェア v0.9.x 以降が必要です。

  • WPA3/SAE には AP ファームウェア v0.8.x 以降が必要です。

    レガシーデバイスとの後方互換性のため、Juniper MistはWPA-PSKおよびTKIP(一時鍵整合性プロトコル)、WPA(Wi-Fi保護アクセス)セキュリティプロトコル、WEP(有線同等プライバシー)もサポートしています(ただし、推奨はしていません)。これらのレガシーオプションは、デフォルトでは使用できません。PSK/TKIP、マルチモード、またはWEPキーでWPAを有効にする必要がある場合は、サポートチケットを作成してJuniper Mistサポートチームにご連絡ください。

  • WPA3 で複数パスフレーズ オプションを設定するには、AP ファームウェア バージョン 0.14 以降が必要です。

  • WPA2 では、Mist ポータルでの WLAN の MPSK 検索には、ローカルと RADIUS の 2 つの方法があります。WPA3 では、RADIUS PSK を有効にすることができます。

    • (WPA2 のみ) ローカル ルックアップでは、キーは AP に保存され、サイトレベルと組織レベルの両方で作成できます。Mist Cloudに接続する必要はありません。ローカルは通常、デバイスごとにPSKが構成されるIoTに使用されます。キーのローテーションは、有効期限が切れた時間に行われます。ローカル ルックアップは、AP あたり最大 5000 の PSK をサポートします。これは、クライアントではなくデバイスをサポートする場合や、キーを頻繁に変更する必要がない場合に適したオプションです。

      Multiple Passphrases - Local Option Selected

    • (WPA2 および WPA3) RADIUS ルックアップでは、PSK が RADIUS サーバーに保存され、AP から MAC 認証要求が送信されます。RADIUS サーバは、Cisco AVPair を使用してパスフレーズを返します。RADIUS は通常、サードパーティの PSK ホスティング サービスと統合する場合に使用されます。RADIUSルックアップのサポートには、Cisco ISE(Identity Services Engine)、Aruba ClearPass、RG Nets、Eleven Wirelessが含まれます。RADIUSルックアップには、ファームウェアバージョン0.8x以降が必要です。

      Multiple Passphrases - RADIUS PSK Option Selected

Access Assuranceの追加オプション

追加機能のAccess Assurance:

Access Assuranceサブスクリプションをお持ちの場合は、次のような追加のMPSK機能を有効にすることができます。

  • クラウドベースのPSKルックアップ。
  • 組織レベルで 5,000 を超える PSK をサポートしています。
  • 自動クライアントオンボーディングとPSKポータル。
  • PSKの有効期限、ローテーション、PSK単位のアカウンティングと可視化など、PSKライフサイクル管理の機能(MistポータルのWi-Fiクライアントページ)。

Access Assuranceサブスクリプションは、7日間の集計としてMPSKを使用している同時かつアクティブなクライアントデバイスの数(使用のピークに対応)に基づいて計算されます。

PSK を設定します。

事前共有キーの追加、表示、変更は、[WLAN 設定] ページ、[事前共有キー] ページ、および [Wifi クライアント] ページで行うことができます。

  • WLAN 設定ページ:WLAN に移動するか、新しい WLAN を作成します(WLAN の追加を参照)。

    • セキュリティ タイプ:パーソナル(SAE)付き WPA3 を選択するか、パーソナル(PSK)付き WPA2 を選択します。

    • パスフレーズを入力するか、複数のパスフレーズを有効にします。

  • 事前共有キー ページ - 左側のメニューから [ サイト >ワイヤレス > 事前共有キー] を選択します。

    Pre-Shared Keys Page

    • サイトのキーを表示するには - ページの上部でサイトを選択します。

      手記:

      Access Assuranceサブスクリプションでは、組織レベルで事前共有キーを表示することもできます。

    • キーのパスフレーズ、ロール、VLAN、またはその他のプロパティを変更するには:変更するキーをクリックします。変更を行い、[ 保存] をクリックします。

    • キーを追加または削除するには、ページの右上隅にあるボタン ( インポートエクスポートキーの追加、キー の削除) を使用します。

  • [Wi-Fi クライアント] ページ - 左側のメニューから [ クライアント ] > [Wi-Fi クライアント] を選択します。

    • サイトまたは WLAN のキーを表示するには:ページの上部でサイトを選択するか、[ フィルタ(Filter )] ボックスに SSID を入力します。

    • パスフレーズを変更するには:SSID をクリックして WLAN ページに移動します。[ セキュリティ] で、新しい PSK を入力します。次に、ページの右上隅にある [保存] をクリックします。

ベスト プラクティスとして、PSK を毎週更新します。

先端:

メールでローテーションプロセスを自動化できます。 PSK の回転を参照してください