サービスセット識別子

サービスセット識別子（サービスセットしきべつし、英: Service Set Identifier, SSID）は、IEEE 802.11における無線LANの識別子である。端末機器は、通信可能な範囲にある全アクセスポイントから SSID 付きのブロードキャストメッセージを受信し、事前の設定に基づいて接続するアクセスポイントを選ぶか、SSID のリストを表示してユーザーに接続先を選択してもらう。

概要 [編集]

複数のアクセスポイントが同じネットワークへの接続を提供する場合、同じ SSID を共有する。 SSID はユーザーに対して表示する名前であるため、一般に表示可能なASCII文字を使っている。ただし、規格ではそのような制限はなく、SSID は 1 から 32 オクテットの並びであって、各オクテットの値は任意である。

IBSS(Independent Basic Service Set) [編集]

IEEE 802.11 では、端末機器間のアドホック・ネットワークを生成可能であり（アクセスポイントを介さない通信を行うモード）、その場合は端末機器が接続する SSID を選択し、SSID のブロードキャストはそのネットワークのメンバーとなっている全機器が擬似乱数的順序で行う。

仮想アクセスポイント [編集]

アクセスポイントによっては、複数の SSID のブロードキャストをサポートしており、仮想アクセスポイントの生成が可能である。仮想アクセスポイントとは、単一の物理アクセスポイントを複数の論理アクセスポイントに分割したもので、各論理アクセスポイントはそれぞれ異なる設定が可能である。

SSIDクライアント分離 [編集]

「SSIDクライアント分離; SSID Client Isolation」とは、同じサブネット内にあるクライアント同士が直接通信するのを防ぎ、ファイアウォールをバイパスするのを防ぐことである。

SSID ブロードキャスティングの無効化 [編集]

SSID ブロードキャストを無効にすることでセキュリティが強化されるというのは間違いである^[1]。ユーザーから見れば、使用しているソフトウェアによっては "Unnamed Network" などと表示される。いずれにしても、そのネットワークに接続するには正しいSSIDを手で入力する必要がある。

この方法は安全ではない。なぜなら、誰かがそのネットワークに接続するたびに SSID がクリアテキストで転送されるからである。これは、暗号化していても変わらない。盗聴者はそのネットワークに接続していない状態で盗聴可能であり、誰かが接続するのを待ち、SSID を盗むことができる。また、気づかれやすいが手っ取り早い方法として、アクセスポイントからのフレームであるかのように擬装して "disassociate frame" を接続中の端末機器に送信し、端末機器が自動的に再接続する様子を盗聴して SSID を盗むという方法もある。

したがって、これで無線ネットワークが守られると考えるのは危険である^[2]。別の認証を使うのが好ましく、WPA が今のところ最善である。

基本サービスセット識別子 [編集]

関連する概念として、基本サービスセット識別子（Basic Service Set Identifier、BSSID）がある。IEEE 802.11-2007 無線LAN仕様によれば、インフラストラクチャモード（常にアクセスポイントを介した通信を行うモード）でのアクセスポイントのMACアドレスと定義されている。これは各アクセスポイント（正確には Basic Service Set）に固有の値である。

アドホックモードでは、BSSID はローカルに46ビットの乱数からMACアドレスとして生成、管理される。他の2ビットは、individual/group ビットは 0 にセットされ、universal/local ビットは 1 にセットされる。

全ビットが 1 の BSSID はブロードキャストBSSIDとして使われる。ブロードキャストBSSIDはプローブ要求のときだけ使われる。

ESSID(Extended Service Set Identifier) [編集]

SSIDを複数のアクセスポイントで使えるように拡張したもの。

脚注 [編集]