無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:2.設計 > 2-3 セキュリティ

IEEE802.1X認証は複雑であり、苦手な人も多いだろう。
整理としては、情報処理技術者試験の過去問(H20SV午後Ⅱ問2)を引用する。
認証方式クライアント認証サーバ認証セッション鍵
の自動生成
ノートPCの
OSでの対応
EAP-MD5 利用者ID/パスワード なしなし現在は実装なし
EAP-TLS ディジタル証明書あり あり標準対応
EAP-TTLS 利用者ID/パスワード ありあり追加ソフトが必要
PEAP利用者ID/パスワード ありあり標準対応
種類がたくさんあるが、覚えるべきメインはPEAPとEAP-TLSである。
(1)PEAP
 ・サーバの認証はサーバ証明書、クライアントの認証はID/パスワード
(2)EAP-TLS
 ・サーバの認証はPEAPと同じだが、クライアントの認証はクライアント証明書が必要で、クライアント毎に証明書が必要。
g
ということは、PEAPよりも、証明書で認証するEAP-TLSの方が、セキュリティが高いということですね?
いや、一概にそうともいえない。PEAPはユーザ認証で、EAP-TLSは端末認証である。つまり、クライアント証明書が入った端末であれば、誰でも利用できる。なので、端末が盗まれたら、利用されてしまう。
 ただ、端末は一人一台で、そこにパスワードがかかっていることが、現在の企業パソコンの現状であろう。そうであればユーザ認証もできているであろうから、EAP-TLSはもっともセキュリティが高いといえる。

参考として、IEEE802.1X認証の設定の一部を紹介する。
peap
PEAPの場合は、PEAPと書かれたものを選択する。
EAP-TLSは、[スマート カードまたはその他の証明書] を選択する。

詳細な設定は、別途PCの設定方法で記載する予定。
d 

参考までに聞きたいのですが、
無線LANにおけるIEEE802.1 X認証とDHCPによるIP取得はどっちが先でしょうか?
IEEE802.1 X認証が先である。これで無線LANのアダプタが有効になる。

PEAPとは、Protected Extensible Authentication Protocolの略である。「保護された、拡張認証プロトコル」である。暗号化して保護した状態で、認証情報をやり取りする。

特徴
・クライアント側に必要なのは、CA証明書のみ。クライアント証明書は不要
 →(証明書配布管理の手間が少ない)
・ユーザ名とパスワードで認証する。

名称未設定 11

















必要なものは、
・AP・無線LANコントローラ
・RADIUSサーバ
・認証局
である。WindowsServerで構築する場合、ADでユーザを管理し、認証局・RADIUSサーバでもADのユーザ情報を利用している。
PEAP概念















図は簡略化している。①~④のシーケンスは実際にはもう少し複雑である。

①~④では、RADIUSサーバのサーバ証明書をサプリカントに送り、サプリカントではCA証明書の公開鍵を使ってRADIUSサーバの真正性も確認している。つまり、ユーザは「このAPに安心してつないでよいのか?悪意のあるAPではないか?」を確認することができるのだ。

ポイントは、APやWLC(オーセンティケータ)は、EAPOLとRADIUSの相互変換を行っているだけで、内容の判断は行っていない点である。したがって、オーセンティケータは認証のためのユーザデータベースは持っていないし、証明書も必要ない。


EAP-TLSとは、Extensible Authentication Protocol - Transport Layer Securityの略である。

特徴
・サーバ側・クライアントが双方に証明書が必要である。
 →クライアントへの配布管理の手間がかかる
・セキュリティは高い。クライアントの証明書で認証するから。

名称未設定 11


















必要なものは、
・AP・無線LANコントローラ
・RADIUSサーバ
・認証局
である。(PEAPと同じ)
WindowsServerで構築する場合、ADでユーザを管理し、認証局・RADIUSサーバでもADのユーザ情報を利用している。

名称未設定 13















図は簡略化している。①~④のシーケンスは実際にはもう少し複雑である。

①~④ では、RADIUSサーバのサーバ証明書と署名をサプリカントに送り、サプリカントではCA証明書の公開鍵を使ってRADIUSサーバの真正性を確認している。サプリカントがRADIUSサーバに送った証明書と署名を、RADIUSサーバでも確認している。
ポイントは、APやWLC(オーセンティケータ)は、EAPOLとRADIUSの相互変換を行っているだけで、内容の判断は行っていない点である。したがって、オーセンティケータは認証のためのユーザデータベースは持っていないし、証明書も必要ない。(PEAPと同じ)


認証方法は、PEAPとEAP-TLSが一般的だが、どう使い分ければよいのだろうか。
一例であるが、このような使い分け方がある。

(1)PEAPは、インターネットアクセス用に。
(2)EAP-TLSは、機密性を重要視する業務システムへのアクセス用に。

理由は、次のとおり。
・PEAPの場合、クライアント(ユーザ)が無線APを信用する方式で、つまり利用者に「このAPを利用しても安全ですよ」という信頼を与える仕組みである。クライアント(ユーザ)は安心してインターネットを利用することができる。
・EAP-TLSの場合、証明書を発行したクライアント(ユーザ)にしかアクセスさせない。つまり、端末やユーザを限定できるのである。

たとえば、社員の持ち込み端末(BYOD)はPEAPでインターネットアクセスだけ許可、業務用の会社資産ノートPCはEAP-TLSで業務システムにもアクセス許可、というような組み合わせが可能である。


2 

PEAPよりもEAP-TLSの方がセキュリティが高いとは、一概には言えないのですよね?
その通り。PEAPはID/パスワードでの知識認証である。
だから、ユーザを認証できる。
一方のEAP-TLSは証明書という所有物認証である。
だから、(証明書が入っている)機器を認証できる。

とはいえ、今のパソコンではログイン時にパスワードを入れることがほとんど。
実質的には、ユーザ認証もしていると言える。

加えて、OSにもよると思うが、クライアント証明書はユーザごとに入る。
つまり、同じパソコンでも、パソコンへのログインユーザが変われば、利用できる証明書も変わる。
そういう意味では、ユーザ認証である。
ただ、このことは、TLS上の仕組みではない。
j

ユーザ用のクライアント証明書ではなく、コンピュータに入れるコンピュータ証明書は無いのですか?
私も知識不足の面があるが、コンピュータ証明書というのが設定できるようなことを聞いた気もする。
ただ、TLSの仕組みでは、「コンピュータ証明書」「ユーザ証明書」という区分けはない。

 また、話が変わるが、Windowsのパソコンでは、コンピュータ認証というものがあり、機器の認証ができる。以下のような2段階での認証も可能だ。
http://www.itmedia.co.jp/enterprise/articles/0611/17/news002_3.html

スポンサードリンク

このページのトップヘ