無線LAN(2)セキュリティ
802.1x認証で構築するセキュア無線LANネットワーク
これまで企業・キャンパスネットワークへの無線LANの導入には、802.1x認証によってセキュリティを強化する必要があると紹介してきましたが、実際の導入には運用、管理、コスト、対応製品の選定など検討課題が多く、具体的に802.1xの中でもどのEAP方式を導入すれば良いか簡単には判断できない状況です。 今回のワンポイントセミナーでは、EAPの選択から認証デバイスとの連携や802.1x導入時の問題点などを紹介し、次回に無線LANスイッチに関して紹介します。
802.1x認証
ここでは802.1x認証に関して簡単に紹介します。802.1x認証は無線LAN専用の規格ではなく有線LANでも利用され、電子証明書やID/パスワードを使用してクライアントと認証サーバ間で相互認証を行い、許可されたユーザのみに対してポートをオープンするように規定されています。図1にシーケンスを記載しますが、802.1x認証ではクライアントをサプリカント、サプリカントと認証サーバの間に入るアクセスポイントやスイッチのことをオーセンティケータ、認証サーバをオーセンティケータサーバと呼びます。
従来の無線LANにおけるWEP暗号の脆弱性が指摘されていますが、これは電波をキャプチャすることにより暗号に使用されるWEPキーが解析できてしまうことが原因でした。WEP暗号ではクライアントPC(無線LANカード)とアクセスポイントに設定した固定のWEPを使用しますが、802.1x認証では再認証の度にWEPキーを変更することが可能となり従来の脆弱性がカバーできることで無線LANへの利用が注目されています。
●802.1x認証シーケンス(図1)
EAP (Extensible Authentication Protocol) タイプ
802.1xの認証に使用されるプロトコル。EAPはPPPの拡張であり、PPPではCHAPやPAPといった認証方式しかサポートしていませんでしたが、TLSやワンタイムパスワードなど多くの認証方式をサポートしています。多く利用されているEAPについて図 2 に記載します。図 2 表中の特徴に記載しましたように、EAPごとに注意しければならない点があります。EAP-TLSの場合にはクライアント側にも電子証明書が必要となるので、クライアントPCの台数分の証明書の発行・失効の管理が必要となってしまいます。また、EAP-TTLSではサードパーティのサプリカントソフトウェアが必要となりますので、コストに影響してしまう場合があります。しかし、バッファロー社のAirStationのようにメーカーによっては無償サプリカントソフトウェアを提供している場合もありますので、機器の選定にはこれらを考慮する必要があります。
●EAP認証方式(図2)
 |
電子証明書 | サプリカントソフトウェア | クライアント/サーバ間の相互認証 | 特 徴 | |
| サーバ | クライアント | ||||
| EAP-MD5 | 不要 | 不要 | Windows XP/200以外で必要 | ID/PWサーバの認証は行わない | 動的な鍵の配布が行われないため、セキュリティレベルが低い |
| EAP-TLS | 要 | 要 | Windows XP/200以外で必要 | 電子証明書 | 電子証明書による相互認証を行うので、セキュリティレベルは高い。電子証明書の運用管理が必要 |
| EAP-TTLS | 要 | 不要 | 必 要 | サーバの電子証明書とID/PW | 電子証明書はサーバ側のみで済むため管理が容易である。但し、別途サプリカントソフトウェアが必要となる |
| LEAP | 不要 | 不要 | Cisco製品に添付 | ID/PW | 電子証明書が不要のために管理が容易である。 Ciscoの無線LAN機器(アクセスポイント、カード)やRadiusサーバが必要となる。 |
| PEAP | 要 | 不要 | Windows XP/200以外で必要 | サーバの電子証明書とID/PW | 電子証明書はサーバ側のみで済むため管理が容易である。 |
802.1x認証導入時の検討項目
EAPの選定
・セキュリティレベル
・クライアントPCのOS(Windows XP SP1、Windows 2000 SP4以外ではサプリカントソフトウェアが必要)
・クライアントPCの数 電子証明書の管理
・サプリカントソフトウェア(対応EAP、バンドル、有償、無償)
・ユーザビリティ(ID/PW入力、USBキー、ICカード)
・拡張性(選択するEAPをサポートする無線LAN機器メーカ及び製品)
・対応Radiusサーバ(外部DBとの連携)
価格
AP管理方法
機器選定
802.1x認証導入時の検討項目
クライアントPCにも電子証明書を利用するEAP-TLSでは、証明書をインポートしたPCを盗難されてしまう危険性があります。そこでEAP-TLSではUSBキーやICカードに電子証明書を保存しての利用をお勧めします。USBキーの利用にはPIN(暗証番号)が必要となりますのでUSBキーを紛失・盗難しても利用出来ないばかりでなく証明書のエキスポートも出来ません。物理的なUSBキーとPINを知っている人が揃って始めて使用可能となります。(ニ要素認証)また、USBキーには、Windowsのパスワード(PW)なども保存できる物がありますので、USBキーをPCに挿すだけでウインドウズへのログオンまでのシングルサインオン化が可能となります。EAP-TLSではクライアントPC分の電子証明書の管理が必要となりますが、このようにUSBキーとの併用での簡単なSSO対応も可能であるので、ユーザビリティを優先する場合に適します。
802.1x利用時の注意点
Windows XPやWindows 2000はもとより一部のサプリカントソフトウェアを使用する場合を除いて、 802.1x認証では、クライアントが認証されてポートがオープンされるまでは、ドメインに参加できずにIPアドレスの取得もできません。このためシーケンス上、認証後にポートがオープンするよりも先に他のサーバとの通信行うアプリケーションの場合には、タイムアウトとなってしまいます。また、OSごとにログオン入力画面の表示タイミングも異なるので、802.1x認証を行う場合にはPC起動時のシーケンスチェックは必要です。
この他に802.1x認証を受けながらアクセスポイントをローミングするような場合には再認証が必用となり、通常のローミング時よりも時間がかかるので、アプリケーションを含めた事前検証が必要でしょう。
また、最近では802.1xをサポートする無線LAN製品が多数紹介されていますが、ベンダごとに実装が異なる場合があるので相互接続試験が必要です。このように802.1x認証ではその利用環境を良く検討しないと運用開始後に大きなトラブルを起こしかねませんので、システム構築には実績のあるインテグレータにお任せすることをお勧めします。
