.
情報の流出経路と対策>無線LAN>802.1X / EAP認証について
ネットショップ運用・構築ガイド:目次

ショップ 構築ガイド

情報の流出経路

情報漏洩対策

レンタル ガイド

サーバ構築ガイド

レンタル ネットショップ

banner icon banner icon icon

おすすめの書籍

必携!ネットショップ構築標準ガイド―本当に売れているお店が押さえている58のポイント ネットショップオーナーが知らないと困るECビジネス起業・運営の常識 カメラマンになるな、演出家になれ!―オンラインショップ、ネットオークションの画像はこう撮る! ゲージ 今すぐ始める「ネットショップ開店」超入門 月1千万円稼げるネットショップ「儲け」の秘訣 月1千万円稼げるネットショップ「売れる」秘訣は文章力だ! 本気で稼ぐ ネットショップ ネット通販でダントツ一番店にする法―いまからはじめてザクザク儲ける100の法則 なぜこの店で買ってしまうのか―ショッピングの科学

IEEE802.1X (EAP) 認証について ~ ネットワーク認証

ビジネス向けに販売されている無線LANアクセスポイント、アダプタ の中には IEEE802.1x 認証(WPA-EAP) に対応している製品があります。これらの機器は高価な製品が多かったのですが、2006年後半あたりから SOHO 向けのリーズナブルな製品も販売されています。

IEEE802.1X (EAP) 認証 とは.

広く普及している無線LAN の不正侵入に対するネットワーク認証は PSK 認証方式 ですが、共通の鍵のみの認証であるため、暗号化が解読された場合、不正侵入を許す事になります。

IEEE802.1X (EAP) 認証 ではネットワークに接続する再にユーザ認証を求めます。つまり、登録されたユーザID とパスワードが別途必要になります。

この認証は専用の認証プロトコルを使用するため外部に開くポートを最小限にする事が出来ます。認証をパスしたユーザのみポートを開きネットワークへの接続を許可する仕組みです。

IEEE802.1x 認証(WPA-EAP) 対応無線LAN 機器選びのポイントは、対応している認証方式になります。認証方式によっては利便性、セキュリティが異なるためです。

RADIUS認証サーバとクライアントの関係

IEEE802.1X (EAP) 認証 に対応した 無線LAN 機器は 認証プロトコルに対応しているという事であり、この機能を利用するには上記図で示すように認証サーバが別途必要になります。

このように不特定多数が利用するアクセスポイントのネットワーク認証は、昔から存在しており、ISP の提供するダイアルアップ(電話番号)によるインターネット接続(PPPプロトコル)も仕組み的には共通するものです。

無線LAN が異なる点は電話回線と異なり盗聴の心配があるため、PPP認証プロトコルではなく、暗号化されたEAP 認証プロトコルを利用する点にあります。何れの場合も認証を行うための専用の認証サーバが別途必要になります。

無線LAN IEEE802.1X & EAP ~ RADIUS 認証サーバ側

RADIUS 認証サーバとの通信はUDP、専用のポートで行われ、認証をパスした場合にポートを開放します。この EAP 認証には幾つかのタイプがあります。それぞれ、利便性・セキュリティ面で違いがあるためネットワーク事情にあった方式を選ぶ必要があります。

代表的な方式は以下の通りです。その他は調べてください。

  • EAP-TLS .
    • ユーザー認証(ID/Password) の際、ユーザー本人である事を証明するためのクライアント証明書の提示を求めます。クライアント証明書を持たないユーザーはネットワークに接続させない仕組みです。(上記図で言えばノートパソコン)認証プロトコルは、強力な TLS 暗号化で守られるため盗聴の危険性がありません。
    • 特に、盗難の可能性が高いノートパソコンの場合、クライアント証明書をUSBメモリなどの外部デバイスに記録しておけば、盗難によるネットワーク進入のリスクを回避する事が出来ます。非常に強力な認証方式です。
    • Windows 2000sp4 / XP / OSX は標準で対応してるためサプリカントは必要ありません。
  • EAP-TTLS
    • 米Funk社が提唱する認証方式です。上記EAP-TLS と同じく、TLS暗号化認証 により保護が可能です。こちらは、認証サーバー側でサーバ証明書を使用のみとなるため、クライアント証明書を提示する必要がありません。
    • ネットワーク管理者は、クライアント証明書の作成、管理の手間がない分、EAP-TLS より管理・運用コストはかかりませんが、無線LANのユーザー認証としては、セキュリティ面で一段劣ります。
    • ちょうど Webサーバをサーバ証明書によりSSL化を行い、平文であるベーシック認証をSSL保護する感覚に近いです。こちらはネットワーク接続後のサービス側で行う認証ですが、EAP はネットワークに接続するための認証です。
    • この EAP-TTLS 認証方式をサポートするOSに Mac OS-X がありますが、Windows では サプリカントが必要となります。

Supplicant (サプリカント)とは ~ クライアント側.

サプリカントとは、802.1X 認証を行う際に使用するクライアント側のプログラムの事を言います。RADIUS認証サーバがサポートするEAP認証方式にはいくつかの方法があり、認証方式によっては、クライアント側にサプリカントが必要となります。

このサプリカントは、対応してる無線LANアダプタに付属しており、有料の公衆無線LANサービスでは会員の認証にサプリカントが提供する所もあります。

Windows 2000 sp4 / XP Professional / Mac OSX では、OSがサプリカントを標準で持っているため、OS がサポートするEAP 認証方式 をRADIUS サーバで採用している場合、無線LANアダプタのドライバが対応していれば、ユーザー認証による接続が可能です。

OSサプリカント 対応表
RADIUS サーバ
暗号化 認証方式
MICROSOFT(Windows) Apple (OS-X)
98/ XP Home 2000 sp4 XP
Professional
10.4(Tiger)
EAP-TLS ×
MS-PEAP ×
EAP-TTLS × × ×
EAP-MD5 × SP1で 廃止
SP2で 復活
×
OSが非対応の場合は、サプリカントソフトウェアが必要という事になります。

もし、対応していないEAP認証方式をRADIUS で使用するのであれば、目的のEAP認証に対応したサプリカント(認証ソフト)が必要になります。このようにクライアントの環境を選ぶ上、認証方式の使い勝手も異なるため注意が必要になります。

無線LAN IEEE802.1X & EAP 認証 導入にあたって

無線LAN アクセスポイントを設置する場合、電波の届く範囲であれば誰でもアクセスする事が可能である事を強く意識する必要があります。

このような不特定多数にアクセスされる可能性のあるアクセスポイントを設置する場合、安全性が重視されるビジネス用途においてはネットワーク接続のための認証必須となります。

参照 => エンタープライズ:RADIUSの仕組みと構築のポイント

特に SOHO や ビジネス用途では無線LAN の強力な不正侵入対策となりますが、一般の方が利用するには認証サーバの設置、認証サーバ側のセキュリティ対策といった専門知識が必要であり導入は難しく、コスト、リスク、利便性を考えると現実的ではありません。

小規模でネットワーク認証が必要ない場合は、最初から有線で LANを構築すれば良いという事です。

RADIUS 認証サーバーの導入について.

IEEE802.1x によるネットワーク認証は従来から企業内ネットワークで利用されており、無線LAN の場合は、暗号化認証プロトコルである EAP を利用します。

既に Windows 2003 Server などで RADIUS 認証サーバによるネットワーク認証を導入しているケースでは、IEEE802.1X & EAP 認証 に対応した無線LAN 機器導入はスムーズに行えますが、はじめて導入するケースや専門のネットワーク管理者を配置できない SOHOや小規模オフィス向け アプライアンスタイプの 認証サーバも販売されています。

メーカー => 認証サーバ|SLSTシリーズ
"100ユーザ対応 10key 付属" と "30ユーザ対応 5key 付属" があります。
ユーザ数に合わせて USB Key を追加購入する必要があります。

SOHO・小規模オフィスで手軽に導入できる アプライアンスタイプの 認証サーバです。EAP-TLS RSA 認証を採用しており、認証に必要な鍵は USB メモリで管理しているため、ノートパソコン盗難時の不正侵入を防止する事が出来ます。特に、小規模オフィスでノートPCによる無線LAN を中心としたネットワークを構築する場合、手軽にセキュリティを高めることが出来ます。(IEEE802.1X / EAP に対応した無線LANアクセスポイントが必要です。)
■5本セット
【送料無料】BUFFALO SecureLockKEY 5本セット SLST-KEY5
Amazon で探す
Yahoo!の最安値

 

RADIUS 認証サーバを構築するには

ここでは、無線LAN におけるネットワーク認証を目的としていますが、RADIUS 認証サーバを導入する事で、IEEE802.1X 認証対応のインテリジェントスイッチ(HUB)を利用してネットワーク認証が行えるようになります。

何れにしても、認証情報の一元管理を行うサーバ運用に求められるセキュリティ対策の重要性は説明するまでもありません。ファイアウォールやログ監視、IDS による監視など管理・運用のことも考える必要があります。小規模オフィスではアプライアンスタイプ の認証サーバをお勧めします。

Windows 2003 Server で構築する

Windows 2003 Server では、RADIUS 認証サービスが提供されています。

Linux で RADIUS 認証サーバを構築する

専門知識が必要ですが、LinuxFreeRADIUS を使用する事で導入コストゼロで RADIUS 認証サーバを構築するという選択肢もあります。(Linux コンテンツで予定) 

EAP-TLS 認証を行う場合、必要となる要素は以下のとおりです。

  • RADIUS 認証サーバー / Linux
    • このサーバーへの接続は厳しく制限する必要があります。RADIUS 認証サーバーへの接続はファイアーウォール等、厳しく制限する必要があります。
  • CA (認証機関) ~ OpenSSL で構築
    • TLS暗号化に必要な証明書の発行、管理を行います。EAP-TLS 認証に必要なクライアント証明書を発行します。
  • クライアント証明書 ~ OpenSSL で作成
    • 認証を行うユーザーが本人であるか証明するための証明書です。上記、独自CA 管理者が発行し、安全な方法でクライアント、つまりネットワークへの接続を許可したいユーザーに配布します。例えユーザー認証コードが盗まれても、証明書がなければネットワークへ接続する事ができません。

ネットワーク認証ではなく一般のネットサービスの認証では、WebサーバApache も クライアント認証に対応しています。OpenSSL を利用し CA 構築・暗号化に必要なSSLサーバ証明書作成、ユーザ認証に必要なクライアント証明書発行といった作業は共通しています。
関連 => Linux サーバー構築 WEBサーバー関連 ~目次
関連 => Linux サーバー構築 セキュリティ / OpenSSL関連 ~目次

NTT コミュニケーションズの公衆無線LANサービス HOTSPOT (ホットスポット)でも IEEE802.1X認証 を取り入れ、会員以外のネットワーク不正進入対策を強化する動きもあります。あくまでネットワークに侵入させないためのネットワークを提供する側を守るための仕組みであり、無線LANアクセスポイント利用者に恩恵がある訳ではありません。

IEEE802.x 認証の必要性

2006年 4月以降、SOHOユーザをターゲットにした IEEE802.x 認証に対応した低価格な無線LAN アクセスポイントが発売されています。

説明した通り単体で利用できる機能ではありませんが、将来的に 認証サーバの導入を考えるのであれば IEEE802.x 認証対応製品を購入すればよいと思います。

ただ、LAN 内で認証が必要とされるのは、ある程度規模のある LAN が想定されるため 2 ~ 10 台程度の LAN であれば IEEE802.x 認証 は無用の長物となる可能性もあります。有線で対応できるのであれば、コスト・利便性・リスク を考えると無線LAN 自体の導入を避けた方が賢明です。

このメニューのタイトルリスト

情報の流出経路と対策

  1. はじめに ~コンテンツの主旨
  2. 情報の流出経路について
  3. WAN と LAN (ネットワーク)
  4. ISP (プロバイダ)について
    1. お勧め ISP (プロバイダ)
  5. パソコン内に記録される情報

無線LAN のセキュリティ

  1. はじめに / 無線LANの種類
  2. 求められるセキュリティ機能
    1. 無線暗号化の仕組と規格
    2. 無線LAN 規格と互換性
  3. 802.1X / EAP認証について

情報漏洩 ~ ネットワーク

情報漏洩 ~ ウイルス

情報漏洩 ~ 盗難・紛失・持出


漏洩対策製品 導入ガイド

ノートPC セキュリティ対策

セキュリティ ソフトウェア

ネットワーク機器 ルータ他

盗難時漏洩防止 ストレージ

メーカー直営ショップ(準備)


ネットショップ開業 基礎知識

ショップ運用に必要なソフト

デジタルカメラ (商品撮影)


ネットショップ タイプ別 特徴

タイプ別 ショップ構築ガイド

決済と代行サービス(作成中)

インターネット広告 (集客)


ホスティング 比較 / 活用

個人/SOHO向け サーバ

ビジネス向け 共用サーバ

アフィリエイトプログラム活用


keyword: ネットワーク

icon専用線サービス

iconロードバランサ(負荷分散装置)

iconIP-VPN

iconモバイルアクセスサービス

iconブロードバンドルーター

iconVoIPゲートウエイ

iconWeb高速化ツール

icon無線LANの基礎と100M超の「MIMO」

iconレイヤー3スイッチ

My Select Goods

P2P無料IP電話

iconSkype(スカイプ)とは?

icon無料IP電話スカイプ>Download

スカイプ 対応フォン(USB)

SKYPE カンファレスフォン BUFFALO  USB対応 Skypeフォン BSKP-U201/SV CG-USBPH01 Skype API対応 コンパクト USBフォン

ELECOM Skype会議用ハンズフリーフォン MS-CO95USV ELECOM SKYPE対応アドレス帳 BT-MG2 WB-2501 Skype標準搭載USBハンディフォン

SONY インターネットテレフォン 「マウストーク」 ブルー[VN-CX1/L] SONY インターネットテレフォン 「マウストーク」 ブライトレッド[VN-CX1/R] GOD ABILITY IPフォン SKYPE対応 USB VOLP PHONE USBハンドセット P5-D

God Ability スカイプ対応USBIPフォン P4-K ハギワラシスコム USBスカイプハンドセット HUD-SKH01 GH-UCM-HS スカイプ対応イヤフォンタイプヘッドセット

.

個人情報漏洩
保護・監視ツール

自分のパソコンから流出する個人情報を未然に防ぐセキュリティソフトです。特定のコードを含む情報が特定のサイト以外へ流れるのをブロックします。ウイルスチェックツールだけでなく、このような機能を持ったセキュリティソフトは必須でしょう。

クレジットカードによるオンライン決済を良く利用される方、サーバをレンタルされているネットショップオーナーの方は、利用中のパソコン経由でもれてしまう個人情報は自分で守る必要があります。


インターネットセキュリティスイート(通常版)

インターネット
セキュリティスイート


プライバシーサービス

プライバシーサービスは、上記、インターネットセキュリティスイートに含まれます。

.
bottom_mark
ページ最上部
ページ最上部 前のページ