ビジネス向けに販売されている無線LANアクセスポイント、アダプタ の中には IEEE802.1x 認証(WPA-EAP) に対応している製品があります。これらの機器は高価な製品が多かったのですが、2006年後半あたりから SOHO 向けのリーズナブルな製品も販売されています。
広く普及している無線LAN の不正侵入に対するネットワーク認証は PSK 認証方式 ですが、共通の鍵のみの認証であるため、暗号化が解読された場合、不正侵入を許す事になります。
IEEE802.1X (EAP) 認証 ではネットワークに接続する再にユーザ認証を求めます。つまり、登録されたユーザID とパスワードが別途必要になります。
この認証は専用の認証プロトコルを使用するため外部に開くポートを最小限にする事が出来ます。認証をパスしたユーザのみポートを開きネットワークへの接続を許可する仕組みです。
IEEE802.1x 認証(WPA-EAP) 対応無線LAN 機器選びのポイントは、対応している認証方式になります。認証方式によっては利便性、セキュリティが異なるためです。
IEEE802.1X (EAP) 認証 に対応した 無線LAN 機器は 認証プロトコルに対応しているという事であり、この機能を利用するには上記図で示すように認証サーバが別途必要になります。
このように不特定多数が利用するアクセスポイントのネットワーク認証は、昔から存在しており、ISP の提供するダイアルアップ(電話番号)によるインターネット接続(PPPプロトコル)も仕組み的には共通するものです。
無線LAN が異なる点は電話回線と異なり盗聴の心配があるため、PPP認証プロトコルではなく、暗号化されたEAP 認証プロトコルを利用する点にあります。何れの場合も認証を行うための専用の認証サーバが別途必要になります。
RADIUS 認証サーバとの通信はUDP、専用のポートで行われ、認証をパスした場合にポートを開放します。この EAP 認証には幾つかのタイプがあります。それぞれ、利便性・セキュリティ面で違いがあるためネットワーク事情にあった方式を選ぶ必要があります。
代表的な方式は以下の通りです。その他は調べてください。
サプリカントとは、802.1X 認証を行う際に使用するクライアント側のプログラムの事を言います。RADIUS認証サーバがサポートするEAP認証方式にはいくつかの方法があり、認証方式によっては、クライアント側にサプリカントが必要となります。
このサプリカントは、対応してる無線LANアダプタに付属しており、有料の公衆無線LANサービスでは会員の認証にサプリカントが提供する所もあります。
Windows 2000 sp4 / XP Professional / Mac OSX では、OSがサプリカントを標準で持っているため、OS がサポートするEAP 認証方式 をRADIUS サーバで採用している場合、無線LANアダプタのドライバが対応していれば、ユーザー認証による接続が可能です。
RADIUS サーバ 暗号化 認証方式 |
MICROSOFT(Windows) | Apple (OS-X) | ||
---|---|---|---|---|
98/ XP Home | 2000 sp4 | XP Professional |
10.4(Tiger) | |
EAP-TLS | × | ○ | ○ | ○ |
MS-PEAP | × | ○ | ○ | ○ |
EAP-TTLS | × | × | × | ○ |
EAP-MD5 | × | ○ | SP1で
廃止 SP2で 復活 |
× |
もし、対応していないEAP認証方式をRADIUS で使用するのであれば、目的のEAP認証に対応したサプリカント(認証ソフト)が必要になります。このようにクライアントの環境を選ぶ上、認証方式の使い勝手も異なるため注意が必要になります。
無線LAN アクセスポイントを設置する場合、電波の届く範囲であれば誰でもアクセスする事が可能である事を強く意識する必要があります。
このような不特定多数にアクセスされる可能性のあるアクセスポイントを設置する場合、安全性が重視されるビジネス用途においてはネットワーク接続のための認証必須となります。
参照 => エンタープライズ:RADIUSの仕組みと構築のポイント
特に SOHO や ビジネス用途では無線LAN の強力な不正侵入対策となりますが、一般の方が利用するには認証サーバの設置、認証サーバ側のセキュリティ対策といった専門知識が必要であり導入は難しく、コスト、リスク、利便性を考えると現実的ではありません。
小規模でネットワーク認証が必要ない場合は、最初から有線で LANを構築すれば良いという事です。
IEEE802.1x によるネットワーク認証は従来から企業内ネットワークで利用されており、無線LAN の場合は、暗号化認証プロトコルである EAP を利用します。
既に Windows 2003 Server などで RADIUS 認証サーバによるネットワーク認証を導入しているケースでは、IEEE802.1X & EAP 認証 に対応した無線LAN 機器導入はスムーズに行えますが、はじめて導入するケースや専門のネットワーク管理者を配置できない SOHOや小規模オフィス向け アプライアンスタイプの 認証サーバも販売されています。
◆ メーカー => 認証サーバ|SLSTシリーズ
"100ユーザ対応 10key 付属" と "30ユーザ対応 5key 付属" があります。
ユーザ数に合わせて USB Key を追加購入する必要があります。
ここでは、無線LAN におけるネットワーク認証を目的としていますが、RADIUS 認証サーバを導入する事で、IEEE802.1X 認証対応のインテリジェントスイッチ(HUB)を利用してネットワーク認証が行えるようになります。
何れにしても、認証情報の一元管理を行うサーバ運用に求められるセキュリティ対策の重要性は説明するまでもありません。ファイアウォールやログ監視、IDS による監視など管理・運用のことも考える必要があります。小規模オフィスではアプライアンスタイプ の認証サーバをお勧めします。
Windows 2003 Server では、RADIUS 認証サービスが提供されています。
専門知識が必要ですが、Linux と FreeRADIUS を使用する事で導入コストゼロで RADIUS 認証サーバを構築するという選択肢もあります。(Linux コンテンツで予定)
EAP-TLS 認証を行う場合、必要となる要素は以下のとおりです。
ネットワーク認証ではなく一般のネットサービスの認証では、WebサーバApache も クライアント認証に対応しています。OpenSSL を利用し CA 構築・暗号化に必要なSSLサーバ証明書作成、ユーザ認証に必要なクライアント証明書発行といった作業は共通しています。
関連 => Linux サーバー構築 WEBサーバー関連 ~目次
関連 => Linux サーバー構築 セキュリティ / OpenSSL関連 ~目次
NTT コミュニケーションズの公衆無線LANサービス HOTSPOT (ホットスポット)でも IEEE802.1X認証 を取り入れ、会員以外のネットワーク不正進入対策を強化する動きもあります。あくまでネットワークに侵入させないためのネットワークを提供する側を守るための仕組みであり、無線LANアクセスポイント利用者に恩恵がある訳ではありません。
2006年 4月以降、SOHOユーザをターゲットにした IEEE802.x 認証に対応した低価格な無線LAN アクセスポイントが発売されています。
説明した通り単体で利用できる機能ではありませんが、将来的に 認証サーバの導入を考えるのであれば IEEE802.x 認証対応製品を購入すればよいと思います。
ただ、LAN 内で認証が必要とされるのは、ある程度規模のある LAN が想定されるため 2 ~ 10 台程度の LAN であれば IEEE802.x 認証 は無用の長物となる可能性もあります。有線で対応できるのであれば、コスト・利便性・リスク を考えると無線LAN 自体の導入を避けた方が賢明です。