ショップ構築ガイド

情報の流出経路

情報漏洩対策

レンタルガイド

目次～サーバガイド

サーバ構築ガイド

目次～ Linux サーバ

レンタルネットショップ

IEEE802.1X （EAP）認証について　～ネットワーク認証

ビジネス向けに販売されている無線LANアクセスポイント、アダプタの中には IEEE802.1x 認証（WPA-EAP）に対応している製品があります。これらの機器は高価な製品が多かったのですが、2006年後半あたりから SOHO 向けのリーズナブルな製品も販売されています。

IEEE802.1X （EAP）認証とは .

広く普及している無線LAN の不正侵入に対するネットワーク認証は PSK 認証方式ですが、共通の鍵のみの認証であるため、暗号化が解読された場合、不正侵入を許す事になります。

IEEE802.1X （EAP）認証ではネットワークに接続する再にユーザ認証を求めます。つまり、登録されたユーザID とパスワードが別途必要になります。

この認証は専用の認証プロトコルを使用するため外部に開くポートを最小限にする事が出来ます。認証をパスしたユーザのみポートを開きネットワークへの接続を許可する仕組みです。

IEEE802.1x 認証（WPA-EAP）対応無線LAN 機器選びのポイントは、対応している認証方式になります。認証方式によっては利便性、セキュリティが異なるためです。

RADIUS認証サーバとクライアントの関係

IEEE802.1X （EAP）認証に対応した無線LAN 機器は認証プロトコルに対応しているという事であり、この機能を利用するには上記図で示すように認証サーバが別途必要になります。

このように不特定多数が利用するアクセスポイントのネットワーク認証は、昔から存在しており、ISP の提供するダイアルアップ（電話番号）によるインターネット接続（PPPプロトコル）も仕組み的には共通するものです。

無線LAN が異なる点は電話回線と異なり盗聴の心配があるため、PPP認証プロトコルではなく、暗号化されたEAP 認証プロトコルを利用する点にあります。何れの場合も認証を行うための専用の認証サーバが別途必要になります。

無線LAN IEEE802.1X & EAP ～ RADIUS 認証サーバ側

RADIUS 認証サーバとの通信はUDP、専用のポートで行われ、認証をパスした場合にポートを開放します。この EAP 認証には幾つかのタイプがあります。それぞれ、利便性・セキュリティ面で違いがあるためネットワーク事情にあった方式を選ぶ必要があります。

代表的な方式は以下の通りです。その他は調べてください。

EAP-TLS .
- ユーザー認証（ID/Password）の際、ユーザー本人である事を証明するためのクライアント証明書の提示を求めます。クライアント証明書を持たないユーザーはネットワークに接続させない仕組みです。（上記図で言えばノートパソコン）認証プロトコルは、強力な TLS 暗号化で守られるため盗聴の危険性がありません。
- 特に、盗難の可能性が高いノートパソコンの場合、クライアント証明書をUSBメモリなどの外部デバイスに記録しておけば、盗難によるネットワーク進入のリスクを回避する事が出来ます。非常に強力な認証方式です。
- Windows 2000sp4 / XP / OSX は標準で対応してるためサプリカントは必要ありません。
EAP-TTLS
- 米Funk社が提唱する認証方式です。上記EAP-TLS と同じく、TLS暗号化認証により保護が可能です。こちらは、認証サーバー側でサーバ証明書を使用のみとなるため、クライアント証明書を提示する必要がありません。
- ネットワーク管理者は、クライアント証明書の作成、管理の手間がない分、EAP-TLS より管理・運用コストはかかりませんが、無線LANのユーザー認証としては、セキュリティ面で一段劣ります。
- ちょうど Webサーバをサーバ証明書によりSSL化を行い、平文であるベーシック認証をSSL保護する感覚に近いです。こちらはネットワーク接続後のサービス側で行う認証ですが、EAP はネットワークに接続するための認証です。
- この EAP-TTLS 認証方式をサポートするOSに Mac OS-X がありますが、Windows ではサプリカントが必要となります。

Supplicant （サプリカント）とは　～クライアント側 .

サプリカントとは、802.1X 認証を行う際に使用するクライアント側のプログラムの事を言います。RADIUS認証サーバがサポートするEAP認証方式にはいくつかの方法があり、認証方式によっては、クライアント側にサプリカントが必要となります。

このサプリカントは、対応してる無線LANアダプタに付属しており、有料の公衆無線LANサービスでは会員の認証にサプリカントが提供する所もあります。

Windows 2000 sp4 / XP Professional / Mac OSX では、OSがサプリカントを標準で持っているため、OS がサポートするEAP 認証方式をRADIUS サーバで採用している場合、無線LANアダプタのドライバが対応していれば、ユーザー認証による接続が可能です。

■OSサプリカント対応表

RADIUS サーバ暗号化認証方式	MICROSOFT（Windows）			Apple （OS-X）
RADIUS サーバ暗号化認証方式	98/ XP Home	2000 sp4	XP Professional	10.4（Tiger）
EAP-TLS	×	○	○	○
MS-PEAP	×	○	○	○
EAP-TTLS	×	×	×	○
EAP-MD5	×	○	SP１で廃止 SP２で復活	×

OSが非対応の場合は、サプリカントソフトウェアが必要という事になります。

もし、対応していないEAP認証方式をRADIUS で使用するのであれば、目的のEAP認証に対応したサプリカント（認証ソフト）が必要になります。このようにクライアントの環境を選ぶ上、認証方式の使い勝手も異なるため注意が必要になります。

無線LAN IEEE802.1X & EAP 認証導入にあたって

無線LAN アクセスポイントを設置する場合、電波の届く範囲であれば誰でもアクセスする事が可能である事を強く意識する必要があります。

このような不特定多数にアクセスされる可能性のあるアクセスポイントを設置する場合、安全性が重視されるビジネス用途においてはネットワーク接続のための認証必須となります。

参照 => エンタープライズ：RADIUSの仕組みと構築のポイント

特に SOHO やビジネス用途では無線LAN の強力な不正侵入対策となりますが、一般の方が利用するには認証サーバの設置、認証サーバ側のセキュリティ対策といった専門知識が必要であり導入は難しく、コスト、リスク、利便性を考えると現実的ではありません。

小規模でネットワーク認証が必要ない場合は、最初から有線で LANを構築すれば良いという事です。

RADIUS 認証サーバーの導入について .

IEEE802.1x によるネットワーク認証は従来から企業内ネットワークで利用されており、無線LAN の場合は、暗号化認証プロトコルである EAP を利用します。

既に Windows 2003 Server などで RADIUS 認証サーバによるネットワーク認証を導入しているケースでは、IEEE802.1X & EAP 認証に対応した無線LAN 機器導入はスムーズに行えますが、はじめて導入するケースや専門のネットワーク管理者を配置できない SOHOや小規模オフィス向けアプライアンスタイプの認証サーバも販売されています。

◆ メーカー => 認証サーバ|SLSTシリーズ
"100ユーザ対応 10key 付属" と "30ユーザ対応 5key 付属" があります。
ユーザ数に合わせて USB Key を追加購入する必要があります。

■100U / 10K

・Amazon で探す
・Yahoo!の最安値

SOHO・小規模オフィスで手軽に導入できるアプライアンスタイプの認証サーバです。EAP-TLS RSA 認証を採用しており、認証に必要な鍵は USB メモリで管理しているため、ノートパソコン盗難時の不正侵入を防止する事が出来ます。特に、小規模オフィスでノートPCによる無線LAN を中心としたネットワークを構築する場合、手軽にセキュリティを高めることが出来ます。（IEEE802.1X / EAP に対応した無線LANアクセスポイントが必要です。）

■30U / 5K

・Amazon で探す
・Yahoo!の最安値

■5本セット

・Amazon で探す
・Yahoo!の最安値

RADIUS 認証サーバを構築するには

ここでは、無線LAN におけるネットワーク認証を目的としていますが、RADIUS 認証サーバを導入する事で、IEEE802.1X 認証対応のインテリジェントスイッチ（HUB）を利用してネットワーク認証が行えるようになります。

何れにしても、認証情報の一元管理を行うサーバ運用に求められるセキュリティ対策の重要性は説明するまでもありません。ファイアウォールやログ監視、IDS による監視など管理・運用のことも考える必要があります。小規模オフィスではアプライアンスタイプの認証サーバをお勧めします。

Windows 2003 Server で構築する

Windows 2003 Server では、RADIUS 認証サービスが提供されています。

Linux で RADIUS 認証サーバを構築する

専門知識が必要ですが、Linux と FreeRADIUS を使用する事で導入コストゼロで RADIUS 認証サーバを構築するという選択肢もあります。（Linux コンテンツで予定）　

EAP-TLS 認証を行う場合、必要となる要素は以下のとおりです。

RADIUS 認証サーバー / Linux
- このサーバーへの接続は厳しく制限する必要があります。RADIUS 認証サーバーへの接続はファイアーウォール等、厳しく制限する必要があります。
CA （認証機関） ～ OpenSSL で構築
- TLS暗号化に必要な証明書の発行、管理を行います。EAP-TLS 認証に必要なクライアント証明書を発行します。
クライアント証明書 ～ OpenSSL で作成
- 認証を行うユーザーが本人であるか証明するための証明書です。上記、独自CA 管理者が発行し、安全な方法でクライアント、つまりネットワークへの接続を許可したいユーザーに配布します。例えユーザー認証コードが盗まれても、証明書がなければネットワークへ接続する事ができません。

ネットワーク認証ではなく一般のネットサービスの認証では、WebサーバApache もクライアント認証に対応しています。OpenSSL を利用し CA 構築・暗号化に必要なSSLサーバ証明書作成、ユーザ認証に必要なクライアント証明書発行といった作業は共通しています。
関連 => Linux サーバー構築　WEBサーバー関連　～目次
関連 => Linux サーバー構築　セキュリティ / OpenSSL関連　～目次

NTT コミュニケーションズの公衆無線LANサービス HOTSPOT （ホットスポット）でも IEEE802.1X認証を取り入れ、会員以外のネットワーク不正進入対策を強化する動きもあります。あくまでネットワークに侵入させないためのネットワークを提供する側を守るための仕組みであり、無線LANアクセスポイント利用者に恩恵がある訳ではありません。