主に家庭で使用されている無線LANの認証はWPA-PSKによる事前共有鍵方式が使用されている。これは事前に用意した鍵(パスワード)を無線LANアクセスポイントと端末に設定し、お互いの鍵が同じであれば無線LANへの接続が許可される方式となっている。この方式の問題点は、

  • 鍵が外部に流出すると、アクセスポイントの他、全端末の鍵を更新することになる。
  • 誰がいつ接続したか記録が取れない。不正利用された際の追跡が出来ない。

この問題点があると企業での利用は難しい。例えば鍵を知っている退職者が出る度に全端末の鍵を更新することになるし不正利用者の特定も出来ない。

これを解決するには802.1xによる認証を利用することになる。802.1xには複数の認証方式があるので、それらを纏めてみた。

EAP-TLS

クライアント端末にクライアント証明書、認証サーバにサーバ証明書が必要になる認証方式。証明書で認証するためユーザIDとパスワードの入力は不要。ただしユーザ(クライアント)毎に証明書を作成する必要がある為に運用負担が高く、万が一 証明書が入っている端末を盗まれた場合の事を考え、証明書失効リスト(CRL)の仕組みも用意する必要がある。

EAP-TTLS

EAP-TLSと違い、認証サーバ側のみ証明書が必要になる。クライアントとの認証はユーザIDとパスワードで行う。通常 ユーザIDとパスワードの入力は、端末へ無線LAN設定をする際に入力する1回のみでその後端末に記録されるため、再接続する時もユーザIDとパスワードは求められない。ユーザの負担はもちろん、運用側の負担も少ない。例えば、認証サーバを企業が社員DBとして運用しているLDAPと連携させれば、IDパスワードの管理も容易となる。万が一端末を盗まれた場合でもユーザのパスワードを変更することで、不正接続を防止することができる。

PEAP(EAP-PEAP)

認証方式及び特徴は「EAP-TTLS」と変わらない。EAP-TTLSとの優位点はWindowsに採用されていること。Windowsに標準で使用されているサプリカントはEAP-TTLSには対応しておらずPEAPには対応しているので、WindowsPCが主なクライアントであればPEAPを選択するほうが導入が容易となる。

その他

これら認証方式を採用すると、無線LANに接続できるのは各認証方式に対応したクライアントのみとなる。しかし無線LANにはプリンタ等の機器も接続したいという要望もあある。だが大抵のプリンタは802.1xの認証には対応していない。

この問題を解決するには「MAC認証バイパス(MAC Authentication Bypass)」を使えばよいらしい。例えば、無線プリンタがアクセスポイントに接続を試みてもEAP-XXXの認証に反応できない。その場合は事前に認証サーバにプリンタのMACアドレスが登録されていればEAPでの認証が出来なくても接続を許可させる。この方式はまだ検証できていないので、今後検証出来れば、ここに追記して記録したいと思う。

  • このエントリーをはてなブックマークに追加