サポート

802.1X の概要と各種 EAP タイプ


最終改訂日: 08-Mar-2018
記事 ID: 000006999

本ページの情報は、ここに記載されているような高度なセキュリティー機能を普通使用しないホーム・ユーザーや SOHO ユーザーを対象としたものではありません。しかし、このようなユーザーにも情報提供を目的として本資料をご覧いただけます。

802.1X の概要

802.1x は、認証によってネットワークを保護するポート・アクセス・プロトコルです。この種の認証方法は、Wi-Fi という媒体の性質から、Wi-Fi 環境では非常に有用です。Wi-Fi ユーザーのネットワーク・アクセスが 802.1X を使って認証されると、アクセスポイントで通信を許可する仮想ポートが開かれます。正しく認証されない場合には、仮想ポートは利用可能にならずに、通信はブロックされます。

802.1X 認証には、3 つの基本構成要素があります。

  1. サプリカントWi-Fi ワークステーション上で実行するソフトウェア・クライアント
  2. 認証システムWi-Fi アクセスポイント
  3. 認証サーバー認証サーバー、通常は Cisco* ACS*, Funk Steel-Belted RADIUS*, Microsoft* IAS* などの RADIUS サーバー

EAP (Extensible Authentication Protocol) は、サプリカント (Wi-Fi ワークステーション) と認証サーバー (Microsoft IAS やその他のサーバー) の間で認証情報を渡すために使用されます。実際の認証は、EAP の種類によって定義、処理されます。認証システムとして動作するアクセスポイントは、サプリカントと認証サーバーが通信できるようにするプロキシーに過ぎません。

どれを採用すべきですか?

どの種類の EAP を採用するか、またそれ以前に 802.1X を使用するかどうかは、会社で必要とするセキュリティーのレベルと、管理労力と必要とする機能のバランスによって決まります。本ページの説明と比較表は、利用可能な各種 EAP をより簡単に理解するために提供されています。

EAP (Extensible Authentication Protocol) 認証タイプ

Wi-Fi LAN (WLAN:Wi-Fi ローカルエリアネットワーク) ではセキュリティーが必須であり、EAP 認証が優れた安全性を WLAN 接続にもたらしていることから、様々なベンダーの WLAN アクセスポイントには各種の EAP 認証が追加されています。一般によく実装されている EAP 認証タイプには、EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast, Cisco LEAP などがあります。

  • EAP-MD-5 (Message Digest) チャレンジは、基本レベルの EAP サポートを提供する EAP 認証タイプです。EAP-MD-5 は、ユーザーのパスワードが破られる可能性が高いので通常 Wi-Fi LAN への実装は推奨されません。この認証タイプは、一方向の認証のみを提供し、Wi-Fi クライアントとネットワークの双方向認証はありません。とりわけ、このタイプは動的なセッションごとの WEP (Wired Equivalent Privacy) キーを使用する手段を持ちません。
  • EAP-TLS (Transport Layer Security) は、証明書ベースおよびクライアントとネットワークの双方向の認証です。クライアント側の証明書とサーバー側の証明書を使って認証を実行するだけでなく、ユーザーベースおよびセッションベースの WEP キーを動的に生成し、WLAN クライアントとアクセスポイント間の継続的通信の安全性を確保します。EAP-TLS の短所は、証明書をクライアント側とサーバー側の両方で管理する必要があることです。これは大規模な WLAN 環境において、非常に面倒な作業となります。
  • EAP-TTLS (Tunneled Transport Layer Security) は Funk Software* と Certicom* により EAP-TLS の拡張プロトコルとして開発されました。このセキュリティー手法では、クライアントとネットワーク間相互の証明書ベースの認証を暗号化されたチャネル (またはトンネル) を通じて提供し、また動的なユーザーごと、セッションごとの WEP キーを生成する手段も提供しています。EAP-TLS との相違点は、EAP-TTLS ではサーバー側の証明書しか必要としないことです。
  • EAP-FAST (Flexible Authentication via Secure Tunneling) は Cisco* によって開発されました。証明書を使用する代わりに、認証サーバーで動的に管理可能な PAC (Protected Access Credential) を使用して相互の認証を実現します。PAC は手動または自動でクライアントにプロビジョニング (1 回配布) することができます。手動プロビジョニングは、ディスクまたは安全なネットワーク経由の配布でクライアントに配布する方法です。自動プロビジョニングは、無線のバンド内で配布する方法です。
  • EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) とは、認証とセッション鍵の配信メカニズムの一種です。これは、GSM (Global System for Mobile Communications) の SIM (Subscriber Identity Module) を使用します。EAP-SIM は、クライアント・アダプターと RADIUS サーバーに由来する動的セッション・ベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、 SIM (Subscriber Identity Module) カードと通信するためにユーザー確認コード、または PIN を入力する必要があります。SIM カードとは、GSM (Global System for Mobile Communications) ベースのデジタル携帯ネットワークで使用される、特殊なスマートカードです。
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) は、USIM (UMTS Subscriber Identity Module) を使用する、認証およびセッションキー配布用の EAP メカニズムです。USIM カードは、携帯ネットワークでユーザー認証に使用されるスマートカードです。
  • LEAP (Lightweight Extensible Authentication Protocol) とは、主に Cisco Aironet* WLAN で採用されている EAP 認証タイプです。この方式では動的に生成される WEP キーを使用して転送データを暗号化し、また相互認証もサポートしています。これまで独占していた Cisco は、現在 Cisco Compatible Extensions プログラムを通じて LEAP を様々な製造元にライセンス供与しています。
  • PEAP (Protected Extensible Authentication Protocol) は、旧来のパスワード・ベースのプロトコルを含む認証データを 802.11 Wi-Fi ネットワーク経由で安全に転送する方法を提供します。安全な転送は PEAP クライアントと認証サーバー間でトンネルを使用することによって実現されます。競合方式の TTLS (Tunneled Transport Layer Security) のように PEAP はサーバー側の証明書のみを使って Wi-Fi クライアントを認証します。したがって、安全な Wi-Fi LAN の導入と管理が簡単になります。PEAP は Microsoft, Cisco, および RSA Security が開発しました。

802.1X EAP 認証方式

機能 / 利点

MD5
---
Message Digest 5
TLS
---
Transport Level Security
TTLS
---
Tunneled Transport Level Security
PEAP
---
Protected Transport Level Security

FAST
---
Flexible Authentication via Secure Tunneling

LEAP
---
Lightweight Extensible Authentication Protocol
クライアント側に証明書が必要××××
(PAC)
×
サーバー側に証明書が必要×××
(PAC)
×
WEP キーの管理×
不正 AP 検出××××
プロバイダーMSMSFunkMSCiscoCisco
認証属性1 方向双方向双方向双方向双方向双方向
実装の難易度簡単困難 (クライアント側証明書の導入のため)中程度中程度中程度中程度
Wi-Fi セキュリティー悪い最高高い (堅牢なパスワードを使用した場合)

上記の説明および比較表をまとめると、以下のような結論が得られます。

  • MD5 は、1 方向の認証しか提供しないので、通常は使用されません。更に重要なことには、WEP キーの自動配布やローテーションに対応していないので、手動による WEP キーのメンテナンスの労力が全く軽減されません。
  • TLS は非常に安全ですが、個々の Wi-Fi ステーションにクライアント証明書をインストールする必要があります。PKI インフラストラクチャーのメンテナンスには、WLAN 構築に必要な知識と時間に加えて、更に管理に関する専門的知識と時間が必要となります。
  • TTLS では証明書の問題をトンネルによって解決し、クライアント側の証明書の必要がなくなります。このため、選ばれることの多い選択肢となっています。TTLS は主に Funk が推進しており、サプリカントと認証サーバー・ソフトウェアには費用がかかります。
  • LEAP は運用歴が最も長い方式です。以前は Cisco 専用の技術でしたが (Cisco 製の Wi-Fi アダプターでのみ機能)、現在ではその他の製造元に Cisco Compatible Extensions プログラムを通じてライセンス供与されています。LEAP を認証として使用する場合には、堅牢なパスワード・ポリシーを実施する必要があります。
  • EAP-FAST は、堅牢なパスワード・ポリシーを実施できず、また認証用の証明書を導入したくない企業が現在利用可能な認証方式です。
  • 最近の PEAP は、クライアント側証明書が必要ないという点で EAP-TTLS と同様に機能します。PEAP は Cisco と Microsoft が支援する方式であり、Microsoft から無料で入手することができます。LEAP から PEAP への移行を望む場合には、Cisco の ACS 認証サーバーがどちらも実行可能です。

代替オプションとしての VPN

認証およびプライバシー (暗号化) を Wi-Fi LAN に頼る代わりに、多くの企業では VPN を導入しています。これは、アクセスポイントを会社のファイアウォールの外側に設置し、リモートユーザーであるかのように、VPN ゲートウェイ経由でユーザーが「トンネル」することによって実現されます。VPN ソリューション導入の短所は、高いコスト、初回実装の複雑さ、および継続的な管理労力です。

関連製品のサポート