802.1X の概要と EAP タイプ
| メモ | このデータは、本ページに記載されているような高度なセキュリティー機能を通常使用しないホーム・ユーザーまたはスモールオフィス・ユーザーを対象としたものではありません。ただし、これらのユーザーは情報提供を目的として興味深いトピックを見つけることができます。 |
802.1X の概要
802.1X は、認証によってネットワークを保護するためのポート・アクセス・プロトコルです。その結果、この種の認証方法は、メディアの性質上、Wi-Fi 環境で非常に有用です。Wi-Fi ユーザーがネットワーク・アクセスのために 802.1X を介して認証された場合、アクセスポイントで通信を許可する仮想ポートが開かれます。正常に承認されない場合、仮想ポートは利用可能にならず、通信はブロックされます。
802.1X 認証には 3 つの基本要素があります。
- サプリカントWi-Fi ワークステーション上で実行するソフトウェア・クライアント。
- 認証システムWi-Fi アクセスポイント。
- 認証サーバー認証データベース、通常は Cisco ACS*、Funk Steel-Belted RADIUS*、Microsoft IAS* などの RADIUS サーバー。
EAP (Extensible Authentication Protocol) は、サプリカント (Wi-Fi ワークステーション) と認証サーバー (Microsoft IAS またはその他) の間で認証情報を渡すために使用されます。EAP タイプは、実際に認証を処理して定義します。認証システムとして機能するアクセスポイントは、サプリカントと認証サーバーの通信を許可するプロキシーに過ぎません。
どれを使用すべきですか?
どの種類の EAP を実装するか、または 802.1X をまったく実装するかどうかは、組織が必要とするセキュリティーのレベル、管理オーバーヘッド、必要な機能によって異なります。このページの説明と比較表により、利用可能な各種 EAP の種類を理解する際の困難が軽減されることを願っています。
EAP (Extensible Authentication Protocol) 認証タイプ
Wi-Fi ローカルエリアネットワーク (WLAN) のセキュリティーは不可欠であり、EAP 認証タイプは WLAN 接続を保護するより優れた手段となる可能性があるため、ベンダーは WLAN アクセスポイントに EAP 認証タイプを迅速に開発して追加しています。一般的に導入される EAP 認証タイプには、EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast、Cisco LEAP などがあります。
- EAP-MD-5 (Message Digest) チャレンジは、ベースレベルの EAP サポートを提供する EAP 認証タイプです。EAP-MD-5 は、ユーザーのパスワードが導き出される可能性があるため、Wi-Fi LAN の実装には通常推奨されません。一方向の認証のみを提供し、Wi-Fi クライアントとネットワークの相互認証はありません。非常に重要なことは、動的なセッションごとの WEP (Wired Equivalent Privacy) キーを引き出す手段を提供しません。
- EAP-TLS (Transport Layer Security) は、クライアントとネットワークの証明書ベースおよび相互認証を提供します。クライアント側およびサーバー側の証明書に依存して認証を実行し、ユーザーベースおよびセッションベースの WEP キーを動的に生成して WLAN クライアントとアクセスポイント間の後続通信を保護するために使用できます。EAP-TLS の短所は、証明書をクライアント側とサーバー側の両方で管理する必要があるということです。大規模な WLAN のインストールでは、これは非常に面倒な作業になる可能性があります。
- EAP-TTLS (Tunneled Transport Layer Security) は Funk Software* と Certicom* によって EAP-TLS の拡張機能として開発されました。このセキュリティー手法は、クライアントとネットワークの証明書ベースの相互認証を、暗号化されたチャネル (またはトンネル) を介して提供し、また動的なユーザーごとのセッションごとの WEP キーを生成する手段を提供します。EAP-TLS とは異なり、EAP-TTLS はサーバー側の証明書のみを必要とします。
- EAP-FAST (セキュア・トンネルによる柔軟な認証) は Cisco* によって開発されました。証明書を使用して相互認証を実現する代わりに。EAP-FAST は、認証サーバーによって動的に管理できる PAC (Protected Access Credential) によって認証されます。PAC は、手動または自動でクライアントにプロビジョニング (1 回に 1 回配布) できます。手動プロビジョニングとは、ディスクまたは安全なネットワーク配信方法を介してクライアントに配信することです。自動プロビジョニングは、インバンド、空中、ディストリビューションです。
- EAP-SIM (Extensible Authentication Protocol Method for GSM Subscriber Identity) は、認証およびセッションキーの配布のためのメカニズムです。GSM (Global System for Mobile Communications) Subscriber Identity Module (SIM) を使用します。EAP-SIM は、クライアントアダプターと RADIUS サーバーから派生した動的セッションベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、SIM (Subscriber Identity Module) カードとの通信にユーザー確認コード (PIN) を入力する必要があります。SIM カードは、GSM (Global System for Mobile Communications) ベースのデジタル移動体ネットワークで使用される特殊なスマートカードです。
- EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) は、USIM (Universal Mobile Telecommunications System) Subscriber Identity Module (UMTS Subscriber Identity Module) を使用して、認証およびセッションキーを配布するための EAP メカニズムです。USIM カードは、携帯ネットワークで使用される特殊なスマートカードで、ネットワークを使用している特定のユーザーを検証するために使用されます。
- LEAP (Lightweight Extensible Authentication Protocol) は、主に Cisco Aironet* WLAN で使用される EAP 認証タイプです。動的に生成された WEP キーを使用してデータ転送を暗号化し、相互認証をサポートします。これまで独自の Cisco は、Cisco Compatible Extensions プログラムを通じて LEAP をさまざまな製造元にライセンス供与しています。
- PEAP (Protected Extensible Authentication Protocol) は、レガシーのパスワードベースのプロトコルを含む認証データを 802.11 Wi-Fi ネットワーク経由で安全に転送する方法を提供します。PEAP は、PEAP クライアントと認証サーバー間のトンネルを使用してこれを実現します。競合方式の TTLS (Tunneled Transport Layer Security) のように PEAP はサーバー側の証明書のみを使用して Wi-Fi クライアントを認証するため、安全な Wi-Fi LAN の実装と管理が簡素化されます。PEAP は Microsoft*、Cisco*、RSA Security* が開発しました。
802.1X EAP タイプ 機能 / 特典 | MD5 --- メッセージダイジェスト 5 | TLS --- トランスポート・レベル・セキュリティー | TTLS --- トンネル・トランスポート・レベル・セキュリティー | PEAP --- 保護されたトランスポート・レベル・セキュリティー | 高 速 | 飛躍 --- 軽量拡張可能認証プロトコル |
| クライアント側の証明書が必要 | いいえ | はい | いいえ | いいえ | いいえ (PAC) | いいえ |
| サーバー側の証明書が必要 | いいえ | はい | はい | はい | いいえ (PAC) | いいえ |
| WEP キー管理 | いいえ | はい | はい | はい | はい | はい |
| 不正 AP 検出 | いいえ | いいえ | いいえ | いいえ | はい | はい |
| プロバイダー | さん | さん | ファンク | さん | シスコ | シスコ |
| 認証属性 | 1 つの方法 | 相互 | 相互 | 相互 | 相互 | 相互 |
| 導入の難しさ | 簡単 | 困難 (クライアント証明書の導入のため) | 中程 度 | 中程 度 | 中程 度 | 中程 度 |
| Wi-Fi セキュリティー | 貧しい | 非常に高い | 高 | 高 | 高 | 強力なパスワードを使用する場合は高い。 |
上記の説明と表のレビューでは、通常、次のような結論が得られます。
- MD5 は、一方向の認証しか行わないので、通常は使用されません。さらに重要なことには、WEP キーの自動配布とローテーションに対応していないので、手動による WEP キーのメンテナンスの管理負担を軽減するものではありません。
- TLS は非常に安全ですが、各 Wi-Fi ワークステーションにクライアント証明書をインストールする必要があります。PKI インフラストラクチャーのメンテナンスには、WLAN 自体の維持に加えて、さらに管理に関する専門知識と時間が必要です。
- TTLS は TLS をトンネルして証明書の問題に対処するため、クライアント側の証明書が不要になります。多くの場合、このオプションを優先します。TTLS の主な推進役は Funk Software* で、サプリカントおよび認証サーバー・ソフトウェアには費用がかかります。
- LEAP は最も長い歴史を持ち、以前は Cisco 独自のもの (Cisco Wi-Fi アダプターでのみ動作) ですが、Cisco Compatible Extensions プログラムを通じて LEAP を他のメーカーにライセンス供与しています。LEAP を認証に使用する場合は、強力なパスワード・ポリシーを適用する必要があります。
- EAP-FAST は、強力なパスワード・ポリシーを実施できず、認証用の証明書を導入したくない企業向けに利用可能になりました。
- 最近の PEAP は、クライアント側の証明書を必要としないという点で EAP-TTLS と同様に機能します。PEAP は Cisco と Microsoft が支援しており、Microsoft から無償で入手できます。LEAP から PEAP への移行を希望する場合、Cisco の ACS 認証サーバーは両方を実行します。
もう 1 つのオプションは VPN です。
認証とプライバシー (暗号化) のために Wi-Fi LAN に依存するのではなく、多くの企業が VPN を実装しています。これは、アクセスポイントを企業のファイアウォールの外側に配置し、リモートユーザーであるかのように VPN ゲートウェイ経由でユーザーがトンネルインすることによって実現されます。VPN ソリューションの実装の短所は、コスト、初期インストールの複雑さ、および継続的な管理オーバーヘッドです。