802.1X の概要と各種 EAP タイプ

ドキュメント

製品情報 & ドキュメント

000006999

2021/03/26

メモこのデータは、一般的に本ページで説明されているセキュリティー機能などの高度なセキュリティー機能を使用しないホーム・ユーザーやスモールオフィス・ユーザーを対象としたデータでは使用されません。しかし、これらのユーザーは情報提供を目的としてトピックを面白く見つける可能性があります。

 

802.1X の概要

802.1X は、認証によってネットワークを保護するポート・アクセス・プロトコルです。その結果、この種の認証方法は、メディアの性質上、Wi-Fi 環境で非常に有用です。Wi-Fi ユーザーのネットワーク・アクセスが 802.1X を使って認証されると、そのアクセス ポイントで通信を許可する仮想ポートが開きます。正しく認証されない場合、仮想ポートは利用可能になされません。また、通信がブロックされます。

802.1X 認証には、3 つの基本要素があります。

  1. サプリカントWi-Fi ワークステーション上で実行するソフトウェア・クライアント。
  2. 認証システムWi-Fi アクセス ポイント。
  3. 認証サーバー認証データベースで、通常は Cisco* ACS*,Funk Steel-Belted RADIUS*, Microsoft* IAS* などの RADIUS サーバーです。

EAP (Extensible Authentication Protocol) は、サプリカント (Wi-Fi ワークステーション) と認証サーバー (Microsoft IAS など) の間で認証情報を渡す場合に使用されます。実際の認証は EAP の種類によって定義、処理されます。認証システムとして機能するアクセス ポイントは、サプリカントと認証サーバーが通信するためのプロキシーに限定されます。

どちらを使用すれば良いですか?

どの種類の EAP を使用するか、またそれ以上に 802.1X を使用するかどうかは、会社で必要とするセキュリティーのレベルと、管理オーバーヘッドと必要とする機能によって異なります。このページの説明と比較表は、利用可能な各種 EAP の理解の困難を緩和します。

EAP (Extensible Authentication Protocol) 認証タイプ

Wi-Fi ローカルエリアネットワーク (WLAN) のセキュリティーは必須であり、EAP 認証は WLAN 接続のセキュリティーを強化するより優れた手段を提供している可能性があるため、ベンダーは WLAN アクセスポイントに EAP 認証タイプを急速に開発して追加しています。一般的に導入されている EAP 認証タイプには、EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast、Cisco LEAP があります。

  • EAP-MD-5 (Message Digest) チャレンジは、基本レベルの EAP サポートを提供する EAP 認証タイプです。EAP-MD-5 は通常、Wi-Fi LAN の実装では推奨されません。ユーザーのパスワードが導き出される場合があります。この認証タイプは、一方通行の認証のみを提供し、Wi-Fi クライアントとネットワークの相互認証はありません。最も重要なのは、動的なセッションごとの WEP (Wired Equivalent Privacy) キーを使用する手段を持たない点です。
  • EAP-TLS (トランスポート層セキュリティー) は、クライアントとネットワークの証明書ベースおよび相互認証を提供します。クライアント側の証明書とサーバー側の証明書を使用して認証を実行します。また、ユーザーベースおよびセッションベースの WEP キーを動的に生成し、WLAN クライアントとアクセスポイント間の後続通信の安全性を確保します。EAP-TLS の短所は、証明書をクライアント側とサーバー側の両方で管理する必要がある点です。大規模な WLAN のインストールでは、これは非常に面倒な作業になる可能性があります。
  • EAP-TTLS (Tunneled Transport Layer Security) は Funk Software* と Certicom* によって EAP-TLS の拡張として開発されました。このセキュリティー手法は、クライアントとネットワーク間の証明書ベースの相互認証を、暗号化されたチャネル (またはトンネル) を通じて提供し、また動的なユーザーごとのセッションごとの WEP キーを生成する手段を提供します。EAP-TLS とは異なり、EAP-TTLS はサーバー側の証明書のみを必要とします。
  • EAP-FAST (Flexible Authentication via Secure Tunneling) は Cisco* によって開発されました。相互の認証を実現するために証明書を使用する代わりに、EAP-FAST は、認証サーバーで動的に管理できる PAC (Protected Access Credential) を使用して認証します。PAC は、手動または自動でクライアントにプロビジョニング (1 回配布) できます。手動プロビジョニングとは、ディスクまたは安全なネットワーク経由の配布方法を使用してクライアントに配布する方法です。自動プロビジョニングは、インバンド、エア、ディストリビューションです。
  • GSM Subscriber Identity (EAP-SIM) の拡張認証プロトコル方式は、認証およびセッション鍵の配布メカニズムです。GSM (Global System for Mobile Communications) の SIM (Subscriber Identity Module) を使用します。EAP-SIM は、クライアント・アダプターと RADIUS サーバーに由来する動的セッション・ベースの WEP キーを使用してデータを暗号化します。EAP-SIM では、SIM (Subscriber Identity Module) カードと通信するためにユーザー確認コードまたは PIN を入力する必要があります。SIM カードとは、GSM (Global System for Mobile Communications) ベースのデジタル携帯ネットワークで使用される特殊なスマートカードです。
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) は、USIM (UMTS Subscriber Identity Module) を使用する、認証およびセッションキー配布用の EAP メカニズムです。USIM カードは、携帯ネットワークでユーザー認証に使用されるスマートカードです。
  • LEAP (Lightweight Extensible Authentication Protocol) は、主に Cisco Aironet* VLAN で使用される EAP 認証タイプです。動的に生成される WEP キーを使用してデータ転送を暗号化し、相互認証をサポートします。現在、独自開発の Cisco は、現在 Cisco Compatible Extensions プログラムを通じて LEAP をさまざまな製造元にライセンスしています。
  • PEAP (Protected Extensible Authentication Protocol) は、従来のパスワード・ベースのプロトコルを含む認証データを 802.11 Wi-Fi ネットワーク経由で安全に転送する方法を提供します。PEAP は PEAP クライアントと認証サーバー間のトンネルを使用してこれを実現します。競合規格の TTLS (Tunneled Transport Layer Security) のように PEAP はサーバー側の証明書のみを使用して Wi-Fi クライアントを認証するため、安全な Wi-Fi LAN の導入と管理が簡単になります。PEAP は Microsoft, Cisco, および RSA Security が開発しました。

802.1X EAP タイプ

機能 / メリット

MD5
---
メッセージ・ダイジェスト 5
Tls
---
トランスポート・レベル・セキュリティー
Ttls
---
トンネルされたトランスポート・レベル・セキュリティー
Peap
---
トランスポート・レベル・セキュリティーの保護

高 速
---
セキュア・トンネルによる柔軟な認証

飛躍
---
Lightweight Extensible Authentication Protocol
クライアント側に証明書が必要いいえはいいいえいいえいいえ
(PAC)
いいえ
サーバー側に証明書が必要いいえはいはいはいいいえ
(PAC)
いいえ
WEP キーの管理いいえはいはいはいはいはい
不正 AP 検出いいえいいえいいえいいえはいはい
プロバイダーさんさんファンクさんシスコシスコ
認証属性1 つの方法相互相互相互相互相互
導入の難しさ簡単困難 (クライアント証明書の導入のため)中程 度中程 度中程 度中程 度
Wi-Fi セキュリティー貧しい非常に高い高い (強力なパスワードを使用した場合)

 

上記の説明と表をレビューすると、以下のような結論が得まれます。

  • MD5 は、1 方向の認証しか提供しないので、通常は使用されません。さらに重要なことには、WEP キーの自動配布とローテーションに対応していないので、手動による WEP キーのメンテナンスの負担が軽減されません。
  • TLS は非常に安全ですが、各 Wi-Fi ワークステーションにクライアント証明書をインストールする必要があります。PKI インフラストラクチャーのメンテナンスには、WLAN の維持に加えて、管理に関する専門知識と時間が必要です。
  • TTLS では証明書の問題をトンネルによって解決し、クライアント側の証明書の必要がなくなります。これは、頻繁に好ましいオプションになります。TTLS は主に Funk Software* が推進しています。サプリカントと認証サーバー・ソフトウェアには費用がかかります。
  • LEAP は過去が最も長く、以前は Cisco 独自の技術ですが (Cisco Wi-Fi アダプターでのみ動作)、現在ではその他の製造元に Cisco Compatible Extensions プログラムを通じてライセンスを許諾しています。LEAP を認証に使用する場合には、強力なパスワード・ポリシーを実施する必要があります。
  • EAP-FAST は、強力なパスワード・ポリシーを実施できない企業や、認証用の証明書を導入したくない企業が現在利用可能な認証方式です。
  • 最近の PEAP は、クライアント側証明書が必要ないという点で EAP-TTLS と同様に機能します。PEAP は Cisco と Microsoft が支援する製品で、Microsoft から無料で提供されています。LEAP から PEAP への移行を望む場合、Cisco の ACS 認証サーバーは両方とも実行します。

もう 1 つの選択肢は VPN です。

認証およびプライバシー (暗号化) を Wi-Fi LAN に頼る代わりに、多くの企業では VPN を導入しています。これは、アクセス ポイントを企業のファイアウォールの外側に設置し、リモートユーザーであるのと同じ方法で VPN ゲートウェイ経由でユーザーがトンネルを使用することで行われます。VPN ソリューション導入の短所は、コスト、初回インストールの複雑さ、および継続的な管理オーバーヘッドです。