法人企業向け無線LANの認証方式

無線のセキュリティプロトコルについては、WEP、WPA、WPA2の順にリリースされてきました。

WEP、WPAに関しては脆弱性を抱えているため、不正アクセスにより簡単に突破されてしまいます。

そのため、執筆時点(2017年12月)で無線セキュリティプロトコルに利用される規格としてはWPA2一択!と言い切ってもよいでしょう。

但し、10年くらい前の古いパソコンや無線LANカードであればWPAしか対応していないものもあるかと思います。

もっと古いパソコン(Windows Me とか XP のころ)や昔の無線ハンディスキャナーなんかであればWEPしか対応していないものも未だにあるかも知れません。

 

WPA2のパーソナルとエンタープライズ

現時点で一番セキュリティが高いWPA2ですが、AESという暗号化プロトコルが採用されています。

AESは現時点で一番強固な暗号化プロトコルで、この暗号化を不正に解読する方法は今のところ見つかっていません。

2017年11月にWPA2の脆弱性が公開されました。既に修正パッチが配布されており、パッチを適用することで本脆弱性を回避することが出来ます。
https://www.ipa.go.jp/security/ciadr/vul/20171017_WPA2.html

 

また、WPA2には「パーソナル」「エンタープライズ」の2つの選択肢が用意されています。

パーソナルというのはPSKキーで認証するもので、ほとんどの一般家庭で使われていると思います。

WPA2パーソナルの問題点は同じパスワードを全員で共有して利用する点です。

たとえば、法人企業の無線LAN環境でWPA2パーソナルを利用する場合、パスワードが流出してしまうと簡単に社内ネットワークへ不正アクセスを許してしまうことになります。

企業であれば退職者、学校であれば卒業生、など組織から離れた者が不正にアクセスすることも考えられますね。

法人企業ではなく、一般家庭でWPA2パーソナルを利用する分には基本的に問題ありません。

 

WPA2エンタープライズは802.1x認証をつかう

WPA2エンタープライズは、802.1x認証という認証方式が採用されています。

802.1x認証をつかうことで、無線クライアントがそれぞれ自分専用の認証アカウントで接続できるようになります。

WPA2パーソナルのように同じキーを共有して使わないため、セキュリティレベルはずっと高くなります。

この802.1x認証には必ず「Radiusサーバー」「Radiusクライアント」「サプリカント」の3つのコンポーネントが必要になります。

  • Raidusサーバー・・・認証を行うサーバー。
  • Radiusクライアント・・・認証結果に従って許可・拒否を行う。無線LANの場合、無線LANコントローラーもしくは無線アクセスポイントが担う。
  • サプリカント・・・接続要求を行うソフトウェア。無線クライアントに実装され、WindowsやMAC OSなど、OS標準でインストールされている。
    ※有線LANの802.1x認証でも同様、この3つのコンポーネントが必要となります。

つまり、WPA2エンタープライズを利用する際は、最低でも上記3つのコンポーネントを用意しなければならないのです。

WPA2パーソナルと比べてセキュアである反面、手間も費用も知識も必要となります。

 

802.1x認証で使われるEAPプロトコル

もう一つ考慮しなければならないのが、EAPプロトコルです。

802.1X認証では様々な認証方式が行えるようにEAPプロトコルがサポートされています。

EAPの認証方式には MD5、 TLS、 TTLS、 PEAP、 LEAP、EAP-FAST などの選択肢があります。

法人企業の無線LAN環境では、ほとんどのケースで TLS か PEAP もしくは TTLS のいずれかが採用されます。

クライアントの認証方法 サーバーの認証方式 セキュリティ 備考
MD5 ユーザー名/パスワード なし サーバー認証なし。
LEAP ユーザー名/パスワード ユーザー名/パスワード Cisco独自規格のため汎用性無し。ほとんど流行らなかった。
EAP-FAST ユーザー名/パスワード ユーザー名/パスワード Cisco独自規格のため汎用性無し。ほとんど流行らなかった。
PEAP ユーザー名/パスワード 証明書 高い TLSで暗号化し、ID、パスワードで認証。運用しやすいため人気が高い。
TTLS ユーザー名/パスワード 証明書 高い TLSで暗号化し、ID、パスワードで認証。運用しやすい。PEAPとほぼ一緒。
TLS 証明書 証明書 非常に高い クライアント証明書を使って認証。最もセキュリティレベルが高いとされるが運用が超めんどう。

そして、これらTLS、PEAP、TTLSには証明書の発行が必要となります。

証明書はCA局という証明書を発行させる機関から発行してもらう必要があります。

公的なCA局ではVeriSignやComodo、GoDaddyなどが大きなシェアを占めます。

しかし、法人企業内で利用する場合は公的な証明書ではなく社内でのみ利用できる証明書を自前で発行します。

CA局は、WindowsサーバーやLinuxで立てても良いですし、NetAttest EPS のようなオンプレ機器などもあります。

 

クライアント証明書を使うTLSが一番セキュアであるが、運用は最高に面倒くさい

EAP-PEAPやEAP-TTLSはサーバー証明書で暗号化されたトンネル内で、ID・パスワードを使って認証を行うというもの。

このとき、Radiusサーバーから送信されるサーバー証明書をチェックするためにクライアントデバイスには予めルート証明書をインストールします。

このルート証明書は誰に配布されてもよいもので、公開されているものです。ルート証明書は社内全員のデバイスに共通でインストールされる証明書です。

つまり、ID・パスワードが第三者に知られてしまうとルート証明書がインストールされた端末からは不正アクセスを許してしまうことになります。

 

この様な事態を防ぐためにEAP-TLSという最強の認証方式があります。

EAP-TLS認証はクライアントの認証にクライアント証明書を使います。

予めクライアントデバイスに証明書をインストールしておくことで、そのデバイスからしか無線LAN環境に接続できないようにすることが出来ます。

つまり、ID・パスワードのように流出の心配が無いのです。(パソコンごと盗まれてしまえばそれまでですが。)この様な認証方式を筐体認証と呼んだりします。

但し管理者側にデメリットがあります。

EAP-TLS認証の場合、「クライアント証明書をデバイス毎に発行して、それを各自のデバイスにインストールする」という大変面倒なタスクが発生します。

また、このクライアント証明書の受け渡し方法も慎重に気を配らなければなりません。社員数2000名とかの規模であれば、大変な労力がかかってしまいます。

利便性をとるならEAP-PEAPもしくはEAP-TTLS、セキュリティ性を重視するならEAP-TLSといったところでしょう。

ここまで読んでいただくと、WPA2エンタープライズが相当めんどうくさいということが理解いただけたのではないでしょうか。

この様な背景もあってか、WPA2エンタープライズの導入は敷居が高く法人企業であっても未だ導入されていなかったりするケースも多いのです。

 

MEMO
ARRIS社RuckusではPSKキーをユーザー毎に作成する”Dynamic-PSK”という機能があります。Dynamic-PSK機能により、ユーザーはWPA2-パーソナルのまま利用でき、キーは第三者と別々のものを使う、といったことが可能となります。

 

コメントを残す