インフラエンジニア勉強雑記

インフラ技術に関して勉強したメモを残したものです。誤っている内容があればコメントもしくはメッセージでお知らせいただけると助かります。

802.1Xについて① 概要

 

1.IEEE 802.1X認証とは

1.1.概要

NWに接続する端末を認証するための技術です。認証方法の中では設定が面倒な部類に入りますが、セキュリティを強固にすることが可能です。この名称は長いため、ドットイチエックスとかイチエックスと略されて呼ばれることが多いです。

本技術を使用する際にはクライアント、スイッチ、認証サーバの3つが絡むため、障害発生時に原因の切り分けが非常に大変ですが、その分セキュリティも強固なので、導入している企業は多いです。

また、構築だけでなく運用にも気を配る必要があります。802.1X認証に対応していないクライアントに対してはMAB(MAC Authentication Bypass)を有効にしたり、配下にスイッチングハブなどが入っていると正常に認証されない場合などがあります。

本技術の方式の中にはSSL証明書を使用するものもあるため、SSL証明書の検証方法をよく理解しておいたほうが良いです。(SSL証明書を受信したクライアントはどのように証明書が正当なものか検証を行っていたか。)

1.2.通信フロー

この認証を行うためには以下の機器から構成されます。

  • サプリカント(Supplicant):認証クライアント。Windows端末やMac端末などのデバイスやクライアントにインストールされたソフトウェアが対象となる。
  • オーセンティケータ(Authenticator):802.1Xに対応したスイッチや無線LAN
  • 認証サーバ:認証を行うためのサーバ。Radiusが利用されることが多い。

以下は認証のフローです。使用するEAPの種類によってフローが変動するため、注意が必要です。

f:id:light-spoqz:20190212002611j:plain

上記で色々な通信を記載してますが、今回では以下を理解してください。

  1. サプリカントがオーセンティケータ(スイッチもしくは無線AP)に接続したタイミングで認証が開始する。
  2. サプリカントとオーセンティケータ間の通信はオーセンティケータがプロキシして認証サーバと通信する。

詳細の通信フローは後日パケットキャプチャを付与して説明します。

2.EAPとは

認証プロコトルの一つです。EAPの中には以下のような認証方法があります。

  • EAP-MD5:ユーザー名とパスワードによる認証だが、平文を流さないためにMD5ハッシュを用いる。クライアント側のみ認証される。
  • EAP-TLS (Transport Layer Security):サーバ、クライアント双方に電子証明書を準備し、これによって認証を行う。両者にルート証明書保有している必要がある。
  • EAP-TTLS (Tunneled TLS):EAP-TLSの拡張版。米ファンク・ソフトウェア社 (Funk Software) が開発したEAP製品。まずはサーバ側にのみ電子証明書を準備してサーバ認証済みのTLS通信路を構築し、その暗号化通信路を通してパスワードによるクライアント認証を行う。
  • EAP-PEAP (Protected EAP):米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL (Secure Sockets Layer) と同じ暗号化技術によって認証通信全体が暗号化されている。サーバ側にのみ電子証明書を準備してサーバの認証を行った後に、TLSによる暗号化通信路を用いてさらにEAP通信を行い、クライアントを認証する。この際クライアントの認証はパスワードやキートークンなど、電子証明書以外の認証手段を利用する事が一般的である。
  • LEAP(Lightweight EAP) :米シスコシステムズ社が開発したEAP製品。

個人的にはEAP-TLSを使用することが多いです。ただし、クライアント端末にクライアント証明書のインポートが必要になるため、PCの更改と合わせて実施することが推奨です。既存のPC環境を変更したくなく、AD環境であればPEAPがいいです。

 

3.まとめ

  • NWのセキュリティを強固にしたいのであればIEEE 802.1Xを導入するべき。
  • クライアント、NW機器、認証サーバの3種類が絡むため、切り分けが困難。
  • 導入や運用に手間がかかるため、コストと相談する必要あり。