論文 - 麻生塾

2005/02/28
有線/無線 LAN における認証技術の検証
021096 今村 洋文*1
021088 立野 泰史*1
*1 コンピュータネットワーク科 3 年
031119
波田 幹生*2
*2 コンピュータネットワーク科 2 年
要旨:昨今の急速なインターネット、イントラネットの普及により、企業の管理者やユーザの危機意識が追
いつかないままコンピュータ・ネットワークが浸透し、情報漏洩等が大きな問題となって来ている。そこで、
本プロジェクトでは、麻生塾学内にある機材を利用して有線/無線 LAN に有効なセキュリティ・ネットワーク
の研究を行う事を主題とする。また、この過程でセキュリティ技術、Windows、PC-UNIX による環境構築と、
各 OS による相違点、無線 LAN 技術、有線 Switch 技術についても学び、相応の資格取得も行う事とする。
キーワード : IEEE802.1x、PKI
1.
はじめに
ネットワークのセキュリティを確保する方法としては、暗号化や
フィルタリングといったものも挙げられるが、今回はネットワークを
使用する際の認証を研究テーマとしてあげた。
今回のテーマで扱うセキュリティの定義としては
・
ネットワークの不正利用
・
データの盗聴による被害
という 2点を想定している。この2つの事柄を防ぐための対策を
技術的な観点から考えていくのが今回の研究である。
ことが出来てしまう。WindowsXP においては ESSID を自動検
出する機能が備わっている。
ESSID として「ANY」を設定することにより、どのアクセスポイ
ントにでも接続できるが、最近は「ANY」設定からの接続を受け
付けない機能を無線 LAN アクセスポイント側が備えている。
ESSID ステルス機能を備えたアクセスポイントも存在している。
このアクセスポイントでは、前述したアクセスポイントから発信さ
れているビーコンの中から ESSID を取り除くことが出来る。しか
し、クライアントからのパケットを解析すれば容易に ESSID を取
得することが出来てしまう。
以上のような点から、ESSID は無線 LAN のセキュリティを確
2.
2.1
LAN 環境におけるセキュリティ
有線 LAN
無線LAN とは違い、物理的にネットワーク機器にアクセスでき
ないようにすればネットワークへのアクセスを防ぐことが出来る。
しかし、それ以外にはほとんどセキュリティの対策が行なわれて
いないのが実情である。逆に言えば、物理的にスイッチのポート
や Ethernet コンセントにアクセスできれば容易に内部ネットワ
ークへと侵入されてしまうということである。
2.2
保する手法として有効ではない。
無線 LAN
無線 LAN は、伝送媒体として無線を用いているため、物理的
にセキュリティの対策を施すことは難しい。そのため、無線 LAN
2.2.2
この方式では NIC(Network Interface Card)に一意に割り振
られている MAC(Media Access Control)アドレスを用いて接
続の可否を決定する。
ただし、MAC アドレスを偽装するためのソフトウェアが存在し
ているため安全とは言い切れない。
さらに、NIC を交換した場合にアクセスポイント(以下 AP と記
載)の設定を変更する必要があるため運用面で問題がある。
(AP に対して一台一台設定する必要がある)
においてセキュリティを確保する方法としては、ESSID、MAC
アドレスフィルタリング、WEP といったものが一般的に用いられ
ている。
2.2.1
MAC アドレスフィルタリング
登録している特定の端末からのみ通信を受け付ける。
2.2.3
WEP/WEP2
WEP(Wired Equivalent Privacy)とは、RC4 アルゴリズムを
ベースにした秘密鍵暗号方式で、鍵長の短い WEP と、WEP で
ESSID
ESSID(Extended Service Set Identifier)とは無線 LAN に
おいて接続するネットワークを識別するための識別子の一つで、
最大 32 文字までの英数字を任意に設定できる。ESSID は無線
LAN アクセスポイントから定期的に送信されており、誰でも見る
の問題点を多少改善した WEP2 の 2 種類が存在する。
・
・
WEP…40 or 104bit のデータと 24bit の IV を使用
WEP2…128bit のデータと 128bit の IV を使用
(IV: Initialization Vector 暗号化の元となる数値)
WEP2 では IV が 128bit と長くなったが、以下の問題がある。
(1)
2005/05/13
・
MIC(Message Integrity Code :データの完全性を保証
す Switch 、 AP を Authenticator 、 認 証 す る 側 を
する為のコード)を使用していない為、メッセージの改竄
Authentication Server と言い、図1のようにユーザ認証を行う
検出が出来ない
RADIUS サーバが必須となっている為、ある程度規模の大きい
・
鍵が AP 毎に固定である
団体には問題無いが、個人用途には敷居が高い仕様となってい
・
接続先 AP の真正性確認をする機構が無い
る。
・
2.2.4
3.1.1
WPA
動作手順
802.1x の動作手順は大まかに以下の様になる。
WPA(Wi-Fi Protected Access)とは、従来の AP 毎に固定で
あった WEP に代わって TKIP(下記参照)というプロトコルを採
用する事により、暗号化キーを自動的に変更しようという方式で
ある。本来 IEEE802.11i のサブセットであるが、無線 LAN のセ
キュリティ対策が急務となっている為、IEEE802.11i の正式な策
定より先行して普及して来ている。
2.2.5
TKIP
TKIP(Temporary Key Integrity Protocol)とは、WEP の後
継に当たる暗号化規格で、WEP と同様に RC4 アルゴリズムを
ベースにした秘密鍵暗号方式。
・
一定時間もしくは一定通信量毎に暗号化キーを自動変更
・
ファームウェアのバージョンアップで対応可
図 1 802.1x の動作手順
といった特徴を持つが、ソフトウェアで暗号化/複合化を行うた
め、通信速度が遅くなり易く、同時に多くの端末を動かす環境
には向いていない。
2.3
3.2
問題点のまとめ
以上の事から、MACアドレスフィルタリングやWEPと言ったも
のを単体で使用するのは論外として、複数組み合わせた場合で
802.1x は EAP (PPP Extensible Authentication Protocol )
という PPP を拡張した認証プロトコルを使用して認証を行い、主
に以下のような利点がある。
・
も従来の方法では安全とは言い難い状況にある。セキュリティを
接続ユーザを認証する機構
・
接続先である AP を認証する機構
・
WEP キーを動的に変更する機構
・
データの改竄検出をする機構
・
通信速度をなるべく落とさない仕様
3.
3.1
・
が可能
反面、LCP や PPP を拡張しているため、古いソフトウェアとの
間での互換性問題や、リンク確立後の認証方式であるため、実
装方法によっては認証失敗後もリンクを切断しないといった問
題が起こりうる。
IEEE802.1x
現在 WEP の問題点を受け、製品への実装が最も進んでいる
Control (以下 802.1x)である。
LCP によるリンク確立時に認証を行わず、リンク確立後に
サーバと認証を行う事により、より多くの認証方式を使う事
問題の解決策
セキュリティ仕様が IEEE802.1x -Port-Based Network Access
MD5、ワンタイムパスワード、TLS など追加的な認証方
法をサポート
確保する上では、以下の点を考慮に入れるべきである。
・
認証方式
3.2.1
EAP 認証手順
3.3
EAP 各種方式
非常に種類の多い認証プロトコルであるが、よく使用される方
式としては、以下の認証方式がある。
802.1x とは、端末-有線 Switch 間での Point to Point 物理
ポート接続や無線端末-AP間の論理的なポート接続を制御し、
認証プロセスに失敗したホストからのポートアクセスを防御する
規格である。
認証を受ける側のソフトウェアを supplicant、認証パケットを通
(2)
・
EAP-MD5 (Message Digest 5)
・
EAP-TLS (Transport Layer Security)
・
EAP-TTLS (Tunneled TLS)
・
PEAP (Protected EAP)
・
LEAP (Lightweight EAP)
・
FAST(Flexible Authentication via Secure Tunneling)
2005/05/13
EAP の認証手順は図 2 の通りである。
・
双方公認証
・
WEP キーを自動生成
・
WindowsXP/Windows2000SP4 で標準サポート
3.3.5
LEAP
米シスコシステムズが開発した独自規格。
・
ユーザ ID、パスワードを使用した C/S 認証方式
・
WEP キーを自動生成
・
Windows/LDAP のシングルサインオンで認証が終了
・
ユーザ、セッション毎にキーを変更可能
非常に便利であったが、Dictionary Attack に対する脆弱性
が発見され FAST へ移行する事になる。
図 2 EAP の認証手順
3.3.6
FAST
Cisco 独自規格で、LEAP のセキュリティホール対策を施した
3.3.1
物で、対称鍵を使用して認証プロセスのトンネル化を行う。
EAP-MD5
・
EAP の中で最も単純で、強度の弱い認証方法。
・
CHAP 同様にパスワードのハッシュ値を送信
・
片方向認証
・
WEP キーの配布は行わない
・
WindowsXP SP2 から非サポート
3.3.2
トンネル内でユーザ ID、パスワードを送信
・
対応機器が非常に少ない
(PAC: Protected Access Credential 32 オクテットの動的なア
クセス証明キー)
3.4
クライアント、サーバ共に電子証明書を保持して相互認証を行
ければならないため、非常に手間がかかる。
・
電子証明書を使用して認証
・
双方向認証
・
WEP キーを自動生成
・
WindowsXP/Windows2000SP4 で標準サポート
・
USB 認証トークンなどを用いる事で、更にセキュリティレ
PKI
PKI(Public Key Infrastructure)とは、公開鍵暗号方式に基
づいて電子署名サービスを提供するためのシステムである。こ
れによって、電子証明書の確認、発行、失効といった一連のサ
ービスを提供する事が出来る。大きく分けて、以下の3つから構
成されている。
ベルを高める事が可能。
3.3.3
・
EAP-TLS
う為、極めて安全性が高いが、それぞれに証明書の発行をしな
クライアント及び AAA サーバは PAC を使用して相互に
認証し、トンネルを確立
・
証明書…X509 という形式の電子ファイル
・
認証局…証明書の発行などを行うアプリケーション
・
リポジトリ…証明書をまとめて保管する場所
この 3 つの関係を表したのが、図 3 である。
EAP-TTLS
サーバのみ電子証明書を保持し、それを利用してトンネルを
確立、その後トンネル内で ID/パスワードの送信を行う。
・
サーバ側のみ電子証明書を使用
・
双方向認証
・
WEP キーを自動生成
・
Windows では標準サポートされていない。
3.3.4
PEAP
米マイクロソフト、米シスコシステムズ、米 RSA セキュリティ
によって開発された認証プロトコルで、ID/パスワードによる認証
を行う。同じ PEAP でも MS-PEAP と Cisco-PEAP という 2 種類
図 3 PKI の概要
が存在している。
・
サーバのみ電子証明書を使用
(3)
2005/05/13
認証局1が正しい事を証明出来なければ、そこから発行され
為に設計されたディレクトリ・サービスである。
た証明書を信用する事は出来ない。そこで認証局は階層構造を
主な製品に以下の物がある。
取り、認証局1が正しい事を、より上位の認証局2が証明する。
・
Microsoft Active Directory
・
Novell xDirectory
・
IPlanet Directory Server
3.4.1
証明機関(CA)
CA(Certificate Authority)とは、電子的な身分証明書を発行
・
IBM SecureWay Directory
し、管理する機関である。 先述の EAP-TLS、EAP-TTLS、
・
Oracle9i Application Server:Internet Directory
PEAP を使用する場合、Public CA(VeriSign 等の公的機関)か
・
Lotus Domino Directory
ら証明書の発行をしてもらう場合と、自サイト内で Private CA を
・
OpenLDAP
立ち上げる方法とがある。
Public CA から証明書を発行してもらうには相当のコストがか
3.6.2
かる為、特に EAP-TLS で使用する電子証明書は Private CA
で発行する方法が一般的である。
RDBMS と LDAP
リレーショナル・データベースとディレクトリサービスは機能的
に似通っているため、裏でRDBMSが動いているLDAP製品も
あるが、本来は以下のような違いがある。
・
Write より Read を重視した設計になっている
RADIUS(Remote Authentication Dial-In User Service)と
・
トランザクション機能やロールバック機能は未実装
は、ネットワーク利用者の認証や課金サービス等の利用記録を
・
階層構造で管理する
・
X.500 と比べて導入しやすい
・
システムの違いを意識せずユーザを一元管理可能
3.5
RADIUS
一元的に行う為のシステムである。ローカルデータベースまたは
3.6.3
他のディレクトリサービス上に登録されたユーザ情報に基づいて、
接続の許可/拒否を判断し、接続の記録を取る。
主な製品に以下の物がある。
LDAP の利点
・
DTC RADIUS
・
アクセス制御、暗号化機能があり安全である
・
Enterpras
・
サーバの負荷分散が可能
・
Fullflex RADIUS
・
複製機能があるため、障害に強い
・
Free RADIUS
・
Open RADIUS
・
Steel Belted RADIUS
3.5.1
3.6.4
・
導入時の技術、コスト的敷居が高い
・
LDAP を利用するには対応アプリケーションか、LDAP
RADIUS の利点
・
EAP を使用したセキュリティレベルの高い認証が可能
・
ユーザ認証の集中管理
・
アクセスポイントの負荷軽減
・
アカウント処理の負荷分散
LDAP の欠点
ゲートウェイが必要となる
・
X.500 ほど多くのセキュリティ機能を実装していない
4.
検証内容
実際に、最も安全性が高いと思われる 802.1x + EAP-TLS の
3.5.2
RADIUS の欠点
システムを図4の構成で構築し、動作状況を見ながら利点や問
・
導入時の技術、コスト的敷居が高い
題点を探ってみる。EAP-TLS は 3.3.2 節で解説したように、サ
・
RADIUS 非対応の廉価製品が多数存在する
ーバ側およびクライアント側の両方で電子証明書を必要とする
認証方式である。
3.6
また、ServerOS には WindowsServer と PC-UNIX を使用し
ディレクトリサービス
ディレクトリサービスとは、ネットワーク上の資源とその属性を記
て同様な構成のシステムを別々に構築し、構築の注意点、難易
憶し、検索できるようにしたシステムである。主に、ユーザやネッ
度など も 同時に調べ てみ る 事にす る 。 図 4 で は便宜上
トワーク資源の管理を一元化し、管理コストを軽減する為に使用
DirectoryServer と AuthenticationServer が別になっているが、
される。
実際には一台の PC 上で動かす。
3.6.1
LDAP
LDAP (Lightweight Directory Access Protocol)とは、X.500
ディレクトリサービスの「90%の機能を 10%のコストで実現する」
なお、Supplicant には WindowsXP、無線用の Authenticator
に は CiscoSystems Aironet1200 、 有線 LAN 用に は 同
Catalyst2940 を使用した。
(4)
2005/05/13
通信の方法は、Supplicant-Authenticator 間は EAP over
LAN、Authenticator-AuthenticationServer 間は EAP over
RADIUS という特殊な通信方法になる為、少しわかりにくい部分
である。
図 5 RADIUS クライアントの設定
図 4 802.1x のシステム構成
共有シークレットとは、RADIUS サーバと RADIUS クライアン
ト間で相互認証を行なうための文字列のことである。共有シーク
4.1
Windows 側構成
レットとして用いる文字列は以下の点に注意する必要がある。
OS として WindowsServer2003 StandardEdition を用いた。
802.1x を提供するために必要なソフトウェア類は、すべて
WindowsServer2003 に標準機能として組み込まれているもの
・
大文字と小文字が区別される。
・
標準の英数字と特殊文字を使用できる。
・
最高 128 文字までの共有シークレットを使用できる。
用いて構成した。今回は 802.1x によるネットワーク認証に必要
また、RADIUS クライアントと RADIUS サーバを辞書攻撃や総
なサービスをすべて一台のマシン上で動作させた。
当り攻撃から保護するために 23 文字以上の共有シークレットを
設定することが推奨されている。
4.1.1
WindowsServer2003StandardEdition
ActiveDirectory
に お い て は
WindowsServer においてはグループおよびユーザアカウン
RADIUS クライアントの登録に関していくつかの制限がある。ま
トの情報は ActiveDirectory と呼ばれるディレクトリサーバによっ
ず、RADIUS クライアントとして登録できるアクセスポイントの数
て管理されている。これは図4におけるDirectoryServerにあた
は最大で 50。また IP アドレスの範囲指定による RADIUS クライ
る。今回は、802.1x 用のグループとユーザアカウントを作成し
アントの登録が出来ないため、802.1x を大規模に導入しようと考
た。
えた際には不都合が生じる。この点を解決するためには、
WindowsServer2003 の 上 位 パ ッ ケ ー ジ で あ る
4.1.2
IAS(Internet Authentication Service)
Authentication ServerとしてWindowsServer標準のサービ
EnterpriseEdition や DatacenterEdition を用いる必要があ
る。
スである IAS を用いた。IAS は RADIUS サーバとして動作する。
IAS では複数の認証方式、EAP 認証方式のサポートが行なわ
4.1.3
4.1.2で触れた IAS ではリモートアクセスポリシーと呼ばれるポ
れている。
また、ActiveDirectory からグループ、ユーザアカウントの情
リモートアクセスポリシー
リシーにより、接続の可否をコントロールする。リモートアクセスポ
報を読み取るためには IAS のサービスを ActiveDirectory に登
リシーとは、接続をどのように承認または拒否するかを定義する、
録する必要がある。
規則のセットである。
RADIUSのクライアントがIASサーバと通信を行なうためには、
事前に IAS に対して登録を行なっておく必要がある。登録する
このポリシーにはさまざまなルールを設定することが出来る。
設定可能なルールの一例を挙げると
内容は
・
所属グループ
・
RADIUS クライアントの IP アドレス
・
時刻
・
共有シークレット
・
クライアントの MAC アドレス
・
認証方法
・
Supplicant を認証している Authenticator の物理ポート
の 2 点である。図 5 が実際の設定画面である。
(5)
2005/05/13
番号
・
OpenLDAP: 2.2.15
といったものがある。
実際の設定画面を図 6 に示す。
4.2.1
OS
UNIX 側の OS としては Linux 系ディストリビューションにする
か Solaris にするか*BSD にするか迷ったが、今回は FreeBSD
5.3R で構築を行っている。
Linux 系は VineLinux1.0b の頃からしばらく使っていたが、幅
広い知識の習得の為にも FreeBSD を採用する事にした。
また、最近の Linux 系ディストリビューションはエンドユーザを
強く意識した構成になっており、不要なツールが多くインストー
ルされるなど、Windows 化して来ているように思える部分や
RedhatLinux の様に一企業の経営上の理由から大幅な変更を
強いられる事などもあり、将来に不安が残る。
(最初は FreeBSD 4.10R で構築をはじめたが、5.3R の方が
pam の書式や、nsswitch のサポートなどで拡張性が高い為に
変更。)
図 6 リモートアクセスポリシーの設定画面
4.2.2
DNS
FreeBSD に標準で入っているのは bind8 であるが、
4.1.4
CA(証明機関)
今回は EAP-TLS による 802.1x 環境構築を行なった。そのた
めに CA の構築は必須である。
WindowsServer 上での CA として、WindowsServer 標準の
DynamicDNS(DHCP サーバから動的に割当てられた IP アド
レスと自身のホスト名を DNS へ動的に登録する仕組)に対応し
ていない為、bind9.3.0 へ変更し全てのリソースへホスト名でアク
セス出来るようにした。
証明書サービスを用いた。今回はエンタープライズのルート CA
DynamicDNS に必要な設定は下記の 2 行だけである。
ということで証明書発行機関をドメインコントローラに組み込ん
だ。
また、サーバ側から証明書を配布する際に Webページを用い
て行なうため IIS(InternetInfomationService)を導入する必要
がある。
4.1.5
acl DDNS { 192.168.100.0/24; }
・
allow-update { key DDNS; };
DNS の構築にあたって、セキュリティの観点から以下の点を
注意しなければならない。
・
DHCP
・
今回はスコープを 2 つ設定し、VLAN 毎に割り当てる用に設定
別し、設定するアドレスを決定する。
PC-UNIX 側構成
・
acl を設定する
・
rndc.key の使用
・
DNSSEC(DNS SECurity)の使用
(公開鍵を使用して、ゾーンデータに署名を行い正当性を
WindowsServer 側は標準で全てのサービスが入っており互換
証明 dnssec-keygen コマンドを使用)
性の問題も発生しないが、PC-UNIX の場合は FreeSoft を基本
・
としている為、Software 構成が重要になってくる。今回は諸事情
・
DNS: bind 9.3.0
・
DHCP: isc-dhcp 3.0.1
・
Openssl: 0.9.7a
・
FreeRADIUS: 1.0.1
TSIG(Transaction SIGnatures)の使用
(マスターネームサーバとスレーブネームサーバ間でゾ
により以下の構成を取った。
OS: FreeBSD 5.3R
root 権限で動かさない
(-u ユーザ名 で起動する)
した。DHCP サーバでは DHCP パケットの Source アドレスを識
・
chroot する
(-t ディレクトリ名)
また、今回は Windows サーバを DHCP サーバとして用いた。
4.2
・
ーン転送を行う際に、共通鍵を使用してトランザクション
に署名をする)
(6)
2005/05/13
4.2.3
DHCP
・
users…利用者のユーザ ID、パスワード、そのユーザの
認証時に渡したい RADIUS 属性を記述
国内では WIDE-dhcp も有名ではあるが、残念ながら
DynamicDNS に対応していないようなので、選択肢からはず
4.2.6
す。 また、isc-dhcp の場合でも Version3 以前の物は同様に
通常、UNIX では /etc/passwd ファイルを使用してユーザ管
DynamicDNS に対応していないため、3.0 以降を採用しなけれ
ばならない。今回は isc-dhcp 3.0.1 を採用した。
ディレクトリサービス
理を行うが、他のサービス(apache、samba 等含む)からもユー
ザ情報を利用出来るようにした方がユーザの一元管理が出来、
こちらも bind 同様、DynamicDNS に必要な設定は下記の 2 行
管理コストも抑えられる為、フリーのディレクトリサービスを導入し
だけである。
てみる。今回は OpenLDAP 2.2.15 を採用した。
・
・
ddns-update-style interim;
(DDNS を使用しない場合は adhoc)
ここで必要な設定項目は以下の項目である。
ignore client-updates;
・
(ldif とはデータベースに直接登録可能なファイル形式)
(FQDN のホスト部分のみ使いドメイン部分は DHCP サー
バで指定している物を使う)
4.2.4
ldif 形式のユーザデータベースファイル作成
CA(証明機関)
FreeBSD 5.3R には標準で openssl-0.9.7a が入っているの
・
slapd.conf の設定
・
LDAP へのユーザ登録
・
pam.d の設定
・
nsswitch.conf の設定
で、今回はそれをそのまま使用する事にしたが、freeRADIUS
が 0.9.7 以上を要求して来る為、他の OS を使用している場合は、
4.3
Authenticator
バージョンの確認が必要である。尚、openssl にはセキュリティホ
802.1x の Authenticator として、有線 LAN スイッチに Cisco
ールが度々見つかっている為、実運用する場合は可能な限り最
社Catalyst2940、無線LANアクセスポイントに同Aironet1200
新バージョンを使用するべきである。
の 2 つを用意した。
4.3.1
ここで必要な設定は以下の項目である。
全般的な設定
・
認証局の作成
802.1x による認証を行なうためには、アクセスポイント側に
・
自身の証明書
おいて RADIUS サーバの登録、802.1x の有効化、WEP の有
・
サーバ証明書
効化(無線 LAN の場合)の 3 点が必要である。
・
クライアント証明書
RADIUS サーバの登録では、RADIUS サーバの IP アドレ
ス、認証ポート、アカウントポート、共有シークレットといった項目
4.2.5
RADIUS
を設定する必要がある。
フリーの物では FreeRADIUS や OpenRADIUS が有名であ
るが、今回は資料が多かった FreeRADIUS 1.0.1 を採用した。
4.3.2
動的 VLAN 割り当て
LDAP を使わず RADIUS 側だけでユーザ認証を行う事も可能
動的に VLAN を割り当てるために以下の設定が必要である。
であるが拡張性に欠ける為、今回はフリーのディレクトリサービス
• AAA 認証を有効にする。
も導入し、ユーザ管理はそちらで行う。
• 802.1x を有効にする。
RADIUS サーバに以下の 3 つの属性の設定を行なう。
• [64] トンネル タイプ = VLAN
ここで必要な設定項目は以下の数点である。
・
Authenticator 側 IP アドレスの指定
・
共有シークレットの設定
・
EAP のタイプ設定
• [65] トンネル メディア タイプ = 802
•
[81] トンネル プライベート グループ ID = VLAN
NAME もしくは VLANID
以上の設定を RADIUS サーバに行なうことにより、接続が成
FreeRADIUS は設定ファイル沢山あり、非常にわかりにくい
が通常設定しなければならないのは、以下の幾つかに限られ
ると思われる。
・
radiusd.conf…FreeRADIUS の基本設定ファイル
・
clients.conf…RADIUS サーバへ接続を許可する
功した際に Authenticator に対して VLAN 情報が返され、動的
に VLAN を 割 り 当 て る こ と が 可 能 と な る 。 図 7 が
WindowsServer2003によるVLAN割り当てのための設定画面
である。
RADIUS クライアントの一覧
(7)
2005/05/13
設定することにより、ACL の適用が可能となる。
ACL では拡張 ACL 形式を用いて、入力側、出力側に対して
フィルタリングを実施することが出来る。また、MACACL は出力
側にのみ実施できる。
5.
5.1
検証結果
802.1x 環境
実際に 802.1x + EAP-TLS で環境を構築してみた訳だが、こ
れを導入すると確かに安全性は高まると思えるが、今回は残念
ながらその利点よりも、以下の問題点の方が大きく見える結果と
なってしまった。
5.1.1
動作が遅い
EAP は非常に拡張性の高い認証方法であるが、認証に時間
図 7 VLAN 割り当ての設定画面
がかかり、正常に動作しているのかどうか心配になる程である。
今回は特に、EAP-TLS による認証後、VLAN 割り当て、DHCP
RADIUS サ ー バ が VLAN 情 報 を 送 っ て こ な い 、
Authenticator が AAA 許可を無効にしている場合にはポート
はアクセス VLAN に設定される。
認証は許可されたものの、送られてきた VLAN 情報が有効で
ない場合にはポートは無認証状態でダウンしたままとなる。
また、複数ホストモードが有効となっている場合には最初に認
証されたユーザと同じ VLAN 上にすべてのホストが属することと
なる。
による IP アドレスの割り当てまで行っていた為、接続処理から実
際に使用可能になるまで長い時間待たされる事になった。
また酷いときにはそのままタイムアウトしてしまう事などもあり、
細かいチューニングの必要性を感じた。
また、再認証、WEP キーの再割当の処理を動的に行う為、そ
の間隔を適切な値に調整していないと、ユーザ数が増えた時に
そのパケットだけでも膨大な負荷、トラフィックが生じる事が予想
される。
ただし、Cisco Aironet1200 においては一つのアクセスポイン
5.1.2
トで収容できる VLAN は最大 16 までなので Aironet を用いた
802.1x 環境を構築する際には注意が必要である。
4.3.3
Cisco 機器による ACL
Cisco 社の 802.1x 対応製品においてはユーザやグループ単
位での ACL(AccessControlList)をかけることが可能である。こ
れは Cisco 独自の機能である。RADIUS サーバから認証プロセ
ス中に、cisco-avpair というベンダ独自の属性を含むことにより
Authenticator に対して ACL を適用することが出来る。
比較的規模の大きい企業の場合は既に運用しているかもしれ
ないが、中小企業や学校には恐らく無いと思われる。商用の物
は概して高価である事が多い為、自前で運用したいところである。
しかし、RADIUS 属性は種類が多く、実現したい機能をどの属
性に何の値を入れれば良いのかわかりにくい為、複雑な処理を
させたい場合は、相当の知識・技術が必要である。
小規模な場合は、無理に PC で運用するよりも、アプライアンス
サーバを利用した方がコスト的にも良いのではないかと感じた。
ただし、ACL を適用するためには以下の作業を実行する必要
がある。
• AAA 認証を有効にする。
• network および config-commands キーワードを使用し
なお、Cisco Aironet1200 の IOS バージョンには RADIUS
サーバが搭載されており、最大50ユーザまではAP単体で認証
を行う事が出来る。
て AAA 許可を有効にし、RADIUS サーバからのインターフェイ
5.1.3
ス設定を可能にする。
• 802.1x を有効にする。
• RADIUS サーバにユーザ プロファイルと VSA(Vendor
Specific Attribute)を設定する。
• 802.1x 複数ホスト モードをポートで無効にする。
ネットワーク機器側で以上の5点を設定したのち、RADIUSサ
ーバ側のリモートアクセスポリシーにおいて cisco-avpair 属性を
RADIUS 構築が大変
PKI の運用が大変
EAP-TLS、EAP-TTLS、PEAP を採用して、公的機関から
の電子署名サービスを利用しない場合は、自前で PKI の運用を
しなければならない。特に EAP-TLS はクライアント全てに電子
証明書を入れる必要があり、その発行処理だけでも非常に手間
のかかる作業であった。そのため、USB のセキュリティ・トークン
を首からぶら下げて使う方法が一番安全性が高く、現実的では
(8)
2005/05/13
ないかと考えている。
ーカーだけでなくさまざまな会社から提供されている。それぞれ
に対応している EAP の違いや、独自の機能を拡張している。こ
5.1.4
互換性の問題
今回は WindowsXP 標準の Supplicant と FreeRADIUS
こでは、いくつかのサプリカントを例にとり EAP 対応状況と独自
の機能についてまとめていく。
が共にサポートしている EAP-TLS を使用したが、Supplicant
と Authentication Server によってサポートしている EAP タイ
Microsoft
プが異なるという状況は非常に面倒であった。
WindowsXP 標準サプリカント
EAP-MD5(SP1 以降では非対応)、EAP-TLS、MS-PEAP
また、多くのサイトで問題があがっているが、802.1x の仕様
WindowsXP に標準で搭載されているため、インストール作業
に曖昧な部分があり、異なるベンダ機器の混在で問題が生じ
る事が多々あるようである。
5.1.5
不要
Soliton Systems
WindowsXP の不具合
EAP 認証が終わった後で、IP アドレスが正常に取れないとい
1xGate
う不具合が出たが、WindowsXP 側の不具合だったようである。
EAP-MD5, EAP-TLS, MS-PEAP, EAP-TTLS
すでに Microsoft 社から修正パッチが発表されている。
Windows ログオン前に 802.1x 認証を実行
USB トークン、IC カードなどの認証トークンがサポートされて
5.2
WindowsServer 構築
いる
Windows 側の Server 構築は Microsoft のサイトに情報が多
Funk Software
く掲載されている為、比較的スムーズに進んだ。
だが、RADIUS を動す為だけに WindowsServer2003 を導
OdysseyClient
EAP-MD5,
入するのはいささか大げさである。
EAP-TLS,
EAP-LEAP,
EAP-TTLS,MS-PEAP,Cisco-PEAP
5.3
Generic Token Card(GTC)、RSA セキュリティ社ワンタイムパ
PC-UNIX Server 構築
Free の PC-UNIX で X WindowSystem を使用しなければ、
スワードに対応
コスト的にも PC に必要な処理能力的にも、Windows で構築す
5.6
る場合と比較して非常に有利である。
今後の課題
相応の知識・技術があれば、小型の PC に PC-UNIX を
暗号方式に AES(Advanced Encription Standard) を採用
Install して RADIUS、LDAP を動かし、アプライアンスサーバ
し、認証プロトコルに WPA2 を採用した IEEE802.11i が既に控
の様に利用する事が可能ではないだろうか。
えており、今後無線 LAN のセキュリティに関しては改善されて
但し、設定項目、注意事項が極めて沢山あるため、一般人が
構築を行うには敷居が高すぎると思われる。
いくと思われるが、やはり新しい技術に互換性問題は付き物であ
る為、安定して使えるようになるまでは多少時間がかかると思わ
れる。 有線 LAN に関しては 802.1x 以外の手法が見えていな
5.4
Authenticator
い以上、当分このままの状況なのだと思われる。
本校には CiscoSystems の機器が沢山あったため、Cisco 製
最近では、802.1x のように Supplicant を必要とせず WEB ブ
品を採用したが、有線 LAN 用機器としては、比較的新しい
ラウザによりネットワーク認証を行なう機器も発売されている。こ
Catalyst2940、2950、3550 等でしか 802.1x が採用されていな
れらの製品は 802.1x とは異なりクライアントをすべて 802.1x 対
かった。それ以前の Cisco 社製品では 802.1x がサポートされて
応ネットワーク機器に接続する必要はなく、ネットワーク認証に対
いない。また、家庭向けの L2 Switch で 802.1x を採用している
応したスイッチの配下に通常のスイッチを接続しても機能する。
製品は恐らく皆無では無いかと思われる。しかし、昨今では比較
ただ、この方式では 802.1x の EAP-TLS といった証明書を使っ
的安価な企業向けの 802.1x 対応スイッチも販売されており、今
た認証とは違い、従来のような ID とパスワードを用いた認証方
後の普及が期待できる。
式である。今回はこのような製品については調査を行なっていな
無線 LAN 用 AP に関しては、企業向けだけにはとどまらず、
家庭向けの廉価製品でも多くの製品が採用しており、敷居は下
いが、ネットワーク認証を容易に実現するための一つの方法と成
り得ると考える。
がってきていると思われる。
5.5
6.
Supplicant
802.1x のサプリカントは Microsoft 社、Apple 社などの OS メ
所感
今回の研究活動を通して、知識、技術の習得が出来たのは非
(9)
2005/05/13
常に大きいが、少人数とは言えチームで一つの目標に向かって
努力し続ける事の難しさを痛感した。
計画についても前述の問題により、初期の計画から大幅にず
れ込みシステム構築の難しさを思い知らされる結果となった。
しかしながら、これらの注意点、反省点を踏まえて就職後に会
社での業務に役立てていきたい。
7.
成果物
本研究活動の最終成果物として、この研究論文を提出する。ま
た当初の目標としていた下記資格の取得も同時に行えたのは成
功だったと思っている。
・
Microsoft 社主催 MCSA
・
LinuxProfessionalInstitute 主催 LPIC レベル 2
・
CiscoSystems 社主催 CCNP
8.
謝辞
本システム構築にあたり、ご指導、ご助言を頂きました担当教
官の古賀先生をはじめ、IT教育推進室の多くの先生方に厚く御
礼申し上げます。
9.
参考文献/URL
[1] RADIUS ユーザ認証セキュリティプロトコル O’REILLY
[2] LDAP/OpenLDAP によるユーザ管理/認証ガイド 秀和システム
[3]システム管理 現場の鉄則 ~FreeBSD 編 技術評論社
[4]シスコシステムズ (http://www.cisco.com)
[5]マイクロソフト (http://www.microsoft.com)
[6]FreeBSD (http://www.freebsd.org)
[6] 認証の成功後に DHCP 設定を受信できない
(http://support.microsoft.com/default.aspx?scid=kb;ja;314994)
( 10 )