無線LANの認証環境を構築する

前回は、企業における無線LANのセキュリティについての危険性を指摘した。セキュリティ対策にはさまざまなことを考慮しなければいけないが、もっとも重要なことの一つが認証だ。セキュリティ対策としては、まず、入口を防御することだ。社内のネットワークの入口で、ネットワークに接続しようとする端末やユーザが正規のものであるかを認証して、不正アクセスを防ぐ。そして、効果的な認証を行うためには、IEEE 802.1Xを利用することになる。

IEEE 802.1X認証の環境を構築するには、認証サーバなどが必要でハードルが高く感じられるかもしれない。ソリトンシステムズのNetAttest EPSを導入すれば、手軽にIEEE 802.1Xの認証環境を構築できる。今回は、ソリトンシステムズのNetAttest EPSを利用したIEEE 802.1X認証環境の構築について解説しよう。

構築するシステムの概要

システム構成

まず、構築するシステム構成を紹介しよう。以下が今回のシステム構成だ。

シンプルなシステム構成で、無線LANクライアントとして、現在、一般的に利用されるWindows、Android、iOSの3種類のOSを用意した。これらの無線LANクライアントがAPに接続するときにIEEE 802.1X認証を行う。IEEE 802.1Xの認証方式は、サーバもクライアントもデジタル証明書を利用する最も強固な認証を行うEAP-TLSを利用する。デジタル証明書は、NetAttest EPSで発行する。つまり、NetAttest EPSはプライベートCA(Certification Authority)の役割も担う。

利用機器

以下の表に、今回利用した機器をまとめている。

表1 利用機器

※L2SWとしては、特別な機能が必要なく、一般向けのスイッチングハブを利用している。

構築 - NetAttest EPSの設定

構築の概要

IEEE 802.1Xの認証環境を構築するには、認証サーバ、オーセンティケータ、サプリカントの設定が必要だ。それぞれで設定する内容を簡単にまとめよう。 まず、認証サーバでは、以下の設定が必要だ。

IEEE 802.1X認証はTCP/IPネットワークをベースとするので、まずは、TCP/IPの通信ができるように基本的なTCP/IPの設定を行わなければならない。具体的にはホスト名やIPアドレス/サブネットマスク、デフォルトゲートウェイのIPアドレス、DNSサーバのIPアドレスだ。また、今回の環境構築では、NetAttest EPSを無線LANクライアントにIPアドレスなどの設定情報を配布するDHCPサーバとしても設定する。

なお、今回の環境構築では特に意識していないが、NTPを利用した時刻同期の設定も重要だ。システム全体で時刻同期を確保できていないと、証明書の有効期間の検証などができなくなる恐れがある。

次に、EAP-TLSで利用するサーバ証明書を発行してインストールする。続いて、RADIUSサーバとしての設定が必要だ。待ち受けるポート番号やサポートするEAP方式やオーセンティケータの設定を行う。

そして、認証するユーザ情報を登録する。ユーザID/パスワードに加えて、ユーザ名や所属情報などの属性情報の設定も可能だ。さらに、EAP-TLSで利用するクライアント認証用の証明書を発行する。

オーセンティケータでは、以下の設定を行う。

オーセンティケータにおいても、TCP/IP通信ができるようにするための基本的な設定が必要になる。 そして、認証サーバのIPアドレスやシークレット(パスワード)の設定を行う。 無線LANアクセスポイントなので、SSIDなどの無線LAN通信に関する設定も必要になる。

サプリカントでは、以下の設定が必要だ。

まず、サプリカントとなる機器にNetAttest EPSで発行したデジタル証明書をインストールする。そして、無線LANの接続設定を行う。SSIDとセキュリティ方式としてWPA2を選択し、EAP-TLSを利用する。無線LANの設定が正しく行われ、IEEE 802.1X認証が成功すればNetAttest EPSからDHCPでIPアドレスなどTCP/IP通信に必要な設定を取得できるようになる。

以降では、認証サーバであるNetAttest EPSとサプリカントの各OSについて、ポイントになるスクリーンショットを交えながら設定の手順を見ていくことにしよう。

※オーセンティケータの設定は、NetAttest EPSのIEEE 802.1X認証環境の構築において本質的な部分ではないので、今回の記事において詳細は割愛する。

NetAttest EPSの設定

NetAttest EPSの設定は、各種ウィザードが準備されている。基本的な設定は、すべてウィザードにしたがって必要なパラメータを設定すれば完了する。

NetAttest EPSのログイン

NetAttest EPSにはデフォルトでLAN2ポートに192.168.2.1が設定されていて、http://192.168.2.1:2181 のURLで管理アクセスできる。WebブラウザでこのURLにアクセスし、ユーザID/パスワードとしてadmin/adminでログインできる。

基本的なTCP/IP設定

IPアドレスをはじめとする基本的なTCP/IP設定は、[初期設定ウィザード]→[システム初期設定]から行う。ウィザードにしたがって、IPアドレスなどの必要な設定パラメータを入力すればよい。以下は、LAN1ポートのIPアドレスの設定画面となる。

DHCPサーバの設定は、メニューの[DHCPサーバ]から、クライアントに配布するIPアドレスの範囲であるDHCPスコープやデフォルトゲートウェイなどを指定する。今回は、DHCPスコープとして192.168.1.50～192.168.1.55とした。

サーバ証明書の発行

NetAttes EPSを証明書の発行をするCAとして構築する。[初期設定ウィザード]→[サービス初期設定]の[CA構築]でCA種別や暗号鍵のビット長、署名のハッシュアルゴリズムやCA情報を指定する。

そして、CAとなったNetAttest EPSでサーバ証明書を発行する。ウィザードにしたがって、暗号鍵のビット長や署名アルゴリズムを指定すればよい。

RADIUSサーバの設定

RADIUSサーバの設定において重要なことは、オーセンティケータの情報を設定することだ。[初期設定ウィザード]→[サービス初期設定]内のウィザードでオーセンティケータのIPアドレスとシークレット(パスワード)を指定する。今回は、以下のIPアドレスとシークレットを設定している。

• IPアドレス 192.168.1.1 (無線LAN APのIPアドレス)
• シークレット:password

認証するユーザ情報の登録

ユーザ情報の登録は、メニューの[ユーザ]→[ユーザ一覧]から[追加]ボタンをクリックする。ユーザIDやパスワードなどの必要な情報を入力すればよい。

ユーザの証明書の発行

ユーザ登録が完了したら、EAP-TLSで利用するクライアント証明書を発行する。メニューの[ユーザ]→[ユーザ一覧]から発行対象のユーザの[発行]ボタンをクリックする。すると、証明書発行画面に移行するので、証明書の有効期間などを指定して発行する。そして、発行された証明書ファイルをダウンロードして、無線LANクライアントに配布できるようにする。

ここまでで、IEEE 802.1X 認証(EAP-TLS)を行うためのNetAttest EPSの基本的な設定は完了だ。ほとんどの設定はウィザードが用意されている。事前に必要なパラメータさえしっかりと決めておけば、特に迷うこともなく設定が完了するだろう。

構築 - クライアントの設定

なお、同社のNetAttest EPS-apを使えば、証明書とWi-Fi設定を安全簡単に配付することも可能で、次回に解説する予定だが、ここでは手動でクライアントに配付する方法を見ていこう。クライアントの設定を行ううえでは、まず、NetAttest EPSで発行した証明書を各クライアントの端末にメールで送付したり、ネットワーク上の共有フォルダ経由でコピーするなど、何らかの方法でクライアント端末に証明書ファイルを保存しなければならない。そして、証明書ファイルを各クライアント端末にインポートする。

Windows

Windowsで証明書のインポートを行うためには、証明書ファイルをダブルクリックして、証明書インポートウィザードを起動する。ウィザードにしたがって進めていけば、証明書のインポートが完了する。

証明書のインポートが完了したら、無線LANの設定でIEEE 802.1Xのサプリカントとして設定する。無線LANの設定では、接続する際のSSID「soliton-04」を指定する。そして、セキュリティ方式はWPA2エンタープライズとなる。WPA2エンタープライズを選択すると暗号化にAES、認証にIEEE 802.1Xを利用する。

そして、[ワイヤレスネットワークのプロパティ]の[セキュリティ]タブで証明書を利用するために、[ネットワークの認証方法の選択]で[Microsoft:スマートカードまたはその他の証明書]を選択し、[設定]をクリックする。[スマートカードまたはその他の証明書のプロパティ]で証明書の指定やCA証明書のチェックを行う。

また、[ワイヤレスネットワークのプロパティ]→[セキュリティ]の[詳細]をクリックして、[802.1Xの設定]で[ユーザ認証]を選択する。

これで、Windowsでのサプリカントの設定はすべて完了だ。「Solitn-04」のSSIDへの接続を試行するとEAP-TLSでサーバ、クライアントともに証明書によってお互いを認証し無線LANへ接続できる。無線LANに接続でき得れば、DHCPでIPアドレスなどの設定情報を取得して、TCP/IPの通信が可能になる。

Android

Android端末に証明書ファイルを保存したら、[設定]→[セキュリティ]から[内部ストレージかSDカードからインストール]に進み、証明書ファイルを指定すれば証明書のインストールが行われる。

証明書のインストールが完了したら、無線LAN(Wi-Fi)の設定を行う。[設定]→[Wi-F]から接続する「Soliton-04」のSSIDを選択する。EAP方式にTLSを選択し、ユーザ証明書にインポートした証明書を選択し、ユーザIDを入力して[接続]をタップする。

認証が成功すると、無線LANに接続でき、DHCPでIPアドレスなどを取得して通信可能になる。

iOS

iOSでは、証明書ファイルをタップすると、証明書のインストールが行われる。

証明書のインストールが完了したら、Wi-Fiの設定でSoliton-04を指定して、ユーザ名「soliton」、モード「EAP-TLS」を指定する。

認証が成功すると、無線LANに接続でき、DHCPでIPアドレスなどを取得して通信可能になる。

以上がWindows、Android、iOSのOSごとのクライアントの設定と接続の確認の様子だ。それぞれのOSで操作が異なるが、証明書のインストールと無線LANの接続設定でEAP-TLSを利用するという手順は同じだ。

まとめ

NetAttest EPSによるIEEE 802.1X認証の環境構築の手順をざっと紹介した。EAP-TLSであればサーバとクライアントの両方が証明書による認証を行うので、最も強固な認証を行うことができる。ただ、認証サーバを構築し、さらにCAを構築してサーバ証明書やクライアント証明書を発行することは、通常では、かなりハードルが高いシステム構築になってしまう。Linux上にRADIUSサーバやCAをインストールして、それらがきちんと機能するように設定するのは骨が折れる作業になる。それぞれ別のサーバ上に構築すると煩雑になるし、RADIUSサーバとCAでは設定のインタフェースも異なってしまう。

紹介してきたように、NetAttest EPSを利用すれば、RADIUSサーバとしても動作し、CAとして証明書の発行や管理もできる。RADIUSサーバもCAも同じインタフェースで扱うことができるので、設定や管理も容易だ。NetAttest EPSは、オールインワンのIEEE 802.1X認証を実現するセキュリティ機器と言える。IEEE 802.1X認証を導入しようと考えているシステム管理者の方は、NetAttest EPSの導入を候補に入れるとよいだろう。

また、無線LANの認証環境においては、構築のみでなく運用管理の面も留意する必要がある。次回は、運用管理における留意すべき要素とその手順を解説する。

本稿で使用する製品

(マイナビニュース広告企画 ： 提供 株式会社ソリトンシステムズ)

[PR]提供：ソリトンシステムズ