情報セキュリティマネジメント試験 用語辞典
IEEE 802.1Xの認証システムは、認証を受けるクライアントである「サプリカント(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアントの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である「オーセンティケータ(authenticator)」の三要素から成る。
- 分野:
- セキュリティ実装技術 » ネットワークセキュリティ
(シラバス範囲外) - 重要度:
(Wikipedia IEEE 802.1Xより)
IEEE 802.1Xとは、LAN接続時に使用する認証規格(認証VLAN)である。接続を認めた端末機器以外がコンピュータネットワークに参加しないように認証によって接続を規制する。有線と無線の接続に使用できる検疫ネットワークの中核技術である。
IEEE 802.1Xを使った認証システムは以下のものから構成される。
- サプリカント(Supplicant) - 認証クライアント・ソフトウェア。接続しようとするパソコン上で必要である。
- オーセンティケータと呼ばれる802.1Xに対応したLANスイッチ
- RADIUS認証サーバ - 認証を判断するサーバ
なお、本項目ではレベル2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。
動作
IEEE 802.1Xを使った認証動作は以下の3段階からなる。
- 接続
- EAP(Extended authentication protocol)(EAP)による認証
- 認証完了
接続
- 有線LAN
- 有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
- 無線LAN
- 無線LANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
EAPによる認証
EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。
サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。認証完了
認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。
EAP
802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
- EAP-MD5
- EAP-MD5 (EAP-Message digest algorithm 5) はIDとパスワードで認証する方式。パスワードはチャレンジ&レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。
- EAP-TLS
- EAP-TLS (EAP-Transport layer security) はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー(ドングル)と組み合わせて使用されることが多い。無線LANでもほぼ安全。
- PEAP
- PEAP (Protected EAP) は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL (Secure Sockets Layer) と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。
- LEAP
- LEAP (Lightweight EAP) は米シスコシステムズ社が開発したEAP製品。
- EAP-TTLS
- EAP-TTLS (EAP-Tunneled transport layer security) は米ファンク・ソフトウェア社 (Funk Software) が開発したEAP製品。
Extensible Authentication Protocol
LANスイッチの接続環境
サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
- 通常のLANスイッチ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。
- リピータ・ハブ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証は単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。ここまでがIEEE 802.1Xで規定された動作であるが、これではセキュリティが確保できないため、実際の認証LANスイッチ製品の多くでは、MACアドレス・フィルタ機能と連動させて、たとえリピーター・ハブを使われても認証されたPCをMACアドレスで認識して、他のPCをネットワークに接続することはない。
ネットワーク・プリンタとIP電話
多くのネットワーク・プリンタと少し旧型のIP電話ではIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続出来なくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることができるが、LANスイッチのポートが固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティホールとなり推奨できない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。
WindowsとMacでの対応
Windows 2000 SP4以降、macOSはサプリカント機能を標準で内蔵している。Windows 2000(SP4以降)はEAP-TLSとPEAPに対応している。Windows XP以降はEAP-MD5、EAP-TLS、PEAPに対応している。
このページのWikipediaよりの記事は、ウィキペディアの「IEEE 802.1X」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。