802.1X(EAP-TLS)認証
企業・組織における無線LAN利用が広がりを見せておりますが、未だ認証に事前共有鍵(プリシェアードキー)を利用している例が数多く見られます。 事前共有鍵方式はアクセスポイントと全端末が同じ鍵を持つため、どうしても十分なセキュリティを確保できているとは言い難く、またMACアドレスによるアクセス制御は詐称が容易に可能という弱点があります。
こういったセキュリティリスクを抱えながらも、「便利だから」という理由でセキュリティリスクを軽視して無線LANを利用している例は枚挙に暇がありません。企業・組織での無線LAN利用では、事前共有鍵方式を利用するのではなく、各ユーザ(或いは端末)毎に認証をかける802.1X方式が推奨されます。
RADIUS認証サーバを利用する802.1Xでは、認証方式としてMD5/PEAP/TTLS/TLSがありますが、その中でもパスワードを一切用いずに、電子証明書で認証サーバとクライアント端末双方が認証を行い最高レベルのセキュリティを実現するEAP-TLSを利用することにより、セキュアなエンタープライズ無線LANを構築することが可能となります。
電子証明書はUSBトークンやICカードと言った「人」に紐づくセキュリティデバイスとして配布することや、Windows OS内にインポートして「端末」を認証することも可能です。
RADIUSサーバは商用製品からオープンソースのものまで殆どが802.1X(EAP-TLS)に対応しておりますので、既存RADIUSサーバや、新規に準備するRADIUSサーバにおいても容易な導入が可能です。
プライベートCA Gléasを利用した802.1X
EAP-TLSの導入・運用においては、認証局(CA)の管理やクライアント端末への電子証明書の展開が煩雑なものになりがちですが、JS3のプライベートCA Gleasでは以下の機能をサポートすることにより、これらの工数を低減させることを可能としています。
- RADIUSサーバ用のサーバ証明書生成
- 端末用の電子証明書の一括発行(コンピュータ証明書の発行も可能)
- 管理者画面から、電子証明書のセキュリティデバイスへの直接格納
- ユーザ申込局(UA)を利用しての電子証明書のクライアント端末へのインポート
またプライベートCA Gléasは、簡易RADIUSサーバ機能をオプションで準備しております。小規模な環境ではこの簡易RADIUSを利用することも可能です。
様々な利用シーンで・・・
802.1X(EAP-TLS)認証は無線LAN以外でも、有線LANや検疫ネットワークでも利用することが可能です。
また、802.1X(EAP-TLS)に対応したスマートフォンや無線ハンディターミナルも増えてきており、オフィスのみならず、病院や工場・物流センターなどでもセキュアな無線LANのニーズは今後も増えていくことでしょう。
導入事例
- 2010.09.24 総合研究大学院大学様
サポート記事
- 2011.10.28 Cisco Secure ACS(802.1X EAP-TLS)連携設定手順
- 2011.06.29 Android での無線LAN (802.1X EAP-TLS)設定
- 2011.01.20 RADIUSサーバ(802.1x EAP-TLS)連携設定手順 ~fullflex EG7~
