IEEE 802.1X
IEEE 802.1XとはLAN接続時に使用する認証規格である。あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格。有線と無線の接続に使用できる検疫ネットワークの中核技術である。
IEEE 802.1Xを使った認証システムでは、接続しようとするパソコン上のサプリカント(Supplicant)と呼ばれる認証クライアント・ソフトウェアと、802.1Xに対応したLANスイッチ、RADIUS認証サーバから構成される。
なお、本項目ではレベル2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。
目次
動作
IEEE 802.1Xを使った認証動作は以下の3段階をよりなる。
- 接続
- EAP(Extended authentication protocol)による認証
- 認証完了
接続
- 有線LAN
- 有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
- 無線LAN
- 無線接続のLANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
EAPによる認証
EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受付ない。
認証完了
認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。
EAP
802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
- EAP-MD5
- EAP-MD5(EAP-Message digest alogorithm 5)はIDとパスワードで認証する方式。パスワードはチャレンジ&レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。
- EAP-TLS
- EAP-TLS(EAP-Transport layer security)はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー(ドングル)と組み合わせて使用されることが多い。無線LANでもほぼ安全。
- PEAP
- PEAP(Protected EAP)は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL(Secure Sockets Layer)と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。
- LEAP
- LEAP(Lightweight EAP)は米シスコシステムズ社が開発したEAP製品。
- EAP-TTLS
- EAP-TTLS(EAP-Tunneled transport layer security)は米ファンク・ソフトウェア社(Funk Software)が開発したEAP製品。
LANスイッチの接続環境
サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
- 通常のLANスイッチ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。
- リピータ・ハブ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証はポート単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。ここまでがIEEE 802.1Xで規定された動作であるが、これではセキュリティが確保できないため、実際の認証LANスイッチ製品の多くでは、MACアドレス・フィルタ機能と連動させて、たとえリピーター・ハブを使われても認証されたPCをMACアドレスで認識して、他のPCをネットワークに接続することはない。
ネットワーク・プリンタとIP電話
多くのネットワーク・プリンタと少し旧型のIP電話ではIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続出来なくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることが出来るが、LANスイッチのポート固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティー・ホールとなり推奨出来ない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。
WindowsとMacでの対応
Windows 2000(SP4以降)、Windows XP、Windows Vista、Mac OS Xはサプリカント機能を標準で内蔵している。Windows 2000(SP4以降)はEAP-TLSとPEAPに対応している。Windows XPはEAP-MD5、EAP-TLS、PEAPに対応している。
出典
- 「IEEE 802.1Xの全貌」日経NETWORK 2004年12月号 p.82~p.95
