1 802.1X認証とは
IEEE802.1XとはIEEE(米国電気電子技術者協会)によって標準化されたユーザー認証メカニズムの1つ。ネットワーク機器に接続された端末の認証やアクセス制御を行うためのプロトコル規格で、通常「802.1X認証」と略されます。
LANスイッチまたは無線LANアクセスポイントでIEEE802.1X認証が有効になっている場合、パソコンを接続しただけではネットワークに接続できません。不正なユーザーによるアクセスを防ぐため、接続時に認証を要求し、ネットワークの使用権限のあるユーザーであることが確認された場合にネットワークの使用を許可します。認証に失敗した場合(接続権限が確認できない場合)、LANスイッチまたは無線LANアクセスポイントのポートが閉じられ、通信できなくなります。
IEEE802.1X認証には、IEEE802.1X対応のLANスイッチと無線LANアクセスポイント、認証サーバとサプリカント(IEEE802.1X対応の認証クライアントソフトウェア)が必要です。認証には通常「RADIUS」と呼ばれるプロトコルが使用されます。そのため、IEEE802.1X認証に使用される認証サーバーを「RADIUSサーバー」と呼ぶこともあります。
2 802.1X認証の構成要素
IEEE802.1X認証を実行するには、サプリカント、認証デバイス、認証サーバーの 3 つのコンポーネントが必要です。
2.1 サプリカント(Supplicant)
IEEE802.1Xのクライアント。またはクライアント側にインストールするソフトウェア。認証が必要なクライアントはPCにインストールする必要がありますが、最近のPCには標準でこのクライアントが搭載されています。
2.2 認証装置(Authenticator)
サプリカントと認証サーバの間を仲介するネットワーク機器。 IEEE802.1Xに対応したLANスイッチまたは無線LANアクセスポイント。これらのデバイスは、サプリカントおよび認証サーバーから認証結果を受信し、ネットワークへのアクセスを制御します。シスコの有線/無線LANスイッチはIEEE802.1Xを標準サポートしています。
2.3 認証サーバ(Authentication Server)
ユーザー認証を行うサーバーです。 IEEE802.1X/EAPに対応したRadiusサーバーを使用してください。
3 802.1X の認証方式
IEEE 802.1X認証方式は、有線 LAN および無線 LAN上で認証された (許可された) デバイス以外のデバイスへのネットワークアクセスを制限する IEEE 認証規格です。認証サーバー(RADIUSサーバー)で認証をします。
サプリカントと認証装置の間ではEAPOL(Extensible Authentication Protocol over LAN)というプロトコルが使用され、認証装置と認証サーバーの間ではRADIUSというプロトコルが使用されます。
3.1 EAPとは
802.1X認証は、さまざまな認証のためのEAP(PPP Extensible Authentication Protocol)プロトコルをサポートします。EAP は PPP (Point-to-Point Protocol)を拡張し、データリンク層を使用するプロトコルです。プロトコルと認証プロトコルの間の仲介者として機能します。
使用される認証方法は、認証層プロトコル (MD5、TLS、TTLS、PEAP、LEAP) によって異なります。通信するには、サーバーとクライアントの間でこれらの認証層プロトコルが一致する必要があります。
3.2 EAP タイプ(認証方式)
EAP-TLS、LEAP、EAP-TTLS、PEAPの4種類から選択できます。
EAP-TLS:EAP-TLS は、クライアントと認証サーバーでの認証にデジタル証明書を使用します。
LEAP:認証用にユーザーIDとパスワードを使用します。
EAP-TTLS:EAP-TTLS は、Funk Software、Certicom社 によって開発された拡張認証プロトコル (EAP) です。 SSLと同じ暗号化技術により、クライアントと認証サーバーの間に暗号化された通信路を構築し、ユーザーIDやパスワードを送信します。EAP-TTLS は、認証サーバーとクライアントの間で相互認証を実行します。
PEAP:PEAP は、Microsoft、Cisco Systems、および RSA Security によって開発された Extensible Authentication Protocol (EAP) です。 SSL/TLS 暗号化は、クライアントと認証サーバーの間に暗号化された通信パスを作成し、ユーザー ID とパスワードを送信します。PEAP は、認証サーバーとクライアントの間で相互認証を実行します。
4 802.1Xの認証プロセス
●ユーザーがネットワーク リソースにアクセスする必要がある場合、802.1X クライアントプログラムを起動し、既に申請したおよび登録されているユーザー名とパスワードを入力して、接続要求を開始し、認証プロセスを開始します。
●認証システムはクライアントからのリクエストを受信すると、リクエストフレームを送信してクライアントにユーザー名の送信を要求します。
●クライアントは認証システムの要求に応答し、ユーザー名情報を認証システムに送信します。
●認証システムは、クライアントから送信されたデータフレームをパケット処理した後、認証サーバーに送信します。
●認証サーバーは、受信したユーザー名情報を自身のデータベース内のユーザー情報と比較し、ユーザー名に対応するユーザーパスワードを見つけ、ランダムに生成した暗号語でパスワードを暗号化し、認証システムに送信します。
●クライアントは認証システムから暗号化された単語を受信した後、パスワードを暗号化して認証サーバーに送信します。
●認証サーバーは、暗号化されたパスワード情報を自身の暗号化されたパスワード情報と比較します。それらが同じであれば、そのユーザーは正規のユーザーであり、このポートを介してネットワークにアクセスできます。異なる場合は、ユーザは認証を通過しておらず、認証系ポートの非認証状態が継続する。
まとめ
以上は、802.1X認証とは、802.1X認証の構成要素 、802.1X 認証の認証方式 、802.1Xの認証プロセスを説明しました。IEEE802.1Xは、有線LANおよび無線LANのユーザー認証規格です。元々はクライアントPCを有線LANでネットワークに接続する際のユーザー認証のために開発された規格ですが、無線LANの黎明期にはセキュリティがWEPしかなかったため、ユーザー認証のようなルールがあり、より早く普及しました。セキュリティ面では無線LAN環境の方が最適であるため、有線LAN環境よりも無線LAN環境の方が安心です。
