無線関連(IEEE802.1X関連)
目次
IEEE 802.11(無線LAN用セキュリティ規格)
LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術
CSMA/CA(搬送波感知多元接続/衝突回避方式)
無線LANにおけるアクセス制御方式の一つ
過去問
平成29年春期 問20
Q:IEEE 802.11a/b/g/nで採用されているアクセス制御方式はどれか。
A:CSMA/CA
参考)
CSMA/CDは、有線LANで使用されるアクセス制御方式です。
認証方式
・WPA2-PSK方式(WPA2パーソナル)
WPA2-PSK方式(WPA2パーソナル)
「事前共有鍵」あるいは「ネットワークセキュリティキー」などと呼ばれるパスワードを用いる。これは、無線LANユーザー全員が同じパスワードを使う方式
WPA2-EAP方式(WPA2エンタープライズ)
APやコントローラーとは別に用意したRADIUSサーバーを用いる。
RADIUSサーバーは様々なユーザー認証方法を実現できるが、無線LANでは一般的にパスワードを使用した認証(PEAP方式)、もしくは証明書を利用した認証(TLS方式)を使用する。
クライアント-アクセスポイント-認証サーバの3者間で認証情報がやり取りされます。認証に成功すると、認証サーバはPMK(Pairwise Master Key)と呼ばれる暗号化鍵の種を動的に生成し、アクセスポイントと認証された端末に配布します。暗号化鍵はこのPMKから生成されるのでセッションごとに異なる仕組みになっています。
WPA2-EAP方式の認証に必要な3つ
クライアント端末にインストールされている認証要求をするソフトウェア |
|
オーセンティケータ |
認証Switch、無線AP |
認証サーバ |
RADIUSサーバ |
過去問
平成29年春期 問17
Q:利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に,IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。
A:アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。
平成29年秋期 問17
Q:無線LANの情報セキュリティ対策に関する記述のうち,適切なものはどれか。
A:WPA2-Enterpriseでは,IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実現できる。
他回答:
・SSID(Service Set Identifier)は、無線LANの規格であるIEEE802.11シリーズにおいて「混信」を避けるためにアクセスポイントと端末に設定するネットワーク識別子です。
・RADIUS(Remote Authentication Dial In User Service)は、認証および利用ログの記録を単一のサーバに一元化することを目的としたプロトコルで、暗号化通信の機能はありません。
・EAP(Extensible Authentication Protocol)は、PPPの認証機能を拡張したプロトコルです。EAPはディジタル証明書,メッセージダイジェスト,OTPなど様々な認証方式をサポートしていますが、暗号化通信の機能は規定されていません。
参考
http://sc.seeeko.com/archives/3836037.html
EAP(Extensible Authentication Protocol)
EAPとは
IEEE802.1Xに規定されるフレームワークにおいて、どの認証方式を用いるかを指定するプロトコル。
認証方式
Authentication層プロトコルがいくつかあって、それぞれごとの認証方式が存在する。
方式 |
説明 |
クライアント認証 |
サーバ認証 |
認証強度 |
・チャレンジレスポンスでクライアント認証 |
ユーザ名・PW |
なし |
弱 |
|
・TLSの拡張版 |
ユーザ名・PW |
証明書 |
中 |
|
・TTLSと同じ仕組み |
ユーザ名・PW |
証明書 |
中 |
|
EAP-FAST |
・TTLSとほぼ同じ仕組み ・サーバ証明書不要 |
ユーザ名・PW |
ユーザ名・PW |
|
ディジタル証明書によるサーバ・クライアント相互認証 |
証明書 |
証明書 |
強 |
参考
AAAフレームワーク
利用者が情報システムを使用する際に重要となる3つの機能、「Authentication(認証)」、「Authorization(認可)」、「Accounting(課金)」の頭文字を組み合わせた言葉
参考