PCをポート単位で認証してからLANに接続させる技術、有線・無線問わず使われる。

サプリカント(PC)-オーセンティケーター(認証SW)-認証サーバ(RADIUS)

認証のやり取りにはPPPを拡張したEAPと呼ばれるプロトコルを使う。

LANに接続した時点でサプリカント(クライアントPC)からオーセンティケーター(無線APや認証SW)に認証要求を送る。

サプリカントはEAPOLでオーセンティケータにEAPパケットの入った
MACフレームを送り、オーセンティケーターではEAPパケットを取り出し、RADIUSパケットの先頭に、MACヘッダー、IPヘッダー、UDPヘッダー、に乗せ変えて認証サーバへ中継する。
(RADIUSはUDP上で動作するプロトコル)

RADIUSパケット上で所属VLANも指定できる。

EAPOLパケットのタイプ「3」は,オーセンティケータからサプリカントに暗号通信用の鍵情報を配布するためのEAPOL-Keyと呼ばれるメッセージである。
このメッセージは「キー・フレーム」と呼ばれ,無線LANにおいて無線LANアクセス・ポイントからサプリカントに対して暗号通信の鍵情報を通知する際に使われる。

無線LANを使う際には,暗号通信のために無線LANアクセス・ポイントと無線LANクライアントにWEPキーなどの暗号鍵情報を設定する必要がある。
IEEE802.1Xを使うと,このキー・フレームのしくみを利用して,無線LANクライアントに自動的に暗号鍵情報を通知できるようになる。

認証方式(3種類)
1.ユーザidとPWを使うEAP-MD5方式
認証サーバより、まずチャレンジコードと呼ばれるものをサプリカントに送る。
認証サーバより送られたチャレンジコードとPWをMD5ハッシュ関数に入れたものと、ユーザidを合わせて、認証サーバに送り返す。
認証サーバでもチャレンジコードをハッシュ関数に入れ、サプリカントより送られたレスポンスコードと一致すれば認証成功とする
(生データは流れないが、チャレンジコードとレスポンスコードの組み合わせによってはPWが推測されてしまう可能性あり)

無線LANアダプタの設定画面では,そもそもEAP-MD5が選択肢として表示されない。
電波を盗聴されやすい無線LANでは,EAP-MD5方式は利用できないようになっているのである。


2.EAP-PEAP
SSLの仕組みを使って、共有鍵でやりとりする。
暗号化した上でチャレンジ・レスポンス方式を使用する為、MD5より安全だが、認証サーバにはサーバ証明書が、サプリカントにはサーバ証明書を検証できるルートCA証明書が必要になる。


3.EAP-TLS
EAP-PEAPで行なった証明書のやり取りをサーバとクライアントの両方で行なう。
サーバはまずサプリカントにサーバ証明書を送り、サプリカントは自身のルートCA証明書でサーバ証明書を検証する。その後、サプリカントはクライアント証明書を認証サーバに送り、認証サーバも自身のCA証明書で検証し、うまくいけば認証成功。最もセキュリティ強度は高い。この方式はユーザIDとPWを入力する必要がないが、ユーザ毎にクライアント証明書とCAルート証明書を配布する必要がある為、管理が大変になる。

※注意
IEEE802.1Xはあくまでも認証プロトコルであり,暗号化については規定していない。
セキュリティを高めるには,ユーザ認証と暗号化を同時に実施する必要がある。


関連記事


にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
プロフィール

Author:katsudon
どーしてもネットワークスペシャリストに合格したいオッサンが、試験テクニックや技術ネタ・勉強法や勉強記録なんかを備忘録もかねてログに残していきます

スポンサード リンク

Powered by amaprop.net
月別アーカイブ
カテゴリ
検索フォーム
最新記事
RSSリンクの表示