IEEE802.1xについて(PowerPoint)
Download
Report
Transcript IEEE802.1xについて(PowerPoint)
無線LANセキュリティの救世主
IEEE802.1xについて
環境情報3年
蟻川 朋未
はじめに
無線LANの脆弱性
もはや従来のままでは対応できなくなって
いる
→IEEE802.1xに注目
プレゼンテーション内容
1.無線LANセキュリティの実状と
IEEE802.1x
2. IEEE802.1xとは
3.実際の導入
4.まとめ
1. 無線LANセキュリティの実状
とIEEE802.1x
1-1.無線LANセキュリティの
実状
SSID(ESSID)
WEP(共通鍵)
MACアドレスフ
ィルタリング
1-2.IEEE802.1xによる
セキュリティ強化
・認証の厳密化
・鍵配布
2. IEEE802.1xとは
2-1.IEEE802.1xの誕生
1998年 IEEE(米国電気電子技術者協
会)で有線LAN向けの仕様として検討開始
2001年 仕様決定
2002年2月 公開
不正なLANアクセスを防ぎ、正規ユーザー
だけにLANを使わせるための認証規格
→無線LANに適用
2-2.認証の厳密化
・認証サーバーとアクセスポイントが連携して、
ユーザーを認証
・WEPでの通信を開始する前にユーザー名/
パスワードや電子証明書を使って認証し、
不正なユーザーのアクセスを拒否する。
・認証方式はEAPにより選択可能
鍵配布
認証時にWEPキーを端末に配布する。
一定時間たつと新しいWEPキーを再配布
する
Air Snortなどの攻撃を防ぐことができる
2-3.IEEE802.1xを適用した認証
シーケンス
3. 実際の導入
3-1.では導入してみよう
802.1x対応のアクセスポイントを
導入する場合、これらをチェックすること
①動作確認済みのRADIUSサーバー(認証サー
バー)の種類
②認証方式
③802.1x対応のクライアントソフト
3-1-1.RADIUSサーバーとは
RADIUS・・・ダイヤルアップ接続のための
認証システム、または認証を行うためのプ
ロトコル
アクセスサーバは、ユーザー利用者名と
パスワードを、RADIUSプロトコルを使用
してRADIUSサーバへ伝送し、ユーザー
利用者として認証されれば接続を許可す
る仕組みである。
①RADIUSサーバーの種類
大きく三つに分けられる
Windows2000 Serverに標準で付属する
RADIUSサーバー
「Internet Authentication Server(IAS)」
米Funk Software社の「Odyssey」
アクセスポイント・ベンダーが販売している
RADIUSサーバー
IASの場合
アイコム、インテル、コンテックはIASとの連
携動作だけを保証
メリット
・Windows2000Serverをすでに利用してい
るなら追加の費用がかからない。
・マイクロソフトが無償でクライアントソフト
を配布
Odysseyの場合
NECインフロンティア、エンテラシス・ネット
ワーク、富士通、プロキシムがサポート
IASとの連携動作も保証
IASよりも多くのクライアントをサポート
アクセスポイント・ベンダーがサ
ポートしているRADIUSサーバー
の場合
NEC、シスコシステムズ、メルコ
シングル・ベンダーでシステムを構築する
場合
RADIUSサーバー、アクセスポイント、無線
LANカード、とも自社製品の組み合わせでしか
動作を保証しない
RADIUSサーバ-の種類①
Enterpras ステラクラフト (TLS)
NavisRadius4.3 日本ルーセント
fullflex wireless アクセンス・テクノロジー
初めて一般的な認証手順を全てサポート
AirStation Radius IEEE802.1x/EAP対応
RADIUSサーバソフト メルコ
Capcella Radius Server ZAOnetworks
(MD5、TLS)
RADIUSサーバーの種類②
SecureACS シスコシステムズ株式会社
(LEAP、EAP-PEAP、EAP-TLS、EAP-MD5)
IAS Microsoft
Steel Belt RADIUS、Odyssey Funk社
FreeRADIUS freeradius.org
3-1-2.認証方式
MD5-Challenge
TLS
PEAP
EAP-TTLS
LEAP
MD5
クライアント認証はMD5アルゴリズムを用
いたパスワード方式
→簡単なパスワードだと破られる
サーバー認証を行わない
→別のサーバーに変えられて盗聴されると
いう危険性
TLS
SSLの後継
デジタル証明書を用いたPKI(公開鍵暗
号)による相互認証
WEPキーの配布
パケットの暗号化
EAP-TTLS
米FunkSoftware社による
TLS認証の後、RADIUSでのユーザー認証
を実行する
デジタル証明書は用いない
PEAP
Microsoft社による
TLS認証の後、EAP自体をカプセル化して
安全性を高めた上で認証
アクセスポイント間でのローミング機能が
ある
認証方式の比較
認証方式
MD5
LEAP
TTLS
PEAP
TLS
クライアント認証
パスワード方式
パスワード方式
パスワード方式
パスワード方式
電子証明書
サーバー認証
なし
パスワード方式
電子証明書
電子証明書
電子証明書
3-1-4.802.1xの導入
3-1-5. SFCでの導入
現状
機種:MELCO社 AIRCONNECTWLA-L11
規 格 : ARIB
STD-T66/RCR
STD-33
IEEE802.11b準拠
ESSID設定
学部→ 000000SFC 大学院 → 000000MAG
無線チャンネル設定 主に「10」を設定
WEP設定 なし
SFCでの導入
RADIUSサーバー:IAS
認証方式:TTLS、PEAP、LEAP
SSIDのAnyアクセス拒否が可能なもの
→富士通のFMWT-52AB
プロキシムのORiNOCO AP-2000 ??
4.まとめ
認証方式やRADIUSサーバーなど乱立し
ているので、自分の環境に合わせて導入
方法を選択しよう。