認証サーバ+IEEE802.1xを使った大規模無線LAN構築方法〜安定稼働しない無線LANセキュリティの課題〜特集:エンタープライズ・ワイヤレスLAN(2)

» 2004年05月22日 00時00分 公開
[山崎潤一郎@IT]

安定稼働しない無線LANセキュリティシステム

認証無線LANの問題と課題

  1. 安定稼働しない無線LANセキュリティシステム
  2. 一筋縄にはいかないIEEE 802.1x/EAPの課題の数々
  3. WEP+IEEE 802.1x/EAP+RADIUS認証サーバによる認証で強固なセキュリティを実現する
  4. 今後普及が予測されるIEEE 802.1x/EAPの方式

 エンタープライズ・ワイヤレスLAN(1)では、WEP+IEEE 802.1x/EAP+RADIUS認証サーバによる企業向け無線LANセキュリティの基本と導入に関する注意点などをベンダのコメントを交えながら紹介した。その後、本件の取材を進めるに当たり事例を紹介しようと上記システムを導入済みの企業ユーザー数社への取材を申し込んだのだが、色よい返事をもらえるところが少なかった。

 取材を受けたくない理由として多くの企業が「安定して稼働していない」とコメントした。これは盲点だった。無線LANのセキュリティは確かに大切だが、“安定稼働”は、セキュリティ以前の問題として企業ユースにとって導入検討プライオリティの先頭に来るべき大命題である。そこで導入事例を紹介する前に、今回は現状のWEP+IEEE 802.1x/EAP+RADIUS認証サーバが抱える課題に迫ってみた。

 今回お話を伺ったのは、日本アルカテル eビジネスネットワーキング事業部ネットワーキングインフラストラクチャービジネスユニットテクノロジーマーケティングアジアパシフィックディレクター・桑田政輝氏。日本アルカテルでは、LANスイッチ製品を中心に据えた802.1x認証+ユーザー認証VLANによる無線LANセキュリティのソリューション技術を提唱しており、同社のシステムは東京大学生産技術研究所や北見工科大学に導入されて稼働している。

 桑田氏によると、WEP+IEEE 802.1x/EAP+RADIUS認証サーバという無線LANセキュリティを安定稼働という側面から見た場合、焦点になるのは、IEEE 802.1x/EAPの部分だ。というのは既存の企業内ネットワークインフラにこの仕組みを導入しようとすると、導入済みのクライアント、アクセスポイント、ネットワーク機器の面でIEEE 802.1x/EAPに未対応のものが存在したり、異なるベンダの機器の混在による互換性の問題などが露呈し課題や問題が表面化するケースがままあるという。そうした情報を基に、なぜ無線LANセキュリティの安定稼働が難しいのかを解説していこう。

一筋縄にはいかないIEEE 802.1x/EAPの課題の数々

並立する暗号化方式

日本アルカテル 桑田政輝氏。ATMの時代から認証テクノロジの研究に従事してきた 日本アルカテル 桑田政輝氏。ATMの時代から認証テクノロジの研究に従事してきた

 まず一番目の課題は、EAP暗号化の部分において各ベンダの考え方がバラバラであるという点だ。EAPによる認証は、RADIUS認証サーバとクライアント側のOSやそこにインストールされたサプリカントの間で行われる。そこで、導入済みのWindowsクライアントが、新しく導入しようとしている認証サーバに対応しているか、あるいはそれに対応したサプリカントを導入することができるのかという点をしっかり見極める必要がある。

 現状ではWindows XPが、EAP-MD5、EAP-TLS、EAP-PEAPに対応しているが、企業内においてクライアントがWindows XPに統一されている例はまだまだ少ないようだ。そのためWindows XP以外のバージョンではサプリカントの導入が必要となるが、導入あるいは稼働中のRADIUS認証サーバと互換性、ならびに管理の手間やコストを十分に考慮する必要がある。

IEEE 802.1x未対応の機器が隠れている!?

 もう1つの課題として、既存のLAN内にIEEE 802.1xに未対応のネットワーク機器が存在すると、認証プロセスが正常に動作しない可能性がある。IEEE 802.1xの規格では、LANスイッチやMACブリッジがIEEE 802.1xに対応することを要求している

The PAE group address is one of the reserved set of group MAC address that are not forwarded by MAC Bridges.IEEE Std 802.1X-2001 20ページ<7.8 EAPOL Addressing Table7-20>Value01-80-C2-00-00-03”Note)


注釈:「MACブリッジではこのフレームは転送されない。」EAPOLでは、認証サーバのMACアドレスが判明していればユニキャストフレームでも構わないが、事実上はサプリカントに認証サーバのMACアドレスを登録することはまずありえないため、すべてブロードキャストを利用する。そういう意味ではEAP-REQUESTパケットだけでなくEAPOL-START(サプリカントから送信)もある。


 例えばLAN内にIEEE 802.1xのプロトコルを理解しないLANスイッチやMACブリッジが設置されているとしよう。認証前のクライアントがネットワークに接続しようとする際、クライアントからは、認証サーバに対して「EAP REQUEST」と呼ばれるパケットが送信される。実は、「このパケットは、一種のブロードキャストパケット」(桑田氏)なのだ。ここで問題になるのは、「IEEE 802.1xに未対応のLANスイッチやMACブリッジの中にはブロードキャストパケットを通すものもあれば捨ててしまうものもある」(桑田氏)という点だ。従って既存のLANにIEEE 802.1x/EAP認証のシステムを追加構築するような場合、導入済みのネットワーク機器が「EAP REQUEST」のパケットを通すかどうかを検証する必要がある。

1物理ポートに1ユーザーを定義するIEEE 802.1x規格

 さらに厄介な課題も立ちはだかる。現状で提供されているIEEE 802.1xソリューションが必ずしもIEEEで定められた802.1x規格に完全準拠していないという点も見逃せない。この規格を厳密に解釈すると「LANスイッチの物理的な1ポートには1ユーザーしか収容することができない」(桑田氏)ことになる。

The point of attachment to the LAN can be provided by any phisical or logical Port that can provide a one-to-one connection to a Supplicant System.IEEE Std 802.1X-2001 8ページ<6.3 Controlled and Uncontrolled access>)


サプリカントとPAE(認証機能のポート部分)とのOne-to-Oneコネクションについて


 だが、これをそのまま実践するとLANスイッチの1物理ポートごとに1つのアクセスポイントを接続し、そこには1ユーザーしかアクセスしてはいけないことになる。これではコストばかりが跳ね上がり、企業ユースとして見たら現実的なソリューションとはいえない。

 そのため現状では1つのアクセスポイントに複数のユーザー(クライアント)が接続し、そこから1つのポートに収容するスタイルが取られているシステムもある。この方法だと厳密にいうとIEEE 802.1xの規格から外れているのだが、「IEEE 802.1xは複数クライアントの接続を禁止しているわけではなく、あくまで規定はしていない」(桑田氏)というスタンスなのだ。

The operation of Port Access Control on a classic Token Ring LAN, or on shared media Ethernet LAN segment, is outside of the scope of this standard.IEEE Std 802.1X-2001 21ページ 8.2 Scope NOTE<8. Port Access Control)


複数端末接続が規定外である


 つまり、1ポートに複数クライアント接続するのはいいが、どのように動作させるかは各ベンダの考え方次第ということになる。

 また、この方式だと同じアクセスポイントを共有するクライアントのうち誰か1台が認証してLANスイッチのポートが開いたら残りのクライアントは認証なしで利用することができるものもある。それに、これを逆に考えると同じポートを共有するどれか1つのクライアントが切断するとすべてのクライアントの通信も切断されるという事態も起こり得るのだ。システムを検討する際はこの辺りの仕様がどうなっているかをしっかりとチェックする必要があるだろう。

 ただ、「1つの物理ポートをVLANでロジカルに分けてしまう方法もある」(桑田氏)と明かす。「ロジカルなポートを使用して複数ユーザーを収容することはIEEE 802.1xの規格書にも定義されている」(桑田氏)ので、現状で規格に準拠した形でコストダウンを図る最良の方法だという。

In order to successfully make use of 802.1X in a shared media LAN segment, it would be necessary to create .logical. Ports, one for each attached device that required access to the LAN, and to ensure that traffic carried by these Ports is secure by applying encryption not only to the data traffic on the Port, but also to the EAPOL exchanges. IEEE Std 802.1X-2001 21ページ B.2 Use of 802.1X in point-to-point and shared media LANs

複数端末サポートのロジカルVLANで接続することによる可能性について


 さらに、桑田氏は 「この方法であれば1つの物理ポートに複数のユーザを、それも各々別のVLANに所属させることができる。アルカテルではこの方法を認証VLANとよび、802.1XのみならずTELNETやHTTPSといった多様な認証プロトコルとともに実装している」 と付け加えた。

今後普及が予測されるIEEE 802.1x/EAPの方式

アクセスポイントにIEEE 802.1x認証機能を持たせる方式

 では、今後主流となるであろう、IEEE 802.1x/EAPの課題に対応した無線LANセキュリティはどのような方式になるのだろうか。まず1つ考えられるのは、アクセスポイントにIEEE 802.1xの認証機能を持たせるという方法だ。これだとIEEE 802.1x認証によるポートの開け閉めはアクセスポイントで行われるので、LANスイッチ側のポートで課題になる1物理ポートに1ユーザーという規格書の定義はクリアできる。この方式は、シスコシステムズのアクセスポイント「Cisco Aironet」シリーズがその代表例といえ、「通称でヘビー・アクセスポイント方式と呼ばれている」(桑田氏)そうだ。ただ、この方法にも3つの課題がある。

図1 ヘビー・アクセスポイント方式には課題がある 図1 ヘビー・アクセスポイント方式には課題がある
  • 課題その1
    まずアクセスポイントが高価になりがちという点。コンシュマー向け製品が市場をけん引する無線LANのアクセスポイント製品は、高くて数万円、量販店では1万円台で購入できるものがほとんだ。いくら企業ユースとはいえ、無線LANアクセスポイントに対する安価なイメージが刷り込まれたいま、十数万円という認証機能付き製品の価格は、もっぱら高いという感覚でとらえてしまうのは致し方ないだろう。
  • 課題その2
    次に、最近企業などで導入が進むVLANの分割数に限りがあるという点にも注意する必要がある。「これまで出回っている製品では、どんなに頑張っても16VLAN程度しか切れないのではないか」(桑田氏)と指摘する。必要なVLAN数は企業規模や組織の形態によりさまざまだが、今後、ますます普及が進むとみられるVLANへの対応が不十分では、無線LAN部分でのセキュリティは確保できても、VLANによるセキュリティ構築という部分での対応に課題を残すことになるだろう。
  • 課題その3
    無線LAN規格に対する拡張性が十分ではないという点。無線LAN規格はその速度を向上させる形でIEEE 802.11b、IEEE 802.11a、IEEE 802.11g、IEEE 802.11nと進化している。将来新しい規格を導入する際には最悪の場合、せっかく導入した高価なアクセスポイントを新しいものに入れ替える必要も出てくるだろう。

アクセスポイントの後ろにインテンリジェンスな無線LANスイッチを導入する方式

 この方式は「ライトウエイト・アクセスポイント方式」(桑田氏)と呼ばれており「将来的には非常に有望な無線LANのセキュリティ方式」(桑田氏)であろうと考えられている。

図2 ライトウエイト・アクセスポイント方式では従来のAPがそのまま利用できる 図2 ライトウエイト・アクセスポイント方式では従来のAPがそのまま利用できる

 これは、前述のヘビー・アクセスポイント方式とは異なり、アクセスポイントを無線と有線の単なるメディアコンバータとして使うというもの。そして、アクセスポイントとネットワークの間に「無線LANスイッチ」などと呼ばれるインテリジェンスな機能を備えたLANスイッチを設置して暗号化、接続管理、認証を一元的に行うものだ。無線LANスイッチは、AireSpace社やSymbol Technologies社の製品が知られている。また、これらの無線LANスイッチは、VLANにも対応し、認証システムとしてRADIUSやActive Directoryの利用も可能となっている。

 加えていうなら、この方式の最大のメリットは導入済みの安価なコンシュマー向け無線LANアクセスポイントがそのまま利用できるという点にある。これまでのWEP+IEEE802.1x/EAP+RADIUS認証サーバによる無線LANセキュリティ構築の考え方のうえでは、そのようなコンシュマー向け製品はセキュリティホールにもなりかねない"不正アクセスポイント"として排除される方向にあったが、「現実問題として、そのようなコンシュマー向け製品が企業にも広く普及している現状では、それらのアクセスポイントをいかに生かしてセキュリティの高い無線LANシステムを構築するかが、今後の中心的な考え方になるのではないか」(桑田氏)と力説する。

 また、この方法だと、今後無線LAN規格が進化して高速通信が可能になってもメディアコンバータとしての安価なアクセスポイントとノートPC側の無線LANカードを入れ替えるだけでより高速なシステムに拡張することができるだろう。


 今回は、認証無線LANの問題点と課題にスポットをあててみた。問題点と課題を敢えてレポートした後で、次回は、当初の予定通り、実際の導入に際して、IEEE 801.11aやIEEE 801.11gなど複数ある無線規格の選択方法、実際のアクセスポイントの設置方法、VPNやIP電話などと連携することのメリットを解説したい。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。