IEEE802.1X



 ◆ IEEE802.1Xとは

 IEEE802.1Xとは、有線LANや無線LANにおけるユーザ認証の規格です。当初は有線LANでクライアントPC
 をネットワーク接続する際にユーザ認証を行う目的で策定された規格なのですが、無線LANの初期においては
 WEPによるセキュリティしかなかったため、WEPにはないユーザ認証などの仕組みが無線LAN環境において
 セキュリティ的に最適であったことから有線LANよりも無線LAN環境で先に普及しました。今回は無線LANの
 技術解説でIEEE802.1Xの技術解説を行いますが、
以下の技術解説は有線LANにおいても適用できる内容です。



 ◆ IEEE802.1Xの構成要素

 IEEE802.1X認証を行うためには
サプリカント認証装置認証サーバの3つの構成要素が必要となります。

3つの構成要素 説明
サプリカント
(Supplicant)

 IEEE802.1Xにおけるクライアントのこと。またはクライアントにインストールするソフトウェア。
 認証を受けるクライアントはPCにインストールする必要があるが、最近のPCには標準搭載されている。

認証装置
(Authenticator)

 サプリカントと認証サーバの仲介役となるネットワーク機器。IEEE802.1X対応のLANスイッチまたは
 無線LANアクセスポイントのこと。これらの機器はサプリカントと認証サーバとの認証結果を受けて、
 ネットワークへのアクセス制御を行う。Ciscoは有線/無線LANスイッチともにIEEE802.1Xに標準対応。

認証サーバ
(Authentication Server)

 ユーザ認証を行うサーバのこと。IEEE802.1X/EAPに対応したRadiusサーバを使用する。

 これら3つの構成要素以外に、クライアント認証の際に「証明書」を使用する場合、証明書を発行するためのCA(認証局)が必要。


   

 ※ EAP-TLSでは、SSL3.0(Secure Sockets Layer3.0)を基に標準化したTLS1.0を、EAPのパケットフォーマットで実行します。



 ◆ EAPとは

 802.1X認証では、様々な認証が行えるように
EAP(PPP Extensible Authentication Protocol)プロトコルを
 サポートしています。EAPはPPP(Point-to-Point Protocol)を拡張したプロトコルであり、データリンク層
 プロトコルと認証プロトコルの仲介役となります。下図はIEEE802.1X/EAPにおける
プロトコルスタックです。

 利用する認証方式で使用するAuthentication層のプロトコル(MD5, TLS, TTLS, PEAP, LEAP) が異なります。
 これらのAuthentication層プロトコルはサーバとクライアントとで一致しなければ通信できません。


  


各層 説明
データリンク層  802.1X認証を行うための物理的なネットワーク。有線LAN接続、無線LAN接続のどちらでも利用できる。
EAP層

 EAPがデータリンク層とAuthentication層の仲介をしています。EAPOL (EAP over LAN) は、有線LANや
 無線LANにてEAPを使えるようにするプロトコルであり、データリンク層のメディアの違いを吸収している。

Authentication層

 802.1X/EAPでサポートする認証方式。有線LANと無線LANではEAP層が仲介するので、どの認証方式でも
 利用することができる。現在のところ、TLS、MD5、TTLS、PEAP、LEAP、EAP-FASTなどがある。


 上図のIEEE802.1X/EAPプロトコルスタックには IP がありません。どうやって認証サーバと通信するのか、
 それはサプリカントから受信したEAPメッセージを認証装置がIPパケットに変換し認証サーバに送信します。


    

 ※ EAPの認証方式(MD5、LEAP、EAP-FAST、TLS、TTLS、PEAP)の違いを詳しく学習したい方は 802.1X/EAP その2 をご参考。



ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2018 ネットワークエンジニアとして All Rights Reserved.