- 1x認証について
- EAP-TLSの詳しい解説
認証を勉強するのに最適な一冊です!
802.1x認証とは
802.1x認証とは有線LAN / 無線LANの認証規格の1つです。
802.1x認証に基礎については以下の記事を見てください。
(無線認証の記事ですが、802.1x認証は有線LANでも使用されます。無線LAN / 有線LANともに仕組みは同じです。)
EAP-TLS
現在802.1x認証で使用される認証方式は以下が主流です
- EAP-PEAP
- EAP-TLS
今回はEPA-TLSについて解説します。
EAP-PEAPについて知りたい方は別記事にまとめているので、そちらをご覧ください。
EAPとは?
EAPは802.1x認証で使用される認証方式の1つであり、Extensible Authentication Protocolの略です
2地点間の接続の確立に用いられるプロトコルであるPPPを拡張したもので、データリンク層プロトコル(Ethernetや無線のプロトコルである802.11)と認証プロトコル層の仲介する役割を担っています。
EAPで利用できる具体的な認証方式は様々あり、代表的なものは、前述のEAP-TLS(デジタル証明書を使用した認証方式)やEAP-TTLS、EAP-PEAP(伝送路をSSL/TLSで暗号化して認証情報をやり取りする方式)
上記で記載したように、EAP単体で使用されることは最近はありません。EAP自体にセキュリティ機能がないためです。
EAP-TLSとは?
上記の通り、EAP-TLSはEAPの一種で、クライアントとサーバの持つ証明書を利用して相互認証を行う認証方式です。
加えて、TLSを使用することで通信を暗号化しセキュリティを担保しており、1x認証の中で最もセキュリティレベルの高い認証方式です。
ネットワークに接続するクライアントはクライアント証明書で認証されるためパスワード等の入力が必要ありません。
(EAP-PEAPはユーザ情報の入力が必要です。)
EAP-TLSを使用するメリットとしては相互認証があげられます。
相互認証とは、クラインとサーバがお互いの正当性を確認することです。
また、TLSを使用するため、通信愛用の暗号化によるデータの盗聴、改ざんを防ぐことができます。
認証のやりとりでパスワードを使用しないため、パスワードの漏洩リスクもありません。
一方、デメリットも存在します。
EAP-TLSは証明書認証のため、証明書の管理を適切に行う必要があります。
証明書の管理、更新のオペレーションや証明書流出時の対応などを確立しておく必要があります。
また、証明書を発行するCAが必要となるため、導入費用が比較的かかる部類になります。
EAP-TLSの仕組み
EAP-TLSの認証手順は以下の通りです、
802.1x認証の基本のやり取りを行った後、EAP-TLS固有のやり取りを行います。
ここまでが802.1x認証の基本的なやり取りです。
上記がEAP-TLS認証を確立するまでの流れです。
上記のフローからわかるようにクライアント端末には、送付するクライアント証明書とサーバ証明書を確認するるルート機関証明書をインストールする必要があります。
コメント