Wireless

Wireless 第28回 「Catalyst9100シリーズ紹介 ローカル認証を使用した WPA2エンタープライズ(PEAP)前編」

 こんにちは。TEと申します。

 今回は、EWCのローカル認証を使用したWPA2エンタープライズ(PEAP)の設定についてです。少し内容が長くなりますので、前編と後編に分け、前編では、EAPプロファイルとAAAメソッドリストを作成するところまでをご紹介させて頂きます。

 まずは、WPA2エンタープライズとは、802.1x認証とも呼ばれ、RADIUSと呼ばれる認証サーバを利用し、証明書やID/パスワードによってユーザのネットワークへのアクセス許可や拒否を行うセキュリティ機能になります。ユーザ毎に異なる認証情報を設定することができるので、認証情報の漏洩や退職者がいる場合などでも、他のクライアントに影響を与えずにユーザ単位の設定変更のみですぐに対応できるため、管理面が優れているという利点がございます。

 またWPA2エンタープライズはセキュリティ面でも優れており、ユーザと認証サーバの相互で認証を行います。最も一般的とされるPEAP認証では、認証サーバはユーザをID/パスワードで認証を行い、またユーザは認証サーバをデジタル証明書で認証し(※オプション設定)します。今回ご紹介するPEAPでは、小規模な企業などでも容易に利用可能なWPA2エンタープライズ認証として、デジタル証明書による認証サーバの認証は行わずEWC-AP内に登録したクライアントのID/パスワードのみで認証を行います。

 前置きが長くなってしまいましたが、ここからは、実際のEWCの設定画面とともに説明させて頂きます。
 まずは、ローカル認証用のプロファイルの作成です。

設定> セキュリティ-ローカルEAP> ローカルEAPのプロファイル-追加

 EWCのローカル認証用のプロファイルの作成画面では、認証方式として「LEAP」、「EAP-FAST」、「EAP-TLS」、「PEAP」 の4種類から設定することができます。
 それぞれの認証方式の簡単な違いとユーザの認証方式については、下記の通りです。
 ・LEAP
  ユーザ名、パスワードによる認証
  脆弱性が発見されており、現在は非推奨の認証方式
  Cisco独自の認証方式の為、標準でサポートしないクライアント端末が比較的多い

 ・EAP-FAST
  ユーザ名、パスワードによる認証
  LEAPの脆弱性を解消した認証方式
  Cisco独自の認証方式の為、標準でサポートしないクライアント端末が比較的多い

 ・EAP-TLS
  デジタル証明書による認証
  最もセキュリティレベルが高い
  認証局(デジタル証明書を発行するサービス)が必須の為、設定構築がやや難しい
  ※EWC-APはデジタル証明書を発行する機能をサポートしません。

 ・PEAP
  ユーザ名、パスワードによる認証
  クライアント側の設定により、ユーザ名、パスワードのみの認証も可能
  多くのクライアント端末で標準サポートされている

 認証方式は、お客さまの環境などに応じて利用することになるかと思いますが、現在では、特にEAP-TLSとPEAPを利用されている方が多い印象です。
 ※EWC-APはデジタル証明書の発行をサポートしないため、EAP-TLS認証を行うためには別途認証局が必要です。

 また、認証局を利用せずにEWC単体でPEAPを設定する場合は、EWCが自身で作成したデジタル証明書(自己証明書)をユーザに対して送信します。詳しい説明は割愛させて頂きますが、この自己証明書は、その名の通りEWC自らが発行した証明書(オレオレ証明書。。)なので、証明書の信頼性はありませんが、認証局なしで利用することが可能です。

 次は、AAAメソッドリストの作成を行います。
 AAAはAuthentication(認証)、Authorization(認可)、Accounting(課金)の頭文字を取ったWPA2エンタープライズとのセットでよく利用されるアーキテクチャです。AAAのメソッドリストによって認証の種類(認証)、認証後のユーザへの権限付与(認可)、認証後のユーザから取得するログ情報の種類(課金)などの設定を行う事が可能になります。
 今回は、この中の「認証」と「認可」のメソッドリストのみ作成していきます。まずは、AAA認証の設定です。

設定> セキュリティ-AAA> AAAメソッドリスト> 認証> 追加

 AAA認証の設定では、認証タイプとして「dot1x」か「login」を選ぶことができます。今回はWPA2エンタープライズ(802.1x)の設定なので、「dot1x」を設定します。(「login」はコンソール接続や、telnet、SSH接続時の認証やWeb認証などで利用することができます。)
 また、グループタイプでは、「グループ」か「ローカル」を選ぶことができますが、今回はローカル認証なので、「ローカル」を設定します。(「グループ」は、外部RADIUSサーバなどを用いた認証で利用します。)

 次は、AAA認可の設定です。

設定> セキュリティ-AAA> AAAメソッドリスト> 認可> 追加

 AAA認可の設定では、タイプとして「credential-download」、「ネットワーク」、「exec」から選択することができます。今回はローカルから証明書を受け取ることができる権限「credential-download」を設定します。
 グループタイプは先ほどのAAA認証時と同様に「ローカル」を設定します。

 続いて、再度AAA認可の設定を行います。

設定> セキュリティ-AAA> AAAメソッドリスト> 認可> 追加

 認証されたクライアントに対してネットワークアクセス可能な権限を割り当てるためにタイプを「network」にしたAAA認可のメソッドリストをもう一つ作成します。(「exec」は、属性リストによって設定された権限を割り当てる際に利用されます。)

 以上で、ローカル認証のプロファイル作成とAAAメソッドリストの作成は完了です。
 次回の記事では、今回作成したプロファイルやAAAメソッドリストを実際にWLANなどに適用していく内容をご紹介させて頂きます。

 引き続きよろしくお願いいたします。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事