無線構築の仕事で先輩が認証方式が…802.1xが…ってよくわからない言葉を話してるんだけどなんのことだろう?
無線でよく使う認証技術の話だね
認証っていっても主には3つ押さえておけば大丈夫だよ
1つづつ解説するね
認証とは
認証とは、身元や属性を証明するプロセスのことです。
NWでは情報セキュリティやアクセス管理などの分野で大きな役割を持ちます。
認証が使われる場面としては、社内NWへのアクセスや無線ユーザのアクセス可否確認などになります。割と身近にある技術ですが、構築する側としてはその種類を覚えておく必要があります。
ただ、よく使う認証の種類としては主に3つなので、取り急ぎ次の解説で紹介する3つは押さえるようにしましょう。
認証の種類
802.1x
802.1xとは有線・無線LANにおけるユーザ認証の規格です。
認証方式としては802.1xという規格に様々な方式が含まるため、すべて共通してEAPプロトコルを利用します。
方式の名称はメーカによって独自規格やサポートの範囲などまばらなので以下3つだけ押さえるようにしましょう。
| EAP-MD5 | EAP-PEAP | EAP-TLS | |
| ユーザ認証 | ユーザ名/パスワード | ユーザ名/パスワード | 電子証明書 |
| サーバ認証 | なし | 電子証明書 | 電子証明書 |
| 備考 | ユーザから認証情報をMD5でハッシュ化して送信するだけのため、安全性は低い | 通信経路がTLSトンネルで暗号化される。また、運用管理はクライアント証明書の管理が不要なので、比較的小さい | 証明書の導入など、管理負担が大きい。ただしセキュリティレベルは高い。 |
まとめると、802.1xではユーザ認証〜証明書認証まで幅広く対応しています。
それぞれにセキュリティ面や運用管理での優位性があるため、要件にそって使用する規格を選定することが必要になります。
Radiusサーバを配置して、証明書を利用して認証を行いたい場合は、802.1x規格を使うことになります。
MAC認証
機器にそれぞれ割り当てられたMACアドレスを元に、認証を行う方式です。
導入時に、すべての利用端末のMACアドレスを把握しないといけないという点でかなり手間ではあります。また、MACアドレスは偽装可能でもありますので、セキュリティとしては低い認証となります。
その反面、一度登録した機器のMACアドレスが変わることはないので、導入以降の管理コストは低いというメリットはあります。
現状の環境としては、無線にスマートフォンやPCなど複数機器を接続していることを考えると、すべての認証にMAC認証を利用するのは得策ではありません。
例えばゲストWi-Fiに接続する機器などまで管理し出すと、リアルタイムで運用管理者がMACアドレスをヒアリングして、登録する必要があります。
そのため、一部特定の機器に対してMAC認証を用いている事例が多い印象です。
Web認証
Web認証はWebブラウザに必要情報を入力し、認証を完結させる方式になります。
こちらもWebブラウザを利用するという点では共通ですが、認証方式としてはいくつかのパターンがあります。
・ユーザ名/パスワード
ブラウザ上に表示される欄にユーザ名とパスワードを打ち込み送信する認証方式。
最も一般的で基本的な認証方式
・生体認証
指紋認証や顔認証など生体情報を利用して認証する方式。
生体の一部を利用するため、なりすましが難しく、安全性の高い認証方式。
・ID連携
webブラウザで認証を行う際に、別のサービス(google,facebookなど)と連携して、登録に必要な情報を連携し、認証を実施する方式です。
利用者にとってはログインの手間が省けます。しかし、安全性の面から言うと、自動で別アカウントへの登録情報が連携されてしまうので、そこを制御することができない面はリスクとして飲む必要があります。
まとめ
認証方式としては上記3つが最もメジャーな方式です。
特にセキュリティの観点から802.1xのEAP-TLSなど、証明書を利用するパターンが多いですので、証明書の概念と合わせて、認証方式は覚えるようにしましょう。
証明書に関しては下記でも紹介してますので、ご参考まで。
