IEEE802.1X
有線/無線LANの認証について定めたIEEEの標準で、認証VLANや認証無線LANなどとも呼ばれる。認証を行う端末(サプリカント)、IEEE802.1X対応のレイヤー2/レイヤー3スイッチや無線LANアクセスポイント(Authenticator)、そしてRADIUSサーバー機能をもつ認証サーバー(PKIを利用する場合にはCA/RA/CRLなどの機能も必要になる)から構成される。サプリカントとAuthenticator間はEAP層のEAPで認証処理を行い、EAPOLによって、有線や無線の各種データリンクに対応している。また、Authenticatorと認証サーバー間は従来のRADIUSプロトコルを利用する。認証方式は各種選択が可能で、代表的なものに、MD5/TLS/TTLS/PEAP/LEAPなどがある。無線LANなどではIEEE802.1xの認証とともにWEPやTKIPの暗号鍵を定期的に変更することができる。
関連用語:
IEEE 802.1x
別名:802.1x
IEEE 802.1xとは、クライアント機器のLAN接続時の認証プロトコルや制御方法を標準化したものである。
IEEE 802.1xは、クライアントがアクセスポイントに接続した際に認証が行われ、認証されない場合は接続を遮断する仕組みになっている。IEEE 802.1xは無線、有線LANいずれでも利用が可能だが、クライアントとアクセスポイントがIEEE 802.1Xへの対応していることに加えて、認証用にRADIUS(Remote Authentication Dial In User Service)サーバーやLDAP(Lightweight DirectoryAccess Protocol)サーバーなどが必要となる。
| 無線LAN: | GHz IEEE 802.11 IEEE 802.15.4 IEEE 802.1x MIMO MISO MU-MIMO |
IEEE 802.1X
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/31 17:10 UTC 版)
ナビゲーションに移動 検索に移動IEEE 802.1Xとは、LAN接続時に使用する認証規格(認証VLAN)である。接続を認めた端末機器以外がコンピュータネットワークに参加しないように認証によって接続を規制する。有線と無線の接続に使用できる検疫ネットワークのデータリンク層の技術である。
この標準はIEEE Standard for Local and metropolitan area networks--Port-Based Network Access Controlで規定されており、初版が2001年に、改定版が2004年に、最新版が2010年に発行されている。2014年に802.1Xbx、2018年に802.1Xckという追補(ammendment)を発行している。
IEEE 802.1Xを使った認証システムは、以下のものから構成される。
- サプリカント(Supplicant) - 認証クライアント・ソフトウェア。接続しようとするパソコン上で必要である。
- オーセンティケータ - 802.1Xに対応したLANスイッチ。
- 認証サーバ - 認証を判断するサーバ。RADIUSまたはDIAMETER認証サーバでもよい。
本項目ではレイヤ2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を「LANスイッチ」と呼ぶ。また、802.1Xに対応したLANスイッチを「認証LANスイッチ」と、サプリカント・ソフトウェアを備えたクライアントPCを「サプリカントPC」と呼ぶ。
IEEE 802.1XはEthernetの認証であるのに対して、RADIUSはIP以上での認証であり、直接対応させて理解しない。
動作
IEEE 802.1Xを使った認証動作は以下の3段階からなる。
- 接続
- EAP(Extended authentication protocol)による認証
- 認証完了
接続
- 有線LAN
- 有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
- 無線LAN
- 無線LANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。
EAPによる認証
EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。
認証完了
認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。
EAP
802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。
- EAP-MD5
- EAP-MD5(EAP-Message digest algorithm 5)はIDとパスワードで認証する方式。パスワードはチャレンジ&レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。
- EAP-TLS
- EAP-TLS(EAP-Transport layer security)はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー(ドングル)と組み合わせて使用されることが多い。無線LANでもほぼ安全。
- PEAP
- PEAP(Protected EAP)は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL(Secure Sockets Layer)と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。
- LEAP
- LEAP(Lightweight EAP)は米シスコシステムズ社が開発したEAP製品。
- EAP-TTLS
- EAP-TTLS(EAP-Tunneled transport layer security)は米ファンク・ソフトウェア社(Funk Software)が開発したEAP製品。
LANスイッチの接続環境
サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
- 通常のLANスイッチ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。
- リピータ・ハブ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証はポート単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。ここまでがIEEE 802.1Xで規定された動作であるが、これではセキュリティが確保できないため、実際の認証LANスイッチ製品の多くでは、MACアドレス・フィルタ機能と連動させて、たとえリピーター・ハブを使われても認証されたPCをMACアドレスで認識して、他のPCをネットワークに接続することはない。
ネットワーク・プリンタとIP電話
多くのネットワーク・プリンタと少し旧型のIP電話はIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続できなくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることができるが、LANスイッチのポートが固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティホールとなり推奨できない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。
WindowsとMacでの対応
Windows 2000 SP4以降、EAP-TLSとPEAPに対応しており、Windows XP 以降、EAP-MD5、EAP-TLS、PEAPにも対応している。
macOSはサプリカント機能を標準で内蔵している。
出典
- 「IEEE 802.1Xの全貌」日経NETWORK 2004年12月号 p.82〜p.95
関連項目
IEEE 802.1X
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/14 13:58 UTC 版)
「RADIUS」の記事における「IEEE 802.1X」の解説
詳細は「IEEE 802.1X」を参照 IEEE 802.1Xは、LANの利用の可否を制御する、イーサネット上のプロトコルである。IEEE 802.1Xにおいては、EAPプロトコルとRADIUSプロトコルを利用することによって、RADIUSサーバによって認証された利用者のみに対してLANを利用させることができる。もちろん、このためにはIEEE 802.1Xに対応した無線LANアクセスポイントまたはスイッチが必要である。なお、「802.1x」というように「X」を小文字で記述しても誤りではないが、大文字で記述するのが主流である。これは、小文字の「x」が数学で使う「 x {\displaystyle x} 」のように、「xの部分に入る文字を規定しない」という意味に誤解されることを防ぐためである。 IEEE 802.1XおよびRADIUSプロトコルのいずれも、実際の認証手順については規定していない。実際の認証は、EAP-TLS、PEAP、EAP-TTLSなどEAP上の認証手順によって行う。ベンダ独自の認証手順をEAP上に実現することも可能である。EAPによる認証のためのデータのやりとりを、利用者端末とアクセスポイントまたはスイッチの間のイーサネットではEAPoL(EAP over LAN)、アクセスポイントまたはスイッチとRADIUSサーバの間ではRADIUSプロトコルによって中継する。 EAP-TLSは、TLSに基づいてデジタル証明書による相互認証(サービス提供者の詐称をも防止する)を行うという点で重要であるが、デジタル証明書の運用と管理の負担が大きいという点で、一般の事業所等では敬遠される傾向がある。PEAPおよびEAP-TTLSは、TLSによる暗号化した通信路を形成したうえでパスワード情報のやりとりを行う認証手順である。EAP-TLS、PEAP・EAP-TTLSの対比は、ウェブブラウザのTLSでデジタル証明書による相互認証を行うのか、SSL上でパスワード認証を行うかの違いを考えるとわかりやすいだろう。
※この「IEEE 802.1X」の解説は、「RADIUS」の解説の一部です。
「IEEE 802.1X」を含む「RADIUS」の記事については、「RADIUS」の概要を参照ください。
- IEEE 802.1xのページへのリンク
