企業での無線LAN認証

多くの企業で無線LANが利用されていますが、認証はまだ事前共有鍵(プリシェアードキー/PSK)でされている場合があります。
事前共有鍵方式は、アクセスポイントと接続する全端末が同じ鍵を持つため、鍵の漏えいによる盗聴や不正アクセスの事例が度々報じられており、非常に危険です。
MACアドレス認証を併用しても、MACアドレス自体が容易に詐称されうるため、なりすましを防ぐには不十分です。

企業での無線LANの認証には、ユーザごとに認証をかける802.1X方式が推奨されます。
認証方式としてMD5/LEAP/PEAP/TTLS/TLSがありますが、最高レベルのセキュリティ性を持つのがEAP-TLSです。

EAP-TLSは、RADIUSサーバとクライアント端末の双方が電子証明書を保持し、公開鍵暗号方式によるサーバとクライアント相互の認証とパケットの暗号化が行われるため、盗聴・改ざん・なりすましを防ぎますす。
有効な証明書を持つ端末だけがネットワークに接続を許可されます。

※ Remote Authentication Dial In User Serviceの略

ネットワーク全体での電子証明書認証

無線LANでは認証をかけていても、有線LANには認証なしでネットワークに繋がる構成にしているケースがあります。
その場合、島ハブに管理側に無断で無線のAPが接続され、事実上誰でも無線経由でネットワークに侵入できる状態になっていても管理側は把握できません。

そのため、無線LANだけでなく、有線を含めたネットワーク全体の認証にEAP-TLSを採用する企業が増えています。
電子証明書によってネットワークに接続できる端末を制限し、LANコントローラによって端末のOSのアップデートやアンチウィルスソフトの状態などを確認した上で、ネットワーク接続を許可することで、ネットワークへの不正アクセス及びウィルスの侵入を防ぐ構成が推奨されます。

ネットワークに接続する端末のセキュリティ健全性チェック

企業でのBYOD導入が進むなか、VMware Workspace ONEなどのEMM/MDMを使って、会社所有/個人所有を問わずモバイルデバイスを管理する動きが広がっています。
EMM/MDMのセキュリティポリシー(OSのバージョン、ディスク暗号化、パスコード、ウィルス対策ソフトなど)を遵守した端末だけが、ネットワークへの接続を許可される環境を構築できます。
ネットワークアクセスコントローラは、デバイスにインポートされたクライアント証明書によって、デバイスを特定し、EMM/MDMにポリシー遵守状況を問い合わせることができます。

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料

EAP-TLSの認証局としてGléasを使うメリット

社内ネットワークへの電子証明書認証(802.1X EAP-TLS)の導入には、ユーザを認証するRADIUSサーバと、電子証明書を発行する認証局を必要とします。
クライアント証明書の配布方法についても熟慮が必要です。

Gleasは、RADIUSサーバ用のサーバ証明書と、クライアント証明書をテンプレート機能によって簡単に発行・管理できます。
ユーザの所属や属性に応じて、証明書のサブジェクトや有効期限を設定できます。
ユーザのアカウント情報はCSVでの一括取り込みができます。

クライアントはWindows、iOS、OS X、Android、に標準で対応しています。

ユーザはデバイスでGléasのユーザ用ウェブ画面にアクセスし、デバイスの証明書ストアに証明書をインポートします。
証明書ストアにインポートされた証明書は、他の端末にコピーされることはありません。
また「インポートワンス機能」を使うと、一度インポートされた証明書は、それ以降ユーザ用ウェブ画面にアクセスしても、Gléasは二度目以降のインポートを拒否します。

Gléasから証明書をインポートする際に、Wi-Fiの設定を同時に取り込む設定ができます。
ユーザはデバイスで無線LANのSSIDを選択するだけで、クライアント証明書が自動で選択されるため、ユーザ負担を軽減できます。

Gléasとの連携を確認しているRADIUSサーバは下記のとおりです。

  • ネットワークポリシーサーバー (マイクロソフト)
  • Pulse Policy Secure(パルスセキュア)
  • Cisco Secure ACS(シスコシステムズ)
  • Enterpras(ステラクラフト)
  • Fullflex EG(アクセンス・テクノロジー)
  • ClearPass(アルバ・ネットワークス)

上記以外のRADIUSサーバとの連携をご検討の場合は、お問い合わせフォームよりご相談ください。

RADIUSサーバとグレアスを組み合わせた無線LANシステム

Gléasで発行したクライアント証明書は、無線LANだけでなく、Office 365などのクラウドサービスでの認証や、リモートアクセス/VPNでの認証を1枚の証明書で対応できます。

事例

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料
  2. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料
  3. 2017.08.31 EnterprasでのEAP-TLS認証連携 技術資料
  4. 2013.04.11 アルバネットワークスのワイヤレスLAN製品に対応 ニュース
  5. 2012.08.21 iOSとWindows ServerでのEAP-TLS認証 技術資料
  6. 2011.10.28 Cisco Secure ACSでの802.1X(EAP-TLS)認証 技術資料
  7. 2011.06.29 Androidでの無線LANの電子証明書認証 技術資料
  8. 2011.01.20 Fullflex EG7で802.1X EAP-TLS認証 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ