IEEE802.1Xとは
IEEE802.1Xとは有線LANや無線LANで使用できるユーザ認証技術です。現在では主に無線環境でよく使用されています。
IEEE802.1Xの仕組み
IEEE802.1Xは以下の3つの要素で構成されています。
| サプリカント | クライアント。最近のPCにはデフォルトでインストールされている |
| オーセンティケータ | サプリカントと認証サーバの中継を行う装置。 無線LAN環境ではアクセスポイント、 有線LAN環境では認証スイッチが該当。 EAPメッセージのやりとりはサプリカントと認証サーバで行います。 |
| 認証サーバ | 端末の認証を行うサーバ。RADIUSサーバ |
EAPOLとはEAPパケットをLAN上で通信できるようにしたものです。
IEEE802.1Xの認証方式
IEEE802.1XではEAPが使用されていますが、EAP自体は認証方式を定めているプロトコルであり認証方式を持っているわけではありません。
認証方式は以下の種類があります。
| 認証方式 | ユーザ認証 | サーバ認証 | 備考 |
| EAP-MD5 | ユーザ名とパスワード | – | 脆弱性あり |
| EAP-TLS | 証明書 | 証明書 | 現在の主流 |
| EAP-TTLS | ユーザ名とパスワード | 証明書 | |
| EAP-FAST | ユーザ名とパスワード | ユーザ名とパスワード | |
| LEAP | ユーザ名とパスワード | ユーザ名とパスワード | 脆弱性あり |
| PEAP | ユーザ名とパスワード | 証明書 | 現在の主流 |
EAP-MD5はサーバ証明を行っていないため現在ではほとんど使われていません。
EAP-TLSは証明書を使用することで双方向の認証をすることができます。ただし証明書の管理が大変になるデメリットがあります。
EAP-TTLS(Tunnel mode TLS)はサーバ認証をした後、TLSによって暗号化された通信上でユーザ名とパスワードによるユーザ認証を行う方式です。
EAP-FASTはEAP-TTLSと似ていますが、特徴として認証局がいらないというメリットがあります。
LEAPは脆弱性が見つかっているため現在ではあまり使用されていません。
PEAPは仕様としてはEAP-TTLSとほぼ一緒です。MS社とCisco社とRSA Security社の共同開発によって生まれたプロトコルというのもありWindowsに標準搭載されているのもあり現在では広く使用されています。
EAP自体が拡張しやすいプロトコルなのもありいろいろなEAPプロトコルがありますが現在主流なのはEAP-TLSとEAP-PEAPの2種類なのでその2種類を覚えておくことが大事です。
EAP透過転送機能
IEEE802.1Xでやり取りされるEAPOLの宛先MACドレスは特殊なマルチキャストアドレスであり通常のSWでは破棄してしまいます。そのためサプリカントとオーセンティケータの間にSWがあるとサプリカントは認証のためのEAPパケットを送信することができません。
その時にサプリカントとオーセンティケータが通信できるようにSWにEAPパケットを透過させる機能があるSWを使用することでEAPパケットを透過させてオーセンティケータと通信をすることができるようになります。
