エンタープライズ:ニュース 2003/05/06 23:23:00 更新


802.1x、どのEAP認証メソッドを選ぶ? iLabsのお勧めは……

今年のiLabsのテーマの1つが「無線LANセキュリティ」だ。参加メンバーは、30近くの802.1x実装製品を集め、相互に接続した上で、各方式のメリットとデメリットをまとめた。

 Networld+Interop LasVegas 2003で行われた相互接続性検証デモンストレーション「iLabs」では、テーマの1つとして「無線LANセキュリティ」が取り上げられた。iLabsでは、認証サーバやアクセスポイント(802.1xではオーセンティケータ[Authenticator]と呼ぶ)、クライアント(同じくサプリカント[Supplicant])など、30近くの802.1x実装製品を集め、相互に接続した上で、各方式のメリットとデメリットをまとめた。

ilabs02.jpg
マルチベンダーのアクセスポイントやクライアントがずらりと並んだ

 無線LAN部分のセキュリティは、まずは実装と運用に左右される。新しいプロトコルや仕様は、必ずしも安全を保証してくれるわけではない。しかし802.1xと、その認証の仕組みを取り入れたWPA(Wi-Fi Protected Access)によって、WEPだけの場合に比べて大きくセキュリティを改善する手段が与えられたとは言えるだろう。

 では、いざこの機構を導入しようとすると、今度はより実際的な問題に迫られることになる。つまり、802.1xで複数定義されているEAP(Extensible Authentication Protocol)の認証メソッドの中からどれを採用するかだ。

 802.1xはレイヤ2でのユーザー認証を実現する仕様で、そのプロトコルはEAPOL(EAP over Wireless)と呼ばれている。EAPは「拡張可能」という名前が付くだけあって、実に多様な認証メソッドが提案されている。主だったものだけでも、一方向の認証のみをサポートするMD5のほか、シスコシステムズ独自のLEAP、デジタル証明書を用いて堅牢な双方向認証を行うTLS、同じく双方向認証を実現するがクライアント証明書は不要なTTLS、LEAPなどを下敷きにして最近提案されたPEAPなどが存在している。

 これらのメソッドのセキュリティ強度にはばらつきがある。また、EAPがどの方式であろうと左右されないオーセンティケータはともかく、認証サーバやサプリカントがサポートしている方式もばらばらだ。自システムのクライアントが未対応のメソッドを選ぶわけにはいかないが、下手に選択すると特定のベンダーに束縛されることになりかねない。

 トラピーズ・ネットワークスからiLabsに参加したマシュー・ガスト氏によると、「暗号強度や鍵生成・配布のプロセス、市場によるサポートといった条件から考えれば、合致するのはTLSだけだ」という。しかしTLSにも問題はある。クライアントにもデジタル証明書が必要となるため、認証局の構築や運用といった負担まで引き受けなくてはならないのだ。

 これに対し、セキュリティの観点からはある程度妥協しながら、サーバ証明書だけを必要とし、導入・運用のハードルを低くした方式がTTLSとPEAPで、ガスト氏はこれらを「コンパウンド認証メソッド」と表現している。いずれも、既存の認証システムを活用でき、TLSに比べて導入が容易なことがメリットだ。PEAPの場合は、Windows XPおよびWindows 2000のFeature Packでサポートされていることも有利な点の1つになる。一方TTLSは、ファンク・ソフトウェアやミーティングハウスが対応サプリカントを提供している。

 ただ、これらコンパウンド認証メソッドには、Man-in-the-Middle攻撃の可能性が指摘されていることも忘れてはならないとガスト氏は述べている。また、両方式とも、2段階に分けて認証プロセスを進めるのだが、そのステップの中で用いられる認証方式がこれまたさまざまであり、検証が求められる部分だ。

 いずれにせよEAP認証メソッドの選択は、結局はシステム環境に応じて決めるべきだという、ごく当たり前の結論に至る。既に自社でPKIを導入していれば、それを活用してTLSを採用すればいいし、そうでなければTTLSもしくはPEAPを考慮すべきだ。

 ちなみにIPSecとの関係だが、互いに排除しあうものではなく、それぞれ異なる性質のセキュリティを実現するものだと考えるべきとiLabsでは説明している。EAP認証メソッド、すなわち802.1xは、権限を持たないユーザーによるアクセスを排除し、アクセス制御を組み合わせることができる。一方IPSecによるトンネルは、WEPによる単なるセッションに比べると強力だが、NATがある場合には設計の検討が必要だし、スループットやクライアント管理など別の問題が生じる。この場合もやはり、環境や要件に応じて取捨選択(あるいは両方を組み合わせる)べきという。

 もう1つ忘れてはならないのが、導入後のメンテナンスだ。「無線には銅線ほどの信頼性はない」(ガスト氏)。ユーザーに勝手にアクセスポイントを導入されたりしないよう監視するとともに、常に事態に備え、必要に応じてツールを導入すべきだと同氏は述べている。

関連リンク
▼Networld+Interop LasVegas 2003
▼iLabs:Wireless LAN Security Initiative

[高橋睦美,ITmedia]