エンタープライズ:ニュース | 2003/06/04 23:46:00 更新 |
JNSAの802.1x相互接続実験で分かったいくつかの教訓
RSA Conference 2003 JAPANの併催イベント「Network Security Forum 2003 Spring」では、日本ネットワークセキュリティ協会の各ワーキンググループが2002年度の活動成果を発表した。
日本ネットワークセキュリティ協会(JNSA)は、RSA Conference 2003 JAPANの併催イベントとして「Network Security Forum 2003 Spring」を開催。セキュリティポリシーや不正プログラム調査、相互接続、セキュリティ監査といった各ワーキンググループの2002年度の活動成果について発表した。
6月4日には、802.1xを用いた無線LANの相互接続実験についての報告が行われた。詳細な報告書は、これに先立つ5月に、JNSAのWebサイトで公開済みだ。
相互接続ワーキンググループでこの相互接続実験に取り組んだ関義和氏(ディアイティ)によると、実際のところ、同じ802.1xでもEAP-TLS、EAP-TTLSやPEAP(Cisco-PEAP、MS-PEAP)と異なる方式が並立しており、相互接続性ははじめからない。実験は市場に出回っている製品を対象に行われたが、各製品の実装状況はばらばらだ。このため、基本形であり、電子証明書を必要とするEAP-TLSのみを検証することになった。
「実験を行うのは、時期的に早すぎたかもしれない。本来実装されるべき機能が実装されていないこともあった」(関氏)。とはいえ、焦点のEAP-TLSの相互接続については、結果は大変良好だったという。
むしろ、実験の結果、事前には想定しなかった意外な問題点が現れたという。その例が、802.11自体のパラメータや認証パケットのパディングで、製品によってはそもそも接続できないということもあったそうだ。また、アクセスポイントのパフォーマンスも、運用の安定性に影響を与える可能性があるという。
「パフォーマンスが不安定だと、速度が低下したときに認証のためのパケットが詰まってしまい、クライアント(サプリカント)が何度もリクエストを再送することになる。ひとたびパフォーマンスが戻れば、今度はサーバとサプリカントにどどっとリクエストやレスポンスが流れ込み、その結果クライアントがフリーズしてしまうような事態も起こりうる」(関氏)。
これとともに、試行錯誤の中でいくつかの不安要因も見えてきた。関氏は、「アクセスポイントとRADIUSサーバとの間の通信を保護する必要がある。実際にシステムを構築する時には留意する必要があるだろう」と述べ、暗号化など何らかの対策を取るべきとした。さらに、証明書などIDの管理体制にも注意が必要という。
同ワーキンググループでは今後、WPAや802.11iといった他のセキュリティ標準についても相互接続実験を計画している。また、「認証VLANを実装したスイッチなどとの連携についても、2003年の取り組みとしていきたい」という。合わせて、LANレベルのセキュリティ実現に向け、一連の取り組みから得られた知識やノウハウをまとめていく方針だ。
関連記事802.1x、どのEAP認証メソッドを選ぶ? iLabsのお勧めは……
RSA Conference 2003レポート
関連リンク
RSA Conference 2003 JAPAN
日本ネットワークセキュリティ協会
[高橋睦美,ITmedia]