本記事においてはIEEE 802.1X(通称:dot1x)認証の仕組みについて解説します。
IEEE 802.1X認証(以下dot1x認証)とは何か
dot1x認証は、有線/無線LAN接続時にユーザー名・パスワードや電子証明書を用いて端末を個別に認証するセキュリティ規格のことを言います。
もっと分かりやすく書くとネットワークの入り口に鍵をかける技術のことです。
誰でもLANに繋がってしまうというリスクを防ぎ、許可されたデバイスやユーザーのみを通信可能にする仕組みについて順を追って説明します。
登場人物(3つの役割)
まずdot1xを理解するには三つの主要コンポーネントを覚える必要があります。
これはマストで覚えて下さい
1.サプリカント(Supplicant)
認証を求めるクライアント(PC、スマートフォン)。
要するに私たちが使用するデバイスと捉えてもらって良いです。
2.オーセンティケータ (Authenticator)
認証の仲介役となるネットワーク機器(L2スイッチや無線AP)。
認証が通るまではクライアントと接続しているポートでの一般通信をブロックします。
3.認証サーバ (Authentication Server)
ユーザー情報が正しいかを判定するサーバー(RADIUSサーバーなど)。
RAIDUSサーバーとは
ネットワークに接続しようとする利用者の「認証」「承認」「認可」を一元的に行うためのサーバー
※参考サイト
https://www.infraexpert.com/study/security20.html#google_vignette
認証の流れ
dot1xは、主に EAP(Extensible Authentication Protocol) というプロトコルを使用してやり取りされます。
EAP(Extensible Authentication Protocol)とはネットワーク接続時におけるさまざまな認証プロトコルを運ぶためのフレームワークのこと
特定の認証技術そのものを指すのではなく、さまざまな認証の仕組みをカプセル化して運ぶためのルール
認証の流れをClaudeに図示してもらいました(最近のAIは図解作成も高度になってきて理解しやすいですね)。
1.認証要情報を送信
PCをスイッチあるいは無線に接続すると、サプリカントとオーセンティケータ間でEAPOL(EAP over LAN)という通信が始まります。EAPOLとはdot1x認証においてサプリカントとオーセンティケータ間で認証情報(EAPメッセージ:誰がアクセスしているかを安全に確認するためのフレーム)をデータリンク層でやり取りするための専用MACフレームのことです。この時点ではオーセンティケータのポートは閉鎖状態ですが、EAP通信のみは例外的に通過が許可されています。
2.認証要求を転送
オーセンティケータは、端末から受け取ったEAPパケットをそのまま RADIUSパケット に詰め替えて認証サーバーへ投げます。ここでポイントなのがオーセンティケータ自身はこの接続元が正しいかどうかを判断しません。あくまで運び屋として機能します。
3.認証結果を返送
RADIUSサーバーがサーバーのデータベースと照合しOKかNGかをオーセンティケータに返します。
4.認証結果を返送
サーバーからOKが届くと、オーセンティケータは初めてそのポートを物理的に開放しサプリカントがネットワーク通信可能になります。
認証の流れで押さえておきたいポイント
認証前は隔離されている
認証前の状態ではPCはスイッチがEAP以外のパケットをすべて破棄しているため、インターネットには繋がりません。
サプリカントの設定が重要
Windowsであれば有線LANのプロパティからIEEE 802.1X認証を有効にする設定が必要です。これが有効でないと、EAPOLを送信できず、いつまでも未認証としてポートが閉じたままになります。
オーセンティケータの二面性
スイッチのポートは、認証が成功するまでは論理的な遮断壁として機能し成功した瞬間にただの通り道へと役割を変えます。
主な認証方式(EAPの種類)
前述にてEAPはネットワーク接続時におけるさまざまな認証プロトコルを運ぶためのフレームワークのことという風にご説明しましたが、何を使ってサプリカントの認証を行うのかが異なります。
ここでは現場でよく使われる4つの方式について解説します。
1. EAP-TLS (Transport Layer Security)
最もセキュアで、エンタープライズ環境の標準となっている方式です。認証方法としてデジタル証明書を使用します。クライアント(サプリカント)とRADIUSサーバの両方が証明書を持ち、お互いが正当な相手かを確認します。
メリット:パスワードを使わないため、盗聴や辞書攻撃に非常に強く、最も高いセキュリティ強度を誇ります。
デメリット::全ての端末に証明書を配布・管理するための「証明機関(CA)」の運用が必要になり、導入コストが高めです。
2. EAP-PEAP (Protected EAP)
Windows環境で最も一般的に利用されている、利便性とセキュリティのバランスが良い方式です。認証方法としてサーバ証明書 + ユーザーID/パスワードを使用します。まずサーバ証明書を使ってTLSトンネルを作り、その中を通ってユーザーのパスワード情報を安全に送ります。
メリット: クライアント側に証明書を配布する必要がなく、普段使っているID/パスワードでログインできるため導入および管理が容易になります。Windowsの標準機能でサポートされており、Active Directoryとの連携に最適です。
デメリット:EAP-TLS (Transport Layer Security)に比べてセキュリティ面で劣ります。
3. EAP-TTLS (Tunneled TLS)
PEAPに非常に似た性質を持つ方式です。認証方法としてPEAPと同様にサーバ証明書 + 認証情報を使用しますが、中身の送り方がより柔軟です。PEAPはMicrosoftが推進した規格ですが、TTLSはよりオープンな規格として開発されました。パスワード以外にも古い認証プロトコル(PAPやCHAPなど)をトンネル内で利用できます。
4. EAP-MD5(現在はあまり使用されていない)
最も初期に定義された、非常にシンプルな方式です。認証方法としてユーザーIDとパスワードのハッシュ値のみを使用します。
デメリット: サーバ側の正当性を確認する仕組みがなく、現在の高度な攻撃に対しては脆弱です。
現状は有線LANの一部で使われることもありますが、無線LAN(Wi-Fi)環境ではセキュリティ不足のため、現在は推奨されません。
比較まとめ表
| 方式 | クライアント側 | サーバ側 | セキュリティ |
|---|---|---|---|
| EAP-TLS | 証明書 | 証明書 | 非常に高い |
| EAP-PEAP | ID/パスワード | 証明書 | 高い |
| EAP-TTLS | ID/パスワード | 証明書 | 高い |
| EAP-MD5 | ID/パスワード | 証明書 | 低い |
なぜdot1xが必要なのか
人と端末の厳密な特定
dot1xでは、接続時にユーザーID/パスワードやデジタル証明書を要求します。これにより、「正しい社員が、会社支給のPCを使っているか」をポート単位で判定できます。
物理的な場所からの解放(検疫・動的VLAN)
dot1xを利用すると、誰がログインしたかによって接続先のVLANを動的に切り替えることが可能です。
営業部の人が繋げば営業用VLANへ、エンジニアが繋げば開発用VLANへ、というようにその人に最適な環境を安全に提供できるようになります。
運用管理の自動化とログの集約
誰が、いつ、どのスイッチのどのポートからネットワークに参加したかが、認証サーバー(RADIUS)にログとして残ります。万が一の問題発生時も、迅速な調査が可能になります。
なぜ今重要なのか
最近のネットワーク設計ではゼロトラストという考え方が主流です。社内のネットワークだから安全と考えるのではなく、社内であっても、正体が確認できるまでは一切通さないというdot1xの仕組みは、現代のセキュリティ対策の基盤となっています。NWエンジニアとしてのキャリアにおいても、ゼロトラストネットワークの構築や、セキュアなインフラ設計においてdot1xは避けて通れない技術と言えます。