RADIUS,IEEE802.1x/EAP -情報処理シンプルまとめ

RADIUS,IEEE802.1x/EAPに関するブログのアイキャッチ画像 セキュリティ

 基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,RADIUS,IEEE802.1x/EAPについてシンプルにまとめています。RADIUSについては,RADIUSの概要(クライアント,RADIUSクライアント(アクセスサーバー),RADIUSサーバー,認証用DB)を説明し,IEEE802.1x/EAPについては,IEEE802.1xの概要(サプリカント(Supplicant),認証装置(Authenticator),認証サーバー(Authentication Server)),IEEE802.1xのプロトコル(Authentication層,EAP層,データリンク層),EAPの概要(EAPOL),EAPに対応した認証方式(EAP-MD5,EAP-TLS,EAP-TTLS,EA-PEAP)について説明しています。

情報処理シンプルまとめ(ネットワーク)の各ページを順番に読んでいる場合,このページは,後回しにしてもかまいません。

※ 理解を深めるためには,先に,情報処理シンプルまとめ(ネットワーク)の各ページと,「暗号化 -情報処理シンプルまとめ」,「認証 -情報処理シンプルまとめ」を読んだ方が良いと思います。

RADIUS(Remote Authentication Dial-In User Service)

 RADIUSは,ネットワーク上で利用者認証を行うプロトコルです。認証サーバーを(1台,または,複数台の)RADIUSクライアント(アクセスサーバー)とRADIUSサーバーに分ける構成になっています。RADIUSクライアントで,さまざまなネットワークからの認証要求を受け付け,RADIUSサーバーで,利用者認証情報を一元管理します。

※ RADIUSはデータリンク層(OSI基本参照モデル)のプロトコルである

※ RADIUSは,複数台のリモートアクセスサーバーからのPAPやCHAPによる利用者認証(パスワード認証)を集中管理するために考案されたプロトコルだが,その他の認証方式にも対応可能である(生体認証,公開鍵暗号方式を利用した認証など)。リモートアクセスサーバーの接続状態の制御や,課金管理,ログ管理などもできる

※ RADIUSクライアントとして動作するものに,スイッチのポートや無線アクセスポイント,リモートアクセスサーバーなどがある

RADIUSに関する説明画像

IEEE802.1x

 IEEE802.1xとは,コンピューターなどの端末がIEEE802.1xに対応したスイッチや無線アクセスポイントなどに接続する際に,利用者認証を行う規格のことをいいます。

※ IEEE802.1xはデータリンク層(OSI基本参照モデル)のプロトコルである

※ IEEE802.1xは,さまざまな認証方式に対応可能

IEEE802.1xに関する説明画像
サプリカントIEEE802.1xに対応したスイッチや無線アクセスポイントに接続するために必要なソフトウェア。クライアントのコンピューターにインストールする。現在のPCなどには,標準でインストールされていることが多い
認証装置
(オーセンティケーター)
サプリカントと認証サーバーの仲介を行う装置。IEEE802.1xに対応したスイッチや無線アクセスポイントが該当

※ 一般的なスイッチの場合は,ケーブルをポートに接続すると,すぐに繋がるが,IEEE802.1xに対応したスイッチや無線アクセスポイントの場合は,利用者認証してからネットワークに接続する

認証サーバー認証装置が中継した認証情報(ユーザーID,パスワードなど)に基づいて,自身の持っている認証情報と照合し,認証の許可(または,拒否)を行うサーバー。IEEE802.1xに対応したRADIUSサーバーなどが該当

※ スイッチや無線アクセスポイントなどの認証装置は,ユーザーIDやパスワードなどの認証情報は保持しない(RADIUSなどの認証サーバーが一括管理する)

IEEE802.1xのプロトコル

 IEEE802.1xは,さまざまな認証方式に対応するために,次のようなプロトコルで構成されています。

Authentication層サポートする認証方式のプロトコル。MD5やTLSなど
EAP層Authentication層の,さまざまな認証プロトコルの違いを吸収し,データリンク層へ仲介するプロトコル
データリンク層有線LANや無線LANなどの物理的なネットワークと認証装置(IEEE802.1xに対応したスイッチや無線アクセスポイント)の間で,認証情報を交換するプロトコル

EAP(Extensible Authentication Protocol)

 EAPとは,データリンク層において,さまざまな認証プロトコルを利用できるようにするための技術のことをいいます。

※ PPPを拡張した技術

EAPに関する説明画像

 EAPに対応した認証方式には,次のようなものがあります。

EAP-MD5MD5を用いたチャレンジレスポンス方式により認証する方式。セッション鍵は生成しない(セッション鍵による暗号化は行わない)。盗聴によりパスワードを解読される恐れがある
EAP-TLSサプリカントと認証サーバーが,お互いの証明書を交換して認証する方式。セッション鍵による暗号化を行う
EAP-TTLSサーバー認証にはサーバー証明書を,クライアント認証にはユーザーIDとパスワードを使用する認証方式。セッション鍵による暗号化を行う。Funk Software社が開発

※ サプリカントが認証サーバーを認証すると暗号化通信が可能になり,それを利用してサプリカントがユーザーIDとパスワードを認証サーバーに送信するので,安全にクライアントを認証できる(サプリカントに証明書をインストールする必要がないので実装しやすい)

EAP-PEAPサーバー認証にはサーバー証明書を,クライアント認証にはユーザーIDとパスワードを使用する認証方式。セッション鍵による暗号化を行う。Microsoftなどが開発

※ 暗号化には,WEPが使用されている

まとめ

 今回は,RADIUS,IEEE802.1x/EAPについて,シンプルにまとめてみました。難しく感じた場合は,また,時間を空けて読んでみましょう。