入門Ethernet 第6回

ネットワークの制御技術とは？

IEEE802.1で実現するいろいろなLAN

ネットワークにつなぐ前の認証IEEE802.1X

　Ethernetや無線LANのおかげで、簡単にコンピュータをネットワークに接続できるようになった。しかし、セキュリティの視点でみるとスイッチに接続してネットワークを利用しているユーザーが社員などの正規のユーザーであるという保証はない。多くの場合、ユーザー認証はネットワークに接続したあとで行なわれるからだ。

　もし不正なユーザーが接続していた場合、パケットキャプチャを利用して、正規のアクセスIDやパスワードを盗聴し、なりすましてシステムにアクセスするということもあるかもしれない。するとコンピュータを社内LANに接続する前にユーザー認証を行ない、正規のユーザーのみ社内LANにアクセスできるようにしなければならない。

　IEEE802.1X「Port-Based Network Access Control」はこのようなニーズに対応したセキュリティ技術である。ドキュメントタイトルにあるようにLANへのアクセスをスイッチのポートごとに制御するものである。

　IEEE802.1X全体を見渡すと図6のようになる。IEEE802.1Xの仕様では、「サプリカント」と「オーセンティケータ」という2つの役割で説明されているが、認証サーバを独立させて3つの要素で考えるとわかりやすいだろう。

図6　IEEE802.1X認証

　サプリカントは認証を受ける側、つまりユーザーのコンピュータを示す。オーセンティケータは、認証のやり取りを中継し、認証結果によってアクセス制御を行なう。ユーザー認証を行なう認証サーバにはRADIUSサーバなどが使われる。

IEEE802.1Xの認証プロトコル

　IEEE802.1XはIEEEの標準規格だが、ユーザー認証に使われるプロトコルは、インターネット標準のEAP（Extensible Authentication Protocol、RFC3748）である。EAPはインターネットのアクセスポイントへのダイヤルアップなどに使われるPPPというプロトコルの仕組みを拡張したもので、PPPで使われるPAPやCHAPといった認証方法以外の認証方式に切り替えて使えるようにしたプロトコルである。

　IEEE802.1XがEAPについて関連している部分はEAPOL（EAP Over LANs）で、EAPをカプセル化するプロトコルである。ユーザーと認証スイッチの間はこのEAPOLが使われ、認証スイッチと認証サーバ（RADIUSサーバ）間はRADIUSパケットにEAPを載せる。強いていうならEAP Over RADIUSとなる。

　以下ではEAPを使うことで、どのようにユーザー認証が行なわれるのかを見てみよう。

ユーザー認証の流れ

　ユーザーのPCがLAN接続されると、スイッチからEAP Requestが送信される。これに対して、ユーザーは応答としてユーザーIDを返す。

　この応答メッセージをスイッチは受信するが、スイッチで認証はせず、そのまま認証サーバへデータを送る。このときEAPOLによる通信となる。EAPOLを使うことのメリットはPCのIPアドレスの有無にかかわらず認証ができるということである。ユーザーはIPアドレスを自分で設定してアクセスできる場所を探すような不正アクセスの手段をまったく使えなくなる。

　さて、認証サーバは改めてユーザー認証のためにEAP要求を送信する。スイッチでもEAP要求をユーザーに送っているので奇妙に見えるが、EAPパケットのメッセージは、要求（Request）、応答（Response）、成功（Success）、失敗（Failure）の4種類だけなので、改めて認証の応答を得るには要求を送ることになる。図7ではMD5とチャレンジ値を使った認証方法が選択されたようすを示している。このように認証サーバからのEAP要求には認証方法によって必要な情報が付加されるのだ。

図7　ユーザー認証までの流れ

　ユーザーは認証サーバからの要求を受け取り、その応答を認証サーバに返す。一方、認証サーバはその応答を検査し認証結果をユーザーに返す。この認証のやり取りの間スイッチはEAPパケットを中継しているだけだ。しかし、最後にEAPパケットのメッセージを見ることで認証が成功したか失敗したかを簡単に判断することができ、ユーザーの接続したポートのアクセスを制御する。

ユーザー認証とVLANの組み合わせ

　認証サーバのユーザー情報には所属するVLANの情報も設定できる。つまり認証成功時のメッセージにユーザーのVLAN情報を加えれば、認証スイッチにおいて単にポートアクセスの許可を与えるだけでなく、VLANを指定したアクセス許可を与えられるのである（図8）。

図8　ユーザー認証とVLANの制御

　このようにユーザー認証とVLANを組み合わせて使うことにより、ユーザーがLANに接続する際に、VLANで分けられているほかの部署へアクセスすることはできなくなる。またポートベースVLANの管理も物理的なポートの数ではなく、実際に使う人のぶんだけ動的に割り当てられるので、スイッチのポートを効率よく利用できるという管理上のメリットも得られる。

ASCII倶楽部

アクセスランキング

1. 

   クラウド

   富士通がソブリンクラウドで米オラクルとの協業を決めた“3つのポイント”

2. 

   デジタル

   「生成AIはPoCから実践へ」Google Cloud Next '24で幅広い発表

3. 

   デジタル

   被災者と支援者が語る能登半島地震のリアル　支援で見えた仕組み作りの大切さ

4. 

   AI

   テーマは対話　OpenAI日本法人代表となった長崎忠雄氏が語ったこと

5. 

   ビジネス

   テラスカイ「2030年までに連結売上700億円目指す」事業戦略を説明

6. 

   Team Leaders

   UiPath、自動化×AIを加速させるドキュメント処理特化の独自LLMを発表

7. 

   クラウド

   NRI、ソブリンクラウドとして「Oracle Alloy」を国内初稼働

8. 

   TECH

   Gemini 1.5 Proの特徴とは？ Gemini API経由で試す

9. 

   TECH

   FIXER、デジタル庁より「標準型電子カルテα版」の開発を受託

10. 

    TECH

    LLM活用はチャットだけじゃない、自由記述文を共通フォーマットに落とし込む方法を学んだ

集計期間：

2024年04月13日~2024年04月19日