IEEE 802.1X

IEEE 802.1Xとは

IEEE 802.1Xは、LAN環境で用いられる認証の規格で、主に接続する端末がネットワークにアクセスできるかどうかを制限するために使用されます。この技術は有線及び無線の両方で適用可能であり、データリンク層に位置するため、ネットワークセキュリティの強化に寄与します。

システム構成

IEEE 802.1Xの認証システムは、以下の三つの要素から成り立っています。

• - サプリカント: 認証を行うクライアントソフトウェアで、接続する端末（PCなど）上で稼働します。
• - オーセンティケータ: 認証を行うための802.1X対応LANスイッチです。
• - 認証サーバ: 認証の判断を行うサーバで、RADIUSやDIAMETERなどが一般的です。

これらのネットワーク機器を通じて、端末の認証が行われるプロセスが構築されています。ここで、802.1X対応のLANスイッチは「認証LANスイッチ」と呼ばれ、サプリカントソフトウェアを装備したPCは「サプリカントPC」として特定されます。

動作の流れ

IEEE 802.1Xを利用した認証は、3つのフェーズに分けられます。
1. 接続: 端末がLANに接続されると、認証動作が始まります。
- 有線LANでは、端末がローカルなLANスイッチに接続された時点で認証が行われます。
- 無線LANでは、アソシエーション後に認証が始まり、接続が許可されるかどうかが判断されます。
2. EAPによる認証: 拡張認証プロトコル（EAP）を通じて、サプリカントと認証サーバ間でメッセージのやり取りが行われ、認証されます。サプリカントからの通信は、認証LANスイッチを経由して認証サーバへ送信され、逆に認証サーバからの応答も同様に処理されます。この際、認証LANスイッチは他の通信を遮断します。
3. 認証完了: 認証が成功すると、サプリカントは自由にネットワークに接続できるようになります。場合によっては、認証サーバから送信された情報がランスイッチに通知され、サプリカントへ暗号鍵も渡されます。

EAPの種類

IEEE 802.1Xで使用されるEAPにはいくつかのバリエーションがあります。

• - EAP-MD5: 基本的なIDとパスワードによる認証方式。無線LANでは安全性が低いため注意が必要です。
• - EAP-TLS: デジタル証明書を使用し、IDやパスワードを用いない非常に安全な方式です。
• - PEAP: IDとパスワードで認証を行い、SSL暗号化を使用。
• - LEAP: Ciscoが開発した製品です。
• - EAP-TTLS: Funk Softwareが開発した製品で、トンネリングを利用します。

各EAP方式は、サプリカントと認証サーバの両方がサポートしている必要があります。

接続環境

サプリカントPCと認証LANスイッチが直接接続されていることが望ましいですが、異なるネットワーク機器がある場合には、通常のLANスイッチでは認証が行われないことがあります。一方、リピータ・ハブに接続されている場合は、認証が行われるため、セキュリティに問題が生じる可能性があります。このため、MACアドレスフィルタ機能と連携した認証が求められます。

OSの対応

WindowsやmacOSはサプリカント機能を標準で持っており、各種EAP方式に対応しています。

標準化の経緯

IEEE 802.1Xの初版は2001年に発行され、以降もさまざまな拡張がなされ、現在では多様なバージョンが存在します。2023年時点では最新の標準として802.1X-2020が登場しています。

まとめ

このように、IEEE 802.1Xは安全なLAN環境を構築するための非常に重要な技術です。認証手続きとその過程がはっきりしていることで、セキュリティを高め、ネットワークの不正アクセスを防ぐことが可能になります。

もう一度検索