学内 LAN への WPA2 エンタープライズでの接続試験 研究報告 学内 LAN への WPA2 エンタープライズでの接続試験 横田 矗 関西医療大学保健看護学部 要旨この数年来 Wi-Fi 準拠の機器が普及したことやスマートフォンを活用する学生が増加したことで, 学内 LANへのセキュリティの高いアクセスポイントの設置は全国的に大規模に行われるようになっているが, 当大学では未だ古いタイプのものが設置されている ここではWPA2でエンタープライズモードの無線 LANを容易に稼動させるように, 内蔵 RADIUSサーバ機能を持つ無線ルータWAPM-APG300Nを学内 LANの一つのVLANに設置し, ノートPCやタブレットPCでの接続テストをした 結果はいずれも容易にEAP-PEAPモードでの接続が可能であった キーワード :RADIUS サーバ,WPA,WPA2,EAP,Wi-Fi Ⅰ. はじめに無線 LANの標準化は1997 年にIEEE802.11の規格名で制定されたが さらに高速化を目指した標準化が 1999 年にIEEE802.11a IEEE802.11bの規格名で制定された 伝送速度は それぞれ最高で 54Mbps 11Mbps となりチャンネル数も10 前後あることから2000 年頃になって無線 LANは世界に普及するようになった 国内の大学での学内無線 LAN 設置が本格化したのは 2004 年以降で 学内で学生のノートパソコンをLANに接続させる設備として無線 LANが効率的であることがその主な理由であった このころ家庭用としてADSL や光ファイバー網に接続するブロードバンドルータが普及し セキュリティ機能としてWEPによる暗号化 ESS-IDの隠蔽 MACアドレスフィルター等が用いられていた ところで LANにおけるユーザ認証方式の規格として IEEE802.1Xが2001 年に制定され その後 2003 年から2004 年にかけてこれに準拠した規格である EAP(Extensible Authentication Protocol) および RADIUS Support For EAPが勧告された 一方 公開鍵証明書を利用して構築されるセキュリティシステムは公開鍵基盤 (PKI) と呼ばれるが ITU-T 勧告 X.509として標準化された暗号に関する規格であり ディジタル証明書 ( 電子証明書 ) の形式は 1997 年の第 3 版で制定されている これらの認証方式と暗号方式が利用可能になるにつれ 大規模な大学では2006 年頃から始まった全学統合認証基盤システムの整備により セキュリティと利便性が飛躍的に向上した これにより 学外からSSL-VPN による学内サーバへの接続 シングルサインオン セキュアな無線 LANの利用 ローミングによる研究機関間での無線ユーザの認証連携等が可能になっている しかしながら 小規模な私立大学では情報基盤の整備は非常に遅れているのが現実である ここでは 当大学の学内 LANにできるだけセキュリティの高い無線 LANを低コストで設置する方法として 学内のVLAN にWi-Fi 対応のアクセスポイントを設置し ノートPC 及びタブレットPCをWPA2エンタープライズモードで接続を試みた結果について報告する Ⅱ.Wi-Fi 対応無線 LAN 機器の仕様無線 LANでは電波を傍受することでフレームが容易に盗聴されてしまう危険性がある このためデータを暗号化する必要があるが WEP(Wired Equivalent Privacy) 暗号方式は容易に読解可能であることが2007 年に実証された このような脆弱性に対しIEEE802.11 委員会では 既に2004 年にセキュリティ全体の規定としてIEEE802.11i を標準化している そこで提案 133
関西医療大学紀要, Vol. 6, 2012 された二つの規格がTKIP(Temporal Key Integrity Protocol) と暗号化にAES(Advanced Encryption Standard) を採用した方式である ところが TKIPについても2009 年に1 分以内で解読できることが実証されてしまったので 現在のところAESが唯一容易に破られない暗号方式になっている 現在 WPA 認証マークを付けた無線 LAN 機器はWi- Fi Allianceと呼ばれる業界団体により提案されたWPA (Wi-Fi Protected Access) と呼ばれるセキュリティプロトコル規格に準拠していることを示しているが このプロトコルにはEnterpriseとPersonal の2 種類がある Enterpriseは 各ユーザに別々のキーを配布する IEEE 802.1X 認証サーバを使う方式であり Personal WPA はIEEE802.1X 認証を使わず事前共有鍵 (PSK) モードを使い アクセス可能なコンピュータには全て同じパスフレーズを与える方式である 初期のWPAに採用されている暗号化方式はTKIP で バージョンアップしたWPA2では暗号方式として AESが採用されていて IEEE802.11iの最終的な案に沿ったものになっている さらに WPA2では事前認証 認証キーの保持を行う方法が規定されているため ローミング時の再認証が不要となる また WPA2プロトコルにもEnterprise と Personal の2 種類がある このように 実際の無線 LAN 機器ではIEEE802.11 委員会関連の規格と業界のWi-Fi Allianceによる規格が混在し紛らわしいものとなっている IEEE 802.1Xで使用される認証方式では PPP 認証を拡張したEAP 認証プロトコルが採用されているが これによって拡張認証方式としてTLS(Transport Layer Security) TTLS PEAP 等のプロトコルが実装可能になっている それぞれの特徴は表 1に示すとおりである 最近無線 LANアクセスポイント設置した大学では, ノートパソコンだけでなく 学生のスマートフォンやタブレットPCからの接続に対応した仕様になっている場合が多くなっている ある程度の規模の大学では多くの場合無線 LANはVPN(Virtual Private Network) サーバでの認証による接続となっていて 端末との接続はWPA/WPA2エンタープライズで 暗号化はTKIP/ AESとなっているが 一部 EPA2プライベートの大学も見うけられる 今回の接続試験に使用できる入手が容易なアクセスポイントとして 最低限 IEEE802.1XおよびIEEE-802.11i に対応しているCiscoの881W Allied-TelesisのAT- TQ2403 BuffaloのWAPM-APG300N IO-DATAの WHG-NAPG/A 等が考えられる これらにはかなりの 表 1.IEEE 802.1X で使用される主な認証方式 認証タイプ特長サーバとクライアントの双方で電子証明書を使用して認証する方式で,IDやパスワードは使用さ EAP-TLS れない Windows OS 付属のサプリカントで実施が可能 まずはサーバ側にのみ電子証明書を準備してサーバ認証済みのTLS 通信路を構築し その暗号化 EAP-TTLS 通信路を通して保護されたユーザ名 / パスワード情報によってクライアント認証を行う 別途有償のサプリカントソフトウェアが必要である Microsoft Cisco RSAが提案する認証方式で, 暗号化されたトンネル内で認証する Microsoft Windows 標準サプリカントで実施が可能 クラ EAP-PEAP イアント側の認証はIDやパスワードで サーバ側の認証はサーバ証明書を使用するため クライアントへの証明書インポートの必要がなく 運用が容易である 価格差があり 機能面でも特にルータ機能や認証サーバ機能に差異が認められるが この度のテストには充分な性能のあるWAPM-APG300Nを使用することにした WAPM-APG300Nの LAN 設定 では 有線ポートのVLANモードの設定や通信方式が設定でき サブネット設定 ではIPアドレス デフォルトゲートウェイ DNSなどの設定とDHCPサーバの機能設定ができる RADIUS 設定 では外部 / 内蔵 RADIUSサーバの選択 EAP 内部認証のモードPEAP/TLSの選択 使用するEAP 証明書ファイルと関連するパスワードの設定ができる また 無線設定 ではかんたん無線接続機能であるAOSSやWPSを採用する場合の操作設定を行ったり IEEE802.11a, とIEEE802.11gの基本設定や拡張設定を行う 管理設定 では本体の管理者のパスワード設定や内蔵 RADIUSサーバ認証に使用するユーザの登録と管理を行う Ⅲ. 接続試験の結果 現在学内 LANではドメインコントローラが稼動しているが 暫定的に端末はActive Directoryに参加していてもいなくてもインターネットに接続できるようになっている 本来 Windows Server 2003でRADIUSサーバを稼動させる方法を採用すべきであるが 都合により今回はアクセスポイントの内蔵 RADIUSサーバ機能を利用することにした 接続試験の構成図は図 1に示したものである 使用したノートPCはEPSONのEndeavor NJ3500でOS はWindows 7 で タブレットPCはToshiba REGZA AT700 でプラットフォームは Android 3.2 である 134
学内 LAN への WPA2 エンタープライズでの接続試験 RADIUS の場合は 接続のための認証方法 の項目で サーバの証明書を検証する 部分のチェックを外す必 要がある 図1 接続試験用の構成 内 蔵 RADIUS サ ー バ 使 用 の 場 合 ま ず WAPMAPG300N の 設定事例集 の例8 1 に従って設定し た 従って 無線の認証 WPA/WPA2 mixedmode-eap 追加認証 追加認証なし 無線の暗号化 TKIP/AES mixed ANY 接続 許可する 内蔵 RADIUS サーバ 使用する EAP 内部認証 PEAP MS-PEAP EAP 証明書ファイル形式 PKCS#12 *.pfx/*.p12 Shared Secret 図2 サプリカントでの EPA 設定 Termination-Action 再認証を行う となっている この内蔵 RADIUS サーバ認証では使用 タブレットでは 設定 画面から無線とネットワーク するユーザ名とパスワード登録する必要がある また の項目の中で Wi-Fi をタップし チェックが入れば サブネットの設定では有線 LAN については学内 LAN 次に Wi-Fi 設定 をタップすると Wi-Fi ネットワー 指定の IP アドレス デフォルトゲートウェイ DNS の ク に接続できる ESS-ID のリストが表示される その 設定をし 無線 LAN についてはサブネットに DHCP 機 中から接続したいアクセスポイント名をタップすると接 能を提供する選択をし 学内 LAN で払い出し可能な連 続の設定画面が現れる ここでユーザ名 パスワード 続した IP アドレスを指定した および PROXY サーバの名前を入力してから 接続 当 初 ド メ イ ン に 参 加 し て い る ノ ー ト PC で 接 続 ボタンをタップすれば接続が完了する を試みていたが ESS-ID を認識した後 どうしても Shared Secret を入力するモードにならず原因が分ら ず混乱したが WORK GROUP 設定のノート PC に切 替えた途端接続に成功した メーカーの説明では 内蔵 RADIUS サーバ機能は Window のドメインと連携す るような機能ではないため ドメイン名やドメインユー ザと関連付ける必要はない とのことで 未だに原因は 不明である ノ ー ト PC 側 サ プ リ カ ン ト の 設 定 は ワ イ ヤ レ スドライブのプロパティの認証タグで図2のように IEEE802.1X 認 証 を 有 効 に し Microsoft 保 護 さ れ た EAP PEAP を選択した後 設定ボタンを押し て EAP のプロパティ設定画面の 認証方法を選択す る の項目で セキュリティで保護されたパスワー ド EAP-MSCHAP v2 を選択する ここで 内蔵 図3 タブレットでの認証の設定 135
関西医療大学紀要, Vol. 6, 2012 接続後の状態は設定用 PC の Web 設定インターフェ 報交換によって行われているかを示したシーケンス図が イスにより監視できる ノート PC での接続状況は ワ 図6である まず アクセスポイントに接続する端末 イヤレスネットワークのプロパティ 図4 で確認で の認証があり ユーザ認証がこれに続く PMK Pair- きる 同様にタブレット PC については 無線とネット wise Master Key は暗号化鍵となるもので RADIUS ワーク の Wi-Fi ネットワーク 図5 から WPA2 エ サーバが無線端末とアクセスポイントへ配布される ンタープライズで接続されていることが確認できる EAP-PEAP 認証がサプリカント アクセスポイント RADIUS サーバ および認証サーバ間でどのような情 しかし 今回の試験では内蔵 RADIUS サーバ機能を 使用しているので アクセスポイント RADIUS サー バ 認証サーバは一体となっており 内部のシーケンス はアクセスポイントのログには記録されないものと考え られる 表 2 の ロ グ は ノ ー ト PC に yokota3 で ロ グ オ ンして RADIUS サーバのユーザにユーザ登録された yokota3 で PEAP 認証をうけてから DHCP サーバ から IP アドレスを配布されるまでのシーケンスを示し たものである 無線チャンネルは IEEE802.11a であっ た PC とサーバのユーザ名は同じだが 特に一致させ る必要はなかった 図5 タブレット PC の接続状況 図4 ノート PC の接続状況 図6 PEAP 認証シーケンス 136
学内 LAN への WPA2 エンタープライズでの接続試験 表 2. ノートPCのEPA-PEAP 認証での接続シーケンスを示すログ 15:26:25 WIRELESS wl0: 11a : Associated User-10:0b:a9:xx:yy:38 15:26:28 AUTH RADIUS Server: Access accepted. (user=yokota3, eap=peap, radius_client=192.168.2.97) 15:26:28 AUTH eth1(27931): Register PMK: id 02fdc418314565a8100a96223218edb2 (TTL 3600)-10:0B:A9:xx:yy:38 15:26:28 AUTH eth1(27931): Authenticated User-10:0B:A9:xx:yy:38 15:26:28 AUTH eth1(27931): Register PMK: id 02fdc418314565a8100a96223218edb2 (TTL 3600)-10:0B:A9:xx:yy:38 15:26:28 AUTH eth2(28230): Register PMK: id 0d85c22e73e912ffbf73bb72ee7f 45af (TTL 3600)-10:0B:A9:xx:yy:38 15:26:28 DHCPS Request comein from yokota3-pc(len:10) 15:26:28 DHCPS sending OFFER of 192.168.2.98 yokota3-pc 15:26:28 DHCPS Request comein from yokota3-pc(len:10) 15:26:28 DHCPS sending ACK to 192.168.2.98 タブレットPCの場合も同様のシーケンスであったが アダプタが 2.4GhzのみのIEEE802.11b/g/n 準拠であるため 無線 LANチャンネルは11gであった Ⅳ. まとめこの接続試験では学内 LANのL3-SWからの一つの VLANに内蔵 RADIUSサーバを接続し WPA2エンタープライズでの無線 LAN 接続をノートPCとタブレットPCを用いて行った 小規模な大学で 電波の干渉の少ない場所で数箇所に設置して利用する場合は有効な方法であることが分かった しかし 内蔵された認証サーバの安全性には 当然限界があるであろうことは容易に推測される 学内 LANにはActive Directoryが設置されているので EAP-PEAP 認証についてはRADIUS 認証サーバを稼動させることに大きな障害はないが 各スイッチでの必要なプロトコルの透過を確認する必要がある また 学生の利用については多様な機種があるスマートフォンでの接続についても調査する必要があるだろう さらに 今回用いたWAPM-APG300Nは 価格上ルーティング機能が弱いので 払い出しできるIPアドレスの数に制限のある場合は 他のルータを選択することを考慮する必要があるだろう 参考文献 1)WAPM-APG300N/WAPM-AG300N 設定事例集,( 株 ) バッファロー,71-77,2011 137
関西医療大学紀要, Vol. 6, 2012 Study Report Connection Test Using WPA2 Enterprise Security to the Campus LAN YOKOTA Hitoshi Faculty of Nursing, Kansai University of Health Sciencesnces Abstract For these several years,installation of the Wi-Fi access points to campus LAN is nationally performed on a large scale, according to the increase of number of students who take advantage of wireless devices, such as laptop, tablet PC and smart phone. However, the wireless networking is still old type at this university. We installed a wireless router WAPM-APG300N which had a built-in RADIUS server function, in one VLAN of the campus LAN, and tested the connection with a notebook PC and a tablet PC in WPA2-Enterprise mode. As for each result, the connection with the EAP-PEAP mode was possible easily. Keyword:RADIUS server, Wi-Fi, EAP, WPA, WPA2 138