このページの目次
Juniper Mist Access Assuranceの認証方法
IEEE 802.1Xは、ポートベースのネットワークアクセス制御の標準です。スイッチまたはアクセス ポイントを介して LAN または WLAN に接続するデバイスを認証するメカニズムを提供します。Juniper Mist Access Assuranceは、802.1X認証と802.1X以外の認証の両方、つまりMAC認証バイパス(MAB)をサポートしており、有線/無線ネットワーク全体で統一されたアクセスコントロールを実現します。
802.1X で安全にアクセスするために、以下の方法がサポートされています。
- 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)(デジタル証明書ベース)
- EAP-TTLS/PAP (トンネル トランスポート層セキュリティ) (資格情報ベース)
次の非 802.1X 認証方法がサポートされています。
- MAC 認証バイパス(MAB)
- MPSK(マルチ事前共有キー)
証明書ベースの認証と資格情報ベースの認証
802.1X 認証方式では、資格情報ベース (ユーザー名とパスワード) と証明書ベースの認証がサポートされます。
認定書ベースの認証
- 認定書ベースの認証により、サーバーとクライアントデバイス間の相互認証が可能になり、暗号化を実装して安全なネットワークアクセスが提供されます。
- デジタル証明書は、秘密キーと公開キーのペアを必要とする公開キー基盤 (PKI) を使用します。
- ID プロバイダー (IdP) は、証明書ベースの認証では省略可能です。IdP を使用して、アカウントの状態やグループ情報などのユーザーまたはデバイス情報を確認できます。
- 証明書はセキュリティで保護されたストレージに格納されます。
- 証明書ベースの認証には、通常モバイル デバイス管理 (MDM) を使用するクライアント デバイスのプロビジョニングが必要です。
Juniper Mist Access Assuranceは、Microsoft Azure AD、Okta、Google Workspaceなどの既存のPKIおよびクラウドベースのIDPと統合して、該当するすべてのユースケースに証明書ベースの認証を確実に実装することができます。
パスワードベースの認証
- パスワードベースの認証では、認証に IdP が必要です。ほとんどの IdP は多要素認証(MFA)を適用するため、802.1X 環境、特にワイヤレス ネットワークでは、パスワードベースの認証は実用的ではありません。
- 802.1Xは、特にワイヤレスネットワーク上でMFAを適切に管理しないため、中間者攻撃のリスクは甚大です。
パスワードベースの認証は、PKI の展開がすぐには実現できないシナリオ、または証明書ベースの認証への移行中にのみお勧めします。MITM攻撃ベクトルの可能性があるため、BYODをサポートするネットワークではパスワードベースの802.1X認証を避けてください。
802.1X 認証方法
802.1Xプロトコルは、有線および無線アクセスポイントでのポートベースネットワークアクセスコントロール(NAC)のIEEE規格です。802.1Xの主な機能は、LANまたはWLANにアクセスしようとするユーザーやデバイスに対する認証制御を定義し、イーサネットLANを不正なユーザーアクセスから保護することです。さらに、802.1Xは、サプリカントが資格情報を提示し、認証サーバー(RADIUSサーバー)がそれらを検証するまで、インターフェイスでのサプリカント(クライアント)との間のすべてのトラフィックをブロックします。
基本的な 802.1X 認証メカニズムは、次の 3 つのコンポーネントで構成されています。
- サプリカント - 認証ソフトウェアを搭載したクライアントデバイス。クライアントデバイスは、ネットワークへのアクセスをシークします。このデバイスには、デスクトップまたはラップトップ コンピューター、タブレット、電話などがあります。
- オーセンティケータ—最初のゲートウェイ、通常はサプリカントのアクセス要求を傍受するスイッチまたはアクセスポイント(AP)。
- 認証サーバー:サプリカントのIDとデータベースに保存されている認証情報を比較します。認証情報とサプリカントIDが一致すると、サプリカントはネットワークにアクセスできるようになります。
Juniper Mist Access Assuranceが各802.1X認証方法をどのように使用するかを見てみましょう。 Juniper Mist Access Assuranceの使用事例を参照してください。
EAP-TLS
EAP-TLS は、証明書と暗号化を利用して、クライアントとサーバー間の相互認証を提供します。クライアントとサーバーの両方が、両方のエンティティが信頼する認証局 (CA) によって署名されたデジタル証明書を受け取る必要があります。この方法では、認証にクライアント側とサーバー側の両方で証明書を使用します。この認証では、クライアントとサーバーは互いの証明書を信頼する必要があります。
機能
- TLSを使用して安全なIDトランザクションを提供します
- 普遍的にサポートされているオープンなIETF標準
- 認証に X.509 証明書を使用する
図 1 に、EAP-TLS 認証シーケンスを示します。
802.1X規格では、サプリカントとオーセンティケータ間のデータ伝送の暗号化形式としてEAPが指定されています。
このメソッドは、次の手順で 4 ウェイ ハンドシェイクを実行します。
- オーセンティケータ(APなど)がセッション要求を開始するか、サプリカント(無線クライアントデバイス)がオーセンティケータにセッション開始要求を送信します。
- オーセンティケータは、サプリカントにEAP要求を送信し、サプリカントのIDを尋ねます。
- サプリカントは、オーセンティケータを介して認証サーバー(Juniper Mist Access Assuranceクラウド)にEAP応答を送信します。
- 認証サーバーは、証明書を含む「Server Hello」メッセージをクライアントデバイスに応答します。
- サプリカントはサーバー証明書を検証します。つまり、サプリカントは、サーバー証明書が信頼できる CA によって署名されているかどうかを確認します。
- サプリカントは、オーセンティケータを介して「Client Hello」メッセージを送信し、Juniper Mist Access Assuranceサービスにクライアント証明書を提示します
- Juniper Mist Access Assuranceは、クライアント証明書が信頼できるCAによって署名されていることを検証します。
- Juniper Mist Access Assuranceは、設定されたIDプロバイダ(IdP)ソースを検索し、IdPに接続して、ユーザー名といくつかの基本属性を検証します。
- Juniper Mist Access Assuranceがポリシー検索を実行し、役割および権限ベースのアクセスをクライアントデバイスに適用します。
- Juniper Mist Access Assuranceは、サプリカントを適切なネットワークに割り当てることができるように、VLANと割り当てられたロールに関する情報をオーセンティケータに送信します。
- オーセンティケータはEAP成功メッセージを送信し、サプリカントにアクセスを提供します。
Extensible Authentication Protocol–Tunneled TLS(EAP-TTLS/PAP)
EAP-TTLS-PAP は、クライアント側のユーザー名とパスワードやサーバー側のサーバー証明書などのユーザー資格情報を使用して認証を実行します。クライアントデバイスは、認証サーバーとのセキュアなTLSトンネルを確立すると、暗号化されたトンネル内でPAPプロトコルを使用して認証情報を渡します。
図 2 に、EAP-TTLS/PAP 認証シーケンスを示します。
EAP-TTLS/PAP 認証には、次の手順が含まれます。
- オーセンティケータ(APなど)がセッション要求を開始するか、サプリカント(無線クライアントデバイス)がオーセンティケータにセッション開始要求を送信します。
- オーセンティケータは、サプリカントに識別情報を求める EAP 要求を送信します。
- サプリカントがEAP応答を認証サーバー(例:Juniper Mist Access Assuranceクラウド)に送信します。
- 認証サーバーは、証明書を含む「Server Hello」メッセージをクライアントデバイスに応答します。サーバーは、オーセンティケータを介してメッセージを送信します。
- サプリカントはサーバー証明書を検証します。つまり、サプリカントは、サーバー証明書が信頼できる CA によって署名されているかどうかを確認します。この検証により、暗号化された TLS トンネルが設定されます。
- サプリカントは、ユーザー名やパスワードなどのアカウント資格情報を、TLSトンネルを介してサーバーに送信します。サプリカントは、SSL(LDAPS)または OAuth(HTTPS)上のライトウェイト ディレクトリ アクセス プロトコルを使用して情報を暗号化します。
- Juniper Mist Access Assuranceは、設定されたアイデンティティプロバイダのソースに対してルックアップを実行し、ユーザー名といくつかの基本属性を検索します。
- Juniper Mist Access Assuranceがポリシー検索を実行し、役割および権限ベースのアクセスをクライアントデバイスに適用します。
- Juniper Mist Access Assuranceは、サプリカントを適切なネットワークに割り当てることができるように、VLANと割り当てられたロールに関する情報をオーセンティケータに送信します。
- オーセンティケータはEAP成功メッセージを送信し、サプリカントにアクセスを提供します。