無線クライアントをMACアドレスで接続認証を行う方法
※インフラエンジニア向けの記事になります。記事のリストはこちら。
今回はMACアドレス認証についての解説及び、Solitonの認証装置NetAttest EPSでの設定方法を紹介します。
MAC アドレス認証 とは
クライアント(PCやスマホ)のMACアドレスを事前に認証機器またはAPに登録しておき、接続の際にその登録したMACアドレスを持った機器以外は接続を拒否することをMAC認証といいます。
しかし、最新の強固なネットワークセキュリティとはいえず、いくつか欠点も存在します。
なぜ MAC アドレス認証 はセキュリティが弱いのか
MACアドレス認証のセキュリティは、MACアドレスが世界に1つしかない一意なもの、という前提で成り立ちます。
MACアドレスは、端末が保有している、「世界に一つの番号」とされています。
クライアントが持つMACアドレスに、他者(他の機器)が成り済ますことができないならば、MACアドレスでの認証はセキュリティが非常に高いといえます。 しかしMACアドレスは簡単に偽装することが可能なのです。
つまり、自分の端末のMACアドレスを事前に登録していたとしても、そのMACアドレスは他の誰かが偽装し接続することが可能なのです。 したがってMACアドレス認証はセキュリティを強化するという観点では、脆弱性があるということになります。
MACアドレスでの認証を検討する場合は、このことを理解した上で費用や利用用途をもとに他の認証方法との比較を行い、採用するか決定することをお勧めします。
ではなぜ脆弱性のある、MACアドレス認証の設定方法を紹介するのかというと、下記のような需要が存在するからです。
MAC アドレス認証 の需要
- 別途機器費用が掛からない -パターン1-
- wps2-pskと併用することで、セキュリティを強化できる -パターン2-
- 証明書をインストールできない端末のために使用する -パターン3-
RADIUS認証を行いたい場合、認証装置の購入、設定が必須となります。その点、MACアドレス認証ではAPやWLCにに、もともと備わっている機能で利用可能こととが多く別途費用を必要としません。
大きな社内無線ネットワークの認証方式としてはセキュリティが弱いため採用しがたいですが、小さなオフィスや店舗、あるいは家庭での利用では、MACアドレス認証で費用をできるだけ抑えるという目的に適しています。
また、一般的なパスワードの認証(wpa2-psk)とが可能なため、プラスαのセキュリティ強化としては最適です。 wpa2-pskと併用することで、事前に登録したMACアドレスを持つ端末かつ、パスワードを知っていないと接続できないというSSIDを構築することができます。
セキュリティの強さでいえば、証明書を利用したRADIUS認証が非常に強い認証方式ですが、ハンディターミナルやネットワークカメラなどのIoT機器は証明書をインストールできないものも多く存在します。その機器が接続するSSIDへMACアドレス認証を採用するのも1つの手ということです。
無線認証方式の一覧
下記は、主な無線接続の認証方式についてです。
認証方式 | 認証の際の対象 | コスト | セキュリティ 強度の目安 | 認証の特徴 |
wpa2-psk (一般的なパスワードの認証) | 共有鍵(パスワード) | – | 低 | パスワードをで認証を行う方式です。 一般的な方法で、設定は簡単で費用は掛かりませんが、パスワードが漏洩すると不正アクセスの危険があります。 |
wpa2-psk+MACアドレス認証 (今回紹介する方法) | 共有鍵(パスワード) MACアドレス | 低 | 中 | 今回紹介する方式です。上記のwpa2-pskと組み合わせた方法です。 事前に接続見込みのある端末の、MACアドレスを登録しておく必要がるという点と、 wpa2 pskの共有鍵が漏洩し、MACアドレスの偽装を行われると、不正アクセスの危険もあり得ます。 |
802.1x EAP-TLS (RADIUS認証) | サーバ証明書 クライアント証明書 | 高 | 高 | 無線クライアントに認証機器が発行した証明書をインストールすることで接続ができます。 接続する全ての端末に証明書をインストールする必要があり、認証装置の設置も必要となります。 セキュリティ面では現時点で最強と言えます。 |
MACアドレス認証の設定方法 -NetAttest EPS-
実際にMACアドレス認証の設定方法を解説します。
機器はNetAttest EPSを利用します。 NetAttestは認証装置なので、この機器を所持しているのであればRADIUS認証を行えますが、 今回は上記の「MACアドレス認証の需要」からパターン3の観点である、「証明書をインストールできない端末のために利用する」を解決するためにMACアドレス認証を行います。
※機器へのログインや基本設定は割愛させていただきます。
1-1.個別追加 -NetAttest-
手順はクライアント端末のMACアドレスを個別で1つずつ追加する方法と、複数を一括で追加する方法の2つありますが、まずは個別で1つずづ追加する方法を解説します。
ログイン後左のメニューより、ユーザー>ユーザー一覧まで移動し、右上にある[追加]ボタンをクリックします。 すると下記のような新規ユーザ設定の画面が表示されるので必須項目を入力します。
~必須入力項目~ 【基本情報】 ・姓:端末名(ホスト名などわかりやすいもの) 【認証情報】 ・ユーザID:登録する端末のMACアドレス(ハイフン無しの小文字で入力します) (例)abcdefghijkl ・パスワード:ユーザIDと同じ (例)abcdefghijkl ・パスワード(確認):ユーザIDと同じ (例)abcdefghijkl
ここでのユーザIDとパスワードを基に認証の際、MACを確認するので間違えないよう、ハイフンなしの小文字で入力するように気を付けましょう。 入力が完了したら[ok]をクリックすると完了です。
2-1.複数追加 ユーザ情報のエクスポート -NetAttest-
次に複数のMACアドレスを一括で追加する方法を解説します。
ログイン後左のメニューより、ユーザー>エクスポート>ユーザー情報のエクスポート、まで移動します。
チェックを入れる項目がありますが、ここはデフォルトのままで右下の[ok]ボタンをクリックします。 その後ダウンロードを行い、端末にcsvファイルを保存します。
2-2.複数追加 csvのユーザ情報編集 -NetAttest-
ユーザ情報のダウンロード、保存を行うと、[users.csv]というファイルが端末に保存されます。 ファイルを開き、MACアドレスを追加します。
現在登録しているユーザ情報が表示されるので、一番下の行に新規で追加を行うクライアント端末の情報を下記のように追記します。
- ①登録する端末のMACアドレス(ハイフンなし小文字)
- ②登録する端末のMACアドレス(①と同じ)
- ③端末名(ホスト名など分かりやすいもの)
1台につき1行となっているので、2台目以降は下へ追加していきます。
ユーザ情報の追加が完了したら、ファイルを保存します。
2-3.複数追加 ユーザ情報のインポート -NetAttest-
最後に先ほど編集を行った[users.csv]のファイルをNetAttestにインポートしユーザ情報を更新します。
ログイン後左のメニューより、ユーザー>インポート>ユーザー情報のインポート、まで移動します。
ユーザ情報をPCからアップロードするので、画面の[参照]をクリックし、先ほどの[users.csv]を選択し[インポート]をクリックします。
最後にNetAttestの設定を保存すれば、これで複数のMACアドレスを追加が完了となります。