RUCKUS APの802.1X 無線認証にRadSec(SecureW2)を利用する

今回はジェイズ・コミュニケーション株式会社にご協力いただき、無線アクセスポイントのRUCKUS APをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携におけるRadSecの利用について検証を行いました。これからRUCKUS APの導入をお考えの方や、 クラウドRADIUSによるEAP-TLS(クライアント証明書認証)、特にRadSecにご関心がある方はぜひ最後までご覧ください。

通常のRADIUS認証やユーザーベースでネットワークを動的に制御するDynamic VLANの設定方法については別記事の「RUCKUS APの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する」をご覧ください。

クラウドRADIUS

クラウドRADIUS(Cloud Radius)とは、クラウド型で提供されているRADIUSサービスのことを指します。SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。詳しくは クラウドRADIUS紹介ページ をご覧ください。
ペンティオでは、Cisco MerakiJuniper MistArubaExtreme NetworksUbiquiti UniFiACERAYAMAHAFortiAP Wi-FiPanasonic AIRRECTBUFFALO AirStation ProRUCKUS Wi-FiSophos Wireless などの各種無線APとSecureW2の連携を検証しております。 SecureW2検証・設定手順一覧

RUCKUS APのご紹介

検証に使用したRUCKUS R670


今回は無線アクセスポイントのRUCKUS R670をお借りして動作検証を行いました。 機器のスペックやその他製品の詳細情報はジェイズ・コミュニケーション様の製品情報をご覧ください。

RUCKUS R670は、高密度接続環境に対応したハイパフォーマンスな業務用無線LANアクセスポイントです。企業、教育機関、宿泊施設、医療機関、公共施設など、多数の端末が同時接続する環境においても、安定した高速通信を提供できるよう設計されています。さらに、エンタープライズ用途で求められるセキュリティ要件にも対応しており、WPA3や802.1X/EAPを利用した認証方式をサポートすることで、利用者や端末を適切に識別しながら、安全な無線LAN環境を実現します。

RUCKUS製品の特徴として、BeamFlex技術による通常より広いカバー範囲、他の電波干渉の受けにくさ、クラウドおよびコントローラーベースの管理基盤による柔軟な運用性が挙げられます。これにより、少ない台数で1つの拠点の無線認証を担えるだけでなく、複数拠点に展開されたアクセスポイントを一元的に管理し、SSID設定、電波出力の最適化、ファームウェア更新、障害監視などを効率的に実施することが可能です。たとえば、複数のオフィス、店舗、校舎、客室エリアなどにアクセスポイントを設置している組織であっても、クラウド管理プラットフォーム「RUCKUS One」を活用することで、現地作業を最小限に抑えながら、ネットワーク全体の品質維持と運用負荷の軽減を両立できます。

一方で、RUCKUS APやその管理基盤単体では、構成によっては証明書発行機能やフルマネージドな認証基盤を内包しないため、EAP-TLSによる証明書認証を本格的に導入する際には、別途RADIUSサーバーやPKI基盤の整備が必要となる場合があります。そこで、SecureW2が提供するクラウドRADIUSおよびマネージドPKIサービスを組み合わせることで、RUCKUSによる高品質な無線LANインフラ運用と、証明書を用いたセキュアなネットワーク認証を同時に実現することが可能です。

さらに本機器は、現状対応している無線機器が少ない"RadSec"というプロトコルを追加のライセンス費用なく利用することができます。RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSecureW2を利用する時も安心してご利用いただけます。

前提条件

  • SecureW2の管理者アカウントをお持ちであること
  • SecureW2のネットワークポリシーを作成済みであること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が完了していること
  • RUCKUS Oneにアクセスできる環境をご準備いただいていること
  • RUCKUS OneにAPおよびベニュー(使用環境の住所)を登録していること

RadSecの動作概要

RadSec(RADIUS over TLS)は、トランスポートセキュアレイヤー(TLS)のプロトコルを用いることでRadSecクライアントからRadSecサーバーへの認証要求を送信し、認証応答を受け取る際の通信を暗号化する技術です。 以下のようなフローに従って、RadSecクライアントとRadSecサーバーの間にTLSトンネルを確立した上で認証情報をやりとりします。

認証のシーケンス図

RadSec認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. TCP 3-way Handshake(SYN, SYN+ACK, ACK)でコネクションを確立
  2. RadSecクライアントがRadSecサーバーに対してClient Helloメッセージを送信
  3. RadSecサーバーはClient Helloに対してServer Helloメッセージを送信し、サーバー証明書を提示
  4. RadSecクライアントは提示されたサーバー証明書を検証し、有効であればRadSecサーバーに対してクライアント証明書を提示
  5. RadSecサーバーは提示されたクライアント証明書を検証する。有効であればTLSトンネルが確立され、暗号化された通信を開始

ここ以降は通常のRADIUS認証フローに従って認証を行います。

RadSecのメリット

通常のRADIUS認証を利用する場合でも証明書を利用するためセッションハイジャックや中間者攻撃による影響を受けるリスクは低いですが、RadSecを用いることで以下のようなメリットがあります。

  • 暗号化された通信:RADIUSサーバーとクライアント間の通信をSSL/TLSで暗号化するため、証明書に含まれる個人情報などの機密情報が傍受されるリスクが減少します。
  • 信頼性の向上:SSL/TLSを利用しているため、サーバーとクライアント間の身元が保証されて通信の信頼性が向上します。
  • シンプルな設定:RadSecはTCPを利用しているため、ファイアウォールやNAT(ネットワークアドレス変換)を通過しやすく設定が比較的容易です。
  • 堅牢なセキュリティ:RadSecは最新のセキュリティ標準に基づいており、既存のRADIUSプロトコルよりも堅牢なセキュリティを提供します。

作業詳細

主な作業内容は、RUCKUS APとSecureW2でそれぞれ次の通りです。

RUCKUS APとSecureW2で行うRadSec設定の主な作業内容

基本的なRUCKUS APとSecureW2の無線LAN利用設定に加えて、双方の証明書を信頼させる設定を行うことでSecureW2をクラウドRADIUSサーバーとしてご利用いただく際の通信内容を暗号化することができます。この記事では割愛しますが、お客様によって認証に加えて認可でもRADIUSを利用されたい場合にはSecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

RadSecを利用してRADIUS認証を行う場合の設定

SecureW2の設定

まずはSecureW2上で、RadSec用のサーバー証明書クライアント証明書を作成していきます。

  1. SecureW2の管理コンソールから、RADIUS > RADIUS Configuration をクリックします。
    SecureW2のRADIUS Configuration画面
  2. RadSec用のサーバー証明書を作成します。RadSec用のサーバー証明書を作成したことがない場合は、RadSec ConfigurationのCreate Default RadSec CAをクリックしてRadSec用のサーバー証明書を作成します。
    SecureW2でDefault RadSec CAを作成する画面
  3. 作成できたら、RadSec用のサーバー証明書をダウンロードします。なお、Host nameとPortの値は後ほど使用するので控えておいてください。
    SecureW2でRadSec用サーバー証明書をダウンロードする画面
  4. PKI Management > Create Certificateでクライアント証明書を作成します。以下の画像を参考に設定値を入力し、完了したらCreateでクライアント証明書を作成します。
    ※ Certificate Authorityは作成されたRadSec Intermediate CAを選択し、p12ファイル形式でダウンロードしてください。パスワードの設定が必要です。
    SecureW2でRadSec用クライアント証明書を作成する画面

RUCKUS APの設定

次に、SecureW2のクラウドRADIUSをRUCKUSの無線LANで参照するように設定します。

  1. RUCKUS Oneにログインし、マイサービス をクリックします。
    RUCKUS Oneのマイサービス画面
  2. サービスを追加 をクリックします。
    RUCKUS Oneでサービスを追加する画面
  3. 検索窓に 証明書 と入力し、追加 をクリックします。
    RUCKUS Oneで証明書サービスを追加する画面
  4. 「SecureW2の設定」手順3でダウンロードしたRadSec用のサーバー証明書をアップロードし、追加 をクリックします。
    RUCKUS OneでRadSec用サーバー証明書をアップロードする画面
  5. サーバー証明書がアップロードできたことを確認します。
    RUCKUS Oneでアップロードしたサーバー証明書を確認する画面
  6. サーバー&クライアント証明書 > 証明書を生成 をクリックします。
    RUCKUS Oneでサーバーおよびクライアント証明書を生成する画面
  7. 「SecureW2の設定」手順4で作成したRadSec用のクライアント証明書をアップロード後、秘密鍵パスワードに証明書作成時に設定した文字列を入力し、追加 をクリックします
    RUCKUS OneでRadSec用クライアント証明書をアップロードする画面
  8. クライアント証明書がアップロードできたことを確認します。
    RUCKUS Oneでアップロードしたクライアント証明書を確認する画面



  9. マイサービス に戻ります。
    RUCKUS Oneのマイサービスに戻った画面
  10. サービスを追加 をクリックします。
    RUCKUS OneでRADIUSサービスを追加する画面
  11. 検索窓に RADIUS と入力し、追加 をクリックします。
    RUCKUS OneでRADIUSを検索して追加する画面



  12. 以下のように情報を入力し、追加 をクリックします。
    RUCKUS OneでRadSec用RADIUSサーバー情報を入力する画面
  13. RADIUSサーバーが登録できたことを確認し、Wi-Fiネットワークリスト をクリックします。
    RUCKUS Oneで登録したRADIUSサーバーを確認する画面
  14. Wi-Fiネットワークを追加 をクリックします。
    RUCKUS OneでWi-Fiネットワークを追加する画面
  15. ネットワーク名を入力し、ネットワークタイプを選択したら 次へ をクリックします。
    RUCKUS Oneでネットワーク名とネットワークタイプを設定する画面
  16. 以下のように設定し、次へ をクリックします。
    RUCKUS OneでWi-FiネットワークのRadSec認証設定を行う画面



  17. ベニューを割り当てて、次へ をクリックします。
    RUCKUS OneでWi-Fiネットワークにベニューを割り当てる画面



  18. 設定内容を確認し、追加 をクリックします。
    RUCKUS OneでWi-Fiネットワークの設定内容を確認する画面
  19. Wi-Fiネットワークが追加できたことを確認します。
    RUCKUS Oneで追加したWi-Fiネットワークを確認する画面

動作確認

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
    macOSのWi-Fi一覧で作成したSSIDを選択する画面
  2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
    macOSでEAP-TLS認証に使用する証明書を選択する画面
  3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
    macOSで証明書の信頼を確認する画面
  4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
    macOSで管理者権限による設定変更を許可する画面
  5. 作成した無線LANへの接続ができたことが確認できました。
    作成した無線LANに接続できた状態のWi-Fi画面
  6. パケットキャプチャからSecureW2のRadSecサーバーの2083番ポート宛の通信が暗号化されていることが確認できます。
    WiresharkでRadSec通信が暗号化されていることを確認した画面

おわりに

本記事では、RUCKUS APがSecureW2のRADIUSサーバーに接続する際、RadSecを用いて通信をTLSで暗号化し、セキュアに認証を行う方法を検証しました。

RUCKUS Oneによるクラウド一元管理と、SecureW2によるクラウドRADIUS/マネージドPKIを組み合わせることで、無線LANの運用管理と認証基盤をともにクラウドへ集約できることを確認しました。さらに、RADIUS通信にRadSecを利用することで、認証通信をTLSで暗号化し、インターネットを経由する認証経路においても高い機密性と安全性を確保できることを確認しました。

RadSecはTLSをベースとしたRADIUS通信方式であり、従来のUDPベースRADIUSと比べて、通信経路の暗号化やサーバー認証を標準的に実現できる点が特長です。これにより、認証情報の盗聴リスクや、中間者攻撃による不正なRADIUSサーバーへの誘導リスクを低減し、よりセキュアな認証基盤を構築できます。クラウド型RADIUSを利用する構成において、認証通信の保護をより重視したい場合、RadSecは有効な選択肢といえるでしょう。

RUCKUS APとSecureW2の組み合わせは、高密度接続環境に対応した無線LANインフラを維持しながら、証明書ベースの強固な認証と、安全性の高いRADIUS通信を両立したい組織にとって、有力な選択肢になるといえるでしょう。特に、複数拠点を展開する企業、教育機関、宿泊施設、医療機関などにおいて、無線LANの運用管理と認証基盤をクラウドで統合しつつ、認証通信のセキュリティも高い水準で確保したい場合、本構成は有効です。以上で、「RUCKUS AP無線認証にRadSec(SecureW2)を利用する」の検証レポートを終わります。

参考

本検証で使用した機種のスペックシート

項目

R770

R670

R560

Wi-Fi世代

Wi-Fi 7

Wi-Fi 7

Wi-Fi 6E

対応バンド

2.4 / 5 / 6GHz

2.4 / 5 / 6GHz

2.4 / 5 / 6GHz

無線数

Tri-Radio

Tri-Radio

Tri-Radio

最大PHYレート合計

12.22Gbps

9.34Gbps

4.710Gbps

無線チェーン数 / 空間ストリーム数

2x2:2 / 4x4:4 / 2x2:2

2x2:2

2x2:2

同時接続ユーザー数

1024

768

1536

Ethernetポート

10GbE + 1GbE

5GbE + 1GbE

5GbE + 1GbE

BeamFlex

対応

対応

対応

ChannelFly

対応

対応

対応

SmartMesh

対応

対応

対応

IoT対応

IoT Onboard

IoT Onboard

IoT Onboard

想定用途

高密度 / 上位Wi-Fi 7

中〜高密度 / Wi-Fi 7導入

中〜高密度Wi-Fi 6E

*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

目次