Cisco Meraki MRの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する
RUCKUS APの802.1X 無線認証にRadSec(SecureW2)を利用する
今回はジェイズ・コミュニケーション株式会社にご協力いただき、無線アクセスポイントのRUCKUS APをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携におけるRadSecの利用について検証を行いました。これからRUCKUS APの導入をお考えの方や、 クラウドRADIUSによるEAP-TLS(クライアント証明書認証)、特にRadSecにご関心がある方はぜひ最後までご覧ください。
通常のRADIUS認証やユーザーベースでネットワークを動的に制御するDynamic VLANの設定方法については別記事の「RUCKUS APの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する」をご覧ください。
クラウドRADIUS
クラウドRADIUS(Cloud
Radius)とは、クラウド型で提供されているRADIUSサービスのことを指します。SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。詳しくは
クラウドRADIUS紹介ページ
をご覧ください。
ペンティオでは、Cisco Meraki、Juniper Mist、Aruba、
Extreme Networks、Ubiquiti UniFi、ACERA、
YAMAHA、FortiAP Wi-Fi、 Panasonic AIRRECT、
BUFFALO AirStation Pro、RUCKUS Wi-Fi、
Sophos Wireless
などの各種無線APとSecureW2の連携を検証しております。
SecureW2検証・設定手順一覧
RUCKUS APのご紹介
今回は無線アクセスポイントのRUCKUS
R670をお借りして動作検証を行いました。
機器のスペックやその他製品の詳細情報はジェイズ・コミュニケーション様の製品情報をご覧ください。
RUCKUS R670は、高密度接続環境に対応したハイパフォーマンスな業務用無線LANアクセスポイントです。企業、教育機関、宿泊施設、医療機関、公共施設など、多数の端末が同時接続する環境においても、安定した高速通信を提供できるよう設計されています。さらに、エンタープライズ用途で求められるセキュリティ要件にも対応しており、WPA3や802.1X/EAPを利用した認証方式をサポートすることで、利用者や端末を適切に識別しながら、安全な無線LAN環境を実現します。
RUCKUS製品の特徴として、BeamFlex技術による通常より広いカバー範囲、他の電波干渉の受けにくさ、クラウドおよびコントローラーベースの管理基盤による柔軟な運用性が挙げられます。これにより、少ない台数で1つの拠点の無線認証を担えるだけでなく、複数拠点に展開されたアクセスポイントを一元的に管理し、SSID設定、電波出力の最適化、ファームウェア更新、障害監視などを効率的に実施することが可能です。たとえば、複数のオフィス、店舗、校舎、客室エリアなどにアクセスポイントを設置している組織であっても、クラウド管理プラットフォーム「RUCKUS One」を活用することで、現地作業を最小限に抑えながら、ネットワーク全体の品質維持と運用負荷の軽減を両立できます。
一方で、RUCKUS APやその管理基盤単体では、構成によっては証明書発行機能やフルマネージドな認証基盤を内包しないため、EAP-TLSによる証明書認証を本格的に導入する際には、別途RADIUSサーバーやPKI基盤の整備が必要となる場合があります。そこで、SecureW2が提供するクラウドRADIUSおよびマネージドPKIサービスを組み合わせることで、RUCKUSによる高品質な無線LANインフラ運用と、証明書を用いたセキュアなネットワーク認証を同時に実現することが可能です。
さらに本機器は、現状対応している無線機器が少ない"RadSec"というプロトコルを追加のライセンス費用なく利用することができます。RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSecureW2を利用する時も安心してご利用いただけます。
前提条件
- SecureW2の管理者アカウントをお持ちであること
- SecureW2のネットワークポリシーを作成済みであること
- クライアントPCにSecureW2発行のクライアント証明書の配布・登録が完了していること
- RUCKUS Oneにアクセスできる環境をご準備いただいていること
- RUCKUS OneにAPおよびベニュー(使用環境の住所)を登録していること
RadSecの動作概要
RadSec(RADIUS over TLS)は、トランスポートセキュアレイヤー(TLS)のプロトコルを用いることでRadSecクライアントからRadSecサーバーへの認証要求を送信し、認証応答を受け取る際の通信を暗号化する技術です。 以下のようなフローに従って、RadSecクライアントとRadSecサーバーの間にTLSトンネルを確立した上で認証情報をやりとりします。
認証のシーケンス図
EAP-TLS認証の流れは次のとおりです。
- TCP 3-way Handshake(SYN, SYN+ACK, ACK)でコネクションを確立
- RadSecクライアントがRadSecサーバーに対してClient Helloメッセージを送信
- RadSecサーバーはClient Helloに対してServer Helloメッセージを送信し、サーバー証明書を提示
- RadSecクライアントは提示されたサーバー証明書を検証し、有効であればRadSecサーバーに対してクライアント証明書を提示
- RadSecサーバーは提示されたクライアント証明書を検証する。有効であればTLSトンネルが確立され、暗号化された通信を開始
ここ以降は通常のRADIUS認証フローに従って認証を行います。
RadSecのメリット
通常のRADIUS認証を利用する場合でも証明書を利用するためセッションハイジャックや中間者攻撃による影響を受けるリスクは低いですが、RadSecを用いることで以下のようなメリットがあります。
- 暗号化された通信:RADIUSサーバーとクライアント間の通信をSSL/TLSで暗号化するため、証明書に含まれる個人情報などの機密情報が傍受されるリスクが減少します。
- 信頼性の向上:SSL/TLSを利用しているため、サーバーとクライアント間の身元が保証されて通信の信頼性が向上します。
- シンプルな設定:RadSecはTCPを利用しているため、ファイアウォールやNAT(ネットワークアドレス変換)を通過しやすく設定が比較的容易です。
- 堅牢なセキュリティ:RadSecは最新のセキュリティ標準に基づいており、既存のRADIUSプロトコルよりも堅牢なセキュリティを提供します。
作業詳細
主な作業内容は、RUCKUS APとSecureW2でそれぞれ次の通りです。
基本的なRUCKUS APとSecureW2の無線LAN利用設定に加えて、双方の証明書を信頼させる設定を行うことでSecureW2をクラウドRADIUSサーバーとしてご利用いただく際の通信内容を暗号化することができます。この記事では割愛しますが、お客様によって認証に加えて認可でもRADIUSを利用されたい場合にはSecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。
RadSecを利用してRADIUS認証を行う場合の設定
SecureW2の設定
まずはSecureW2上で、RadSec用のサーバー証明書とクライアント証明書を作成していきます。
-
SecureW2の管理コンソールから、RADIUS > RADIUS Configuration
をクリックします。
-
RadSec用のサーバー証明書を作成します。RadSec用のサーバー証明書を作成したことがない場合は、RadSec
ConfigurationのCreate Default RadSec CAをクリックしてRadSec用のサーバー証明書を作成します。
-
作成できたら、RadSec用のサーバー証明書をダウンロードします。なお、Host
nameとPortの値は後ほど使用するので控えておいてください。
-
PKI Management > Create Certificateでクライアント証明書を作成します。以下の画像を参考に設定値を入力し、完了したらCreateでクライアント証明書を作成します。
※ Certificate Authorityは作成されたRadSec Intermediate CAを選択し、p12ファイル形式でダウンロードしてください。パスワードの設定が必要です。
RUCKUS APの設定
次に、SecureW2のクラウドRADIUSをRUCKUSの無線LANで参照するように設定します。
-
RUCKUS Oneにログインし、マイサービス をクリックします。
- サービスを追加 をクリックします。
-
検索窓に 証明書 と入力し、追加 をクリックします。
-
「SecureW2の設定」手順3でダウンロードしたRadSec用のサーバー証明書をアップロードし、追加
をクリックします。
-
サーバー証明書がアップロードできたことを確認します。
-
サーバー&クライアント証明書 > 証明書を生成 をクリックします。
-
「SecureW2の設定」手順4で作成したRadSec用のクライアント証明書をアップロード後、秘密鍵パスワードに証明書作成時に設定した文字列を入力し、追加 をクリックします
-
クライアント証明書がアップロードできたことを確認します。
- マイサービス に戻ります。
- サービスを追加 をクリックします。
-
検索窓に RADIUS と入力し、追加 をクリックします。
-
以下のように情報を入力し、追加 をクリックします。
-
RADIUSサーバーが登録できたことを確認し、Wi-Fiネットワークリスト をクリックします。
- Wi-Fiネットワークを追加 をクリックします。
-
ネットワーク名を入力し、ネットワークタイプを選択したら 次へ をクリックします。
-
以下のように設定し、次へ をクリックします。
-
ベニューを割り当てて、次へ をクリックします。
-
設定内容を確認し、追加 をクリックします。
-
Wi-Fiネットワークが追加できたことを確認します。
動作確認
-
Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
-
証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
-
以下のようなウィンドウが表示されたら、続けるをクリックします。
-
以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
-
作成した無線LANへの接続ができたことが確認できました。
-
パケットキャプチャからSecureW2のRadSecサーバーの2083番ポート宛の通信が暗号化されていることが確認できます。
おわりに
本記事では、RUCKUS APがSecureW2のRADIUSサーバーに接続する際、RadSecを用いて通信をTLSで暗号化し、セキュアに認証を行う方法を検証しました。
RUCKUS Oneによるクラウド一元管理と、SecureW2によるクラウドRADIUS/マネージドPKIを組み合わせることで、無線LANの運用管理と認証基盤をともにクラウドへ集約できることを確認しました。さらに、RADIUS通信にRadSecを利用することで、認証通信をTLSで暗号化し、インターネットを経由する認証経路においても高い機密性と安全性を確保できることを確認しました。
RadSecはTLSをベースとしたRADIUS通信方式であり、従来のUDPベースRADIUSと比べて、通信経路の暗号化やサーバー認証を標準的に実現できる点が特長です。これにより、認証情報の盗聴リスクや、中間者攻撃による不正なRADIUSサーバーへの誘導リスクを低減し、よりセキュアな認証基盤を構築できます。クラウド型RADIUSを利用する構成において、認証通信の保護をより重視したい場合、RadSecは有効な選択肢といえるでしょう。
RUCKUS APとSecureW2の組み合わせは、高密度接続環境に対応した無線LANインフラを維持しながら、証明書ベースの強固な認証と、安全性の高いRADIUS通信を両立したい組織にとって、有力な選択肢になるといえるでしょう。特に、複数拠点を展開する企業、教育機関、宿泊施設、医療機関などにおいて、無線LANの運用管理と認証基盤をクラウドで統合しつつ、認証通信のセキュリティも高い水準で確保したい場合、本構成は有効です。以上で、「RUCKUS AP無線認証にRadSec(SecureW2)を利用する」の検証レポートを終わります。
参考
本検証で使用した機種のスペックシート
項目 | R770 | R670 | R560 |
|---|---|---|---|
Wi-Fi世代 | Wi-Fi 7 | Wi-Fi 7 | Wi-Fi 6E |
対応バンド | 2.4 / 5 / 6GHz | 2.4 / 5 / 6GHz | 2.4 / 5 / 6GHz |
無線数 | Tri-Radio | Tri-Radio | Tri-Radio |
最大PHYレート合計 | 12.22Gbps | 9.34Gbps | 4.710Gbps |
無線チェーン数 / 空間ストリーム数 | 2x2:2 / 4x4:4 / 2x2:2 | 2x2:2 | 2x2:2 |
同時接続ユーザー数 | 1024 | 768 | 1536 |
Ethernetポート | 10GbE + 1GbE | 5GbE + 1GbE | 5GbE + 1GbE |
BeamFlex | 対応 | 対応 | 対応 |
ChannelFly | 対応 | 対応 | 対応 |
SmartMesh | 対応 | 対応 | 対応 |
IoT対応 | IoT Onboard | IoT Onboard | IoT Onboard |
想定用途 | 高密度 / 上位Wi-Fi 7 | 中〜高密度 / Wi-Fi 7導入 | 中〜高密度Wi-Fi 6E |
*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。
