pusuke0418’s diary

すごく暇なSEのぶろぐ

ネットワーク認証のMACアドレス認証

ネットワーク認証で用いられるMACアドレス認証について概説です。ここでは、スイッチや無線AP/コントローラのようなネットワーク機器で行う認証についてです。

ただし、「MACアドレス認証」というプロトコルのような何かが存在するのではなく、あくまでMACアドレスを使った認証、ということで、クレデンシャルの確認には通常RADIUSを利用してPAP/CHAPが、ネットワークスイッチによっては802.1Xに変換したりするような方法も利用されます。メーカーにより、実装の呼び方は様々だったりします(MAB、とか)。

MACアドレス認証の特徴は、そのとおり、端末のMACアドレスが正規のものかどうかを判別してネットワークへの接続を許可するというものとなります。

MACアドレス認証はセキュリティが弱い?
MACアドレスは偽装や入手が容易であることから、セキュリティが弱い、と表現されることはよくあります。確かにMACアドレスの性質から考えればそのとおりです。しかし、比較して802.1Xの証明書であっても端末へのインポート方法によって再利用が容易であったりしますし、導入効果と運用内容をよく考える必要があります。実際には、目的とコスト等のビジネス要件から決められるものとなります。

端末認証であること。
まさに端末のMACアドレスで認証するため。「正当な端末のみネットワークを利用できる」ためのものとなります。そのためには、予めMACアドレスが台帳化されていないのであれば、MACアドレスの収集が必要であったりします。収集無理だよ、という環境では、ベンダコードで許可するような設定をRADIUSシステムに入れているケースもよく見られます。

レイヤ2の通信で行われる認証。
ネットワーク機器に未認証の端末が接続され通信が発生すると、ネットワーク機器はRADIUSサーバ(等認証サーバ)にそのMACアドレスの正当性を問い合わせます。そもそも端末やユーザ自体は認証動作が起きていることは感知しないです。

認証時のパスワードって?
はじめのほうで、PAP/CHAPが使われるというような話を書きました。
また、上記、ネットワーク機器がMACアドレスの問い合わせをRADIUSサーバにするという話を書きました。では、そこではユーザ名とパスワードはどのようになっているのかという部分です。
MACアドレスの正当性を確認するので、ユーザ名はMACアドレスが利用されます。では、パスワードはというと、共通パスワードが利用される場合と、MACアドレスがパスワード情報としても利用される場合があります。共通パスワードというのは、どのMACアドレスに対しても同じパスワードを使うというものです。もう一方、MACアドレスがパスワード情報として利用されるというのは、ユーザ名もパスワードも同じとなるということです。このMACアドレスがパスワード情報として利用される場合では、パスワードは弱い( 0~9、A~Fの文字のみしか使われない)ものとなるので、RADIUSサーバ等認証サーバ側で「複雑なパスワードの要件」がある場合、それにひっかからないか注意する必要があります。

GNS3の中でVirtualBoxのVMを利用する

あまり情報も出てこず、毎回忘れてしまうためにメモ
VirtualBox仮想マシンのGNS3への登録方法→[Edit] [Preference] [VirtualBox] [New]から登録
そうするとdevicesに登録した仮想マシンがリストされ利用できるようになる

注意点は下記

バージョンは下記
GNS31.3.3
VirtualBox5.1.12

わたしのネットワークエンジニアリング情報収集のブログとかフィードとか

※接続先の安全性等に責任を持つものではありません

  • ネットワークテクニカル?

etherealmind.com
blog.ipspace.net
http://packetpushers.net/packetpushers.net
networkingnerd.net
networkinferno.net
PacketLife.net

  • ネットワークニュース

www.networkcomputing.com

  • 海底ケーブルネタ?とか

www.telegeography.com

  • インフラエンジニアリング含む

High Scalability -
The Netflix Tech Blog
さくらインターネット研究所
blog.father.gedow.net
www.nextplatform.com

  • セキュリティとか

yousukezanさんのまとめ - NAVERまとめ
ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
Threatpost | The first stop for security news
piyolog

  • どろーん

www.droneflyers.com