ネットワーク認証のMACアドレス認証
ネットワーク認証で用いられるMACアドレス認証について概説です。ここでは、スイッチや無線AP/コントローラのようなネットワーク機器で行う認証についてです。
ただし、「MACアドレス認証」というプロトコルのような何かが存在するのではなく、あくまでMACアドレスを使った認証、ということで、クレデンシャルの確認には通常RADIUSを利用してPAP/CHAPが、ネットワークスイッチによっては802.1Xに変換したりするような方法も利用されます。メーカーにより、実装の呼び方は様々だったりします(MAB、とか)。
MACアドレス認証の特徴は、そのとおり、端末のMACアドレスが正規のものかどうかを判別してネットワークへの接続を許可するというものとなります。
MACアドレス認証はセキュリティが弱い?
MACアドレスは偽装や入手が容易であることから、セキュリティが弱い、と表現されることはよくあります。確かにMACアドレスの性質から考えればそのとおりです。しかし、比較して802.1Xの証明書であっても端末へのインポート方法によって再利用が容易であったりしますし、導入効果と運用内容をよく考える必要があります。実際には、目的とコスト等のビジネス要件から決められるものとなります。
端末認証であること。
まさに端末のMACアドレスで認証するため。「正当な端末のみネットワークを利用できる」ためのものとなります。そのためには、予めMACアドレスが台帳化されていないのであれば、MACアドレスの収集が必要であったりします。収集無理だよ、という環境では、ベンダコードで許可するような設定をRADIUSシステムに入れているケースもよく見られます。
レイヤ2の通信で行われる認証。
ネットワーク機器に未認証の端末が接続され通信が発生すると、ネットワーク機器はRADIUSサーバ(等認証サーバ)にそのMACアドレスの正当性を問い合わせます。そもそも端末やユーザ自体は認証動作が起きていることは感知しないです。
認証時のパスワードって?
はじめのほうで、PAP/CHAPが使われるというような話を書きました。
また、上記、ネットワーク機器がMACアドレスの問い合わせをRADIUSサーバにするという話を書きました。では、そこではユーザ名とパスワードはどのようになっているのかという部分です。
MACアドレスの正当性を確認するので、ユーザ名はMACアドレスが利用されます。では、パスワードはというと、共通パスワードが利用される場合と、MACアドレスがパスワード情報としても利用される場合があります。共通パスワードというのは、どのMACアドレスに対しても同じパスワードを使うというものです。もう一方、MACアドレスがパスワード情報として利用されるというのは、ユーザ名もパスワードも同じとなるということです。このMACアドレスがパスワード情報として利用される場合では、パスワードは弱い( 0~9、A~Fの文字のみしか使われない)ものとなるので、RADIUSサーバ等認証サーバ側で「複雑なパスワードの要件」がある場合、それにひっかからないか注意する必要があります。
GNS3の中でVirtualBoxのVMを利用する
あまり情報も出てこず、毎回忘れてしまうためにメモ
VirtualBox仮想マシンのGNS3への登録方法→[Edit] [Preference] [VirtualBox] [New]から登録
そうするとdevicesに登録した仮想マシンがリストされ利用できるようになる
注意点は下記
- 仮想マシンの名前に日本語が入ってるものがあるとエラーになって上記登録時にGNS3からVirtualBoxの仮想マシン一覧が取得できない
- GNS3の中で仮想マシンのNICを使いたいとき、あらかじめ仮想マシンのネットワークアダプターは「未割り当て」にしておく必要がある(そうしないとGNS3で警告が出てマシンが起動しない)
バージョンは下記
GNS31.3.3
VirtualBox5.1.12
わたしのネットワークエンジニアリング情報収集のブログとかフィードとか
※接続先の安全性等に責任を持つものではありません
- ネットワークテクニカル?
etherealmind.com
blog.ipspace.net
http://packetpushers.net/packetpushers.net
networkingnerd.net
networkinferno.net
PacketLife.net
- ネットワークニュース
- 海底ケーブルネタ?とか
- インフラエンジニアリング含む
High Scalability -
The Netflix Tech Blog
さくらインターネット研究所
blog.father.gedow.net
www.nextplatform.com
- セキュリティとか
yousukezanさんのまとめ - NAVERまとめ
ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
Threatpost | The first stop for security news
piyolog
- どろーん