ブログ更新したいなと思える内容を考えて帰宅するものの、実際にPC立ち上げると、更新するほどのネタじゃなかった気がして、結局、更新しない日が続いております。せでぃです。
固定WEPキーの脆弱性が指摘されて久しいですが、それに代わる無線LANのセキュリティに関しては、正直、敷居が高い割に導入を決める決定打にかける技術ばかりだなぁとつくづく思います。せでぃだけか?
ちょっと調べものしたので、いつもの覚え書きをば披露。
認証技術について
802.1Xについては、未だにどれにしたらいいか、ようわからん。
ただ、ひとつずつ調べるとそれぞれの特徴はボンヤリとわかってくる。せでぃの場合は、上から3つは切り捨てた。
EAP-TLS,TTLS,PEAPはTLS(Transport Layer Security)という暗号化方式を使っている。SSLみたいなもんだと思ってる。なので、上2つは認証中の暗号強度の問題で無し。EAP-TLSはクライアントの証明書が必要ってことで、管理負荷の問題で無し。残るは3つ。RADIUS外部のLDAPを使う場合ならEAP-TTLSで決まりな訳だが、使わないってなると正直難しい。EAP-TTLSとEAP-PEAPについては、未だに違いをうまく説明できないな、せでぃは。ただ、やるならこの2つだとも思ってる。
EAP-FASTについては知らんw 教えて欲しいくらいだww
暗号化技術(WPA)について
暗号強度から行けば間違い無くAESなんだろうけど、暗号化・復号化の処理に時間がかかると聞く。それに製品の対応状況を見るに、今ならTKIP一択だと思う。
RADIUSサーバについて
中規模程度の無線LANの場合は、絶対にサプリカントを入れられない機器は出てくる。無線プリンタしかり、無線プロジェクタしかり、LinuxとかUNIXで無線つなげたいとか言うアホだっているに違いない。そう考えると、802.1XとMACアドレス認証を組み合わせて、最低2台のRADIUSサーバが欲しい。
アクセスポイントについて
MACアドレス認証をRADIUSサーバに問い合わせるというのが、結構高級な業務用のアクセスポイントしかできないっぽい。1台のアクセスポイントで、クライアントの状況に合わせて802.1XのRADIUSサーバ、MACアドレス認証用のRADIUSサーバ、と問い合わせを自在に使い分けられる(条件付けできる)賢い機器がいい。