清水理史の「イニシャルB」
冬休み大人の自由研究 WPA2-Enterpriseで無線LAN環境を構築する
(2014/12/22 06:00)
興味はあるものの、時間と手間の関係で、これまで手を付けずにいたモノや機能は、おそらく誰にでもあることだろう。筆者にとってのそれがWPA2-Enterpriseによる無線LAN接続環境だ。個人でも手が届く機材がそろってきた今、実際に環境を構築してみた。
WPA2-Enterpriseとは?
先日、本コラムで紹介した無料のSSLサーバー証明書もそうだが、長らく気になっているものの、なかなか手を出しにくいモノというは結構ある。
時間や労力、資金がかかりそうだとか、既存の環境に与える影響が大きいだとか、しくみをよく理解できていないだとか、理由はそれぞれだが、年末年始を挟んだこの休みは、そこに一歩足を踏み込むチャンスだ。
そこで、今回は機器さえそろえれば簡単にできるWPA2-Enterpriseの導入にチャレンジしてみた。
WPA2-Enterpriseは、簡単に言えば、無線LANの接続をユーザーアカウントによる認証ベースで実現する機能だ。
現状、コンシューマー向けの無線LANで採用されている接続環境は、WPA2-Personalと呼ばれる「PSK(Pre Shared key:事前共有鍵)」を利用した方式だ。
親機であるアクセスポイントと子機であるクライアントの双方で、あらかじめ共有された同じ鍵を利用してデータを暗号化する。アクセスポイントの背面に記載されている暗号キーがそうで、これと同じものをクライアント側にも設定することで、暗号化通信を実現することになる。
最近では、ボタン設定など、自動的に暗号キーがやり取りされる方式が主流になったことで、ユーザーが暗号キーを意識する機会がなくなってきたが、しくみとしてはアクセスポイントと、そこに接続する全クライアントで、1つの暗号キーを、事前に共有するようになっている。
これに対して、WPA2-Enterpriseは、前述したようにユーザー単位に接続の認証を実行する方式だ。
クライアントからアクセスポイントに接続しようとした際、PSKではなく、ユーザーIDとパスワードの入力が要求される。このアカウントは、ネットワーク上に別途配置したRADIUSサーバーによって認証され、認証が成功すると、初めて暗号化に必要となる鍵が発行され、無線LANに接続できることになる。
WPA2-Personalの場合、無線LANに接続できるかどうかはPSKを入手できるかどうかに左右されるため、ユーザー単位に接続を制御することが難しい。極端な話、PSKさえ知っていれば、第三者でも接続できてしまう。このため、PSKを定期的に変更するなどの運用が求められる。
これに対して、WPA2-Enterpriseでは、ユーザー単位での認証となるため、第三者が接続できる可能性を低くできる(アカウント漏えいに対抗できる証明書認証も可能)。また、通信を暗号化するための鍵は、ユーザーが認証されて初めて発行されるうえ、ユーザーごとに異なる暗号キーが配布されるため、PSKのような漏えいの可能性も低くなる。
ただし、WPA2-Personalを利用するには、認証を実行するRADIUSサーバーが別途必要になるうえ、対応アクセスポイントや対応クライアントが必要になる。このあたりのメリット、デメリットをまとめると以下の表のようになる。
暗号キー管理 | メリット | デメリット | |
WPA2-Personal | PSK | 環境構築や暗号キー管理が楽 | 定期的な変更などの漏洩対策が必要 |
WPA2-Enterprise | ユーザー認証 | ユーザーごとに接続可否を設定でき、暗号キーも個別に配布される | RADIUSサーバーや対応AP、対応クライアントが必要 |
RT-AC68U+NASで手軽に実現可能
このように、WPA2-Enterpriseは、高度なセキュリティ対策が可能でありながら、構築に手間がかかるため、企業での利用に限られていたが、今なら個人でも環境を整えることは決して無理ではない。
WPA2-Enterpriseの環境構築に必要となるのは以下の3つだが、いずれも個人で無理なく入手することが可能となっている。
・WPA2-Enterprise対応無線LANアクセスポイント
例:ASUS RT-AC68U、Apple AirMac Extreme
・RADIUSサーバー
例:SynologyやQNAPなどのNAS
・WPA2-Enterprise対応クライアント
例:Windows/Mac OS/iOS/Android
今回は、この中から、アクセスポイントにASUS RT-AC68U、RADIUSサーバーにSynology DS212の構成で、実際に環境を構築してみた。
STEP1 NASの設定
まずは、NASにRADIUSサーバーをインストールして構成する。RADIUSサーバーは、アクセスポイントへの接続要求に対して、ユーザーを認証する役割のサーバーだ。SynologyのNASの場合、「パッケージセンター」から無料でインストールすることができるが、QNAPなど他社製のNASでも同様に構成可能だ。
インストールが完了したら、設定していく。まずは、「共通設定」でポートと認証ソースを選択する。ポートは、アクセスポイントからの認証要求をやり取りするもので、標準では1812が割り当てられている。通常は標準の値でかまわない。
認証ソースは、どこに保存されているユーザーを認証に利用するかの設定だ。ここでは、標準設定の「ローカルユーザー」、つまりNASのローカルに登録されているユーザーを認証対象としたが、別途、Directory ServerをインストールしてLDAPベースで認証したり、Windowsドメインのユーザーで認証することも可能だ。
続いてクライアントの範囲を設定する。「クライアント」をクリックし、「追加」で「秘密のキー」とソースIPを設定する。秘密のキーは、アクセスポイントとの接続の際に利用する。ここで設定したものをアクセスポイントにも設定するので、忘れないようにメモしておこう。
ソースIPでは、接続可能なRADIUSクライアントを指定する。接続可能なRADIUSクライアントを特定のIPアドレスだけに限定することもできるが、「サブネット」を選択して同一ネットワーク上の端末すべてから接続可能にした。
このほか、「ブロックリスト」で特定のユーザーの接続を拒否したり、「ログ」で接続状況を確認できるが、これらは運用開始後に利用する。
STEP2 アクセスポイントの設定
続いてアクセスポイントを設定する。今回はASUS RT-AC68Uを利用したが、AirMacの場合はMacからユーティリティを実行して、WPA2-Enterpriseを選択するとRADIUSサーバーの設定が可能になる。
RT-AC68Uの場合、「ワイヤレス」の「RADIUS」の設定で、認証させる周波数帯を選択し、RADIUSサーバー(今回はDS212)のIPアドレスとポート、そしてSTEP1で設定した「秘密のキー」を「接続シークレット」に入力する。
この設定は、単にRADIUSサーバーの接続先を指定しているだけにすぎないため、この設定を実行しても、まだ無線LANは、WPS2-Personalの操作のままだ。このため、「ワイヤレス」の「全般」で、「認証方式」を「WPA2-Enterprise」に切り替える。
これで、クライアントからの接続要求があった際に、その要求が「RADIUSの設定」に登録したサーバー(DS212)へと送られることになる。
なお、今回は5GHz側のみ設定したが、もちろん2.4GHz側で設定することも可能なうえ、両方ともWPS2-Enterpriseに設定することも可能だ。
ただし、詳しくは後述するが、家庭の場合、WPA2-Entepriseに対応していない機器を接続する可能性もある。セキュリティを高める目的でWPA2-Enterpriseを導入するのであれば、両方とも有効にしておくのが理想だが、実際に運用する場合はどちらか一方はWPA2-Personalのまま残しておくことをおすすめする。
STEP3 クライアントからの接続
ここまで設定できれば、あとはクライアントから接続するだけだ。Windows、iOS、Androidなど、一般的なクライアントであれば、WPA2-Enterpirseに対応しているため、いつも通り、無線LANの接続設定で、接続先のSSIDを選択する。
すると、いつも表示される暗号キーの入力欄に代わって、ユーザー名とパスワードの入力欄が表示される。ここで、NASのローカルに登録されているアカウントを入力する(LDAPやADの場合はサーバーに登録されたアカウント)。
認証が完了すると警告メッセージが表示されるので、そのまま「接続」をクリックすれば無線LANに接続可能となる。もちろん、これらの手順が必要なのは初回のみで、次回以降は、ユーザー認証などは自動的に実行される。
iOSやAndroidの場合も接続手順はほぼ同じだ。以下のように接続時にユーザー名とパスワードを入力すれば接続することができる。
なお、WPA2-Enterpriseでは、証明書を利用して認証する方法もあるが、この場合はDS212側で証明書をエクスポートし、クライアント側に登録する必要がある。セキュリティ上は証明書ベースの認証がもっとも強固だが、これはさらに手間がかかるので、来年の自由研究の課題とさせていただきたい。
小規模なオフィスでも導入可能
このように、当初、手間がかかりそうだと思っていたWPA2-Enterpriseの設定だが、RT-AC68UとDS212のおかげで、比較的、簡単に利用することができた。
ただし、先にも少し触れたが、WPA2-Enterpriseに変更すると、接続できなくなる機器がいくつか存在する。筆者宅では、ゲーム機(Xbox Oneなど)、テレビ、Eye-Fi、Withingsの体組成計などがそうだ。これらは、家庭用の無線LANに接続することが前提となっているため、WPA2-Enterpriseには対応していない。
よって、やはり企業での利用となりそうだ。最近では、暗号キーを知っているユーザーが勝手に、いろいろな端末や機器を企業内の無線LANに接続することが問題になっているが、WPA2-Enterpriseであれば、暗号キーを公開する必要がないうえ、そもそもゲーム機などがWPA2-Enterpriseをサポートしていないため、こういった問題を回避するのにも都合がいい。
必要な機器が低コストで入手できるうえ、設定もさほど難しくないので、小規模なオフィスなどでも、導入を検討してみてはいかがだろうか。