ドキュメント

securew2

目次

Aruba IAPの無線認証にSecureW2のクラウドRADIUSを利用する

今回は、Hewlett Packard Enterprise社が提供するネットワーク機器であるAruba Instant APと、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。本記事では下記3つのテーマについて検証レポートをまとめておりますので、これからAruba Instant APの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。

検証テーマ

  • Aruba IAPの無線LAN認証にSecureW2のRADIUSサーバーを利用する
  • 無線LAN認証の通信を暗号化するRadSecを利用した認証を行う
  • SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する

Aruba Instant APのご紹介

今回は弊社の検証環境にある製品紹介ページをご覧ください。Aruba AP 303を使用して動作検証を行いました。機器のスペックやその他製品の詳細情報はHewlett Packard Enterprise社の製品紹介ページ をご覧ください。

Aruba Instant APの製品画像

Arubaは現状対応している無線機器が少ない"RadSec"というプロトコルに対応しているアクセスポイントです。 RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSeucreW2を利用する時も安心してご利用いただけます。SecureW2との連携の面では、SecureW2が2023年11月より提供を開始したReal-Time Intelligenceが利用可能な製品です。Real-Time intelligenceは、SecureW2がクライアント証明書を失効した際に、本来再認証がトリガーされるまで遮断されなかったデバイスのネットワーク接続を即時遮断できる機能です。また、Aruba Instant APはクラウド型のコントローラーによる一括管理も選択できるため、SecureW2と併せてご利用いただくことで、よりネットワーク構成をシンプルにすることが可能です。

前提条件

今回の検証では、以下の項目を前提条件としています。

  • SecureW2の管理者アカウントをお持ちであること
  • アクセスポイントとしてAruba Instant APを使用しており、管理画面にアクセスできる状態であること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
  5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

主な作業内容は、Aruba Instant APとSecureW2でそれぞれ次の通りです。

作業内容

基本的なAruba Instant APとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

通常のRADIUS認証を利用する場合の設定

まずはSecureW2のクラウドRADIUSをAruba Instant APの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

ネットワークの設定

 補足

2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの向上と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。 詳しくはこちらをご覧ください。

  1. ブラウザからAruba IAPにアクセスし、管理画面にログインします。
  2. ログインしたら、設定 > ネットワーク をクリックします。
  3. SSIDを作成します。画像の []をクリックします。
  4. SSIDに任意の名前を設定し、次へをクリックします。
  5. VLANの設定です。特別な設定がなければ次へをクリックします。
  6. セキュリティの設定です。以下の表に従い、各項目のプルダウンを設定します。設定が完了したら、認証サーバーの横にある[+]をクリックして認証サーバーを設定します。
    項目名 設定値
    セキュリティレベル エンタープライズ
    キー管理 WPA2-エンタープライズ
  7. 新規認証サーバーの設定です。先ほど控えておいたSecureW2のRADIUS Configurationの情報をもとに以下のように入力してOKをクリックします。
    項目名 設定値
    名前 例)SecureW2_RADIUS1
    IPアドレス SecureW2の Primary IP Address(①)の値を入力
    認証ポート 〃 の Authenticaion Port(②)の値を入力
    アカウンティングポート 〃 の Accounting port(③)の値を入力
    共有キー 〃 の Shared Secret(④)の値を入力
    キーの再入力 〃 の Shared Secret(④)の値を入力
    ※課金ポート(RADIUSアカウンティング)のポート番号は指定が必須のため上記の通り入力しますが、今回は利用しません。
  8. 以上の6~8の手順をもう一度繰り返してセカンダリサーバーを設定します。7. の表のIPアドレスをSecureW2のSecondary IP Addressの値に変更して同じように設定してください。
  9. 二つのRADIUSサーバーが設定できたら次へをクリックします。
  10. アクセスルールの設定です。特に変更がなければ終了をクリックして設定完了です。

RadSecを利用してRADIUS認証を行う場合の設定

RADIUS認証のフローを暗号化するRadSecを利用した場合の設定手順は「Aruba IAPとSecureW2でRadSecを利用した無線認証を行う」の別記事で解説しております。ご興味のある方はぜひご参照ください。

 RadSec(RADIUS over TLS)について

RadSec(RADIUS over TLS)は、トランスポートセキュアレイヤー(TLS)のプロトコルを用いることでRADIUSクライアントからRADIUSサーバーへの認証要求を送信・認証応答を受け取る際の通信を暗号化することができる技術です。RadSecを利用することで、例えば証明書に含まれるメールアドレスなどの情報を傍受されるリスクを低減できるというメリットがあります。

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLogin・Okta・Microsoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

  1. SecureW2 Managemant Portal(管理コンソール)の Policy Management > Network Policies からNetwork Policyを追加します。
  2. ポリシーの名前を入力し、Saveをクリックします。
  3. Conditionsタブに移動し、Add Ruleをクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。
  4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
    IdentityからRoleを選択してSaveをクリックします。画面上部に「'Role' selected」と表示されれば成功です。
  5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、前もって作成しておいたPentio Roleを値として設定します。
    変数の値を設定できたら、Updateをクリックします。
  6. Settingsタブに移動し、Add Attributeをクリックします。この画面で使用するRADIUS属性の設定を行います。
  7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。
    Radius:IETFの属性(Attribute:) 値(Value:) 説明
    Tunnel-Type 13 VLAN(固定値)
    Tunnel-Medium-Type 6 IEEE-802(固定値)
    Tunnel-Private-Group-ID 任意のVLAN-ID(1-4094) 認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID
    (例:100, 200)
  8. 画像のように設定できたら、Updateをクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。

今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
  2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
  3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
  4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
  5. 作成した無線LANへの接続ができたことが確認できました。
  6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
    今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。

    WireSharkからもVLAN-IDが正常に割り振られていることが確認できました。
    "example@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100
    "hanako.sato@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。

    SecureW2からも、それぞれのVLAN用ネットワークポリシーに基づいて「Pentio_test」への接続が許可されたログを確認することができました。

おわりに

今回の検証ではAruba Instant APの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証、そしてその認証フローを暗号化するRadSecが実現可能かどうかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。
ArubaはRadSecとSecureW2が提供しているReal-Time Intelligenceの両方を利用できる数少ないアクセスポイント製品になります。RadSecを利用することで認証情報のやり取りを暗号化することができ、Real-Time Inteligenceを利用すればリアルタイムなネットワーク制御を実現できます。これらの機能により、企業のセキュリティ基準に合わせた柔軟な運用が可能になります。

Aruba Instant APはクラウド型のコントローラーによる管理を選択することができます。そこで統合認証基盤として物理アプライアンスの設置が一切不要なクラウド型RADIUSであるSecureW2と組み合わせることで、多拠点展開の際にも国内外問わず全拠点同水準のセキュリティを確保できます。毎拠点ごとに無線LANコントローラ・RADIUSアプライアンスなどの機器を設置・管理・維持する必要がないため、コストを最小限に抑えられるという点で新たなメリットが生まれるでしょう。 ぜひAruba Instant APとSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「Aruba Instant APの無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。

参考

本検証で使用した機種のスペックシート

機種名 AP-303 AP-505 AP-610
無線規格 IEEE 802.11n(2.4GHz)IEEE 802.11ac Wave2(5GHz) IEEE 802.11ax(Wi-Fi6)対応 IEEE 802ax(Wi-Fi6E)対応
無線アンテナ 2×2:2
ネットワークインターフェース 1Gポート×1
(PoE / 802.3az EEE)		 1Gポート×1
(PoE+ / 802.3az EEE)		 2.5Gポート×1
(PoE+ / 802.3az EEE)
設置場所 屋内
サイズ 150×150×35mm 160×161×37mm 160×160×39mm
重量 260g 500g 520g
データシート データシート   データシート   データシート  

*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

問い合わせはこちら

ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。

※トライアル環境のご手配には数日お時間をいただきます
製品に関するお問い合わせはこちら無料トライアルのお申込みはこちら