FortiAPの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する

Fortinet FortiAPのご紹介

今回は弊社の検証環境に設置されているFortiGate 40FとFortiAP 231Gを使用して動作検証を行いました。FortiAPを使用するためには、FortiGate上で動作する無線コントローラーが必要になります。機器のスペックやその他製品の詳細情報はFortinet社の製品一覧をご覧ください。

FortiAP 231GはWi-Fi 6Eに対応しているアクセスポイントです。Wi-Fi 6Eは最新の暗号化規格であるWPA3 - 192bitに対応していることに加え、6GHz帯を利用可能になっています。DFSによる瞬断の心配がなく電波の干渉も少ないため、運用面で高い安全性と利便性を実現します。

さらに本機器はFortiGate 40FなどFortiOS v7.6.0以降が利用可能な製品と併せることで、現状対応している無線機器が少ない"RadSec"というプロトコルを利用できます。RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSeucreW2を利用する時も安心してご利用いただけます。詳細については別記事の「FortiAPの802.1X 無線認証にRadSec（SecureW2）を利用する」をご覧ください。⁠

また今回はご紹介しませんが、FortiAPはFortiGateを必要としない管理ポータル FortiEdge Cloud(旧FortiLAN Cloud) によるクラウド管理も選択することが可能です。これによりサテライト拠点などのFortiGateを設置しない小規模・臨時拠点での導入を容易にし、また遠隔から一括で管理が可能となります。

前提条件

今回の検証では、以下の項目を前提条件としています。

• SecureW2の管理者アカウントをお持ちであること
• デバイスにSecureW2から発行された有効なクライアント証明書が配布されていること
• FortiGateにFortiAPが登録され、承認済みであること
• FortiGateのファームウェアバージョンがv7.4.5以降であること※

⁠※Blast-RADIUS(CVE-2024-3596)対策のため

以下の環境で検証を行いました。

• アクセスポイント：FortiAP-231G（v7.6.0 build0894）
• 無線コントローラ：FortiGate 40F（v7.6.0 build3401）

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

EAP-TLS認証の流れは次のとおりです。

1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求する
2. アクセスポイントがユーザーにクライアント証明書の提示を要求する
3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示する
4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

※VLAN IDなどのRADIUS属性やベンダー固有属性（VSA）は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

基本的なFortiGateとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

基本的な無線LAN SSIDの設定とSecureW2 RADIUSの設定

まずはSecureW2のクラウドRADIUSをFortiGateの無線コントローラーで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報（IPアドレス、ポート番号、シークレット）を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

1. FortiGate管理コンソールにアクセスします。
2. ユーザー & 認証 タブ > RADIUSサーバ をクリックします。
   
3. [ 新規作成 ] をクリックしてRADIUSサーバを設定します。
   
4. 以下の表のように設定を行います。設定完了後、[ OK ] をクリックします。

   項目名	設定値
   名前	例 : SecureW2_RADIUS
   プライマリサーバ > IP/名前	SecureW2のPrimary IP Address①
   プライマリサーバ > シークレット	SecureW2のShared Secret④
   セカンダリサーバ > IP/名前	SecureW2のSecondary IP Address②
   セカンダリサーバ > シークレット	SecureW2のShared Secret④

   
5. 先ほど作成したRADIUSサーバのポート番号を設定するため、[ 編集 ]をクリックします。
   
6. [ CLIで編集 ] をクリックします。
   
7. 以下のようなコマンドを実行することでRADIUSポート番号を設定します。showコマンドを実行することで正しく設定できたか確認することができます。

   RADIUSポート番号の設定

   config user radius
   edit "RADIUSサーバ名"
   set radius-port SecureW2のAuthentication Port番号③
   end

   
8. 次にWiFi & スイッチコントローラータブ > SSID をクリックします。
   
9. [ 新規作成 ]をクリックし、SSIDを作成します。
   
10. SSIDの設定を行います。その他の設定項目についてはご利用の環境に合わせて設定してください
    
11. SSIDの項目で任意のSSID名を設定します。セキュリティモード設定の項目でWPA3エンタープライズを設定し、先ほど設定したRADIUSサーバを選択します。
    
12. ネットワークの動的制御（Dynamic VLAN）を有効化するため、ダイナミックVLAN割り当てをオンにし、[ OK ] をクリックします。
    
13. 次にFortiAPプロファイルを作成します。WiFi & スイッチコントローラー タブ > FortiAPプロファイルをクリックします。
    
14. [ 新規作成 ]をクリックします。
    
15. 名前、機種の項目は適宜設定してください。ラジオタブ > SSIDs からマニュアルを選択し、先ほど設定したSSIDを設定し、[ OK ]をクリックします。その他の設定項目についてはご利用の環境に合わせて設定してください。
    
16. 次に作成したFortiAPプロファイルをアクセスポイントに対して適用します。WiFi & スイッチコントローラー タブ > マネージドFortiAPをクリックします。
    
17. 登録されたアクセスポイントを選択し、[ 編集]をクリックします。
    
18. 以下のようにアクセスポイントに対してFortiAPプロファイル、SSIDを設定し、[ OK ]をクリックします。その他の設定項目についてはご利用の環境に合わせて設定してください。
    

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLoginやMicrosoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

1. SecureW2 Managemant Portal（管理コンソール）のPolicy Management > Network PoliciesからNetwork Policyを追加します
   
2. ポリシーの名前を入力し、Saveをクリックします。
   
3. Conditionsタブに移動し、Add Ruleをクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。
   
4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。
   IdentityからRoleを選択してSaveをクリックします。画面上部に「'Role' selected」と表示されれば成功です。
   
5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、前もって作成しておいたPentio Roleを値として設定します。
   変数の値を設定できたら、Updateをクリックします。
   
6. Settingsタブに移動し、Add Attributeをクリックします。この画面で使用するRADIUS属性の設定を行います。
   
7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。

   Radius:IETFの属性(Attribute:)	値(Value:)	説明
   Tunnel-Type	13	VLAN（固定値）
   Tunnel-Medium-Type	6	IEEE-802（固定値）
   Tunnel-Private-Group-ID	任意のVLAN-ID（1-4094）	認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID（例：100, 200）

   
   
   
8. 画像のように設定できたら、Updateをクリックして設定を終了します。
   

   今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。

   

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM（モバイルデバイス管理）製品とSecureW2を連携 しておくと、これらも自動化することができます。

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
   
2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、[ OK ]をクリックします。
   
3. 以下のようなウィンドウが表示されたら、[ 続ける ]をクリックします。
   
4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
   
5. 作成した無線LANへ接続できたことを確認できました。
   
6. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。
   今回の例では、VLAN-IDが100の際にDHCPサーバーから172.18.100.2/24 - 172.18.100.254/24の範囲で、200の場合は172.18.200.2/24 - 172.18.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。
   
   
7. WireSharkからもVLAN-IDが正常に割り振られていることが確認できました。 "demo01@example.com"というユーザーがネットワークに参加する場合はVLAN＝100に、 "demo02@example.com"というユーザーがネットワークに参加する場合はVLAN＝200に所属させていることがわかります。
   
8. SecureW2からも、それぞれのVLAN用ネットワークポリシーに基づいて「FortiAP_test_01」への接続が許可されたログを確認することができました。
   画像では省略いたしましたが、実際のSecureW2のRADIUSログからはこれよりも多くの情報を確認することができます。
   

おわりに

本記事では、FortiAPの802.1X 無線認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。

FortiGateおよびFortiAPはRadSecに対応している数少ないネットワーク製品です。RadSecを利用することにより、認証情報のやり取りを暗号化し秘匿することができるので、企業のコンプライアンスポリシーに照らした運用にも柔軟に対応することが可能です。また今回はオンプレミスのFortiGateのコントローラーを使用しましたがFortiAPはクラウドによる管理も選択することが可能です。そのため将来的にFortiAPの管理をクラウド化することを想定している場合SecureW2と組み合わせることで、多拠点展開の際にも国内外問わずどこからでも管理可能で全拠点同水準のセキュリティを確保できます。拠点ごとにRADIUSアプライアンスを設置・管理・維持する必要がないため、コストを最小限に抑えられるという点で新たなメリットが生まれるでしょう。

ぜひFortinet製品とSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「FortiAPの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する」検証レポートを終わります。

参考

本検証で使用した機種のスペックシート

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。