FortiAPの802.1X 無線認証にRadSec（SecureW2）を利用する

前提条件

• SecureW2の管理者アカウントをお持ちであること
• デバイスにSecureW2から発行された有効なクライアント証明書が配布されていること
• FortiGateにFortiAPが登録され、承認済みであることライセンスが割り当てされていること
• FortiGateのファームウェアバージョンがv7.6.0以降であること

※FortiAPの無線エンタープライズ認証にRadSecを利用するための詳細な情報は、Fortinetの公式ドキュメントであるSupport RADSEC on WPA2/WPA3-Enterprise SSIDをご覧ください。

RadSecの動作概要

RadSec（RADIUS over TLS）は、トランスポートセキュアレイヤー（TLS）のプロトコルを用いることで、通常のRADIUS認証におけるRADIUSクライアントからRADIUSサーバーへの認証要求を送信・認証応答を受け取る際の通信を暗号化することができる技術です。 以下のようなフローに従って、RadSecクライアントとRadSecサーバーの間にTLSトンネルを確立した上で認証情報をやりとりします。

1. TCP 3-way Handshake（SYN, SYN+ACK, ACK） でコネクションを確立
2. RadSecクライアントがRadSecサーバーに対してClient Helloメッセージを送信
3. RadSecサーバーはClient Helloに対してServer Helloメッセージを送信し、サーバー証明書を提示
4. RadSecクライアントは提示されたサーバー証明書を検証し、有効であればRadSecサーバーに対してクライアント証明書を提示
5. RadSecサーバーは提示されたクライアント証明書を検証する。有効であればTLSトンネルが確立され、暗号化された通信を開始できる。
6. ここ以降は通常のRADIUS認証フローに従って認証を行う。

通常のRADIUS認証を利用する場合でも証明書を利用するためセッションハイジャックや中間者攻撃による影響を受けるリスクは低いですが、RadSecを用いることで以下のようなメリットがあります。

• 暗号化された通信：RADIUSサーバーとクライアント間の通信をSSL/TLSで暗号化するため、証明書に含まれる個人情報などの機密情報が傍受されるリスクが減少します。
• 信頼性の向上：SSL/TLSを利用しているため、サーバーとクライアント間の身元が保障されて通信の信頼性が向上します。
• シンプルな設定：RadSecはTCPを利用しているため、ファイアウォールやNAT（ネットワークアドレス変換）を通過しやすく設定が比較的容易です。
• 堅牢なセキュリティ：RadSecは最新のセキュリティ標準に基づいており、既存のRADIUSプロトコルよりも堅牢なセキュリティを提供します。

作業詳細

以下の図はRadSec認証を行う際のSecureW2（PKI）とその他の機器の関係について示したものです。本記事ではオレンジ色に塗った部分について設定を行います。今回の場合は無線コントローラーがFortiGate、アクセスポイントがFortiAPとなります。

※ユーザー・デバイス証明書の自動配布やSecureW2とMDMとの連携にご興味のある方は、ぜひ「Microsoft Intuneで無線LAN認証用のSCEP証明書を自動配布する」など他の記事もご覧ください。

主な作業内容は、FortiGateとSecureW2でそれぞれ次の通りです。

基本的なFortiGateとSecureW2の無線LAN利用設定に加えて、双方の証明書を信頼させる設定を行うことでSecureW2をクラウドRADIUSサーバーとしてご利用いただく際の通信内容を暗号化することができます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合にはSecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

RadSecを利用してRADIUS認証を行う場合の設定

SecureW2の設定

SecureW2上では、主にRadSec用サーバー証明書のトラストアンカーのダウンロードとRadSec用クライアント証明書の作成を行います。

1. SecureW2の管理コンソールから、RADIUS Management > Configuration をクリックします。
   
2. RadSec用のクライアント証明書を発行するルートCAと中間CAを作成します。Create Default RadSec CAをクリックします。
   
3. Certificate Authoritiesの一覧にテナント専用のRadSec用のルートCAと中間CAが作成されました。後ほどこの中間CAからRadSec用のクライアント証明書を発行します。
   
4. サーバー証明書のトラストアンカー（ルート証明書）をダウンロードします。 この証明書をRadSecクライアントにアップロードすることで、TLSトンネルの確立を行う際に、SecureW2から提示されるサーバー証明書を検証することが可能になります。なお、Host nameとPortの値は後ほど使用するので控えておきます。
   
5. PKI Management > Create Certificate でRadSec用のクライアント証明書を作成します。このクライアント証明書をRadSecクライアントにアップロードすることで、サーバー証明書の検証の後にRadSecクライアントからこの証明書が提示され、RadSecサーバーが検証することでTLSトンネルが確立されます。以下の画像のように証明書の値を設定しCreateをクリックします。
   
6. 証明書のパスワードを入力してSubmitをクリックすると、クライアント証明書が作成され、自動的にダウンロードされます。今回は検証用で"123456"というパスワードを設定しましたが、実際に使用する際はより強度の高いパスワードを設定することをお勧めします。
   

FortiGateの設定

証明書のアップロード
今回はRadSec用のクライアント証明書をCLI経由で、サーバー証明書をGUI経由でFortiGateにインポートします。
※今回の検証ではGUI経由でクライアント証明書をアップロードしようとするとエラーが出てしまったため、CLI経由でアップロードしました。

• クライアント証明書（CLI経由）
  FortiGateではtftpを利用して、tftpサーバーのルートディレクトリに存在するファイルをやり取りすることができます。Macの場合、tftpサーバーのデフォルトのルートディレクトリは/private/tftpbootになります。
  1. 以下のコマンドを実行してMacのtftpサーバーの状態を確認します。起動している場合は画像のように出力されます。
     sudo lsof -i:69
     
  2. サービスが起動していない場合は、以下のコマンドでtftpサーバーを起動します。
     sudo launchctl load -w /System/Library/LaunchDaemons/tftp.plist
  3. p12証明書ファイルをtftpサーバーのルートディレクトリにコピーします。
     sudo cp ＜証明書ファイルのパス＞ /private/tftpboot
     
  4. lsコマンドで正常にコピーできたことを確認します。
     
  5. FortiGateのCLIにログインし、以下のコマンドを実行します。 ”Done”と表示されれば成功です。
     execute vpn certificate local import tftp ＜証明書ファイル名＞ ＜tftpサーバーのip＞ p12 ＜証明書のパスワード＞
     
  6. FortiGateの管理コンソールからも先ほどのクライアント証明書がアップロードできていることが確認できます。
     
• サーバー証明書（GUI経由）
  1. 続いてSecureW2のRadSec用サーバー証明書をアップロードします。作成 / インポート > CA証明書をクリックします。
     
  2. タイプからファイルを選択し、先ほどダウンロードしたSecureW2のRadSec用サーバー証明書をアップロードします。
     
     
  3. OKをクリックしてアップロードします。
     
  4. これでRadSec用のサーバー証明書とクライアント証明書をFortiGateにアップロードすることができました。
     

認証サーバーの設定

SecureW2のRadSecサーバーを認証サーバーに設定します。

1. FortiGateの管理コンソールからユーザー&認証 > RADIUSサーバー > 新規作成をクリックします。
   
2. 以下の表と画像を参考にRADIUSのプライマリサーバーを構成して一度保存します。

   設定項目	設定値
   名前	例）SecureW2_RadSec_Server
   IP / 名前	SecureW2のHost Name（①）
   シークレット	"radsec"と入力

   
3. 作成したRADIUSサーバーを再度開き、CLIで編集をクリックします。
   

   ※この段階ではまだRADIUSサーバーと疎通が取れていな状態です。

4. FortiGateのCLIが起動します。初期状態では先ほど設定したサーバー名とハッシュ化されたシークレットのみが設定されています。
   
5. 以下のコマンドを使用して設定を追加します。set radius-portの値はSecureW2で控えていたport(②)の値です。
   set radius-port 2083
set transport-protocol tls
set ca-cert ＜RadSec用サーバー証明書の名前＞
set client-cert ＜RadSec用クライアント証明書の名前＞
   
6. showコマンドで設定が正しく反映されていることを確認できたら、endコマンドで設定を保存してCLIを閉じます。
   
7. RADIUSサーバーの編集画面に戻ったら、接続をテストをクリックします。接続ステータスが"成功"になることを確認したらOKをクリックして保存します。
   
8. あとはSSIDの設定で、Enterprise認証に使用する認証サーバーとしてこのRadSecサーバーを指定するだけで、RadSecを使用したRADIUS認証を行うことができます。
   

通常のRADIUS認証を利用する場合の設定

通常のRADIUS認証やユーザーベースでネットワークを動的に制御するDynamic VLANの設定方法については別記事の「FortiAPの802.1X 無線認証にクラウドRADIUS（SecureW2）を利用する」をご覧ください。

動作確認

今回は"FortiAP_RadSec"というSSIDの認証にRadSecを使用します。

1. Wi-Fi一覧から"FortiAP_RadSec"を選択します。
   
2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
   
3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
   
4. 作成した無線LANへの接続ができたことが確認できました。
   

SecureW2の管理画面からも、ネットワークポリシー「Pentio Dev Device VLAN 20」に基づいて「FortiAP_RadSec」への接続が許可されたことが確認できました。画像のReply欄で確認できるように、VLAN-ID属性などのRADIUS属性を応答することも可能です。
画像では省略いたしましたが、実際のSecureW2のRADIUSログからはこれよりも多くの情報を確認することができます。

パケットキャプチャでも2083番ポート宛の通信がTLSで暗号化されていることが確認できます。

おわりに

本記事では、FortiAPの無線LAN認証でSecureW2のRADIUSサーバーを利用する際にRadSecを利用することで、TLSによって認証情報を暗号化したうえでセキュアにRADIUS認証を行う方法について検証を行いました。

FortiGateおよびFortiAPはRadSecに対応している数少ないネットワーク製品です。クラウド型RADIUSであるSecureW2ではインターネットを介して認証を行うため、企業によっては高いセキュリティ・プライバシー保護が要求されるケースも少なくありません。そこでRadSecを利用することにより、認証情報のやり取りを暗号化し秘匿することで、企業のコンプライアンスポリシーに照らした運用にも柔軟に対応することが可能です。また、RadSecは最新のセキュリティ標準に基づいたプロトコルであり、今後も安心してご利用いただくことが出来ます。特に本検証で使用したFortiAP 231GはWi-Fi 6Eに対応しています。WPA3 - 192bitへの対応に加えて6GHz帯が利用である点から、併せて導入いただくことで更に高い利便性と安全性をもたらすでしょう。

ぜひFortinet製品とSecureW2の導入を併せて検討してみてはいかがでしょうか。「FortiAPの802.1X 無線認証にRadSec（SecureW2）を利用する」検証レポートを終わります。

参考

本検証で使用した機種のスペックシート