Juniper MistとSecureW2でRadSecを利用した無線認証を行う

Juniper Mistのご紹介

今回はNTTデータ ルウィーブ株式会社様からJuniper MistのアクセスポイントであるAP41をお借りして動作検証を行いました。機器のスペックやその他製品の詳細情報はJuniper Networks公式サイトより 無線アクセスポイントの製品ページ をご覧ください。

Juniper Mistはクラウド上で管理できるアクセスポイントです。クラウドでパケットキャプチャができたり、ゼロタッチプロビジョニングに対応しているなど管理者の負担を軽減できることが魅力ですが、その中でも特筆すべきは、現状対応している無線機器が少ない"RadSec"というプロトコルに対応している点です。RadSecではネットワーク認証に必要な通信の内容を暗号化することができるため、クラウドRADIUSであるSeucreW2を利用する際にもより安心して運用することができます。

前提条件

今回の検証では、以下の項目を前提条件としています。

• SecureW2の管理者アカウントをお持ちであること
• Mist Cloudの管理者アカウントをお持ちであること
• Mist Cloudにアクセスポイントが登録済みであり、ライセンスが割り当てされていること
• クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
• SecureW2にネットワークポリシーが適切に作成されていること

RadSec（RADIUS over TLS）は、トランスポートセキュアレイヤー（TLS）のプロトコルを用いることでRADIUSクライアントからRADIUSサーバーへの認証要求を送信・認証応答を受け取る際の通信を暗号化することができる技術です。 以下のようなフローに従って、RADIUSクライアントとRADIUSサーバーの間にTLSトンネルを確立した上で認証情報をやりとりします。

EAP-TLS認証の流れは次のとおりです。

1. TCP 3-way Handshake（SYN, SYN+ACK, ACK） でコネクションを確立
2. RADIUSクライアントがRADIUSサーバーに対してClient Helloメッセージを送信
3. RADIUSサーバーはClient Helloに対してServer Helloメッセージを送信し、サーバー証明書を提示
4. RADIUSクライアントは提示されたサーバー証明書を検証し、有効であればRADIUSサーバーに対してクライアント証明書を提示
5. RADIUSサーバーは提示されたクライアント証明書を検証する。有効であればTLSトンネルが確立され、暗号化された通信を開始できる。

ここ以降は通常のRADIUS認証フローに従って認証を行います。

RadSecのメリット

通常のRADIUS認証を利用する場合でも証明書を利用するためセッションハイジャックや中間者攻撃による影響を受けるリスクは低いですが、RadSecを用いることで以下のようなメリットがあります。

• 暗号化された通信：RADIUSサーバーとクライアント間の通信をSSL/TLSで暗号化するため、証明書に含まれる個人情報などの機密情報が傍受されるリスクが減少します。
• 信頼性の向上：SSL/TLSを利用しているため、サーバーとクライアント間の身元が保障されて通信の信頼性が向上します。
• シンプルな設定：RadSecはTCPを利用しているため、ファイアウォールやNAT（ネットワークアドレス変換）を通過しやすく設定が比較的容易です。
• 堅牢なセキュリティ：RadSecは最新のセキュリティ標準に基づいており、既存のRADIUSプロトコルよりも堅牢なセキュリティを提供します。

作業詳細

主な作業内容は、Juniper MistとSecureW2でそれぞれ次の通りです。

基本的なJuniper MistとSecureW2の無線LAN利用設定に加えて、双方の証明書を信頼させる設定を行うことでSecureW2をクラウドRADIUSサーバーとしてご利用いただく際の通信内容を暗号化することができます。この記事では割愛しますが、お客様によって認証に加えて認可でもRADIUSを利用されたい場合にはSecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

RadSecを利用してRADIUS認証を行う場合の設定

SecureW2の設定

まずはSecureW2上で、RadSec用のサーバー証明書とクライアント証明書を作成していきます。

1. SecureW2の管理コンソールから、RADIUS Management > Configuration をクリックします。
   
2. RadSec用のサーバー証明書を作成します。RadSec用のサーバー証明書を作成したことがない場合は、RadSec ConfigurationのCreate Default RadSec CAをクリックしてRadSec用のサーバー証明書を作成します。
   
3. 作成できたら、RadSec用のサーバー証明書をダウンロードします。なお、Host nameとPortの値は後ほど使用するので控えておいてください。
   
4. PKI Management > Create Certificateでクライアント証明書を作成します。以下の画像を参考に設定値を入力し、完了したらCreateでクライアント証明書を作成します。
   ※ Certificate Authorityは作成されたRadSec Intermediate CAを選択し、p12ファイル形式でダウンロードしてください。
   

Juniper Mistの設定

次に、SSIDを作成してSecureW2のクラウドRADIUSをJuniper Mistの無線LANで参照するように設定します。

1. Mist Cloudの管理画面にログインし、Site > WLANsをクリックします。
   
2. WLANの設定画面に移動したら、右上のAdd WLANをクリックします。
   
3. SSIDの設定を行います。SSIDの項目で任意のSSID名（例：Pentio_test_Radsec）を設定し、WLAN statusの項目でEnableを選択します。
   
4. Securityの項目の設定を行います。Security typeからWPA2を選択後、Enterprise(802.1X)をクリックします。
   
5. 画面中部のAuthentication Seversの項目の設定を行います。項目上部のプルダウンからRadSecを選択し、Server NameにSecureW2のHost Nameの値を設定します。設定ができたら、RADIUS Authentication ServersのAdd Serverをクリックします。
   
6. 認証サーバーを設定します。先ほどSecureW2の設定で控えておいたSecureW2のRadSec Configurationの値を確認し、以下の画像のように設定してください。設定が完了したら右上のチェックマークをクリックします。
   
7. 設定が完了したら、画面上部右上の Create をクリックしてSSIDの設定は完了です。
   

証明書の登録

RadSecを利用するためには、証明書を利用してお互いを検証しあう必要があります。そのため、最後にお互いの証明書を信頼させる設定を行います。

1. Mist Cloudの管理画面から、Organization > Settingsをクリックします。
   
2. Settingsの画面に移動したら、ページ中部のMist Certificateの項目のView Certificate をクリックします。
   
3. Mistのサーバー証明書の内容が表示されます。右下のCopyを押して証明書の内容をコピーします。
   
4. テキストエディタなどにMistのサーバー証明書の内容をコピー＆ペーストして、「任意のファイル名.pem」(pem形式)で保存します。
   
5. SecureW2の管理コンソールを開いて、PKI > Certificate Authoritiesをクリックします。
   
6. Import Certificate Authorityをクリックして、外部の証明書をSecureW2にアップロードします。
   
7. 証明書のアップロードの画面に移動したら、以下の表を参考に画像のようにして設定します。設定が完了したら、Importをクリックします。

   項目名	設定値
   Type	Certificate（選択）
   Import CA for	RadSec Client Authentication（選択）
   Certificate	先ほど保存したMistのpem形式のサーバー証明書をアップロード

   
8. 以下のように証明書が追加されていれば、SecureW2がMistの証明書を信頼できたことになります。
   
9. Mist CloudのSettingsの画面に戻ります。ページ中部にあるRadSec CertificatesのAdd a RadSec certificateをクリックします。
   
10. 証明書の内容を入力できるテキストフォームが表示されます。先ほどSecureW2からダウンロードしたRadSec用のサーバー証明書をテキストエディタなどで開いて、内容をコピー&ペーストします。完了したらAddをクリックします。
    
11. 次は、AP RadSec CertificateのAdd AP RadSec certificateをクリックします。
    
12. 秘密鍵と証明書の内容を入力できるテキストフォームが表示されるので、先ほどSecureW2で発行したRadSec用クライアント証明書を秘密鍵と証明書に分離して、それぞれのフォームに貼り付けます。完了したら Save をクリックします。
    

分離の方法

PKCS#12ファイルが配置されているディレクトリで以下のコマンドを実行します。

• 秘密鍵を取り出す：openssl pkcs12 -in "PKCS#12ファイル名" -nocerts -nodes -out "秘密鍵ファイル名"
• 証明書を取り出す：openssl pkcs12 -in "PKCS#12ファイル名" -clcerts -nokeys -out "証明書ファイル名"

※どちらのコマンドも、証明書を発行した際に設定したパスワードが必要になります

成功するとカレントディレクトリに新しく証明書ファイルが生成されます。



参考：https://knowledge.digicert.com/ja/jp/solution/SO28762

13. 全ての設定が完了したら、画面上部右上の Save をクリックして設定は完了です。
    

通常のRADIUS認証を利用する場合の設定

通常のRADIUS認証やユーザーベースでネットワークを動的に制御するDynamic VLANの設定方法については別記事の「Juniper Mistの無線認証にSecureW2のクラウドRADIUSを利用する」をご覧ください。

動作確認

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
   
2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
   
3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
   
4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
   
5. 作成した無線LANへの接続ができたことが確認できました。
   

SecureW2の管理画面からも、ネットワークポリシー「Pentio Dev Device」に基づいて「Pentio_test_Radsec」への接続が許可されたことが確認できました。

パケットキャプチャでもSecureW2のRadSecサーバーの2083番ポート宛の通信が暗号化されていることが確認できます。

おわりに

本記事では、Juniper Mistの無線LAN認証にSecureW2のRADIUSサーバーを利用する際にRadSecを利用することで、TLSによって認証情報を暗号化したうえでセキュアにRADIUS認証を行う方法について検証を行いました。

Juniper MistはRadSecに対応している数少ない無線アクセスポイント製品です。クラウド型RADIUSであるSecureW2ではインターネットを介して認証を行うため、企業によっては高いセキュリティを確保することが要求されるケースも少なくありません。そこでRadSecを利用することにより、企業のセキュリティ基準と照らし合わせて柔軟に運用することが可能になります。

SecureW2を利用することで、統合認証基盤の導入が可能になることや機器の管理・維持コストを最小限に抑えることができることなどのメリットを得ることができます。そこで併せてJuniper MistでRadSecを利用することで、証明書に含まれるメールアドレスなどの個人情報が傍受されて標的型攻撃の踏み台となるなどのリスクを低減できます。ぜひJuniper MistとSecureW2でRadSecの利用を検討してみてはいかがでしょうか。以上で「Juniper MistとSecureW2でRadSecを利用した無線認証を行う」検証レポートを終わります。

参考

本検証で使用した機種のスペックシート