WPA2-Personal(パーソナル=個人利用レベル)と呼ばれる、SSID名と固定のパスワードを用いた脆弱な無線LAN接続方式を禁止し、WPA2-Enterprise(エンタープライズ=企業利用レベル)と呼ばれる、RADIUSサーバおよびCAサーバを用いたネットワーク認証による無線LAN接続方式を検討するための資料となります。
認証方式としてはEAP-TLSとEAP-PEAPが企業内セキュリティでは実用レベルとなります。
認証に必要な要素 | EAP-TLS | EAP-PEAP |
---|---|---|
サーバ証明書 | 必要 | 必要 |
クライアント証明書 | 必要 | 不要 |
ユーザーID(とパスワード) | 必要(クライアント証明書に保存) | 必要(サプリカントに保存) |
最もセキュリティが強固となるEAP-TLS認証方式の利用が推奨され、その際の大まかなやりとりは以下の通りです。
EAP-TLSによる企業内ネットワーク認証を実現する際、CA(認証局)の機能を兼ね備えるRADIUSアプライアンスサーバの採用を推奨しております。
型番 | 登録可能RADIUSクライアント数 | 登録可能ユーザ数 |
---|---|---|
RA-830 | 500 | 2,500 |
RA-1300 | 1,000 | 100,000 |
RADIUSクライアントは、ここでは無線LAN親機、もしくは無線LAN親機を束ねる無線LANコントローラを指します。
UniFi無線LANアクセスポイントをRADIUSクライアントとした場合、UniFiネットワークコントローラ上には、RADIUSサーバで認証されたユーザーID(802.1X ID)が無線クライアントMACアドレスと共に表示され、接続状況の把握と同時に認証認可の取消し等の集中管理もできるようになります。