IEEE 802.1X

IEEE 802.1Xとは、LAN接続時に使用する認証規格︵認証VLAN︶である。接続を認めた端末機器以外がコンピュータネットワークに参加しないように認証によって接続を規制する。有線と無線の接続に使用できる検疫ネットワークのデータリンク層の技術である。 IEEE 802.1Xを使った認証システムは、以下のものから構成される。 ●サプリカント︵Supplicant︶ - 認証クライアント・ソフトウェア。接続しようとするパソコン上で必要である。 ●オーセンティケータ - 802.1Xに対応したLANスイッチ。 ●認証サーバ - 認証を判断するサーバ。RADIUSまたはDIAMETER認証サーバなど。本項目ではレイヤ2スイッチやインテリジェント・ハブ、LANスイッチと呼ばれているネットワーク機器を﹁LANスイッチ﹂と呼ぶ。また、802.1Xに対応したLANスイッチを﹁認証LANスイッチ﹂と、サプリカント・ソフトウェアを備えたクライアントPCを﹁サプリカントPC﹂と呼ぶ。 IEEE 802.1XはEthernetの認証であるのに対して、RADIUSはIP以上での認証であり、これらは混同されやすいが取り扱うレイヤが異なる。

動作

IEEE 802.1Xを使った認証動作は以下の3段階からなる。

接続
EAP（Extended authentication protocol）による認証
認証完了

IEEE 802.1Xの認証手順

接続

有線LAN 有線接続のLANでは、802.1Xに対応したLANスイッチに端末であるパソコンが接続された時点で認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。無線LAN 無線LANではアソシエーション後に認証動作を行い、その端末にLANへの接続を許可するかどうかを決める。

EAPデータは最初にサプリカントとオーセンティケータの間でEAPOLフレームにカプセル化される︵1︶。次に、オーセンティケータと認証サーバとの間で再カプセル化される︵2︶。

EAPによる認証

EAPメッセージを認証LANスイッチを経由して認証サーバと何度かやりとりを交わすことで、認証を受ける。サプリカントのMACフレームは認証LANスイッチによってRADIUSフレームに変換されて認証サーバへ送られ、逆に認証サーバから返信されるRADIUSフレームは認証LANスイッチによってMACフレームへ変換されてサプリカントへ送られる。認証LANスイッチはサプリカントPCからの通信は認証サーバへのもの以外は受け付けない。

認証完了

認証が完了して、初めてサプリカントはネットワークに自由に接続できるようになる。認証の種類によっては認証完了時に認証サーバから認証LANスイッチに暗号鍵の材料や所属LANの情報などが通知され、認証LANスイッチからサプリカントに暗号鍵が通知されることがある。

EAP

802.1Xに使用できるEAPはいくつかあるが、サプリカントと認証サーバの両方が対応している必要がある。 EAP-MD5 EAP-MD5︵EAP-Message digest algorithm 5︶はIDとパスワードで認証する方式。パスワードはチャレンジ＆レスポンス方式で暗号化されて送信される。無線LANでは安全ではない。 EAP-TLS EAP-TLS︵EAP-Transport layer security︶はデジタル電子証明書を使って認証する方式。IDやパスワードは使用されない。スマートカードやUSBキー︵ドングル︶と組み合わせて使用されることが多い。無線LANでもほぼ安全。 PEAP PEAP︵Protected EAP︶は米マイクロソフト社が開発したEAP規格でIDとパスワードで認証する方式。SSL︵Secure Sockets Layer︶と同じ暗号化技術によって認証通信全体が暗号化されている。暗号化のために認証サーバにデジタル電子証明書が必要。無線LANでもほぼ安全。 LEAP LEAP︵Lightweight EAP︶は米シスコシステムズ社が開発したEAP製品。 EAP-TTLS EAP-TTLS︵EAP-Tunneled transport layer security︶は米ファンク・ソフトウェア社︵Funk Software︶が開発したEAP製品。

「Extensible Authentication Protocol」も参照

接続環境

中継機器

サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。通常のLANスイッチサプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。リピータ・ハブサプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証はポート単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。ここまでがIEEE 802.1Xで規定された動作であるが、これではセキュリティが確保できないため、実際の認証LANスイッチ製品の多くでは、MACアドレス・フィルタ機能と連動させて、たとえリピーター・ハブを使われても認証されたPCをMACアドレスで認識して、他のPCをネットワークに接続することはない。

プリンタ・IP電話

多くのネットワーク・プリンタと少し旧型のIP電話はIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続できなくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることができるが、LANスイッチのポートが固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティホールとなり推奨できない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。

OS

Windows 2000 SP4以降、EAP-TLSとPEAPに対応しており、Windows XP 以降、EAP-MD5、EAP-TLS、PEAPにも対応している。 macOSはサプリカント機能を標準で内蔵している。

標準化

本規格は2001年に初版が発行された。それ以降も追加拡張を経て改版されており、2023年現在、以下の版がある。

IEEE 802.1X-2001^[1]: "Port-Based Network Access Control" として初版リリース
IEEE 802.1X-2004^[2]: (タスクグループP802.1aaの反映)
IEEE 802.1X-2010^[3]: MACsec対応 (タスクグループP802.1afの反映)
- 802.1Xbx-2014: MACsec拡張
- 802.1Xck-2018: YANG対応
IEEE 802.1X-2020^[4]: (上記Xbx, Xckの反映)

出典

「IEEE 802.1Xの全貌」日経NETWORK 2004年12月号 p.82〜p.95

(一)^ IEEE 802.1X-2001 2023年11月19日閲覧。 (二)^ IEEE 802.1X-2004 2023年11月19日閲覧。 (三)^ IEEE 802.1X-2010 2023年11月19日閲覧。 (四)^ IEEE 802.1X-2020 2023年11月19日閲覧。