IEEE802.1Xとそのプロトコル達
前回の勉強内容
IEEE802.1Xは、ユーザ認証とアクセス制御を行うプロトコルの規格です。
知らない人が、ネットワークに接続してこないようにユーザ認証とアクセス制御をするプロトコルの規格です。
IEEE802.1Xで認証を行うためには、「サプリカント」「認証装置」「認証サーバ」を使用します。
| 構成要素 | 英語表記 | 立場 | 機器 |
|---|---|---|---|
| サプリカント | Supplicant | 認証クライアント | パソコンなどのクライアントにインストールされるソフトウェア |
| 認証装置 | Authenticator | サプリカントと認証サーバの仲介役 | スイッチや無線LAN |
| 認証サーバ | Authentication Server | 認証を行うサーバ | RADIUSなど |
無線LAN環境に複数台のPC、複数台のアクセスポイント及び利用者認証情報を管理する1台のサーバがある。利用者認証とアクセス制御にIEEE802.1XとRADIUSを利用する場合の特徴はどれか。
- PCにはIEEE802.1Xのサプリカントを実装し、RADIUSクライアントの機能をもたせる。 << 正解
- アクセスポイントにはIEEE802.1Xのオーセンティケータを実装し、RADIUSクライアントの機能をもたせる。
- アクセスポイントにはIEEE802.1Xのサプリカントを実装し、RADIUSサーバの機能をもたせる。
- サーバにはIEEE802.1Xのオーセンティケータを実装し、RADIUSサーバの機能をもたせる。
出典 : 平成25年 春期 情報セキュリティスペシャリスト試験 午前Ⅱ 問7
EAPは、IEEE802.1Xに使えるプロトコルです。
英語では、「PPP Extensible(伸張性の) Authentication(認証) Protocol」です
2点間で仮想の経路を確立してデータを送受信できるようにするPPPという通信プロトコルがあります。
このPPPを拡張したプロトコルがEAPです。
ponsuke-tarou.hatenablog.com
EAPでは、いろんな認証プロトコルを使えます。
EAPに認証機能があるわけではありません。
「有線LANや無線LANのデータリンク層」と「いろんな認証プロトコル」の間を取り持つのがEAPです。
| 名称 | 認証プロトコル | クライアント認証 | サーバ認証 |
|---|---|---|---|
| EAP-MD5 | MD5 | ユーザID/パスワード パスワードはCHAPでハッシュ化する |
なし |
| EAP-TLS | TLS | 証明書 | 証明書 |
| EAP-TTLS | TTLS | ユーザID/パスワード | 証明書 |
| EAP-PEAP | PEAP | ユーザID/パスワード | 証明書 |
IEEE802.1Xで使われるEAP-TLSによって実現される認証はどれか。
- CHAPを用いたチャレンジレスポンスによる利用者認証 << EAP-MD5の説明
- あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証 << EAP-TTLSの説明
- ディジタル証明書による認証サーバとクライアントの相互認証
- 利用者IDとパスワードによる利用者認証
出典 : 平成24年 秋期 情報セキュリティスペシャリスト試験 午前Ⅱ 問2
CHAPはパスワードをハッシュ化するプロトコルです。
英語では「Challenge-Handshake Authentication(認証) Protocol」です。
サーバへパスワードを送信する時にそのまま平文で送ると危ないので、「チャレンジ」と「パスワード」を合わせてハッシュ化します。
「チャレンジ」は、ランダムな短いデータのことです。
