RADIUSサーバーを利用してセキュリティのレベルアップ

Wi-Fi(ワイファイ)環境を利用したネットワークへの接続に関しては、便利であると同時にある程度の危険性を覚悟する必要があります。

そのため、社内では、Wi-Fi環境を利用したネットワークへの接続を完全に禁止している企業もあるようです。

しかし、Wi-Fi環境を利用したネットワークの利用は、常に、有線ケーブルによる配線が必要である有線LAN環境よりも明らかに便利であることは動かしがたい事実です。

 

それならば、厳重なWi-Fi環境の管理として、定期的に行う接続パスワードの変更などの対応や、使用する暗号化形式のセキュリティ度のアップ以外にも、Wi-Fi環境を利用したネットワークへの接続を制限する方法を更に利用すればどうでしょうか?

今回は、その方法として「RADIUS(ラディウス)サーバー」を利用した方法を紹介しています。

この技術自体は、それなりに歴史のある手法ですが、もともと厳重に管理されているWi-Fi環境に、この手法を使ったセキュリティ対策を、重ねて行うことで、万が一、Wi-Fi環境に設定しているSSIDと、パスワードが流出したとしても、簡単には社内のネットワークへ侵入できないような環境を作り上げることが可能となります。

 

RADIUSサーバーとは?

もともとは、電話回線を利用して「モデム」からインターネットへ接続する際に、正当な契約者であるかどうかを認証するために利用されていたものです。

しかし、現在では、企業内に複数設置されている無線LANのアクセスポイントを経由して、ネットワークへ接続することを希望するパソコンなどの通信端末からの接続要求に対応してそれぞれの認証を行うために利用されています。

各端末の利用者は、そのWi-Fi信号に設定されている「SSID」と、「パスワード」の情報を使用して、ネットワークへの接続を行います。

もしも、RADIUSサーバーが設置されていなければ、この段階ですぐに接続することが可能です。

 

RADIUSサーバーが設置されている場合、アクセスポイント側は、RADIUSサーバーの指示によりその認証に必要な情報の入力を求めます。

それは、接続を許されている端末毎に設定されている「ユーザー名」および「認証パスワード」となります。

このユーザー名は、通常、各端末に内蔵されている、無線LANのネットワークアダプタの固有の番号である「MACアドレス」を使用しています。

 

アクセスポイントでは、端末側で入力された内容を、RADIUSサーバーへ送信します。

次に、RADIUSサーバーは、この送信されてきた情報が、登録されている情報と一致する場合には、接続を許可するようにアクセスポイントへ指示を行います。

もしも、登録した情報と一致しない場合には、接続を拒否するように指示を行います。

結局、異なる2種類のIDと、パスワード(Wi-Fi接続用、RADIUSサーバー認証用)によって、合計2回、接続の可否を判断する仕組みとなります。

 

RADIUSサーバーの機能とは?

RADIUSサーバーの設定項目としては、まず、その端末が接続する無線LANのアクセスポイントを特定できる情報です。

そのアクセスポイントの「識別名称」「IPアドレス」「両者の間で行う通信に利用する暗号形式」などの項目を、事前に登録することによって、外部から持ち込んだアクセスポイントを接続しても、ネットワークへの侵入を防ぐことができます。

そして、次に、実際にネットワークへ接続することを許す、通信端末の固有情報を登録します。

 

このようなユーザー名と、パスワードを利用した認証方法よりも更に高度なセキュリティ対策として「IEEE802.1x認証」を利用した方法もあります。

実は、無線LANのアクセスポイントとして利用されている無線ルータなどの製品が、全て、RADIUSサーバーを利用した認証方法に対応している訳ではありません。

業務用の無線ルータなどの多少高価なモデルが必要になります。RADIUSサーバーに付いても、接続可能な端末の数によってその価格が異なります。

少ない台数に対応した製品であれば、比較的低額のものが、提供されているようです。

 

RADIUSサーバーで防御力アップ

Wi-Fi環境へ接続する際に必要となるSSIDと、接続パスワードを厳重に管理している場合には、どのようなレベルで利用するにしても、二重のセキュリティ対策となるRADIUSサーバーの導入は、非常に有効なセキュリティ対策となります。

これ以外にも、アクセスポイントの側で、検索しても、SSIDを表示することができなくなる「SSIDのステルス化」の設定や、特定のMACアドレスの端末以外を接続できなくする「MACアドレス・フィルタリング」などの設定を行うことで、更にレベルアップすることが可能です。

セキュリティ対策のために対応できることは、全て行うことによって、簡単には侵入できないような環境を作り上げることが初めて可能となります。