1-1 AAA
AAA とは、Authentication(認証)、Authorization(認可) 、Accounting(アカウンティング)という3種類のセキュリティ機能を一貫して設定するためのアーキテクチャのこと。Ciscoのソリューションでは、 「Cisco Secure ACS(Access Contorl Server)」の導入により、 AAAサービスの提供を一元化することができる。以下に、AAAの定義である認証、許可、アカウンティングについて説 明する。
●Authentication(認証)
Authentication(認証)
は、ネットワークおよびネットワークサービスにアクセスするユーザーの身元を確認
する。例えば、スイッ
チに接続したり、Telnetでルータ・スイッチにログインしたり、リモートアクセスで社内ネットワーク
にログインするときにAuthenticationによって正しいユーザーである
かどうかを確認する。
●Authorization(認可)
Authorization(認可)は、各ユーザーが利用できるオペレーションサービス、およびネットワークサービスをネ ットワーク管理者が制限できる様にするもの。Authorizationによって 、管理者権限をもつユーザーは全てのコマンドを実行で き、一般ユーザは限られたコマンドのみ実行できるなどのように設定 できる。つまり、ルータやスイッチ等のネットワークデ バイスにログインしたユーザーが、実行できるコマンドを制限できる 。
●Accounting(アカウンティング)
Accounting(アカウンティング)は、ログインサービスやネットワークサービスをユーザーが利用する様子を記録 する機能。アカウンティングを利用することにより、 ユーザへの課金を行ったり、ネットワークへの接続を試 みる怪しい動きを追跡したり、悪意のあるアクティビティを追跡した りすることができる。
1-2 ポートベース認証
Catalystスイッチは、
AAA認証とポートセキュリティの組み合わせである
ポートベース認証をサポートできる。この機能は、
IEEE802.1x標準に基づいている。
ポートベース認証が有効になっているとき、
スイッチはユーザーの認証が済むまで一切のトラフィックを
通さない。認証に成功すると、
ユーザーは、普通にポートを使えるようになる。
1-3 IEEE802.1x認証
IEEE802.1xとは、
有線LANや無線LANで使用される認証について規定したプロトコル。
IEEE802.1xによるアクセス制御を実装することにより
EAPOLトラフィックを使用したエンドステーションによる
ポートセキュリティを提供することができる。
EAPOLとは、
IEEE802.1xで規定している端末とゲートウエイ間の通信プロトコル。
IPは使わずに、「EAPOLフレーム」と呼ぶ独自のフレーム・フォーマットを使う。
IEEE802.1Xの構成要素は、
パソコン(サプリカント),スイッチ(オーセンティケータ),RADIUSサーバー
(認証サーバー)
の3つ。
スイッチの視点に立つと、
つながってきたパソコンに対して認証を要求し,ユーザーとRADIUSサーバーの間
に位置して,認証データ(ID/パ
スワードや証明書など)を仲介する役割を果たす。認証データのやりとりは、
EAPというプロトコルが使われ、そのEAPの上でさまざまな認証方式(MD5,PEAP,
TLSなど)が動作するように
なっている。
スイッチは、パソコン(サプリカント)から発せられたEAPOLトラ
フィックを802.1xによるアクセス制御ポートで受信することにより、
EAPが実装されたRADIUSサーバーに認証を依頼する。RADIUSサーバー
による認証が成功すると、パソコン(サプリカント)のアクセス許可をスイッチに通知する。
これ以後、
EAPが実装されたRADIUSサーバーに認証を依頼する。RADIUSサーバー
による認証が成功すると、パソコン(サプリカント)のアクセス許可をスイッチに通知する。(認証がなさ
れる前はEAPOL以外のトラフィックは破棄される)。
1-4 IEEE802.1xの設定
ポートベース認証は、
外部にある1台以上のRADIUSサーバによって処理できる。設定の順序
は、
最初にRADIUS認証の方式、続いて802.1xの設定を行う。
【設定手順】
@スイッチに対してAAAを有効にする。デフォルトではAAAが無効になっている。
ポートベース認証のためのAAAを有効にするには、以下の設定コマンドを使用する。
(config)#aaa new-model
new-modelキーワードは、メソッドリストの使用を意味し、これにより認証の方式(メソッド)およびソー
スのグループ化や整理が可能になる。
A外部のRADIUSサーバーを定義する。まず、それぞれのサーバーを共有される秘
密のパスワードとともに定義する。このパスワード文字列は、該当するスイッチおよびサーバーだけに
知らされ、認証セッションを暗号化するための鍵となる。これは、以下の設定コマンドを使用する。
(config)#radius-server host{hostname|IPアドレス}{key string}
B802.1xの認証メソッドを定義する。以下のコマンドを実行すると、スイッチに
対して定義されている全てのRADIUS認証サーバが802.1x認証に使われる。
(config)#aaa authenication dot1x default group
radius
Cスイッチに対して802.1xを有効にする。
(config)#dot1x system-auth-control
D802.1xを使用する各スイッチポートを設定する。
(config)#interface【インターフェイスのタイプ】【インターフェイス番号】
(config-if)#dot1x port-control【force-authorized/force- unauthorized/auto】
ここで、802.1xの状態は、以下のいずれかになる。
【force-authorized】・・・ポートは、接続された任意のクライアントを常に許可する。一切の認証を必要としない。 802.1xが有効になっているときは、 全てのスイッチポートでこの状態がデフォルト になる。
【force-unauthorized】・・・ポートは、接続されたどのクライアントも認可しない。ポートはauthorized状態に移行して接続されたクライアントにトラフィック を通すことができない。
【auto】・・・ポートは802.1x交換を使用し、うまくいけばunauthorized状態からauthorized状態に移行する。この場合は、802.1xに対応したアプリケーションがクライアントPC上
になければならない。
Eスイッチポートに対して複数のホストを許可する
。
ポートベース認証は、あるスイッチポートに接続された
1台のホストPCへのアクセス制御するもの。しかし、802.1xは、複数のホストがイ
ーサネットハブまたは別のアクセス層スイッチを介して1つのスイッチポートに接続されるケースもサ
ポートしている。スイッチポートに対して複数のホストの接続が想定され
る場合は、以下のインターフェイス設定コマンドを使用する。
(config-if)#dot1x host-mode multi-host
※