1-1 AAA

AAA とは、Authentication（認証）、Authorization（認可） 、Accounting（アカウンティング）という3種類のセキュリティ機能を一貫して設定するためのアーキテクチャのこと。Ciscoのソリューションでは、 「Cisco Secure ACS(Access Contorl Server)」の導入により、 AAAサービスの提供を一元化することができる。以下に、AAAの定義である認証、許可、アカウンティングについて説 明する。

●Authentication（認証）

Authentication（認証） は、ネットワークおよびネットワークサービスにアクセスするユーザーの身元を確認 する。例えば、スイッ チに接続したり、Telnetでルータ・スイッチにログインしたり、リモートアクセスで社内ネットワーク にログインするときにAuthenticationによって正しいユーザーである かどうかを確認する。

●Authorization（認可） 

Authorization（認可）は、各ユーザーが利用できるオペレーションサービス、およびネットワークサービスをネ ットワーク管理者が制限できる様にするもの。Authorizationによって 、管理者権限をもつユーザーは全てのコマンドを実行で き、一般ユーザは限られたコマンドのみ実行できるなどのように設定 できる。つまり、ルータやスイッチ等のネットワークデ バイスにログインしたユーザーが、実行できるコマンドを制限できる 。

●Accounting（アカウンティング）  

Accounting（アカウンティング）は、ログインサービスやネットワークサービスをユーザーが利用する様子を記録 する機能。アカウンティングを利用することにより、 ユーザへの課金を行ったり、ネットワークへの接続を試 みる怪しい動きを追跡したり、悪意のあるアクティビティを追跡した りすることができる。

1-2　ポートベース認証

Catalystスイッチは、 AAA認証とポートセキュリティの組み合わせである ポートベース認証をサポートできる。この機能は、 IEEE802.1x標準に基づいている。

ポートベース認証が有効になっているとき、 スイッチはユーザーの認証が済むまで一切のトラフィックを 通さない。認証に成功すると、 ユーザーは、普通にポートを使えるようになる。

1-3　IEEE802.1x認証

IEEE802.1xとは、 有線LANや無線LANで使用される認証について規定したプロトコル。 IEEE802.1xによるアクセス制御を実装することにより EAPOLトラフィックを使用したエンドステーションによる ポートセキュリティを提供することができる。

EAPOLとは、 IEEE802.1xで規定している端末とゲートウエイ間の通信プロトコル。 IPは使わずに、「EAPOLフレーム」と呼ぶ独自のフレーム・フォーマットを使う。

IEEE802.1Xの構成要素は、 パソコン（サプリカント），スイッチ（オーセンティケータ），RADIUSサーバー （認証サーバー） の３つ。

スイッチの視点に立つと、 つながってきたパソコンに対して認証を要求し，ユーザーとRADIUSサーバーの間 に位置して，認証データ（ID/パ スワードや証明書など）を仲介する役割を果たす。認証データのやりとりは、 EAPというプロトコルが使われ、そのEAPの上でさまざまな認証方式（MD5，PEAP， TLSなど）が動作するように なっている。

スイッチは、パソコン（サプリカント）から発せられたEAPOLトラ フィックを802.1xによるアクセス制御ポートで受信することにより、 EAPが実装されたRADIUSサーバーに認証を依頼する。RADIUSサーバー による認証が成功すると、パソコン（サプリカント）のアクセス許可をスイッチに通知する。

これ以後、 EAPが実装されたRADIUSサーバーに認証を依頼する。RADIUSサーバー による認証が成功すると、パソコン（サプリカント）のアクセス許可をスイッチに通知する。（認証がなさ れる前はEAPOL以外のトラフィックは破棄される）。

1-4 IEEE802.1xの設定

ポートベース認証は、 外部にある1台以上のRADIUSサーバによって処理できる。設定の順序 は、 最初にRADIUS認証の方式、続いて802.1xの設定を行う。



【設定手順】

�@スイッチに対してAAAを有効にする。デフォルトではAAAが無効になっている。 ポートベース認証のためのAAAを有効にするには、以下の設定コマンドを使用する。

（config)#aaa new-model

new-modelキーワードは、メソッドリストの使用を意味し、これにより認証の方式（メソッド）およびソー スのグループ化や整理が可能になる。

�A外部のRADIUSサーバーを定義する。まず、それぞれのサーバーを共有される秘 密のパスワードとともに定義する。このパスワード文字列は、該当するスイッチおよびサーバーだけに 知らされ、認証セッションを暗号化するための鍵となる。これは、以下の設定コマンドを使用する。

(config)#radius-server host{hostname|IPアドレス}{key string}

�B802.1xの認証メソッドを定義する。以下のコマンドを実行すると、スイッチに 対して定義されている全てのRADIUS認証サーバが802.1x認証に使われる。

（config）#aaa authenication dot1x default group radius

�Cスイッチに対して802.1xを有効にする。

（config）#dot1x system-auth-control

�D802.1xを使用する各スイッチポートを設定する。

（config）#interface【インターフェイスのタイプ】【インターフェイス番号】

（config-if）#dot1x port-control【force-authorized/force- unauthorized/auto】

ここで、802.1xの状態は、以下のいずれかになる。

【force-authorized】・・・ポートは、接続された任意のクライアントを常に許可する。一切の認証を必要としない。 802.1xが有効になっているときは、 全てのスイッチポートでこの状態がデフォルト になる。

【force-unauthorized】・・・ポートは、接続されたどのクライアントも認可しない。ポートはauthorized状態に移行して接続されたクライアントにトラフィック を通すことができない。

【auto】・・・ポートは802.1x交換を使用し、うまくいけばunauthorized状態からauthorized状態に移行する。この場合は、802.1xに対応したアプリケーションがクライアントPC上 になければならない。

�Eスイッチポートに対して複数のホストを許可する 。

ポートベース認証は、あるスイッチポートに接続された 1台のホストPCへのアクセス制御するもの。しかし、802.1xは、複数のホストがイ ーサネットハブまたは別のアクセス層スイッチを介して1つのスイッチポートに接続されるケースもサ ポートしている。スイッチポートに対して複数のホストの接続が想定され る場合は、以下のインターフェイス設定コマンドを使用する。

（config-if）#dot1x host-mode multi-host

※show dot1q allコマンドにより、ポートベース認証を用いる ように設定された各スイッチポートで、802.1xの動作を検証できる。