PR

図1 A社では未認証の端末でも社内LANにログインできるトラブルが発生
IEEE802.1x対応LANスイッチの接続ポートが不足したため,簡易なLANスイッチをカスケード接続してポート数を増やした。ところが,簡易なLANスイッチに接続する端末のうち1台が認証を受けてしまえば,同じ簡易なLANスイッチにつながる他の端末が,認証を受けることなく社内LANにアクセスできることが分かった。A社は,簡易なLANスイッチをカスケード接続したポートのホスト・モードを変更して対処した。

PKIで以前と同じ使い勝手を維持

 検討の結果,A社はIEEE802.1xが規定するユーザー認証を導入することにした。IEEE802.1xは,認証手順としてEAPに対応する。EAPには,ユーザーIDとパスワードを使う「EAP-MD5」,ディジタル証明書で認証するPKIを使う「EAP-TLS」など複数の方式がある。以前は端末のMACアドレスだけで認証していたこともあって,ユーザーIDとパスワードを使う方式では使い勝手が悪くなる。そこで,A社はPKIを使うEAP-TLS方式の採用を決めた。

 現在A社が使っているLANスイッチは,既にIEEE802.1xに対応していた。しかし,端末の台数に対してLANスイッチのポート数が不足していた。そこでA社はIEEE802.1x対応LANスイッチの1ポートを複数の端末で共有できるように,一部の部署でIEEE802.1xに対応しない簡易なLANスイッチをカスケード接続した。

 ディジタル証明書を導入すれば,認証が許可されない端末は社内LANにアクセスできない。ユーザーが自宅から持ち込んだパソコンにはディジタル証明書を導入していないため,社内LANにはアクセスできない。ところがA社では,こうしたパソコンでも社内LANにアクセスできてしまった。セキュリティ対策を強固にする狙いからIEEE802.1xを採用したにもかかわらず,結果的に逆効果となってしまった。

アクセス制御は2方式から選択

 調査の結果,IEEE802.1x対応のLANスイッチのうち,カスケード接続したポートの設定に原因があった。IEEE802.1xでは,LANスイッチの各ポートごとに接続可能な端末台数を制限する「ホスト・モード」を設定する。ホスト・モードは,端末1台で占有する「single-host」と,複数の端末で共有する「multiple-host」の二つの方式がある(図1[拡大表示])。multiple-hostの場合,初めにつないだ端末が認証を受ければ,後から接続した端末は認証処理を受けることなく,無条件に社内LANにアクセスできる。A社は簡易なLANスイッチをつないだポートに,このmultiple-hostを設定していた。

 そこで,すべてのポートをsingle-hostに設定。しかし,single-hostではポート数の不足を解決できない。カスケード接続した簡易なLANスイッチにつないだ端末のうち,1台しか社内LANにアクセスできなくなるからだ。

 結局,IEEE802.1x対応のLANスイッチを新たに購入し,簡易なLANスイッチに代えてカスケード接続した。こうすることで,すべての端末を必ず認証処理できる。