IEEE 802.1XとRADIUS|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問17
出典:令和4年春期 午前Ⅱ 問17
分野:セキュリティ / セキュリティ実装技術
利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に,IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。
- ア:PCにはIEEE 802.1Xのサプリカントを実装し,かつ,RADIUSクライアントの機能をもたせる。
- イ:アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSクライアントの機能をもたせる。
- ウ:アクセスポイントにはIEEE 802.1Xのサプリカントを実装し,かつ,RADIUSサーバの機能をもたせる。
- エ:サーバにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSサーバの機能をもたせる。
TSUNAGARU-ADVICE
まず押さえたいこと
IEEE 802.1Xでは、PCがサプリカント、アクセスポイントがオーセンティケータ、認証情報を管理するサーバが認証サーバになります。RADIUSを使う場合、アクセスポイントはRADIUSクライアントとして認証サーバに問い合わせる役割を担います。
迷ったときの判断軸
PCは認証を受ける側なのでサプリカントです。アクセスポイントはPCからの接続を制御し、認証サーバへ認証要求を中継するため、IEEE 802.1Xのオーセンティケータであり、RADIUSクライアントでもあります。したがって、AP=オーセンティケータ+RADIUSクライアントと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、無線LAN認証の構成図から、PC・アクセスポイント・認証サーバの役割を読み取る問題が出ることがあります。IEEE 802.1XとRADIUSでは、認証を受ける端末・通信を制御するAP・認証情報を確認するサーバを分けて考えましょう。
IEEE 802.1Xは、LANに接続しようとする端末を認証し、正当な端末だけをネットワークに参加させるための仕組みです。
たとえば、社内LANや無線LANに接続するときに、ID・パスワードや証明書などで利用者や端末を確認します。認証に成功した端末だけが通信でき、認証に失敗した端末はLANを利用できません。
通信の流れとしては、まず端末がネットワークに接続しようとします。次に、スイッチやアクセスポイントが認証サーバへ問い合わせ、認証に成功した場合だけ通信を許可します。
IEEE 802.1Xは、有線LANだけでなく、現在では無線LANの認証にも広く使われています。また、認証結果に応じて接続先のネットワークを分ける「検疫ネットワーク」の中核技術としても利用されます。
つまりIEEE 802.1Xは、「LANに入ってよい端末かどうかを確認してから、通信を許可する仕組み」と考えると分かりやすいです。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:PCにはIEEE 802.1Xのサプリカントを実装し,かつ,RADIUSクライアントの機能をもたせる。
⇒PCはIEEE 802.1Xのサプリカントとして動作しますが、RADIUSサーバへ直接問い合わせるRADIUSクライアントではありません。RADIUSクライアントとして動作するのは、認証情報を中継するアクセスポイントです。
ウ:アクセスポイントにはIEEE 802.1Xのサプリカントを実装し,かつ,RADIUSサーバの機能をもたせる。
⇒アクセスポイントはサプリカントではなく、IEEE 802.1Xのオーセンティケータとして動作します。また、利用者認証情報を管理するサーバがRADIUSサーバとして動作するため、アクセスポイントにRADIUSサーバ機能をもたせる説明は適切ではありません。
エ:サーバにはIEEE 802.1Xのオーセンティケータを実装し,かつ,RADIUSサーバの機能をもたせる。
⇒サーバはRADIUSサーバとして認証情報を確認しますが、IEEE 802.1Xのオーセンティケータではありません。オーセンティケータは、PCの接続可否を制御するアクセスポイントが担います。