 |
||
|
|
目次
Q & Aこの資料は、シスコシステムズ®の新しいExtensible Authentication Protocol(EAP)であるExtensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)に関するFAQです。
EAP-FASTの概要
Q.1 EAP-FASTとはどのようなものですか?
A.1 EAP-FASTは一般に利用可能なIEEE 802.1xのEAPで、シスコシステムズが新しく開発したものです。EAP-FASTはInternet Engineering Task Force(IETF)のインフォメーショナル ドラフトとして、次のURLから入手できます。
http://www.ietf.org/internet-drafts/draft-cam-winget-eap-fast-00.txt
Q.2 シスコはいつEAP-FASTをIETFに提出したのですか?
A.2 シスコはEAP-FASTのIETFインフォメーショナル ドラフトを2004年2月8日に提出しました。このドラフトは2004年2月10日に掲載されました。IETFの詳細およびこのインフォメーショナル ドラフトを確認するには、次のURLを参照してください。 http://ietf.org/home.html
Q.3 シスコはなぜEAP-FASTを開発したのですか?
A.3 シスコは、強力なパスワード ポリシーは適用できないが、デジタル認証が不要で多様なユーザ/パスワード データベース タイプおよびパスワードの有効期限/変更をサポートし、柔軟性があり、導入および管理が容易な802.1x EAPの使用を希望しているお客様をサポートするためにEAP-FASTを開発しました。たとえば、Cisco LEAPを使用しているお客様で、強力なパスワード ポリシーを適用できず、認証の利用を希望しない場合には、EAP-FASTに移行して辞書攻撃からの保護を実現できます。
Q.4 EAP-FASTでは、ネットワーク攻撃からの保護は可能ですか?
A.4 可能です。EAP-FASTは、man-in-the-middle攻撃、認証偽造、Weak IV攻撃(AirSnort)、パケット偽造(中継攻撃)、および辞書攻撃などのさまざまなネットワーク攻撃から保護できます。
Q.5 どのようなお客様がEAP-FASTを使用するのですか?
A.5 Cisco Wireless Security SuiteやWi-Fi Protected Access(WPA)などの標準ベースの無線LAN(WLAN)セキュリティ(認証用のIEEE 802.1xを含む)を使用しており、強力なパスワード ポリシーを適用できず、デジタル認証が必要な802.1x EAPの使用を希望しないお客様です。
Q.6 EAP-FASTは標準に準拠していますか?
A.6 EAP-FASTはIEEE 802.1xおよびIEEE 802.11iに準拠しています。他のEAPと同様に、WPAネットワークで使用できます。
Q.7 いつからシスコでEAP-FASTが入手可能になりますか?
A.7 2004年の第2四半期からEAP-FASTがシスコで入手可能になる予定です。
EAP-FASTの機能および利点
Q.8 EAP-FASTはどのように動作するのですか?
A.8 EAP-FASTは対称鍵アルゴリズムを使用して、認証プロセスのトンネル化を実現します。トンネルの確立には、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)サーバ(Cisco Secure Access Control Server [ACS] v. 3.2.3など)を介して、EAP-FASTによる動的なプロビジョニングおよび管理が可能なProtected Access Credential(PAC)を使用します。トンネルを相互に認証することで、EAP-FASTは辞書攻撃やman-in-the-middle攻撃による危険からの保護を実現します。
・ フェーズ1:相互に認証されたトンネルを確立します。クライアントおよびAAAサーバはPACを使用して相互に認証し、セキュアなトンネルを確立します。
・ フェーズ2:確立されたトンネルでクライアントの認証を実行します。クライアントは認証用のユーザ名およびパスワードを送信してクライアント許可ポリシーを確立します。
・ フェーズ0(任意):このフェーズはあまり使用されませんが、PACを使用してクライアントを動的にプロビジョニングできるようにします。このフェーズでは、ユーザとネットワークの間にユーザ単位のアクセス証明書がセキュアに生成されます。このユーザ単位の証明書(PAC)は、EAP-FAST認証のフェーズ1で使用されます。
Q.9 EAP-FASTの主な機能および利点は何ですか?
A.9 EAP-FASTの機能および利点は、次のとおりです。
・ 標準ベース:
・ IEEE 802.11iに準拠した802.1xベースのEAP
・ 独自開発方式
・ 柔軟性:
・ ラップトップ、デスクトップ、PDA、電話、およびApplication Specific Device(ASD;特定用途向けデバイス)上で動作可能
・ 容易な導入および管理:
・ 使いやすいGUI(グラフィカル ユーザ インターフェイス)によるWLANユーザの設定
・ Cisco Aironet®クライアントおよびCisco Compatibleクライアントに対するWindowsシングル サインオンのサポート(予定)
・ 既存のMicrosoft Active Directoryドメインでのログイン スクリプトのサポート
・ Microsoft Active Directory、Lightweight Directory Access Protocol(LDAP)、およびOTP(ワンタイム パスワード)などの任意のユーザ データベースの使用が可能
・ 証明書を使用せず、クライアント デバイスでのPublic Key Infrastructure(PKI;公開鍵インフラストラクチャ)のサポートが不要
・ Cisco Aironet Configuration Administration Tool(ACAT)を使用してCisco Aironetクライアント デバイスに対して容易に設定および配布可能
・ Cisco LEAPからのシームレスな移行が可能
・ Cisco Secure ACS 3.2.3、Cisco Aironet、およびCisco Compatibleクライアント デバイスで使用できる「手動プロビジョニング」(クライアント セキュリティ証明書のバッチモード インストレーション)でLDAPをサポート(EAPの新機能)
・ 複数のオペレーティング システムをサポート:
・ Windows 2000、Windows XP、およびWindows CE(Power PC 2002、Power PC 2003、およびCE.Net 4.2)オペレーティング システムをサポート
・ 高度なセキュリティ機能:
・ 認証用の保護トンネルを構築して、辞書攻撃およびman-in-the-middle攻撃を軽減
・ Cisco Wireless Security Suite(802.1xおよびTKIP)を完全サポート
・ Windows XPおよびWindows 2000クライアント オペレーティング システム上でWPA認証による鍵管理をサポート
・ Protected EAP(PEAP)バージョン2の強度およびCisco LEAPの使いやすさを実現
・ Cisco Centralized Key Management(CCKM)および高速セキュア ローミングなどのCisco Structured Wireless-Aware Network(SWAN)ワイヤレス ドメイン サービスをサポート
・ パスワードの有効期限および変更(Microsoftのパスワード変更など)をサポート(EAPの新機能)
EAP-FASTとCisco LEAP、PEAP、EAP-TLSの比較
Q.10 EAP-FASTとCisco LEAP、PEAP、EAP-Transport Layer Security(TLS)の相違点および類似点は何ですか?
A.10 表1を参照してください。
|
EAP-FAST
|
Cisco LEAP
|
PEAP(GTCを使用)
|
PEAP(MS-CHAP v.2を使用)
|
EAP-TLS
|
|
|---|---|---|---|---|---|
|
ユーザ認証用のデータベースおよびサーバ
|
NTドメイン、Active Directory、LDAP(制約あり) |
NTドメイン、Active Directory |
OTP、LDAP、NDS(ネットワーク ドメイン サーバ)、NTドメイン、Active Directory |
NTドメイン、Active Directory |
OTP、LDAP、NDS、NTドメイン、Active Directory |
|
オペレーティング システムのサポート
|
ドライバ: ・ Windows XP ・ Windows 2000 ・ Windows CE サードパーティ製ユーティリティ: ・ その他のOS1 |
ドライバ: ・ Windows 98 ・ Windows 2000 ・ Windows NT ・ Windows Me ・ Windows XP ・ Mac OS ・ Linux ・ Windows CE ・ DOS |
ドライバ: ・ Windows XP ・ Windows 2000 ・ Windows CE サードパーティ製ユーティリティ: ・ その他のOS |
ドライバ: ・ Windows XP ・ Windows 2000 ・ Windows CE サードパーティ製ユーティリティ: ・ その他のOS |
ドライバ: ・ Windows XP ・ Windows 2000 ・ Windows CE サードパーティ製ユーティリティ: ・ その他のOS |
|
使用する証明書
|
Windowsパスワード、LDAPのユーザID/パスワード(PACプロビジョニングには手動プロビジョニングが必要) |
Windowsパスワード2 |
クライアント: ・ Windows ・ NDS ・ LDAP パスワード: ・ OTP ・ トークン サーバ: ・ デジタル認証 |
Windowsパスワード |
デジタル認証 |
|
Windowsログインを使用したシングル サインオン
|
あり |
あり |
なし |
あり |
なし |
|
パスワードの有効期限および変更
|
あり |
なし |
なし |
あり |
該当なし |
|
高速セキュア ローミング対応
|
あり |
あり |
なし |
なし |
なし |
|
WPA対応
|
あり |
あり |
あり |
あり |
あり |
|
1 OS=オペレーティング システム 2 強力なパスワードが必要です。詳しくは Cisco Response to Dictionary Attacks on Cisco LEAPを参照してください。 |
Q.11 EAP-FASTはCisco LEAPの後継プロトコルですか?
A.11 EAP-FASTは、IEEE 802.1x EAPネットワークを使用するお客様に対する新しいオプションです。お客様は強力なパスワード ポリシーとあわせてCisco LEAPを継続して使用できます。Cisco LEAPは、さまざまなオペレーティング システムで使用できる、使いやすい実証済みの認証方式です。強力なパスワード ポリシーを適用できない場合には、EAP-FASTを利用できます。
Q.12 Cisco LEAPからEAP-FASTにどのように移行するのですか?
A.12 EAP-FASTではクライアントまたはサーバの認証が必要ないため、Cisco LEAPからEAP-FASTへの移行はシームレスです。
・ クライアント デバイス - Cisco Aironet 350シリーズおよび5 GHz 54 Mbps(CB20A)クライアント アダプタでCisco LEAPからEAP-FASTにシームレスに移行するには、ACATまたはAironet Client Administration Utility(ACAU)を使用します。この場合、IT管理者はEAP-FAST用に新しいプロファイルを定義し、クライアント コンフィギュレーション、ファームウェア、ドライバ、およびAironet Client Utility(ACU)をバンドルするか、またはCisco Aironetインストレーション ウィザード ファイルを使用します。
・ アクセス ポイント - 各種EAP認証タイプをサポートするCisco Aironetシリーズのアクセス ポイントは、内蔵されたEAP-FASTをネイティブにサポートします。 下記の項目で、適切なアクセス ポイント ソフトウェアのバージョンを確認してください。
・ AAAサーバ - Cisco Secure ACSを使用している場合には、EAP-FASTをサポートするためにバージョン3.2.3にアップグレードする必要があります。
Q.13 移行フェーズ中に、EAP-FASTとCisco LEAPは同じVirtual LAN(VLAN;仮想LAN)およびService Set Identifiers(SSID;サービス セットID)上で共存できますか?
A.13 共存できます。EAP-FASTおよびCisco LEAPを同時にサポートするようにVLANを設定できます。
Q.14 EAP-FASTPEAPの違いは何ですか?
A.14 EAP-FASTではサーバ側での認証を必要としないため、無線および有線ネットワークでの導入、拡張、および管理が容易になります。EAP-FASTとPEAPはどちらもMicrosoftおよびLDAPデータベースの認証に対応しています。PEAPはOTPデータベースにも対応しています。
Q.15 Cisco Aironetは他のEAPタイプを継続してサポートしますか?
A.15 サポートします。Cisco Aironetは今後も各種EAPに対応する予定です。現在、Cisco AironetはEAP-TLS、PEAP、EAP-Tunneled TLS(EAP-TTLS)、EAP-Subscriber Identity Module(EAP-SIM)、Cisco LEAP、およびEAP-FASTをサポートしています。
EAP-FASTの製品サポート
Q.16 EAP-FASTをサポートするのはどのCisco Aironet製品ですか?
A.16
・ アクセス ポイント - Cisco IOSソフトウェア バージョン12.2(11)JA以降が稼働しているCisco Aironet 1200、1100、350シリーズ アクセス ポイント、およびVxWorksファームウェア バージョン12.01T以降が稼働しているCisco Aironet 1200、350、340シリーズ アクセス ポイントは、すでに各種のEAP認証タイプをサポートしているため、EAP-FASTをネイティブにサポートします。これ以降のバージョンを使用する場合、アクセス ポイントのソフトウェアをアップグレードしなくてもEAP-FASTを実行できます。
・ クライアント デバイス - Cisco Aironet 350シリーズおよび5 GHz 54 Mbps(CB20A)クライアント カードは、2004年の第2四半期からEAP-FASTのサポートを開始する予定です。Cisco Compatibleクライアント デバイスおよびCisco Aironetの802.11a/b/g PCIおよびCardBus無線LANクライアント アダプタは2004年の第4四半期からEAP-FASTをサポートする予定です。
・ AAAサーバ - シスコはCisco Secure ACS version 3.2.3を使用して、2004年の第2四半期からEAP-FASTのサポートを開始する予定です。
Q.17 Wi-FiベンダーはEAP-FASTをサポートできますか?
A.17 サポートできます。EAP-FASTはIETFインフォメーショナル ドラフトなので、Wi-Fiベンダーはこのドラフトを使用して自社製品でEAP-FASTをサポートできます。
Q.18 EAP-FASTをサポートするクライアント オペレーティング システムは何ですか?
A.18 シスコはCisco Aironet 350シリーズおよび5 GHz 54 Mbps(CB20A)クライアント カードで、2004年の第2四半期から、Windows 2000、Windows XP、およびWindows CE(Power PC 2002、Power PC 2003、およびCE.Net 4.2)に対するEAP-FASTサポートを開始する予定です。
関連情報
Cisco Aironet製品についての詳細は、
http://www.cisco.com/japanese/warp/public/3/jp/product/hs/wireless/を参照してください
ワイヤレス セキュリティについての詳細は、
http://www.cisco.com/go/aironet/securityを参照してください。