エンタープライズ ネットワーク

Cisco EAP-FAST(Extensible Authentication Protocol- Flexible Authentication via Secure Tunneling)

Q&A





Cisco EAP-FAST(Extensible Authentication Protocol- Flexible Authentication via Secure Tunneling)



このドキュメントでは、シスコが提供する EAP の一種である Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling(EAP-FAST)に関する質問に答えます。

概要


機能と利点


EAP のタイプの比較


導入


WLAN のセキュリティに関するドキュメント


概要

Q: EAP-FAST とは何ですか。
A: Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST)は、シスコシステムズが開発した、一般に利用可能な IEEE 802.1X の EAP の一種です。EAP-FAST は IETF のインフォメーショナル ドラフトとして入手できます。
Return to Top

Q: シスコはいつ EAP-FAST を IETF に提出したのですか。
A: シスコは EAP-FAST の IETF インフォメーショナル ドラフトを 2004 年 2 月 8 日に提出しました。このドラフトは 2004 年 2 月 10 日に掲載されました。IETF およびこのドラフトの詳細については、http://ietf.org/home.html を参照してください。
Return to Top

Q: シスコはなぜ EAP-FAST を開発したのですか。
A: シスコが EAP-FAST を開発した理由は、強力なパスワード ポリシーは適用できないものの、デジタル証明書が不要で、多様なユーザ/パスワード データベース タイプおよびパスワードの有効期限/変更をサポートし、柔軟性があり、導入および管理が容易な 802.1x EAP の使用を希望しているお客様をサポートするためです。たとえば、Cisco LEAP を使用しているお客様で、強力なパスワード ポリシーを適用できず、証明書の利用を希望しない場合には、EAP-FAST に移行して辞書攻撃からの保護を実現できます。
Return to Top

Q: EAP-FAST では、ネットワーク攻撃からの保護は可能ですか。
A: はい。EAP-FAST は、man-in-the-middle 攻撃、認証偽造、Weak IV 攻撃(AirSnort)、パケット偽造(中継攻撃)、辞書攻撃などのさまざまなネットワーク攻撃から保護できます。
Return to Top

Q: どのようなお客様が EAP-FAST を使用するのですか。

A: Wi-Fi Protected Access(WPA または WPA2)などの標準ベースのワイヤレス LAN(WLAN)セキュリティ(認証用の IEEE 802.1X を含む)を使用しており、強力なパスワード ポリシーを適用できず、デジタル証明書が必要な 802.1X EAP の使用を希望しないお客様です。

Return to Top

Q: EAP-FAST は標準に準拠していますか。
A: EAP-FAST は IEEE 802.1x および IEEE 802.11i に準拠しています。
Return to Top

Q: Cisco EAP-FAST は Cisco Unified Wireless Network でサポートされますか。
A: はい。Cisco Unified Wireless Network は、EAP-FAST を含むさまざまな Extensible Authentication Protocol(EAP)認証タイプをサポートします。EAP-FAST は、すべての EAP タイプと同様に、WPA および WPA2 ネットワークで使用できます。
Return to Top

Q: Cisco Unified Wireless Network とは何ですか。
A: Cisco Unified Wireless Network は、企業が直面している WLAN のセキュリティ、導入、管理、および制御の問題をコスト効率よく解決する、業界で唯一の有線/無線統合型ソリューションです。この強力なソリューションは、ワイヤレス ネットワーキングと有線ネットワーキングの優れた要素を組み合わせることにより、スケーラブルで、管理しやすく、安全な WLAN を少ない総所有コストで実現します。このソリューションには、基幹ビジネス アプリケーションへのリアルタイム アクセスを実現し、実績のあるエンタープライズクラスの安全な接続を提供する、先進的な RF 機能も含まれています。Cisco Unified Wireless Network は、企業が有線 LAN に対して期待するレベルのセキュリティ、スケーラビリティ、信頼性、導入のしやすさ、および管理性を、ワイヤレス LAN で実現します。

Cisco Unified Wireless Network は、エンタープライズに対応した、標準ベースのワイヤレス セキュリティ ソリューションです。このソリューションにより、ネットワーク管理者は、シスコ ワイヤレス関連製品、Cisco Aironet シリーズ製品、Cisco Compatible Extensions 製品、または Wi-Fi 認定 WLAN クライアント デバイスを使用するときに、データのプライバシーとセキュリティを確実に維持できます。このエンタープライズクラスのワイヤレス セキュリティ ソリューションは、有線 LAN のセキュリティとほぼ同レベルの強力なワイヤレス LAN セキュリティをサポートします。業界をリードする WLAN セキュリティ サービスを提供することにより、一貫性、信頼性、および安全性の高いモバイル ネットワーキングのニーズが満たされます。Cisco Unified Wireless Network は、巧妙なパッシブ/アクティブ WLAN 攻撃を軽減し、さまざまなクライアント デバイスと相互運用でき、信頼性が高く、スケーラブルで、集中管理されたセキュリティ環境を実現します。Cisco Unified Wireless Network を使用することにより、ネットワーク管理者は、IT スタッフの負担を増やさない、スケーラブルで、問題のないセキュリティ管理に基づく、大規模なエンタープライズ WLAN を導入できます。
Return to Top

機能と利点

Q: EAP-FAST はどのように動作しますか。
A: EAP-FAST は、対称キー アルゴリズムを使用して、認証プロセスのトンネル化を実現します。トンネルの確立には、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)サーバ(Cisco Secure Access Control Server [ACS] v. 3.2.3 など)を介して、EAP-FAST による動的なプロビジョニングおよび管理が可能なProtected Access Credential(PAC)を使用します。トンネルを相互に認証することで、EAP-FAST は辞書攻撃や man-in-the-middle 攻撃による危険からの保護を実現します。
  • フェーズ 1:相互認証のトンネルを確立 - クライアントおよび AAA サーバは、PAC を使用して相互に認証し、安全なトンネルを確立します。
  • フェーズ 2:確立されたトンネルでクライアントの認証を実行 - クライアントは認証用のユーザ名およびパスワードを送信してクライアント許可ポリシーを確立します。
  • フェーズ 0(任意):このフェーズはあまり使用されませんが、PAC を使用してクライアントを動的にプロビジョニングできるようにします。このフェーズでは、ユーザとネットワークの間でユーザ単位のアクセス クレデンシャルが安全に生成されます。このユーザ単位のクレデンシャル(PAC)は、EAP-FAST 認証のフェーズ 1 で使用されます。
Return to Top

Q: EAP-FAST の主な機能および利点を教えてください。
A: 
  • 標準ベース
    • IEEE 802.11i に準拠した 802.1x ベースの EAP
    • 独自仕様でない
  • 柔軟性
    • ノート PC、デスクトップ、PDA、電話、および Application Specific Device(ASD; 特定用途向けデバイス)上で動作可能
  • 容易な導入と管理
    • 使いやすい GUI による WLAN ユーザの設定
    • Cisco Aironet クライアントおよび Cisco Compatible クライアントでの Windows シングル サインオンのサポート
    • 既存の Microsoft Active Directory ドメインでのログイン スクリプトのサポート - Microsoft Active Directory、Lightweight Directory Access Protocol(LDAP)、One Time Password(OTP; ワンタイム パスワード)などの任意のユーザ データベースの使用が可能 - 証明書を使用せず、クライアント デバイスでの Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)のサポートが不要
    • Cisco Aironet Configuration Administration Tool(ACAT)を使用して Cisco Aironet クライアント デバイスに対して容易に設定および配布可能 - Cisco LEAP からのシームレスな移行が可能
    • Cisco Secure ACS 3.2.3 以降、Cisco Aironet、および Cisco Compatible クライアント デバイスで使用できる「手動プロビジョニング」(クライアント セキュリティ クレデンシャルのバッチモード インストレーション)で LDAP をサポート
  • 複数のオペレーティング システムをサポート
    • Windows 2000、Windows XP、および Windows CE(Power PC 2002、Power PC 2003、および CE.Net 4.2)オペレーティング システムをサポート
  • 高度なセキュリティ機能
    • 認証用の保護トンネルを構築して、辞書攻撃および man-in-the-middle 攻撃を軽減
    • 802.11i、802.1X、Temporal Key Integrity Protocol(TKIP)、および Advanced Encryption Standard(AES)を完全サポート
    • Windows XP および Windows 2000 クライアント オペレーティング システム上で WPA および WPA2 認証によるキー管理をサポート
    • Protected EAP(PEAP)バージョン 2 の強度および Cisco LEAP の導入の容易さと使いやすさを実現 - Cisco Unified Wireless Network をサポート
    • Cisco Centralized Key Management(CCKM)により、Wireless Domain Services(WDS; ワイヤレス ドメイン サービス)および高速セキュア ローミングをサポート - パスワードの有効期限および変更(Microsoft のパスワード変更など)をサポート
    • IEEE 802.1X ローカル認証サービスをサポート
Return to Top

EAP のタイプの比較

Q: Protected Extensible Authentication Protocol(PEAP)、EAP-FAST、Cisco LEAP、および EAP-Transport Layer Security(EAP-TLS)の相違点を教えてください。
A: 表 1 に、PEAP、EAP-FAST、Cisco LEAP、および EAP-TLS の相違点を示します。

表 1 PEAP、EAP-FAST、Cisco LEAP、EAP-TLS の比較表

  PEAP - Generic Token Card(GTC)を使用 PEAP - Microsoft Challenge Authentication Protocol(MS-CHAP)Version 2 を使用 EAP-FAST Cisco LEAP EAP-TLS
ユーザ認証用のデータベースおよびサーバ OTP、LDAP、Novell NDS、Windows NT ドメイン、Active Directory Windows NT ドメイン、Active Directory Windows NT ドメイン、Active Directory、LDAP(制約あり) Windows NT ドメイン、Active Directory OTP、LDAP、Novell NDS、Windows NT ドメイン、Active Directory
サーバ証明書の必要性 あり あり なし なし あり
クライアント証明書の必要性 なし なし なし なし あり
オペレーティング システムのサポート ドライバ:Windows XP、Windows 2000、Windows CE*
サードパーティ製ユーティリティ:その他の OS**
ドライバ:Windows XP、Windows 2000、Windows CE
サードパーティ製ユーティリティ:その他の OS**
ドライバ:Windows XP、Windows 2000、Windows CE***
サードパーティ製ユーティリティ:その他の OS**
ドライバ:Windows 98、Windows 2000、Windows NT、Windows Me、Windows XP、Mac OS、Linux、Windows CE、DOS ドライバ:Windows XP、Windows 2000、Windows CE
サードパーティ製ユーティリティ:その他の OS
Application-Specific Device(ASD; 特定用途向けデバイス)のサポート なし なし あり あり なし
使用するクレデンシャル クライアント:Windows、Novell NDS、LDAP
パスワード:OTP またはトークン
サーバ:デジタル証明書
Windows パスワード Windows パスワード、LDAP のユーザ ID/パスワード(PACプロビジョニングには手動プロビジョニングが必要) Windows パスワード**** デジタル証明書
Windows ログインを使用したシングル サインオン なし あり あり あり あり
パスワードの有効期限および変更 なし あり あり なし
高速セキュア ローミング対応 なし なし あり あり なし
WPA(Wi-Fi Protected Access)および WPA2 対応 あり あり あり あり あり


* PEAP/GTC は、Cisco Compatible Version 2 クライアント以降でサポートされます。
** Meetinghouse および Funk のサプリカントでは、さらに多くのオペレーティング システムがサポートされます。
*** Cisco Aironet 350 シリーズ WLAN クライアント デバイスおよび Cisco Aironet 5 GHz 54 Mbps ワイヤレス LAN クライアント アダプタ(CB20A)は、Windows XP、Windows 2000、および Windows CE オペレーティング システム上で EAP-FAST をサポートします。
**** 強力なパスワードが必要です。詳細については、「Cisco LEAP に対する辞書攻撃へのシスコの対応」(英語)を参照してください。
Return to Top

Q: EAP-FAST はCisco LEAP の後継プロトコルですか。
A: EAP-FASTは、IEEE 802.1x EAPネットワークを導入するお客様に対する新しいオプションです。お客様は強力なパスワード ポリシーと組み合わせることでCisco LEAPを継続して導入できます。Cisco LEAP は、さまざまなオペレーティング システムで使用できる、導入が容易な、実証済みの認証方式です。強力なパスワード ポリシーを適用できない場合には、EAP-FAST を利用できます。
Return to Top

Q: EAP-FAST と PEAP の相違点を教えてください。
A: EAP-FAST ではサーバ側の証明書を必要としないため、ワイヤレス ネットワークおよび有線ネットワークでの導入、拡張、および管理がより簡単です。どちらの EAP タイプも Microsoft および LDAP データベースの認証に対応しています。PEAP は OTP データベースにも対応しています。
Return to Top

Q: Cisco Aironet のアクセス ポイントは複数の EAP タイプを継続してサポートしますか。
A: はい。Cisco Aironet のアクセス ポイントは、今後も各種 EAP タイプに対応する予定です。現在、Cisco Aironet のアクセス ポイントは、Cisco LEAP、EAP-TLS、PEAP GTC、PEAP MS-CHAP v2、EAP-Tunneled TLS(EAP-TTLS)、EAP-Subscriber Identity Module(EAP-SIM)、および EAP-FAST をサポートしています。
Return to Top

導入

Q: Cisco LEAP から EAP-FAST への移行方法を教えてください。
A: EAP-FAST ではクライアントまたはサーバの証明書が必要ないため、Cisco LEAP から EAP-FAST への移行は簡単です。
  • クライアント デバイス - Cisco Aironet 350 シリーズおよび 5 GHz 54 Mbps(Cisco Aironet CB20A)クライアント アダプタで Cisco LEAP から EAP-FAST に移行するには、ACAT または Cisco Aironet Client Administration Utility(ACAU)を使用します。この場合、IT 管理者は、EAP-FAST 用に新しいプロファイルを定義し、クライアント コンフィギュレーション、ファームウェア、ドライバ、および Cisco Aironet Client Utility(ACU)をバンドルするか、または Cisco Aironet インストレーション ウィザード ファイルを使用します。Cisco Aironet 802.11a/b/g CardBus ワイヤレス LAN クライアント アダプタおよび Cisco Aironet 802.11a/b/g PCI ワイヤレス LAN クライアント アダプタには、EAP-FAST のサポートが組み込まれています。
  • アクセス ポイント - 各種 EAP 認証タイプをサポートする Cisco Aironet シリーズの Autonomous および Lightweightアクセス ポイントには、EAP-FAST のネイティブ サポートが組み込まれています。
  • ワイヤレス LAN コントローラ - Cisco Wireless LAN Controller には、EAP-FAST のサポートが組み込まれています。
  • AAAサーバ - Cisco Secure ACS を使用している場合は、EAP-FAST をサポートするため、バージョン 3.2.3 以降にアップグレードする必要があります。
Return to Top

Q: 移行フェーズ中に、EAP-FAST と Cisco LEAP は同じ Virtual LAN(VLAN; 仮想 LAN)および Service Set Identifier(SSID; サービス セット ID)で共存できますか。
A: はい。EAP-FAST および Cisco LEAP を同時にサポートするように VLAN を設定できます。
Return to Top

Q: EAP-FAST をサポートしているシスコ ワイヤレス製品を教えてください。
A: 次に示すシスコ ワイヤレス製品が EAP-FAST をサポートしています。ソフトウェアは Cisco Software Center でダウンロードしてください。
  • アクセス ポイント
    • Cisco Aironet 1500 シリーズ Lightweight 屋外メッシュ アクセス ポイント
    • Cisco Aironet 1240AG シリーズ アクセス ポイント(Cisco IOS® ソフトウェア バージョン 12.3(7)JA 以降が動作)
    • Cisco Aironet 1230AG および 1130 シリーズ アクセス ポイント(Cisco IOS® ソフトウェア バージョン 12.3(2)JA 以降が動作)
    • Cisco Aironet 1300 シリーズ アクセス ポイント/ブリッジ(Cisco IOS ソフトウェア バージョン 12.2(15)JA 以降が動作)
    • Cisco Aironet 1200、1100、および 350 シリーズ アクセス ポイント(Cisco IOS ソフトウェア バージョン 12.2(11)JA 以降が動作)
    • Cisco Aironet 1200、350、および 340 シリーズ アクセス ポイント(VxWorks ファームウェア バージョン 12.01T 以降が動作)
    • Cisco Aironet 1000 シリーズ Lightweight アクセス ポイント
  • ワイヤレス LAN コントローラ
    • Cisco 2000、4100、および 4400 シリーズ Wireless LAN Controller
    • Cisco Catalyst® 6500 シリーズ ワイヤレス サービス モジュール(WiSM)
    • サービス統合型ルータ用 Cisco Wireless LAN Controller モジュール(WLCM)
  • クライアント デバイス
    • Cisco Aironet 350 シリーズおよび 5 GHz 54 Mbps(Cisco Aironet CB20A)クライアント カード。Cisco Aironet Windows インストレーション ウィザード ソフトウェア リリース 1.3 以降が動作する Windows 2000 および Windows XP をサポートしている必要があります。
    • Cisco Aironet 350 シリーズおよび 5 GHz 54 Mbps(Cisco Aironet CB20A)クライアント カード。Windows CE 用 Cisco Aironet ソフトウェア リリース バージョン 2.50 以降が動作する Windows CE(Power PC 2002、Power PC 2003、CE.Net 4.2)をサポートしている必要があります。
    • Cisco Aironet 802.11a/b/g PCI ワイヤレス LAN クライアント アダプタ
    • Cisco Aironet 802.11a/b/g CardBus ワイヤレス LAN クライアント アダプタ
    • Cisco Compatible クライアント デバイス(Cisco Compatible Extensions バージョン 3 が動作)
  • AAA サーバ
    • Cisco Secure ACS バージョン 3.2.3 以降は EAP-FAST をサポートしています。
Return to Top

Q: Wi-Fi ベンダーは EAP-FAST をサポートできますか。
A: はい。EAP-FAST は IETF インフォメーショナル ドラフトなので、Wi-Fi ベンダーはこのドラフトを使用して自社製品で EAP-FAST をサポートできます。
Return to Top

Q: EAP-FAST は IEEE 802.1X ローカル認証サービスをサポートしますか。
A: はい。Cisco IOS ソフトウェア 12.3(2)JA 以降が動作する Cisco Aironet Autonomous アクセス ポイントは、EAP-FAST を使用して IEEE 802.1X ローカル認証サービスをサポートします。この機能を使用すると、Cisco IOS ソフトウェア対応デバイスは、AAA サーバとの接続を確立できない場合でもワイヤレス クライアントを認証できます。この機能は、各種 EAP 認証タイプをサポートする IEEE 802.1X 対応の Remote Authentication Dial-In User Service(RADIUS; リモート認証ダイヤルイン ユーザ サービス)サーバを Cisco IOS ソフトウェアに組み込みます。これにより、Cisco Aironet Autonomous アクセス ポイントでは、WAN リンクが停止している場合や、中央の集中管理サイトにある RADIUS サーバにアクセスできない場合でも、ワイヤレス クライアントを認証できるようになります。また、冗長 WAN リンクのないリモート サイト展開におけるローカル リソース(ファイル サーバやプリンタなど)に対してアクセス ポイントから継続してアクセスできるようにすることにより、リモート サイトの存続可能性が実現します。
Return to Top

WLAN のセキュリティに関するドキュメント

Q: すべての EAP タイプの導入に関するさらに詳しい情報はどこで入手できますか。
A: ワイヤレス セキュリティの導入に関するガイドがいくつかあります。これらのドキュメントを参照するには、Cisco Aironet テクニカル リファレンス(英語)に関する Web サイトにアクセスしてください。
Return to Top

Q: 安全な WLAN の展開に関するさらに詳しい情報はどこで入手できますか。
A: 安全な WLAN の展開については、次のドキュメントを参照してください。
Return to Top

Q: WLAN のセキュリティに関するさらに詳しい情報はどこで入手できますか。
A: WLAN のセキュリティについては、「シスコ Aironet LAN のセキュリティの概要」を参照してください。
Return to Top

関連情報

シスコ ワイヤレス セキュリティの詳細については、http://www.cisco.com/web/JP/solution/netsol/mobility/lan_sec/index.html を参照してください。

Cisco Unified Wireless Network の詳細については、http://www.cisco.com/jp/go/unifiedwireless/ を参照してください。

また、「Cisco Aironet LAN のセキュリティの概要」も参考にしてください。 http://www.cisco.com/web/JP/product/hs/wireless/airo1200/prodlit/airowlso_ov.html

Cisco Aironet 製品の詳細については、http://www.cisco.com/go/aironet を参照してください。

Cisco Compatible クライアント デバイスの詳細については、http://www.cisco.com/go/ciscocompatible/wireless を参照してください。

Cisco Secure ACS の詳細については、http://www.cisco.com/jp/go/acs/ を参照してください。

Return to Top