- PR -

Windows2000でのIEEE80.21x認証について

1
投稿者投稿内容
morimori
会議室デビュー日: 2004/09/24
投稿数: 2
投稿日時: 2004-09-24 14:31
初めて投稿、質問させて頂きます。morimoriと申します。

無線LANのセキュリティの為、Windows2000Serverを使用して
IAS(RADIUS)と証明書サービスを構築し、IEEE802.1x認証(EAP-TLS)をしています。

6月下旬に導入し、最初の頃は認証もされていたのですが、
1ヶ月程経った頃から、アクセスポイントの電源を入れ直さないと、
認証が行えず、最悪アクセスポイントさえ見つからない状態になってしまいます。
現在、1週間に1回は必ず電源を入れ直さなければいけない状態です。

原因を調べているのですが、
接続中、サーバー側のイベントビューアのシステムにIASから「アクセスを許可した」
というログが1分に2回程というすごい頻度で発生します。
その度に認証をしているので、アクセスポイントのハングアップかと思っています。

再認証をしているのかと思いましたが、それにしては多すぎると思います。
通常、EAP-TLSのIEEE802.1x認証では確認等での再認証は行われるのでしょうか?
また、行われるとしたら、通常のタイミングや回数はどの程度なのでしょうか?

ちなみにアクセスポイントはWN-F54/Rです。
(家庭用なので大量アクセスには向いてない?)

無線LANの事なのですが、認証についてなのでこちらの会議室に投稿させて頂きました。
参考になるWebサイト等でも、ご指導頂ければ幸いです。宜しくお願い致します。
JET
ベテラン
会議室デビュー日: 2004/02/18
投稿数: 76
投稿日時: 2004-09-29 17:10
以前にIEEE802.1x認証について調べていた者です。
無線LAN認証にEAP-TLSを導入されているとは、うらやましい環境ですね。
実際に導入経験は無いのですがコメントさせていただきます。

>通常、EAP-TLSのIEEE802.1x認証では確認等での再認証は行われるのでしょうか?
>また、行われるとしたら、通常のタイミングや回数はどの程度なのでしょうか?
IEEE802.1xでの暗号化鍵はユーザ・セッション単位で生成されると思います。
マニュアル(WN-G54/R)を見る限り、暗号化鍵のライフタイムは3600秒です。
1時間単位で再認証が実行されると思われます。
(暗号化鍵の更新以外は多少省略されていそうですが。。。)

また、暗号化モードはWPA(802.1x/EAP)を使用しているのでしょうか。
IEEE802.1xのサプリカントとWPAのサプリカントは別物のようです。
IO-DATAがメーカ専用のWPAサプリカントを出していない限り、windows標準の
サプリカントになると思います。その場合、WPAはWinXPのみの対応のはずです。
また、MicrosoftはWPAサプリカントに対する修正パッチを提供しております。
IO-DATAからも記載があります(http://www.iodata.jp/lib/doc/wpa/)

実際、うまく認証されていたこともあるので上記が問題解決にはならないかも
知れませんが、私も興味があるので経過を教えてください。

ちなみに、IEEE802.1x、WPA、IEEE802.11i等の調査で以下のサイトを見てました。
http://www.soi.wide.ad.jp/class/20030038/slides/71/index_1.html
http://www.atmarkit.co.jp/fnetwork/trend/20040604/8021i.html
http://www.atmarkit.co.jp/fnetwork/tokusyuu/19wlan/01.html
http://www.jnsa.org/seminar/active/interop.pdf
http://www.jnsa.org/houkoku2002/musenlan2002.pdf
http://www.cisco.com/japanese/warp/public/3/jp/solution/mobility/technical/pdf/wswpf_wp.pdf
morimori
会議室デビュー日: 2004/09/24
投稿数: 2
投稿日時: 2004-10-04 18:45
JETさん、返信ありがとうございました。
紹介して頂いたWebサイトも、大変参考になりました。

Windows上(serverとクライアント)の動きを見る限りは認証、暗号化という
1つ1つのプロセスだけはうまくいっているようです。
また、JETさんのおっしゃるとおりライフタイムは3600秒と設定されています。

 >また、暗号化モードはWPA(802.1x/EAP)を使用しているのでしょうか。

暗号化モードはWPAです。
サプリカントはWindows標準のものと、
BuffaloのAirSupricantというサプリカントで接続確認済みです。
AirSupricantを使えばWin2000でも通信が可能でした。

また、Windows標準のサプリカントは、修正パッチを当てなければ
WPAでの接続は出来ませんでした。

今日は試しにスイッチングハブのパケットをモニタリングしてみました。
その時スイッチのポートを変更してモニタリングしたのですが、
認証回数が設定通りの1時間に1回になり、正常動作(?)しました。

今度は認証回数の謎から、何故急にポート変更のみで
正常動作になったのかの謎を追っていく事になりそうです。
(というか調査しなければなりませんね。)

 >実際、うまく認証されていたこともあるので上記が問題解決にはならないかも
 >知れませんが、私も興味があるので経過を教えてください。

助言を頂けるだけで大変光栄です。
また進展がありましたら、投稿させて頂きます。
1

スキルアップ/キャリアアップ(JOB@IT)