日本語フォーラム

Reply
Aruba Employee

[ClearPass] ゲストアクセスも802.1xでセキュアに!?

最近、ホットスポットやゲストアクセスのセキュリティについてのニュースや記事を良く見かけます。

特に、Wi-Fiのパケットはその辺を飛び交っているので、簡単に盗聴される危険性があるというものです。でも、ホットスポットやゲストアクセスで重要なポイントは1つ、

 

誰でも、簡単にアクセスできること

 

 

これにつきると思います。

今回はClearPassを使って、ゲストアクセスでも簡単に802.1xを使ったセキュアなWi-Fiを提供する方法をご紹介します。

 

ここでの重要なポイントは

 

如何に簡単にゲスト端末に一意のキーを配るか

 

です。ここでの一意のキーとは、802.1x EAP-TLSに使うクライアント証明書です。

 

 

まず、SSIDを2つ用意します。

 

  • Freeの誰でもそのままアクセスできるSSID(Free Wi-Fi)。
  • 802.1xが有効になったセキュアなSSID(Secure Wi-Fi)。

Secure Wi-Fiの通信はAESでしっかり暗号化されており、端末毎に別のキー(クライアント証明書)を使っているので盗聴、解読される危険もありません。

 

Free Wi-Fi側ではClearPassのOnboardの設定をしておきます。

Onboardの機能を使うことで、オンラインで端末に簡単にプロファイル(クライアント証明書)をインストールすることができます。

また通常の企業Wi-Fiであれば、プロファイルのインストール前に社内DirectoryのユーザIDとパスワードを使ってClearPassにログインさせますが、ここでは匿名で、誰でもログインできるようにしておきます。そうすることで、誰でも簡単にプロファイルをインストールすることができるようになります。

あとは、Secure Wi-Fi側でOnboardでインストールしたクライアント証明書を使って802.1x(EAP-TLS)認証でWi-Fiへアクセスできるようにしておくだけです。

 

clearpass_secure_guest_wifi_image.PNG

 

 

ゲストがSecure Wi-Fiにアクセスする手順は以下の様になります。

 

  1. ゲストがFree Wi-Fiにアクセス、ClearPassに強制リダイレクトされ、そこでログイン(端末を登録)
  2. ClearPassから端末毎に一意のプロファイル(クライアント証明書)をインストール
  3. インストールが完了
  4. 端末のWi-Fi設定でSecure Wi-FiのSSIDを選択。クライアント証明書を使って認証され、Wi-Fiに接続完了

clearpass_secure_guest_wifi.PNG

 

上記にあるのがiPhone(検証で使ったのはiPod Touchなんですが、、、)の実際の画面です。

見てもらうと分かると思いますが、非常にシンプルで簡単にアクセスできます。

 

ゲストアクセスに限らず、802.1x(WPA2-Enterprise)を使っていないWi-Fiは少なからずリスクが潜んでいます。ClearPassを使って、ゲストアクセスやBYODにも802.1xのSecure Wi-Fiを提供しちゃいましょう。

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: