最近、ホットスポットやゲストアクセスのセキュリティについてのニュースや記事を良く見かけます。
特に、Wi-Fiのパケットはその辺を飛び交っているので、簡単に盗聴される危険性があるというものです。でも、ホットスポットやゲストアクセスで重要なポイントは1つ、
誰でも、簡単にアクセスできること
これにつきると思います。
今回はClearPassを使って、ゲストアクセスでも簡単に802.1xを使ったセキュアなWi-Fiを提供する方法をご紹介します。
ここでの重要なポイントは
如何に簡単にゲスト端末に一意のキーを配るか
です。ここでの一意のキーとは、802.1x EAP-TLSに使うクライアント証明書です。
まず、SSIDを2つ用意します。
- Freeの誰でもそのままアクセスできるSSID(Free Wi-Fi)。
- 802.1xが有効になったセキュアなSSID(Secure Wi-Fi)。
Secure Wi-Fiの通信はAESでしっかり暗号化されており、端末毎に別のキー(クライアント証明書)を使っているので盗聴、解読される危険もありません。
Free Wi-Fi側ではClearPassのOnboardの設定をしておきます。
Onboardの機能を使うことで、オンラインで端末に簡単にプロファイル(クライアント証明書)をインストールすることができます。
また通常の企業Wi-Fiであれば、プロファイルのインストール前に社内DirectoryのユーザIDとパスワードを使ってClearPassにログインさせますが、ここでは匿名で、誰でもログインできるようにしておきます。そうすることで、誰でも簡単にプロファイルをインストールすることができるようになります。
あとは、Secure Wi-Fi側でOnboardでインストールしたクライアント証明書を使って802.1x(EAP-TLS)認証でWi-Fiへアクセスできるようにしておくだけです。
ゲストがSecure Wi-Fiにアクセスする手順は以下の様になります。
- ゲストがFree Wi-Fiにアクセス、ClearPassに強制リダイレクトされ、そこでログイン(端末を登録)
- ClearPassから端末毎に一意のプロファイル(クライアント証明書)をインストール
- インストールが完了
- 端末のWi-Fi設定でSecure Wi-FiのSSIDを選択。クライアント証明書を使って認証され、Wi-Fiに接続完了
上記にあるのがiPhone(検証で使ったのはiPod Touchなんですが、、、)の実際の画面です。
見てもらうと分かると思いますが、非常にシンプルで簡単にアクセスできます。
ゲストアクセスに限らず、802.1x(WPA2-Enterprise)を使っていないWi-Fiは少なからずリスクが潜んでいます。ClearPassを使って、ゲストアクセスやBYODにも802.1xのSecure Wi-Fiを提供しちゃいましょう。