ドキュメント

securew2

目次

ACERAの無線認証にSecureW2のクラウドRADIUSを利用する

今回は株式会社コムリンクス様にご協力いただき、株式会社フルノシステムズ様より無線アクセスポイントのACERAをご提供いただきましたので、弊社が提供するクラウド型認証ソリューションのSecureW2との連携について検証を行いました。

本記事ではACERAの無線LAN認証にSecureW2のRADIUSサーバーを利用する方法について検証レポートをまとめておりますので、これからACERAの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。

ACERAのご紹介

今回は無線アクセスポイントのACERA 1310をお借りして動作検証を行いました。 機器の詳細はフルノシステムズ様の製品情報 やコムリンクス様の取扱製品 をご参照ください。

ACERA 1310は中規模(ミドルレンジ)向けの最適モデルとして開発されており、自律式での運用と一括管理システムのUNIFASを利用した運用が選べます。そのためミニマムスタートで導入可能という点が最大の特徴と言えるでしょう。例えば病院や中規模なオフィスなどで無線環境を構築したい場合には、別途コントローラーを購入・設置する必要がなく1台から設置・管理することができるため、低コストでネットワーク環境を構築することができます。
また、ACERA機器を一括で管理することができるソフトウェアのUNIFASを導入することで、UNIFASがクラウドまたはオンプレミス型のコントローラとして機能し、アクセスポイントの設置台数が増えた場合にも最大3000台までのアクセスポイントをまとめて管理・制御することも可能になります。そのため、もし拠点の拡大が必要になった際でも柔軟に業務環境の変化に対応することが可能です。
他にも、日本国内で主流なベンダーの中では珍しい日本メーカーであるため、操作画面・説明書・問い合わせなどが全て日本語である点や、動作温度が-10℃~55℃という堅牢設計であるため、物流倉庫などの過酷な環境でも設置できる点もこの機器の利点として挙げられるでしょう。

前提条件

今回の検証では、以下の項目を前提条件としています。

  • SecureW2の管理者アカウントをお持ちであること
  • ACERA 1310の管理画面にアクセスできる環境をご準備いただいていること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
  • SecureW2のネットワークポリシーが作成済みであること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。
EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。

認証のシーケンス図

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
  5. SecureW2がクライアント証明書を検証し、認証結果をアクセスポイントに返す
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業概要

主な作業内容は、ACERAとSecureW2でそれぞれ次の通りです。

基本的なACERAとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。
今回の検証では、SecureW2上にネットワークポリシー「Pentio Dev Device」をあらかじめ作成しておきました。

基本的な無線LAN SSIDの設定とSecureW2 RADIUSの設定

SecureW2のクラウドRADIUSをACERAの無線LANで参照するように設定します。
設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。

ネットワークの設定

 補足

2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの向上と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。 詳しくはこちらをご覧ください。

  1. ACERAのログイン画面を開き、管理コンソールへログインします。
    ネットワークポリシーの作成
  2. ログインが完了したら、無線LANセキュリティ設定を開きます。ご自身の環境に合わせて5G帯か2.4G帯を選択してください。今回は2.4G帯で設定を行います。
    ネットワークポリシーの作成
  3. 設定を開いたら、右上の追加をクリックしてSSIDを追加します。
    ネットワークポリシーの作成
  4. 追加が完了したら、追加したSSIDを編集します。
    ネットワークポリシーの作成
  5. セキュリティ設定を行います。以下の表に従って設定項目を埋めてください。
    設定項目名 説明
    設定 トグルを有効 当該のSSIDを有効化するかの設定
    ESSID 例)Pentio_test ESSIDの名前
    ステルスモード トグルを無効 SSIDを隠すかの設定、隠すならば有効
  6. 暗号設定の項目では、暗号方式としてWPA2-Enterpriseを選択します。
  7. WPA固有設定の項目では、 暗号化方式としてAESを選択します。
  8. WPA/802.1xの共通設定項目では、RADIUSサーバーの設定を行います。最初に控えたSecureW2の管理画面の情報をもとに以下の表に従って設定してください。
    設定項目名
    プライマリ認証サーバーホスト名 SecureW2のPrimary IPの値(①)を入力
    プライマリ認証サーバーポート番号       〃      のAuthentication Portの値(③)を入力
    プライマリ認証サーバークレデンシャル       〃      のShared Secret(④)を入力
    セカンダリ認証サーバーホスト名       〃      のSecondary IPの値(②)を入力
    セカンダリ認証サーバーポート番号       〃      のAuthentication Portの値(③)を入力
    セカンダリ認証サーバークレデンシャル       〃      のShared Secret(④)を入力
  9. 以上の設定が完了したら、画面下部の設定反映をクリックします。以上でACERAの設定は完了です。

動作確認

以上の設定を終えたところで、MacBook Proを使用して動作確認を行いました。今回はWi-Fiの接続設定や証明書の配布を手作業で行っていますが、Microsoft Intune、Jamf ProなどのMDM(モバイルデバイス管理)製品とSecureW2を連携しておくと、これらも自動化することができます。

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。
  2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。
  3. 以下のようなウィンドウが表示されたら、続けるをクリックします。
  4. 以下のようなウィンドウが表示されたら、PC管理者のユーザー名とパスワードを入力して許可します。
  5. 作成した無線LANへの接続ができたことが確認できました。

    6. SecureW2の管理画面からも、ネットワークポリシー「Pentio Dev Device」に基づいて「Pentio_test」への接続が許可されたことが確認できました。

おわりに

今回の検証ではACERAの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証を行いました。

ACERA 1310は中規模向けの最適モデルとして開発されており、自律式での運用と管理システムUNIFASでの一括管理が選べます。そのため1台からミニマムスタートで導入可能です。
ACERA機器を一括で管理することができるソフトウェアのUNIFASを導入することで最大3000台のアクセスポイントを一元管理できます。拠点が拡大する際にも柔軟に対応できるという点もACERAの長所の1つでしょう。また、SecureW2は物理アプライアンスの設置は一切不要のクラウド型RADIUSです。最小ライセンス 100デバイス(PC・スマホ等の接続デバイス数)であるため、ミニマムスタートにも適しています。日本国内外問わず、世界中のどこからでも自社の認証基盤としてRADIUSエンドポイントを提供します。

この2製品の組み合わせは、コスト・メンテナンス・運用面で空白地帯となりやすかった中規模拠点やサテライトオフィスのネットワークセキュリティの向上、そして拠点拡大の検討時に気になる機器の管理や調達のコスト・手間を最小限に抑えられるという点で相性が良いと言えるでしょう。
病院・学校・地方支社・物流倉庫などの中規模拠点・オフィスに対して統合認証基盤の導入が可能となり、毎拠点ごとに物理アプライアンスやコントローラを設置することなく、国内外問わず全拠点同じ水準のセキュリティを担保することができます。ぜひACERAとSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「ACERAの無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。

本検証で使用した機種のスペックシート

ACERA 1310 ACERA 1320
プロセッサ 64bit ARM クアッドコア ( 4コア )
無線通信規格 IEEE802.11ax/ac/n/a(5GHz)およびIEEE 802.11ax/n/g/b(2.4GHz)を同時使用可能
無線通信アンテナ 内蔵アンテナ2×2 内蔵アンテナ4×4
形状 174(縦)×174(横)×43(高)mm(ゴム足含まず) 199(縦)×199(横)×46(高)mm(ゴム足含まず)
環境条件動作温湿度範囲 -10℃〜+55℃ / 10~90%RH(結露なきこと)
高温環境下では速度制限の可能性あり		 -10℃〜+55℃ / 30~85%RH(結露なきこと)
高温環境下では速度制限の可能性あり

参考

問い合わせはこちら

ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。

※トライアル環境のご手配には数日お時間をいただきます
製品に関するお問い合わせはこちら無料トライアルのお申込みはこちら