ペンティオオリジナル記事

Aruba IAP(Aruba Central)の802.1X 無線認証にSecureW2のクラウドRADIUSを利用する

今回は、Hewlett Packard Enterprise社が提供するネットワーク機器であるAruba Instant APをAruba Centralで管理している場合のSecureW2との連携について検証を行いました。本記事では下記2つのテーマについて検証レポートをまとめておりますので、これからAruba Instant APやAruba Centralの導入をお考えの方や、クラウドRADIUSによるEAP-TLS(クライアント証明書認証)にご関心がある方はぜひ最後までご覧ください。

検証テーマ

  • Aruba IAP(Aruba Central)の無線LAN認証にSecureW2のRADIUSサーバーを利用する
  • SecureW2によるユーザーに応じたネットワークの動的制御(Dynamic VLAN)を実現する

※Aruba IAP内蔵の仮想コントローラーを直接設定する場合のRADIUSの設定方法やRadSecの利用、Aruba Central管理のRadSecの利用に関しては以下の記事をご参照ください。

Aruba Instant APのご紹介

今回は弊社の検証環境にあるAruba AP-615を使用して動作検証を行いました。機器のスペックやその他製品の詳細情報はHewlett Packard Enterprise社の製品紹介ページ をご覧ください。 DSC04552

Arubaは現状対応している無線機器が少ない"RadSec"というプロトコルに対応しているアクセスポイントです。 RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSeucreW2を利用する時も安心してご利用いただけます。SecureW2との連携の面では、SecureW2が2023年11月より提供を開始したReal-Time Intelligenceが利用可能な製品です。 Real-Time intelligenceは、SecureW2がクライアント証明書を失効した際に、本来再認証がトリガーされるまで遮断されなかったデバイスのネットワーク接続を即時遮断できる機能です。また、今回Aruba IAPの管理に使用したAruba Centralでは、無線設定やネットワークの管理をクラウド上から行うことができます。SecureW2と併せてご利用いただくことで、ネットワーク管理をよりシンプルにすることが可能です。

前提条件

今回の検証では、以下の項目を前提条件としています。

  • SecureW2の管理者アカウントをお持ちであること
  • "Aruba Central Administrator"権限のあるユーザーアカウントをお持ちであること
  • Aruba Instant APがAruba Centralで管理されており、サブスクリプションの割り当てサイト・グループの作成が完了していること
  • クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること

動作概要

IEEE802.1Xは以下の図のようなシーケンスに従って認証を行います。 EAP-TLS認証では認証情報にID / パスワードではなく、クライアント証明書を用いることが特徴です。 20240226_動作概要(文字ver)

EAP-TLS認証の流れは次のとおりです。

  1. ユーザーがアクセスポイントに対してネットワークのアクセスを要求
  2. アクセスポイントがユーザーにクライアント証明書の提示を要求
  3. ユーザーはアクセスポイントに対して適当なクライアント証明書を提示
  4. アクセスポイントはSecureW2に対してクライアント証明書の検証要求を行う
  5. SecureW2がクライアント証明書を検証し、認証結果と認証許可した場合にはVLAN等の属性情報をアクセスポイントに返す
  6. アクセスポイントは受け取った認証可否に従い、ユーザーのネットワークアクセスを許可または拒否する

※VLAN IDなどのRADIUS属性やベンダー固有属性(VSA)は、5番目の段階で認証結果と共にアクセスポイントに返されます。

このようにIEEE802.1XのEAP-TLS認証を行うことで、社内ネットワークへの不正な端末やユーザーによるアクセスを排除し、ID / パスワードを利用したネットワークのアクセス管理に比べより強固なセキュリティを実現できます。 加えて、RADIUSサーバーとしてActive DirectoryやIDaaSであるOneLogin, Okta などを利用する場合と比べて、重要なIdPにログインするためのID / パスワードをネットワークに流さないことも組織全体のセキュリティを向上させます。

作業詳細

主な作業内容は、Aruba CentralとSecureW2でそれぞれ次の通りです。 スクリーンショット 2025-01-21 13.34.06

基本的なAruba CentralとSecureW2の無線LAN利用設定を行うだけで簡単にSecureW2をクラウドRADIUSサーバーとしてご利用いただけます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合には、SecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性(VSA)を認証結果に付与することもできます。

具体的な設定手順

通常のRADIUS認証を利用する場合の設定

まずはAruba IAPがSecureW2のクラウドRADIUSを参照するように設定します。 設定を始める前にSecureW2の以下の画像の情報(IPアドレス、ポート番号、シークレット)を控えておいてください。実際の値は管理コンソールのRADIUS Configurationからご確認いただけます。 スクリーンショット 2024-11-19 14.51.33a

補足

2023年11月より、クラウドRADIUS AsiaPacific-1リージョンの無償提供が開始されました。これにより従来のサーバーよりも地理的距離が近くなるため、レイテンシの向上と高速な通信レスポンスを実現できます。そのため、ペンティオではAsiaPacific-1リージョンをプライマリRADIUSサーバーとして設定することを推奨しております。詳しくはこちら をご覧ください。

  1. 設定したいAPが割り当てられているグループを選択します。 スクリーンショット 2024-11-19 14.08.54a

  2. 左のデバイスタブから、右上の 設定 をクリックします。 dew

  3. +SSIDの追加をクリックします。 スクリーンショット 2024-11-19 14.12.20a

  4. SSIDの名前と周波数帯を設定して次へをクリックします。

  5. クライアントのVLANやIPの設定で特に変更がない場合は次へをクリックします。 スクリーンショット 2024-11-19 14.13.57a

  6. セキュリティの設定を以下の表を参考にして設定します。設定できたらCloud Authの横の + をクリックしてRADIUSサーバーの設定を行います。

    7. 項目名 設定値
    セキュリティレベル エンタープライズ【スライダーで選択】
    キー管理 WPA2 エンタープライズ【選択】
    プライマリサーバー Cloud Auth【選択】

    スクリーンショット 2024-11-19 14.17.22a

  7. RADIUSサーバーの設定では事前準備で控えておいたSecureW2のRADIUS Configurationの情報を使用します。以下の表を参考に、画像の通りに設定を行います。設定が完了したらOKをクリックします。
    8. 項目名 設定値
    サーバータイプ RADIUS【選択】
    名前 例)SecureW2RADIUS01
    IPアドレス/FQDN SecureW2のRADIUS ConfigurationのPrimary IP(①)
    共有キー&キーの再入力 Secret(⑤)
    認証ポート Authentication Port(③)
    アカウンティングポート Accounting Port(④)

    スクリーンショット 2024-11-19 14.19.14a

  8. さらに + ボタンをクリックして上の手順と同様にセカンダリーサーバーも設定します。IPアドレスの部分を②のSecondary IPの値に変更し、それ以外は同じように設定します。 スクリーンショット 2024-11-19 14.20.28a スクリーンショット 2024-11-19 14.20.05a

  9. 設定が完了したら詳細設定を開き、以下の画像のようになっているか確認します。確認できたら次へをクリックします。 CleanShot 2024-11-19 at 15.11.09@2xa

  10. アクセス制限の設定で特に変更がない場合はそのまま次へをクリックします。 スクリーンショット 2024-11-19 14.21.43a

  11. 確認画面で以下の画像のように問題がなければ終了をクリックして設定を保存します。しばらくすると画像のような成功のポップアップが表示されます。 CleanShot 2024-11-19 at 14.22.08@2xa スクリーンショット 2024-11-19 14.23.21

RadSecを利用してRADIUS認証を行う場合の設定

Aruba Central管理のAruba IAPでRADIUS認証のフローを暗号化するRadSecを利用したい場合の設定手順は「Aruba IAP(Aruba Central)とSecureW2でRadSecを利用した802.1X認証(無線)を行う」の別記事で解説しております。ご興味のある方はぜひご参照ください。

RadSec(RADIUS over TLS)について

RadSec(RADIUS over TLS)は、トランスポートセキュアレイヤー(TLS)のプロトコルを用いることでRADIUSクライアントからRADIUSサーバーへの認証要求を送信・認証応答を受け取る際の通信を暗号化することができる技術です。RadSecを利用することで、例えば証明書に含まれるメールアドレスなどの情報を傍受されるリスクを低減できるというメリットがあります。

VLANの設定

IEEE802.1X認証において、RADIUSサーバーが接続許可を意味するAccess-Acceptメッセージを返すとき、認証結果とあわせてVLAN IDなどのRADIUS属性やベンダー固有属性をRADIUSサーバーからRADIUSクライアントへ連携すると、接続先のネットワークを制御することなどが可能です。SecureW2ではネットワークポリシーの設定を行うだけで簡単にRADIUS属性の指定やユーザー・デバイスに応じた値の定義が可能です。

また、このレポートでは詳細は割愛いたしますが、OneLogin・Okta・Microsoft Entra IDをはじめとするIDaaSと連携するDynamic RADIUSも併用すると、Active DirectoryやLDAPなどのレガシーな認証基盤に依存しないクラウドネイティブなRADIUS基盤としてもご活用いただけます。

  1. SecureW2 Managemant Portal(管理コンソール)の Policy Management > Network Policies からNetwork Policyを追加します。 20231102_VLANの設定_1_加工後

  2. ポリシーの名前を入力し、Saveをクリックします。 20231102_VLANの設定_2_加工後

  3. Conditionsタブに移動し、Add Ruleをクリックします。Conditionsタブでは、このNetwork Policyを適用させる対象の条件として利用する変数の種類を指定します。 20231102_VLANの設定_3_加工後

  4. ここでは例としてSecureW2のRoleを変数として設定します。各環境に合わせて適切な変数を指定してください。 IdentityからRoleを選択してSaveをクリックします。画面上部に「'Role' selected」と表示されれば成功です。 20231102_VLANの設定_4_加工後

  5. 正常に設定が反映されると、以下の画像のように変数の値を指定できます。今回は例として、前もって作成しておいたPentio Roleを値として設定します。 変数の値を設定できたら、Updateをクリックします。 20231128_設定方法_5_加工後

  6. Settingsタブに移動し、Add Attributeをクリックします。この画面で使用するRADIUS属性の設定を行います。 20231128_設定方法_6_加工後

  7. DictionaryのプルダウンからRadius:IETFを選択します。今回のシナリオではDynamic VLANの利用を想定しているため、以下の表を参考にそれぞれ設定を行います。

Radius:IETFの属性(Attribute:) 値(Value:) 説明
Tunnel-Type 13 VLAN(固定値)
Tunnel-Medium-Type 6 IEEE-802(固定値)
Tunnel-Private-Group-ID 任意のVLAN-ID(1-4094) 認証対象のユーザーや機器が認証をパスした後に所属させるVLAN-ID(例:100, 200)
20240322_VLANの設定_7(13)_加工後 20240322_VLANの設定_7(6)_加工後 20240322_VLANの設定_7(100)_加工後
  1. 画像のように設定できたら、Updateをクリックして設定を終了します。他のNetwork Policyが存在している場合は、適宜ポリシーの優先度を操作してください。 20231102_VLANの設定_8_加工後

今回はDynamic VLANが実現可能かを検証するために、同じ手順でVLAN-ID=200のネットワークポリシーも作成しておきます。 NWPolicy_8_VLAN200_改_修正

動作検証

  1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。 aaaa

  2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。 スクリーンショット 2024-11-19 15.26.40a

  3. 証明書の検証の確認画面が表示されたら続けるをクリックします。 スクリーンショット 2024-11-19 15.26.57a

  4. 作成した無線LANへの接続ができたことが確認できました。 スクリーンショット 2024-11-19 15.31.13

  5. 今度はVLAN-IDが正しく付与されて、DHCPで指定した範囲内のIPからアドレスが払い出されているか確認します。 今回の例では、VLAN-IDが100の際にDHCPサーバーから192.168.100.2/24 - 192.168.100.254/24の範囲で、200の場合は192.168.200.2/24 - 192.168.200.254/24でIPアドレスを割り振る設定にしているため、設定した範囲のIPアドレスが正しく割り振られていることが確認できます。

ipaddress

20231201_動作確認_6_加工後_DHCP

WiresharkからもVLAN-IDが正常に割り振られていることが確認できました。 "example100@pentio.com"というユーザーがネットワークに参加する場合はVLAN=100 "example200@pentio.com"というユーザーがネットワークに参加する場合はVLAN=200に所属させていることがわかります。

スクリーンショット 2025-02-04 14.23.20

スクリーンショット 2025-02-04 14.23.37a

SecureW2の管理画面からも、それぞれのVLAN用ネットワークポリシーに基づいて「Aruba Central Demo」への接続が許可されたことが確認できました。また、Called-Station-Idには先ほど設定した通り、"/"の後にSSIDが挿入される形になっていることも確認できます。

CleanShot 2025-02-04 at 14.33.45@2xaaaa

おわりに

今回の検証ではAruba Centralで管理しているAruba Instant APの無線LAN認証にSecureW2のRADIUSサーバーを利用し、SecureW2から発行されたクライアント証明書を用いてIEEE802.1XのEAP-TLS認証ができるかの検証、そしてその認証フローを暗号化するRadSecが実現可能かどうかの検証を行いました。また、SecureW2からのRADIUS属性の割り当てを行うDynamic VLANの動作検証も行い、ユーザーごとに異なるVLANへの割当も確認することができました。

ArubaはRadSecとSecureW2が提供しているReal-Time Intelligenceの両方を利用できる数少ないアクセスポイント製品になります。 RadSecを利用することで認証情報のやり取りを暗号化することができ、Real-Time Inteligenceを利用すればリアルタイムなネットワーク制御を実現できます。これらの機能により、企業のセキュリティ基準に合わせた柔軟な運用が可能になります。

Aruba Centralを利用することで、Aruba Instant APはクラウド上で管理することが可能になります。そこで統合認証基盤として物理アプライアンスの設置が一切不要なクラウド型RADIUSであるSecureW2と組み合わせることで、多拠点展開の際にも国内外問わず全拠点同水準のセキュリティを確保できます。毎拠点ごとに無線LANコントローラ・RADIUSアプライアンスなどの機器を設置・管理・維持する必要がないため、コストを最小限に抑えられるという点で新たなメリットが生まれるでしょう。 ぜひAruba Instant AP(Aruba Central)とSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「Aruba IAP(Aruba Central)の802.1X 無線認証にSecureW2のクラウドRADIUSを利用する」検証レポートを終わります。

本記事で使用した機種のスペックシート

AP-610シリーズ AP-650シリーズ AP-510シリーズ
無線規格 IEEE 802ax(Wi-Fi6E)対応 IEEE 802.11ax(Wi-Fi6)対応
無線アンテナ 2×2:2(2.4GHz/5GHz/6GHz) 4×4:4(2.4GHz/5GHz/6GHz) 2×2:2(5GHz)
4×4:4(2.4GHz)
ネットワークインターフェース 2.5Gポート×1
(PoE+ / 802.3az EEE)		 2.5/5Gポート×2
(PoE++ / 802.3az EEE)		 2.5Gポート×1(PoE++ / 802.3az EEE)
1Gポート×1(802.3az EEE)
設置場所 屋内
サイズ 160×160×39mm 260×260×60mm 200×200×46mm
重量 520g 1800g 810g
データシート データシート データシート データシート

*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

ソリューション詳細パンフレットをダウンロード

クラウドRADIUS認証 for Aruba Wi-Fi 構成図

この資料でわかること

  • ArubaコントローラとSecureW2の連携
  • Aruba AP635(630シリーズ) 特徴
  • SecureW2クラウドRADIUSの機能
おすすめ記事

Cisco Meraki MRの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する

Juniper Mistの無線認証にSecureW2のクラウドRADIUSを利用する

Aruba IAPの無線認証にSecureW2のクラウドRADIUSを利用する

Extreme Networksの無線認証にSecureW2のクラウドRADIUSを利用する

ヤマハWLXの802.1X 無線認証にSecureW2のクラウドRADIUSを利用する

Ubiquiti UniFiの802.1X認証にSecureW2のクラウドRADIUSを利用する

ACERAの無線認証にSecureW2のクラウドRADIUSを利用する

目次

カテゴリ
OneLogin
SecureW2
Stellar Cyber

まずはお気軽にご相談ください

7/17(木) 開催!
― 成功事例に学ぶ !! SecureW2導入の利点 証明書ライフサイクルと自動アクセス拒否 ―

Check!!
申し込みは
こちら

7/17(木) 開催!
― RADIUSサーバーを通じた無線LAN認証を安全に実現する手法をご紹介します ―

Check!!
申し込みは
こちら