Aruba IAP(Aruba Central)とSecureW2でRadSecを利用した802.1X 無線認証を行う

今回は、Hewlett Packard Enterprise社のネットワーク機器であるAruba Instant APをAruba Centralで管理し、弊社のクラウド型認証ソリューションであるSecureW2との連携におけるRadSecの利用を検証しました。これからAruba Instant APの導入をお考えの方や、クラウドRADIUSによるEAP-TLS（クライアント証明書認証）、特にRadSecにご関心がある方はぜひ最後までご覧ください。

通常のRADIUS認証やユーザーベースでネットワークを動的に制御するDynamic VLANの設定方法については別記事の「Aruba IAP(Aruba Central)の802.1X 無線認証にSecureW2のクラウドRADIUSを利用する」をご覧ください。

※Aruba IAP内蔵の仮想コントローラーを直接設定する場合のRADIUSの設定方法やRadSecの利用に関しては以下の記事をご参照ください。

• Aruba IAPの無線認証にSecureW2のクラウドRADIUSを利用する
• Aruba IAPとSecureW2でRadSecを利用した無線認証を行う

Aruba Instant APのご紹介

今回は弊社の検証環境にあるAruba AP-615を使用して動作検証を行いました。機器のスペックやその他製品の詳細情報はHewlett Packard Enterprise社の製品紹介ページ をご覧ください。

Arubaは現状対応している無線機器が少ない"RadSec"というプロトコルに対応しているアクセスポイントです。 RadSecを利用することでネットワーク認証に必要な通信に含まれる情報を暗号化することができるため、クラウドRADIUSであるSeucreW2を利用する時も安心してご利用いただけます。また、Aruba Centralでは無線設定やネットワークの管理をクラウド上から行うことができます。SecureW2と併せてご利用いただくことで、ネットワーク管理をシンプルにすることが可能です。SecureW2との連携の面では、SecureW2が2023年11月より提供を開始したReal-Time Intelligenceが利用可能な製品ということもあるため相性が良いと言えるでしょう。

前提条件

今回の検証では、以下の項目を前提条件としています。

• SecureW2の管理者アカウントをお持ちであること
• "Aruba Central Administrator"権限のあるユーザーアカウントをお持ちであること
• Aruba Instant APがAruba Centralで管理されており、サブスクリプションの割り当てやサイト・グループの作成が完了していること
• クライアントPCにSecureW2発行のクライアント証明書の配布・登録が済んでいること
• SecureW2にネットワークポリシーが適切に作成されていること

RadSecの動作概要

RadSec（RADIUS over TLS）は、トランスポートセキュアレイヤー（TLS）のプロトコルを用いることで、通常のRADIUS認証におけるRADIUSクライアントからRADIUSサーバーへの認証要求を送信・認証応答を受け取る際の通信を暗号化することができる技術です。 以下のようなフローに従って、RadSecクライアントとRadSecサーバーの間にTLSトンネルを確立した上で認証情報をやりとりします。

1. TCP 3-way Handshake（SYN, SYN+ACK, ACK） でコネクションを確立
2. RadSecクライアントがRadSecサーバーに対してClient Helloメッセージを送信
3. RadSecサーバーはClient Helloに対してServer Helloメッセージを送信し、サーバー証明書を提示
4. RadSecクライアントは提示されたサーバー証明書を検証し、有効であればRadSecサーバーに対してクライアント証明書を提示
5. RadSecサーバーは提示されたクライアント証明書を検証する。有効であればTLSトンネルが確立され、暗号化された通信を開始できる。

6. ここ以降は通常のRADIUS認証フローに従って認証を行う。

通常のRADIUS認証を利用する場合でも証明書を利用するためセッションハイジャックや中間者攻撃による影響を受けるリスクは低いですが、RadSecを用いることで以下のようなメリットがあります。

• 暗号化された通信：RADIUSサーバーとクライアント間の通信をSSL/TLSで暗号化するため、証明書に含まれる個人情報などの機密情報が傍受されるリスクが減少します。

• 信頼性の向上：SSL/TLSを利用しているため、サーバーとクライアント間の身元が保障されて通信の信頼性が向上します。

• シンプルな設定：RadSecはTCPを利用しているため、ファイアウォールやNAT（ネットワークアドレス変換）を通過しやすく設定が比較的容易です。

• 堅牢なセキュリティ：RadSecは最新のセキュリティ標準に基づいており、既存のRADIUSプロトコルよりも堅牢なセキュリティを提供します。

作業詳細

以下の図はRadSec認証を行う際のSecureW2（PKI）とその他の機器の関係について示したものです。本記事ではオレンジ色に塗った部分について設定を行います。今回の場合は無線コントローラー、アクセスポイントともにAruba IAPとなります。Aruba Centralはこの構成上の役割は持たず、クラウドからAruba IAPのコントローラーに設定を行うためだけに使用されます。

※ユーザー・デバイス証明書の自動配布やSecureW2とMDMとの連携にご興味のある方は、ぜひMicrosoft Intuneで無線LAN認証用のSCEP証明書を自動配布する など他の記事もご覧ください。

主な作業内容は、Aruba CentralとSecureW2でそれぞれ次の通りです。

基本的なAruba CentralとSecureW2の無線LAN利用設定に加えて、双方の証明書を信頼させる設定を行うことでSecureW2をクラウドRADIUSサーバーとしてご利用いただく際の通信内容を暗号化することができます。お客様によって認証に加えて認可でもRADIUSを利用されたい場合にはSecureW2のネットワークポリシーに追加の設定を付け加えることで、VLAN IDをはじめとするRADIUS属性やベンダー固有属性（VSA）を認証結果に付与することもできます。

RadSecを利用してRADIUS認証を行う場合の設定

SecureW2の設定

SecureW2上では、主にRadSec用サーバー証明書のトラストアンカーのダウンロードとRadSec用クライアント証明書の作成を行います。

1. SecureW2の管理コンソールから、RADIUS Management > Configuration をクリックします。

2. RadSec用のクライアント証明書を発行するルートCAと中間CAを作成します。Create Default RadSec CA をクリックします。

3. Certificate Authoritiesの一覧にテナント専用のRadSec用のルートCAと中間CAが作成されました。後ほどこの中間CAからRadSec用のクライアント証明書を発行します。

4. サーバー証明書のトラストアンカー（ルート証明書）をダウンロードします。 この証明書をRadSecクライアントにアップロードすることで、TLSトンネルの確立を行う際に、SecureW2から提示されるサーバー証明書を検証することが可能になります。なお、Host nameとPortの値は後ほど使用するので控えておきます。

5. PKI Management > Create Certificate でRadSec用のクライアント証明書を作成します。このクライアント証明書をRadSecクライアントにアップロードすることで、サーバー証明書の検証の後にRadSecクライアントからこの証明書が提示され、RadSecサーバーが検証することでTLSトンネルが確立されます。以下の画像のように証明書の値を設定しCreateをクリックします。

6. 証明書のパスワードを入力してSubmitをクリックすると、クライアント証明書が作成され、自動的にダウンロードされます。今回は検証用で"123456"というパスワードを設定しましたが、実際に使用する際はより強度の高いパスワードを設定することをお勧めします。

Aruba Centralの設定

SSIDの作成

1. Aruba Centralの管理画面にログインし、設定したいAPが割り当てられているグループを選択します。

2. 左のデバイスタブから、右上の 設定 をクリックします。

3. +SSIDの追加をクリックします。

4. SSIDの名前と周波数帯を設定して次へをクリックします。

5. クライアントのVLANやIPの設定で特に変更がない場合は次へをクリックします。

6. セキュリティの設定を以下の表を参考にして設定します。設定できたらCloud Authの横の + をクリックしてRADIUSサーバーの設定を行います。

項目名	設定値
セキュリティレベル	エンタープライズ【スライダーで選択】
キー管理	WPA2 エンタープライズ【選択】
プライマリサーバー	Cloud Auth【選択】



7. RADIUSサーバーの設定では事前準備で控えておいたSecureW2のRADIUS Configurationの情報を使用します。以下の表を参考に、画像の通りに設定を行います。設定が完了したらOKをクリックします。

   項目名	設定値
   サーバータイプ	RADIUS【選択】
   RadSec	☑︎
   RadSec Keep Aliveタイプ	TCP Keep Alive【選択】
   名前	例）SecureW2_RadSec
   RadSecポート	SecureW2のRadSec Configrationの Port（②）
   IPアドレス/FQDN	SecureW2のRadSec ConfigurationのHost Name（①）

   

8. 設定が完了したら詳細設定を開き、以下の画像のようになっているか確認します。確認できたら次へをクリックします。

9. アクセス制限の設定で特に変更がない場合はそのまま次へをクリックします。

10. 確認画面で以下の画像のように問題がなければ終了をクリックして設定を保存します。しばらくすると画像のような成功のポップアップが表示されます。

証明書の信頼設定（アップロード）

1. Aruba Centralの管理画面から、組織 > Certificatesをクリックします。

2. 証明書ストアが表示されたら、右上の + をクリックします。

3. 最初はSecureW2のサーバー証明書を検証可能なCA証明書を信頼させます。以下のように設定を行い、追加します。

   項目名	設定値
   名前	例）SecureW2_Trusted_CA
   タイプ	CA証明書【選択】
   形式	PEM【選択】
   証明書ファイル	SecureW2のRadSecConfigrationからダウンロードしたサーバー証明書のトラストアンカー（Server Root CA）を選択

   

4. 証明書がアップロードできたら、もう一度右上の + をクリックします。

5. 次はRadSec用のクライアント証明書をアップロードします。以下のように設定を行い、追加します。

   項目名	設定値
   名前	例）RadSec_Client_Cert
   タイプ	サーバー証明書【選択】
   形式	PKCS12【選択】
   パスフレーズ（再入力）	クライアント証明書を作成した際に設定したパスワード
   証明書ファイル	SecureW2で作成したRadSec用のクライアント証明書を選択

   

6. 以下のようにアップロードが完了したことを確認します。

証明書の使用設定

1. SSIDを作成した画面に戻ります。右上の詳細を表示をクリックします。クリックすると様々な設定タブが追加で表示されます。

2. 追加表示されたタブからセキュリティをクリックし、証明書の使用方法をクリックします。

3. 以下の項目を設定して設定の保存をクリックします。

   項目名	設定値
   RadSecクライアント証明書	例）RadSec_Client_Cert（作成したRadSec用クライアント証明書）
   RadSec CA	例）SecureW2_Trusted_CA（サーバー証明書のトラストアンカー）

   

動作確認

1. Wi-Fi一覧から先ほど作成したSSIDのWi-Fiを選択します。

2. 証明書の選択画面が出てきたら、認証に使用する証明書を選択し、OKをクリックします。

3. 以下のようなウィンドウが表示されたら、続けるをクリックします。

4. 作成した無線LANへの接続ができたことが確認できました。

   SecureW2の管理画面からも、ネットワークポリシー「Network_Policy_VLAN_20」に基づいて「Aruba_Central_RadSec」への接続が許可されたことが確認できました。画像のReply欄で確認できるように、VLAN-ID属性などのRADIUS属性を応答することも可能です。 画像では省略いたしましたが、実際のSecureW2のRADIUSログからはこれよりも多くの情報を確認することができます。

   

   パケットキャプチャでも2083番ポート宛の通信が暗号化されていることが確認できます。

   

おわりに

本記事では、Aruba Central管理のAruba Instant APの無線LAN認証でSecureW2のRADIUSサーバーを利用する際にRadSecを利用することで、TLSによって認証情報を暗号化したうえでセキュアにRADIUS認証を行う方法について検証を行いました。

ArubaはRadSecに対応している数少ない無線アクセスポイント製品です。 クラウド型RADIUSであるSecureW2ではインターネットを介して認証を行うため、企業によっては高いセキュリティ・プライバシー保護が要求されるケースも少なくありません。そこでRadSecを利用することにより、認証情報のやり取りを暗号化し秘匿することで、企業のコンプライアンスポリシーに照らした運用にも柔軟に対応することが可能です。また、RadSecは最新のセキュリティ標準に基づいたプロトコルであり、今後も安心してご利用いただくことが出来ます。

また、SecureW2のRadSecでは上記に加え、Real-Time IntelligenceによるIDaaSやMDMと連動した動的なネットワークアクセス制御が実現できることもメリットの一つです。さらに、Aruba CentralでAruba IAPを管理いただくことで、無線設定やネットワークの管理をクラウド上から行うことができ、SecureW2と併せることでネットワーク管理をよりシンプルにすることが可能です。ぜひ物理アプライアンスの要らないAruba Central / IAPとSecureW2の導入を併せて検討してみてはいかがでしょうか。以上で「Aruba IAP(Aruba Central)とSecureW2でRadSecを利用した802.1X認証（無線）を行う」検証レポートを終わります。

本記事で使用した機種のスペックシート

	AP-610シリーズ	AP-650シリーズ	AP-510シリーズ
無線規格	IEEE 802ax（Wi-Fi6E）対応		IEEE 802.11ax（Wi-Fi6）対応
無線アンテナ	2×2:2(2.4GHz/5GHz/6GHz)	4×4:4(2.4GHz/5GHz/6GHz)	2×2:2(5GHz) 4×4:4(2.4GHz)
ネットワークインターフェース	2.5Gポート×1 (PoE+ / 802.3az EEE)	2.5/5Gポート×2 (PoE++ / 802.3az EEE)	2.5Gポート×1(PoE++ / 802.3az EEE) 1Gポート×1(802.3az EEE)
設置場所	屋内
サイズ	160×160×39mm	260×260×60mm	200×200×46mm
重量	520g	1800g	810g
データシート	データシート	データシート	データシート

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。

ソリューション詳細パンフレットをダウンロード

この資料でわかること

• ArubaコントローラとSecureW2の連携
• Aruba AP635(630シリーズ) 特徴
• SecureW2クラウドRADIUSの機能