ここから本文です。
MACアドレス認証とは?意味や仕組みをわかりやすく解説
スイッチングハブ、ネットワークシステム構築に関するお問い合わせはこちら
MACアドレス認証とは?
MACアドレス認証とは、LAN上でネットワーク機器にそれぞれ割り当てられたMACアドレスを利用し、特定の機器だけにネットワークアクセスを制限する方法です。
家庭用のルータでは、無線LANのセキュリティの一環になっており、ルータの不正利用を防ぐ対策として機能しています。
ただし、ネットワーク管理用の機器ではアドレス変更も可能であり、なりすましなどの悪意を持つユーザーに対しては、セキュリティ対策にならないという注意点があります。
MACアドレス認証の動作の仕組み・流れ
MACアドレス認証の仕組みはシンプルです。まず、特定の機器が送信したイーサネットフレームを、クライアントにあたるアクセスポイントやルータが受信します。次に、アクセスポイントが送信元のMACアドレスを「ユーザ/パスワード」として、RADIUSメッセージを作成します。
RADIUSメッセージは、RADIUSサーバに認証要求され、RADIUSサーバは登録されている認証情報を基に許可または拒否判断する仕組みです。RADIUSサーバからの許可または拒否に従って、イーサーネットフレームを送信した機器の通信を認証またはブロックします。他の端末でも同様の手順で、MACアドレス認証が行われます。
MACアドレス認証に関連する用語
RADIUS
RADIUSは「Remote Authentication Dial In User Service」の頭文字を取ったもので、ネットワークのユーザ認証プロトコルです。RADIUSを使用して認証サービスを行うサーバを、RADIUSサーバと呼びます。
古くはダイアルアップ接続から始まり、現在では有線・無線LANのネットワーク接続として利用されています。セキュリティ対策の一環として行うことが一般的です。
VAP
VAPは、無線LAN上にて複数の無線サービスを同時・多重的に運用する機能です。VAPごとに個別の無線接続設定があり、認証方式も異なる設定にすることで、セキュリティ対策の強化ができます。オープン、Enhanced Open、Open/Enhanced Open、共有、WPA2-PSKなどいろいろな認証方式があります。
RADIUSメッセージのアトリビュート値について
アトリビュートとは、IT分野においては対象の性質や設定などの付加情報の意味があり、属性ともいわれるものです。RADIUSメッセージにもアトリビュートがあり、それぞれ下記のような値と書式になっています。
アトリビュート | 値 | 書式 | 設定の可不可 |
---|---|---|---|
User-Name | 認証対象の機器のMACアドレス | ハイフン区切り形式のMACアドレス | 設定不可 |
User-Password | 認証対象の機器のMACアドレス | ハイフン区切り形式のMACアドレス | 設定不可 |
Calling-Station-Id | 認証対象の機器のMACアドレス | ハイフン区切り形式のMACアドレス | 設定不可 |
Called-Station-Id | 認証対象のイーサネットフレームを受信したインターフェースのMACアドレス | ハイフン区切り形式のMACアドレス | 設定不可 |
NAS-IP-Address | ユーザが設定する値。デフォルトでは「127.0.0.1」 | IPv4アドレス形式の文字列 | 設定可 |
NAS-Identifier | ユーザが設定する値。デフォルトでは「127.0.0.1」 | 1‐253文字の文字列 | 設定可 |
RADIUSサーバの冗長化とは
RADIUSサーバの冗長化(二重化)とは、2台のRADIUSサーバそれぞれに異なるIPアドレスを使用し、設定情報をペアとなる機器にレプリケーションすることで、2台の機器を同一状態で動作させることです。クライアント側で認証先のRADIUSサーバを2つ登録して認証先を切り替えることで、冗長化運転を可能にします。
あるRADIUSサーバでの認証要求が一定回数失敗すると、別のRADIUSサーバに切り替えて認証要求できます。
認証要求が失敗するケースは以下の3つです。
- RADIUSサーバへの要求送信に失敗した
- RADIUSサーバからの応答待ちでタイムアウトした
- RADIUSサーバから不正な応答を受信した(共有鍵の不一致+Access-AcceptまたはAccess-Rejectメッセージ以外が送られた)
認証状態のキャッシュについて
RADIUSサーバへの認証要求と認証結果は、MACアドレス別に一定期間キャッシュとして保存される仕組みです。キャッシュと一致するイーサネットフレームについては、認証せずに許可または拒否が判断されます。キャッシュの保持数は最大で65,536個までで、保持上限に達すると未知のMACアドレスを送信元にしているイーサネットフレームは破棄されます。
認証状態のキャッシュの分類
認証状態のキャッシュは以下の通りに分類されます。
種類 | 通信の可否 | 状態 | 目的 | 有効期間 |
---|---|---|---|---|
認証要求キャッシュ | 不可 | 認証要求の応答を待つ状態 | 認証結果を待っている状態のMACアドレスについて重複して要求送信しない | 固定値(60秒) |
Acceptキャッシュ | 可 | 認証により許可された状態 | 認証により許可されたMACアドレスを送信元とするフレームについて、認証要求なしで許可する | Acceptキャッシュ有効期間の設定値 |
Rejectキャッシュ | 不可 | 認証により拒否された状態 | 認証により拒否されたMACアドレスを送信元とするフレームについて、認証要求なしで拒否する | Rejectキャッシュ有効期間の設定値 |
認証要求失敗キャッシュ | 不可 | 認証要求が失敗した状態 | RADIUSサーバや通信経路等の障害の可能性を考慮し、一時的に認証要求を抑止する | 認証要求失敗時の再試行間隔の設定値 |
再認証について
Acceptキャッシュについては、許可されたフレームを再度受信すると有効期間が更新され、再認証間隔に設定された期間が再度経過することで、RADIUSサーバに認証を要求します。再認証の応答待ちや再認証に失敗した状態でも、Acceptキャッシュとして扱われます。
認証要求の応答待ちとなるケース
RADIUSサーバへの認証要求は、同時30個までが管理され、応答待ちになります。ただし、応答待ちの認証要求が30個を超える場合、古い認証要求から拒否されます。例外として、Acceptキャッシュが存在するMACアドレスを再認証する場合については、応答待ちの上限には含まれません。
MACアドレス認証のフィルタ
未知のMACアドレス及び認証バイパス対象のMACアドレスから、イーサネットフレームを処理するために、認証により生成されるキャッシュと固定的に設定されるフィルタを保持するものです。
フィルタの分類
MACアドレス認証のフィルタには2種類あります。
種類 | 通信の可否 | 状態 | 対象 |
---|---|---|---|
Staticフィルタ | 許可 | 静的に設定された状態 | 認証バイパス対象のMACアドレスにマッチする |
Listeningフィルタ | 認証結果による | 他のフィルタやキャッシュにマッチしないMACアドレスを待っている状態 | 未知のアドレスにマッチする |
一定のフィルタリング機能はあるが過信しすぎないこと
MACアドレス認証には、特定の端末・機器をフィルタリングする機能は期待できますが、それ自体のセキュリティ対策は強固ではありません。そのため、セキュリティ対策としてMACアドレス認証を過信するのは危険です。あくまでフィルタリングを目的としたものと認識し、個別にセキュリティ対策を強化してください。悪意を持った第三者からネットワークを守る視点で、セキュリティ対策を行いましょう。