[質問] 無線LANの802.1X認証構築について

社内に無線LANがあり、
・SSIDステルス
・MACアドレス認証
・暗号方式：AES
で行っているのですが、接続ホストのセキュリティ強化のため、
802.11X認証にてEAP-PEAP,EAP-TLSの導入を検討しています。

証明書を立てたり、認証サーバーを運用したりと考えると実際
運用はどうなのでしょうか？

セキュリティ強化というのが見方によってはあいまいな表現で
（導入コストに見合うだけの価値があるのか？）
運用されている中で大変だったりするものかアドバイスがあり
ましたら教えてください。

2013年02月28日 13時40分

回答

こんにちは。
当社ではFreeRadius2を利用してEAP-TLS環境を構築しております。

クライアント証明書は従業員統一で3ヶ月間(90日間)有効の証明書を発行しております。
MACアドレス認証は偽装が出来てしまうので、行っておりません。

運用して1年程経過しましたが、証明書の更新マニュアルを社内に公開することで、証明書期限が来ても問合せは少ないです。
また、有効期限を3ヶ月にすることで、普段無線LANを利用しない方の掃除を行えます(笑)無線を利用しないのに接続していると、それだけで社内IPが利用され続けますので。

証明書更新時にやっている事としては。。。
1.有効期限が近づいているという告知メール。
ここに証明書の更新マニュアル場所を記載。
2.クライアント証明書の更新
3.いつまで経ってもやり方を覚えない、マニュアルを見ない人へのフォロー。

以上ですかね。
各従業員毎に証明書を発行してないので、更新時期が来ても1つの証明書のみ対応するだけなので、工数は掛かってません。

2013年02月28日 15時10分

証明書運用は管理が大変です。
うっかりミスで普通にネットワークが止まるので、何らかの対策は必須と思います。
担当者不在のときに有効期限が切れたりすると悲劇です。。

証明書サーバをわざわざ立てるほどの費用対効果をきちんと説明するのは中々難しいのではないでしょうか。
無線LANの通信そのものにおける暗号機能が強化されるわけではないことにも注意する必要があると思います。

2013年02月28日 20時39分