質問

2016年10月01日 13時51分
  • 無線LANの認証について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

社内全体で無線LANの設備を導入しようと検討しています。

PSKの運用で悩んでいるのですが、今社員全員にPSKを教えることはセキュリティ上問題視しています。
教えてしまうと会社が認めていない端末をネットワークに入れられてしまうことが特に懸念しています。
MACじゃ・・・心もとないですし・・・

また、システム管理者がPSKを入力して各自のPCを設定するなんて手間暇もかけれません・・・

証明書アプライアンスをベンダーに見積もってもらったところ80万以上してとても出せません。

なにかいい方法はないものでしょうか?
クライアントは、300台程度です。

4件の回答があります

回答

端末を絞って、小さなアプライアンスを導入するのは如何でしょうか?全端末である必要はありますか?

回答

弊社の場合も認証サーバの導入が高価であったため、
セキュリティ的には心許ないですが
結局は「L2ブロッカー」という機器で
MAC認証とPSKのみで無線LAN管理をしています。

各PCのPSK入力についてですが、
クライントOSがWindowsであることが前提ですが、
SSID情報が記載された「無線LANプロファイル(xml)」を事前に作成(エクスポート作成)し、
そのファイルを各PCでインポートさせるという方法(DOSによるバッチ処理)ではいかがでしょうか?
 (※「無線LANプロファイル インポート(エクスポート)」等で
キーワード検索すれば手順が沢山出てきます)

この方法はxmlファイルの以外に、
インポート実行指示をさせるbatファイルも必要ですが、
このbatファイルに、予め「xmlファイルをインポートする」というコマンド(netshコマンド)記述をしておき、
各ユーザのPCにおいて、このbatファイルを実行してあげれば、
SSID等の無線LAN情報を一瞬で登録させることが可能です。
 (※bat実行の際、xmlファイルとbatファイルは同一フォルダである必要があります)

ただし、このbatファイルは、
PSK情報も記載されており、テキスト形式で簡単に閲覧されてしまう状態ですので
自分の場合はこのbatファイルを、
EXE形式に変換(バイナリ)し(※変換にはフリーソフトを利用しました)
「EXEファイル」を各ユーザに実行させて無線LAN切り替えをさせたことがあります。

未検証ではありますが、
社内にADサーバを導入しているのであれば、
ADサーバ側の起動制御でこのbatファイルを強制的に実行させ
登録させることもできるのではと思います。

Windows10等でSyspep実行した時も
強制的に無線LAN情報がクリアされてしまいますが、
自分の場合、Sysprep後の初回起動処理において
上記のようなxmlファイルをバッチ処理でインポートするように組み込んでおり、
社内無線LAN(SSID)への自動接続ができるようにマスタ作成をしております。

2016年10月01日 20時22分

回答

自分の常駐先の1社(規模200~250台)でも、同じような悩みを抱えていた時期があり、本社と各拠点の無線ルーターをCisco製Merakiへ入れ替えました。
  
 ■Cisco Meraki(シスコ・メラキ)
  https://meraki.cisco.com/ja/content
  
Merakiは、従来型のRADIUS、Active Directory、LDAPサーバーに加えて、【MDM認証、ユーザーIDとパスワード認証、SMS認証、Facebook認証、Google認証】など複数の認証方法を選択可能です。
   
実際オープンスペースや来客者向け会議室では、ゲスト専用の無線LAN回線をFacebook認証にて運用してます。
(社内ネットワークへ接続不要な私物端末は、こちらを使用)
  
他方、社内ネットワークへ接続したいという私物PCや私物スマホ端末には、「Meraki MDM」のインストールを義務付けています。
  
この「Meraki MDM」は無線LANの親機である「Cisco Meraki」本体を購入すると、無料で使用できるようになります。
(MDMとしてGPS位置情報やリモートワイプなど、色々と活用可能。Win/Mac/Android/iOS対応)
  
例えば私物iPhoneを社内ネットワークへ接続したい場合、ネットワーク アクセス コントロール(NAC)設定をしたMDMプロファイルを事前準備しておきます。
  
ユーザーは、社内にネットワークへ接続しようすると、上記のプロファイルのインストールを求められます。
インストール官僚後、社内ネットワークへと接続可能になります。
(Cisco Merakiアクセスポイントとの連動し、システム マネージャで管理されているデバイスのみにネットワーク接続を許可可能)
  
システム管理者は、社内ネットワークに接続している私物端末(プロファイルが入ってる端末)をブラウザ上で一括管理することが可能です。勿論ログも取れます。複数の拠点も、各拠点の接続状況を本社側で管理できます。
 
と、長くなってしまいましたが、上記と同様のサービスは、競合製品含めて複数有りますので、色々と吟味されてみては如何でしょうか?
以上、簡単ですが参考になれば幸いです。

回答

返事が遅くなり申し訳ないです。
大変皆さんの意見参考になりました。

どんな方法がベストか探っていきたいと思います

2016年10月19日 00時30分

あなたもコメントしましょう!