【検証報告】NEC QX-W2120AC / QX-W1130 無線アクセスポイント と NetAttest EPS の認証連携を確認しました

はじめに

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、日本電気株式会社製 無線LANアクセスポイント 「QX-W2120AC / QX-W1130」を連携させ、エンタープライズ方式による認証が可能かを確認しました。

無線接続クライアントは、Windows、macOS、iOS、Android OS 搭載端末で、確認した認証方式はパスワード方式（EAP-PEAP）及び、電子証明書認証方式（EAP-TLS）です。

無線LAN（Wi-Fi）のセキュリティ強化とは？ 事例・対策・設定をわかりやすく解説 | ネットアテスト

企業がオフィス内で無線LANを使用する場合には、セキュリティに十分な注意を払わなければなりません。企業が無線LANを導入する際、セキュリティ対策を最も重視していることが「企業ネットワーク及び関連システムに関する調査」からも確認できます。具体的にどのような危険性があり、どんなセキュ...

netattest.com

1. 構成

1-1 構成図

以下の環境を構成します。

• 有線LANで接続する機器はL2スイッチに収容
• 有線LANと無線LANは同一セグメント
• 無線LANで接続するクライアントPCのIPアドレスは、NetAttest D3のDHCPサーバーから払い出す

1-2 環境

1-2-1 機器

1-2-2 認証方式

IEEE802.1X EAP-TLS/EAP-PEAP

1-2-3 ネットワーク設定

2. NetAttest EPSの設定

NetAttest EPSのセットアップを下記の流れで行います。

1. サービス管理ページへのログオン
2. 初期設定ウィザード (システム､システム-2)の実行
3. 初期設定ウィザード (サービス)の実行
4. httpsサービスの再起動
5. RADIUSクライアントの登録
6. 利用者の登録
7. クライアント証明書の発行

2-1 サービス管理ページへのログオン

NetAttest EPSの初期設定はLAN1から行います。初期のIPアドレスは「192.168.1.2/24」です。管理端末に適切なIPアドレスを設定し、Google Chrome もしくは Microsoft Edgeから「https://192.168.1.2:2181」にアクセスしてください。

2-2 初期設定ウィザード (システム､システム-2)の実行

サービス管理ページにログイン後、システム初期設定ウィザードを使用し、以下の項目を設定します。

• 管理者アカウントの設定
• 日付と時刻の設定
• ホスト名の設定
• ネットワークの設定
• DNSの設定
• インターネット時刻サーバーの設定
• ライセンスの設定

ログイン後に表示される画面より、「セットアップをはじめる」→「すすめる」→「はじめる」と進み、初期設定ウィザードの「システム」に関する設定を行います。

ここからは、システム初期セットアップウィザードの「システム-2」に関する設定を行います。

2-3 初期設定ウィザード (サービス)の実行 

OS再起動が完了後、再度サービス管理ページにアクセス及びログインし、サービス初期設定ウィザードを使用して、以下の項目を設定します。

• 認証の用途の設定
• 認証の方式の設定
• 利用者情報リポジトリの設定
• CA構築
• サーバー証明書発行

2-4 httpsサービスの再起動

画面上部に「httpsサービスを再起動する」ボタンを選択し、httpsサービスの再起動を行います。
httpsサービスを再起動するとページの再読み込みを求められるため、ページの再読み込みを行います。

2-5 RADIUSクライアントの登録

サービス管理画面の「管理」メニューにて｢RADIUS認証｣でフィルタリングし､｢NAS/RADIUSクライアント｣を選択します｡表示された画面で「新規登録」ボタンを選択し、RADIUSクライアントの登録を行います。

2-6 利用者の登録

サービス管理画面の「管理」メニューにて｢利用者とデバイス｣でフィルタリングし､｢利用者一覧｣を選択します｡表示された画面で「新規登録」ボタンを選択し、利用者登録を行います。

2-7 クライアント証明書の発行

サービス管理画面より、クライアント証明書の発行を行います。[利用者一覧]ページから該当する利用者のクライアント証明書を発行します。
(クライアント証明書は、user01.p12という名前で保存)

3. QX-W2120AC/QX-W1130の設定

QX-W2120AC/QX-W1130の初期設定ではWebブラウザからのログインが有効になっていないためコンソールから各種設定を行います。
ここでは初期設定およびRADIUS認証に必要な以下の設定を行います。

• QX-W2120ACの初期設定 
• QX-W1130の初期設定
• コントローラーでの無線設定
• コントローラーとAPの連携

3-1 QX-W2120ACの初期設定

QX-W2120ACの初期設定を行います。
CLI上での現設定の確認には「display current-configuration」コマンドを使用します。
設定変更を行う場合は「system-view」コマンドからシステムビューモードへ移行して行います。

3-1-1 PCとの接続 

電源が入っていないQX-W2120ACにコンソールケーブルを接続します。
コンソール設定はスピード:9600 , データ:8bit , パリティ:none , ストップビット:1bit , フロー制御: none に設定して下さい。

3-1-2 IPアドレスの設定

インタフェースのIPアドレスの設定を行います。
今回はインタフェースにvlan1を指定し、全物理ポートを同設定とします。
初めに、「system-view」を入力し、IPアドレスの設定に進みます。

※IPアドレスおよびネットワークのサブネットは、サブネットマスク、プレフィックス長いずれでも設定可能です。コンフィグ上で修正されます。
ここではコンフィグ内容通り、インタフェースのIPアドレスはサブネットマスクにて設定しています。

3-1-3 WebUIの有効化

WebUIへアクセスするためにhttpサービスの有効化、ユーザー、サービスタイプ、ユーザーロール、パスワードの作成を行います。

3-1-4 WebUIへのアクセス

設定した内容でWebUIのログイン確認を行います。
今回はhttpサービスを許可したのでWebブラウザから「http://192.168.1.4」へアクセスし、作成したアカウント、パスワードを入力しログインします。
ログイン画面上で英語/日本語の選択が可能です。
本書ではログイン以後の画面は日本語での表示となります。

3-2 QX-W1130の初期設定

3-2-1 モードの設定

QX-W1100シリーズには、3つの動作モードが存在します。

本手順ではAPにコンソール接続し、動作モードの変更を行う方法を記載します。
現在の動作モードの確認及び変更は、まず装置を再起動します。
「Press　Ctrl+B to access EXTENDED BOOT MENU...」のメッセージが表示されたら、表示時間以内に、「Ctrl+B」を押します。
続けて、「Ctrl+Y」を押すと、現在の動作モード及び変更画面が表示されます。

「Current mode is…」に続く部分が現在の動作モードです。
表示されている動作モードの中から、実行したいものを選択し、「Enter」を押します。
本資料では、コントローラーで管理を行う為、Anchor-Fit「3」を押し、「Enter」を押します。

再度、Boot Menu画面が表示されますので、「0」を押して、再起動を行い動作モードの変更を行います。

3-2-2 IPアドレスの設定

QX-W1130の初期設定ではvlan1にDHCPにより自動的にアドレスが取得される設定となっています。
本手順ではAPにコンソール接続し、IPアドレスを固定する方法を記載します。
コンソール設定はQX-W2120ACと同様となります。

初めにパスワードの入力ログインが求められます。
初期パスワードは「qx_admin」です。

ログイン完了後、QX-W2120ACと同様の手順で、IPアドレスを設定します。
QX-W1130はGUIでの、設定を行わないため、CLIで設定の保存が必要になります。

3-2-3 機器情報確認 

コントローラーにAPを登録する際にシリアルNo、またはMACアドレスが必要となります。
今回はMACアドレスを登録するため、CLIでMACアドレス確認を行います。
※MACアドレス、シリアルについてはAP背面のラベルにも記載されています。

3-3 コントローラーでの無線設定

3-3-1 RADIUSの設定

QX-W2120ACのWebUIからRADIUSサーバーの設定を行います。
Webブラウザから「http://192.168.1.4」へアクセスします。
ログイン完了後、左のメニューから「ネットワークセキュリティ」-「認証」を選択し、「RADIUS」タブへ移動します。
「＋」ボタンをクリックし、新規RADIUSの設定を行います。

802.1X はクライアント、認証装置、認証サーバーの認証に関する情報を転送するために EAP
（Extensible Authentication Protocol）を使用します。
「ネットワークセキュリティ」-「アクセス制御」にてEAP 中継モードを有効にします。

　「802.1Xを有効にする」をクリックし、802.1Xの設定を開きます。
　認証方式で「EAP」を選択し、適用をクリックします。

3-3-2 ISPドメインの設定

「ISPドメイン」タブへ移動し、作成したRADIUSの設定と紐づけます。
「＋」ボタンをクリックし、新規ISPドメインの設定を行います。

3-3-3 SSIDの設定

左のメニューから「クイックスタート」-「サービスの追加」を選択し、SSIDの設定を行います。
設定を入力後、「適用」ボタンを選択します。
無線サービス名に大文字を使用した場合、入力は可能ですが、小文字に自動修正されます。

3-4 コントローラーとAPの連携

左のメニューから「クイックスタート」-「APの追加」を選択し、コントローラーとAPを紐づけします。
APのシリアルIDまたは、MACアドレスのいずれかを入力します。
本資料では、前述した通り、MACアドレスで設定を行います。
設定を入力後、「高度な設定の適用を設定」ボタンをクリックします。

「高度な設定の適用と設定」ボタンを選択後、「WLANサービス設定」タブへ移動し、無線サービスに「3-3-3 SSIDの設定」にて作成したサービスを紐づけます。
ここでは５GHｚ(1)に サービス名：SolitonLab｛SSID：SolitonLab｝を設定します。

4. EAP-TLS認証でのクライアント設定

4-1 Windows 10でのEAP-TLS認証

4-1-1 クライアント証明書のインポート

PCにクライアント証明書をインポートします。ダウンロードしておいたクライアント証明書(user01.p12)をダブルクリックすると、証明書インポートウィザードが実行されます。

4-1-2 サプリカント設定

Windows標準サプリカントでTLSの設定を行います。
[ワイヤレスネットワークのプロパティ] の [セキュリティ] タブから以下の設定を行います。

4-2 MacでのEAP-TLS認証 

4-2-1 クライアント証明書のインポート

PCにデジタル証明書をインポートします。
「キーチェーンアクセス」を起動し、[デフォルトキーチェーン] - [ログイン]を選択後、PKCS#12ファイルをドラッグ＆ドロップし、PKCS#12ファイル のパスワードを入力します。

インポートしたCA証明書の信頼設定を変更します。

インポートしたCA証明書をダブルクリックし、[信頼] - [この証明書を使用するとき]の項目で「常に信頼」に変更します。

ウィンドウを閉じると、パスワードを求められるため、端末(Mac)に設定しているパスワードを入力し、「設定をアップデート」を選択します。

参考)
CLIコマンドを利用して、PKCS#12ファイルをインポートすることも可能です。
PKCS#12ファイルをデスクトップ上へ保存し、ターミナルで以下のコマンドを入力します。

「ログインユーザーID」、「証明書ファイル名」は、環境に合わせて書き換えて下さい。

注：V11.6.6（macOS Big Sur）及びV12.5(macOS Monterey)で確認したところ、コマンドラインからエクスポート禁止オプション（"-x"）を設定してインポートしても、キーチェーアクセスから秘密鍵をエクスポート出来てしまうようです。

なお、ソリトンシステムズの証明書配布ソリューションであるEPS-apを利用してクライアント証明書をインポートした場合は、秘密鍵のエクスポートは不可の状態となります。

4-2-2 サプリカント設定

Mac標準サプリカントでTLSの設定を行います。
メニューバーのネットワークのアイコンをクリックして、「Wi-Fi設定…」をクリックし、以下の設定を行います。

4-3 iOSでのEAP-TLS認証

4-3-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をiOSデバイスにインポートする方法には下記などがあります。

1. Mac OSを利用してApple Configuratorを使う方法
2. クライアント証明書をメールに添付しiOSデバイスに送り、インポートする方法
3. SCEPで取得する方法(NetAttest EPS-apを利用できます)

いずれかの方法でCA証明書とクライアント証明書をインポートします。本書では割愛します。

4-3-2 サプリカント設定

QX-W2120ACで設定したSSIDを選択し、サプリカントの設定を行います。

まず、「ユーザ名」には証明書を発行したユーザーのユーザーIDを入力します。次に「モード」より「EAP-TLS」を選択します。その後、「ユーザ名」の下の「ID」よりインポートされたクライアント証明書を選択します。

※初回接続時は「信頼されていません」と警告が出るので、「信頼」を選択し、接続します。

4-4 AndroidでのEAP-TLS認証

4-4-1 クライアント証明書のインポート

NetAttest EPSから発行したクライアント証明書をAndroidデバイスにインポートする方法として、下記３つの方法等があります。いずれかの方法でCA証明書とクライアント証明書をインポートします。手順については、本書では割愛します。

1. SDカードにクライアント証明書を保存し、インポートする方法※1 
2. クライアント証明書をメールに添付しAndroidデバイスに送り、インポートする方法※2
3. SCEPで取得する方法(NetAttest EPS-apを利用できます)※3

※1 メーカーやOSバージョンにより、インポート方法が異なる場合があります。事前にご検証ください。
※2 メーカーやOSバージョン、メーラーにより、インポートできない場合があります。事前にご検証ください。
※3 メーカーやOSバージョンにより、Soliton KeyManagerが正常に動作しない場合があります。事前にご検証ください。

Android 13では証明書インポート時に用途別に証明書ストアが選択できますが、本書では無線LANへの接続を行うため、クライアント証明書は「Wi-Fi証明書」を選択しています。

4-4-2 サプリカント設定

QX-W2120ACで設定したSSIDを選択し、サプリカントの設定を行います。
「ID」には証明書を発行したユーザーのユーザーIDを入力します。CA証明書とユーザー証明書はインポートした証明書を選択して下さい。

5. EAP-PEAP認証でのクライアント設定

5-1 Windows 10でのEAP-PEAP認証

5-1-1 Windows 10のサプリカント設定

[ワイヤレスネットワークのプロパティ] の「セキュリティ」タブから以下の設定を行います。

5-2 MacでのEAP-PEAP認証

5-2-1 Macのサプリカント設定

Mac標準サプリカントでPEAPの設定を行います。

メニューバーのネットワークのアイコンをクリックして、「Wi-Fi設定…」をクリックし、以下の設定を行います。

5-3 iOSでのEAP-PEAP認証

5-3-1 iOSのサプリカント設定

QX-W2120ACで設定したSSIDを選択し、サプリカントの設定を行います。「ユーザ名」、「パスワード」には「2-6 利用者の登録」で設定したユーザーID、パスワードを入力してください。

※初回接続時は「証明書が信頼されていません」と警告が出るので、「信頼」を選択し、接続します。

5-4 AndroidでのEAP-PEAP認証

5-4-1 Androidのサプリカント設定

QX-W2120ACで設定したSSIDを選択し、サプリカントの設定を行います。「ID」「パスワード」には「2-6 利用者の登録」で設定したユーザーID、パスワードを入力してください。「CA証明書」にインポートしたCA証明書を選択してください。

6. 動作確認

6-1 RADIUS認証ログの確認(EPS)

EPSのRADIUS認証ログは、サービス管理画面の「管理」メニューにて｢ログ｣でフィルタリングし､｢RADIUS認証ログ｣を選択することで確認可能です。

6-1-1 認証成功ログ

EAP-TLS
EAP-PEAP

6-2 ログの確認(QX-W2120AC) 

QX-W2120ACの認証ログは、「システム表示」-「システム」-「イベントログ」と進むことで確認することができます。

6-2-1 認証成功ログ

EAP-TLS
EAP-PEAP

まとめ

ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」と、日本電気株式会社製 無線LANアクセスポイント 「QX-W2120AC / QX-W1130」を連携させ、エンタープライズ方式による認証が可能であることを確認しました。

今回の連携検証は、最もシンプルな構成で行っています。
企業ネットワークへの導入を検討するにあたっては、無線アクセスポイントの各種機能の評価も必要になります。より実環境に近い構成での確認をお奨めします。