ソリューション
業種別
用途別
統合化SDNソリューション
SDN/ネットワーク統合管理ソリューション
SDN/アプリケーション連携ソリューション
xシリーズポータル
プライベートクラウドソリューション
ワイヤレスソリューション
脅威可視化統合監視ソリューション
映像監視ソリューション
データセンターソリューション
スイッチ・セキュリティーソリューション
スイッチセキュリティー
Basicセキュリティー
Advancedセキュリティー
LAN環境での不正アクセス対策
VLANソリューション
UTM&VPNルーターポータル
省電力ソリューション
スイッチ・セキュリティーソリューション
Advancedセキュリティー
IEEE 802.1X認証 / MACアドレスベース認証
Web認証
認証方式の併用時の動作
2ステップ認証
L3モード エンハンスト ゲストVLAN
Auth-fail VLAN
プロミスキャス / インターセプト Web認証
ローカルRADIUSサーバー
IEEE 802.1X認証 / MACアドレスベース認証 / Web認証の効果
Advancedセキュリティー対応機器

IEEE 802.1X認証 / MACアドレスベース認証
機能概要
IEEE 802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。認証される機器には、EAPで通信する機能(サプリカント)が必要になります。
MACアドレスベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。スイッチが認証される機器のMACアドレスを検出し、認証を行うため、機器側に認証機能を用意する必要がありません。
また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。
ポート配下に複数の機器が接続している場合でも、個別に認証することができます。
(Multiple Authentication (Multiple Supplicant))
ポートごとにSingle/Multiple Authenticationの選択が可能。
Multiple Authentication機能使用時、配下に設置するスイッチはEAP透過機能が必要(対応製品またはHUB等のシェアードメディア)。
ポート配下に複数の機器が接続しており、EAPを使用できない機器( 例: プリンター) と、使用できる機器が混在する環境でも、以下に対応していれば認証することが可能です。
MACアドレスベース認証との併用機能: ポート配下の機器をIEEE 802.1X 認証、MAC認証いずれかで認証することが可能
サプリカントMAC: スイッチに登録したMACアドレスを認証済みにすることが可能
IEEE802.1X認証 / MACアドレスベース認証
Web認証
機能概要
Web認証は、スイッチ-機器間のプロトコルとしてHTTP/HTTPSを使って、ユーザー単位で認証を行うしくみです。認証される機器には、Webブラウザーがあれば良く、MACアドレスベース認証と同様にサプリカントを必要としません。また、HTTPSによりセキュリティーもより強化できます。
スイッチがWebブラウザーに入力されたログイン情報をHTTP/HTTPSで機器から取得し、RADIUSサーバーに問い合わせることにより、ユーザー認証が行われます。
また、認証したユーザーに応じて指定したVLANを割り振る機能(ダイナミックVLAN)も可能です。
ポート配下に複数の機器が接続している場合でも、個別に認証することができます。
(Multiple Authentication (Multiple Supplicant))
ポートごとにSingle/Multiple Authenticationの選択が可能。
Multiple Authentication機能使用時、配下に設置するスイッチにEAP透過機能は不要です。
IEEE 802.1X認証、MAC認証と組み合わせにより、より柔軟で強固なセキュリティーとすることが可能となります。
Web認証
認証方式の併用時の動作
概要
IEEE802.1X認証 / MACアドレスベース認証/ Web認証の3つの認証方式を1つのポート上で併用した場合の動作は以下となります。詳細については、コマンドリファレンスをご参照ください。
[認証方式の併用時の動作]
SBx8100
SBx908
x900
x610
x600
x510
x510DP
IX5
x310
x230
x210
x200
GS900M V2
FS900M
9048XL
9424T
MAC認証を先に実施し、MAC認証が失敗した場合、802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施可能 MACベース認証を先に実行するが、EAPOL-Startを受信したときはただちに802.1X認証を実施する
2ステップ認証
機能概要
2ステップ認証とは、SupplicantがMACベース認証/802.1X認証/Web認証のうち2つの認証方式を連続して成功したときに初めて通信が許可される認証方式です。
2ステップ認証で認証成功となる組み合わせは次のとおりです。
1. MACベース認証 ○ → 802.1X認証 ○
2. MACベース認証 ○ → Web認証 ○
3. 802.1X認証 ○ → Web認証 ○
MAC認証とWeb認証を利用した 2ステップ認証
効果
従来の認証では、MACベース認証/802.1X認証/Web認証のいずれか1つの方式で認証に成功すれば通信が許可されていましたが、2ステップ認証では2つの方式に成功したときだけ通信を許可するため、セキュリティーをより高めることが可能です。
不正ユーザーによる正規ユーザーPCの使用や、許可されていない持ち込みPCの使用、万が一のID/PASSの漏洩時などにネットワークへの不正アクセスを未然に防ぐことが可能になります。
2ステップ認証 効果
2ステップ認証を利用する場合の設定方法①
認証スイッチとRADIUSサーバーとの間で使用する認証方式を、それぞれ別の方式に設定する
2ステップ認証では、異なる認証要素で2段階の認証を実施する為に、認証スイッチとRADIUSサーバーとの間で使用する認証方式をそれぞれ別の方式にて設定して下さい。これにより、Radiusサーバー側で1回目の認証と2回目の認証のユーザー名/パスワードを区別可能になるため、2回目の認証時に1回目の認証情報を入力しても、認証成功となりません。
MAC認証とWeb認証を使用する場合
2ステップ認証を利用する場合の設定方法②
MAC認証のパスワードを共通パスワードに設定する
ファームウェアバージョン5.4.4からは、MAC認証で使用するパスワードに共通のパスワードを設定することが可能になります。認証スイッチで、MAC認証のパスワードを共通のパスワード(全ユーザー共通)に設定し、Radiusサーバー側では、MAC認証ユーザーを登録する際に、パスワードにMACアドレスではなく認証スイッチで設定した値を設定します。
本設定は 「MAC認証 + Web認証」、「MAC認証 + Web認証」の組み合わせ時に有効となります。
MAC認証とWeb認証を使用する場合2
L3モード エンハンスト ゲストVLAN
機能概要・効果
認証前端末に対してDHCPによるIPの取得や、特定のサーバ/ネットワークへのアクセスを許容し、柔軟な認証ネットワークを構築できます。
NAP環境に適した認証前端末のウィンドウズドメインへのアクセス制御を実現可能です。
同一ドメイン内のスイッチングアクセス制御のみならず、L3モード エンハンスト ゲストVLANでは他のネットワーク(VLAN)へのルーティングを伴うアクセスをも制御できます。
例えば、NAPはActive Directoryを前提としていますが、IEEE 802.1X認証(およびNAP検疫)とActive Directoryのドメイン認証は同期していません。そのため、IEEE 802.1X認証前にActive Directoryのドメイン認証が行われた場合、ポートが開放されていないため通信ができず、ドメイン認証が失敗します。
しかし、例えば、L3モード エンハンスト ゲストVLANを使用することで、認証前端末でもActive Directoryへアクセス可能となり、ドメイン認証が可能となり、構成変更・設定変更をすること無く、NAP環境実現が可能となります。
L3モード エンハンスト ゲストVLAN
Auth-fail VLAN
機能概要・効果
認証失敗時に、ユーザが設定した任意のVLANへ移動可能です。
ACLと連携しAuth-fail VLANにアサインされた端末に対して多彩な制御を実現できます。
通常、IEEE 802.1X 認証やMAC認証やWeb認証などで認証NGとなると、その端末の通信は全てブロックされてしまいますが、本機能を使用する事で、例えば正規のアカウントを持たないユーザでも制限付きネットワーク(例:インターネットアクセスのみ)へのアクセスなどが実現出来ます。
Auth-fail VLAN
プロミスキャス / インターセプト Web認証
機能概要・効果
Web認証装置となるスイッチ(Authenticator)をL2スイッチとして動作させる事が可能です。
クライアント(Supplicant)のデフォルトゲートウェイをスイッチ(Authenticator) とせずとも、Web認証を強制的に動作させる事が可能です。
これにより、Authenticator毎にセグメントを分割することなく、エッジ/ディストリビューションスイッチでのWeb認証を行なうことが可能となります。
プロミスキャス / インターセプト Web認証 プロミスキャス / インターセプト Web認証
AuthenticatorがL3として動作するので、Web認証時はAuthenticator毎にセグメントを分割する必要があり構成が複雑となる 本機能使用時は、AuthenticatorがL2として動作可能なため、Authenticator毎にセグメントを分割する必要がなく、単一L2構成となり非常にシンプルな構成でWeb認証環境を構築可能
ローカルRADIUSサーバー
機能概要
スイッチ内部に登録されたアカウントで認証を行い、外部RADIUSサーバーを不要とします。
802.1X認証、Web認証、MACベース認証機能に対応可能
PEAP/TLSなど様々な認証方式に対応可能
配下のAuthenticator(RADIUSクライアント(NAS))に対するRADIUSサーバーとしても使用可能
独自の証明書を発行するローカルCA機能が付属しており、別途認証局(CA)を用意が不要
ユーザー登録:100件まで登録  NAS登録数:最大24件まで登録 
SBx8100シリーズ、SBx908シリーズ、x900シリーズ、x610シリーズ、x600シリーズはオプションライセンスを導入することでユーザ登録数を1000件まで、NAS登録数を100件まで拡張できます。
ローカルRADIUSサーバー
認証方式 ローカルRADIUSサーバー サポート機能
802.1X認証 MACベース認証 Web認証
PAP/CHAP
EAP-MD5
EAP-TLS
EAP-PEAP
IEEE 802.1X認証 / MACアドレスベース認証 / Web認証の効果
効果
登録されていないユーザー/機器のネットワークへの進入を防ぐことができます。
Web認証では、基本的にWebブラウザーを搭載した機器であれば、認証が可能です。PCを統一できない環境に適しています。
MACアドレスベース認証では、スイッチがMACアドレスを検出するため認証する機器を選びません。
MAC flooding attacksDHCP starvation attacksの様な攻撃を防止することができます。
ローカルRADIUSサーバー機能により、サーバーを用意することなく認証が可能になります。これにより、コスト/運用面/ネットワーク設計での負担が削減可能です。
Advancedセキュリティー対応機器
Advancedセキュリティー対応機器一覧 (48KB)
EAP透過スイッチ
スイッチ検索ページにて「サポート機能」の「EAPパケット透過」をチェックすることにより確認することができます。
スイッチ検索ページへ


PAGE TOP