IEEE802.1X認証を導入してみた

Transcript

1. IEEE802.1X認証を導入してみた 会津大学 学部二年 しんぶんぶん（@shinbunbun_）

2. 自己紹介 • 人間 • 会津大学学部二年 • LINE API Expert •

   フロントエンドもバックエンドもインフラ /ネットワークもだいたいなんでもやるけど、 最近はバックエンド（Rust）とインフラをやってる • ピクシブ株式会社インフラ部 SAチーム 長期インターンシップ • 趣味: Twitter, カラオケ, 散財全般（主に服） @shinbunbun_ https://shinbunbun.info

3. みなさん、Wi-Fiちゃんと認証してますか？

4. Wi-Fiの認証方式について

5. WEP • Wired Equivalent Privacy • 危殆化したため現在は使われていない • 詳細は省略

6. WPA-Personal • WEPが危殆化したので代替に作られたプロトコル • WPA-Personal（TKIP） • PSKモードを使い、クライアントには全て同じパスフレーズが使われる • WPA2-Personal（TKIP, AES）

   • AES方式で使われているプロトコルはCCMP • PSKを使用 • WPA3-Personal（AES） • PSKモードのかわりにSAEを使用

7. WPA-Enterprise • IEEE 802.1X/EAP認証を使用 • 資料間に合わなそうなので詳細は省くと、ユーザー名&パスワー ドとかクライアント証明書とかで認証できるやつ

8. https://ja.wikipedia.org/wiki/IEEE_802.1X

9. 実装方法

10. まずはRadiusサーバを立ててみよう！

11. 今回立てたRadiusサーバについて • freeradiusというOSSを使用 • freeradius/freeradius-serveというDockerイメージを使用 • freeradiusの環境が入っている

12. リポジトリをclone

13. コンテナをビルド

14. コンテナを起動 これで認証サーバがたちました！

15. ルーター（Radiusクライアント）の設定をしよう！

16. TP-Linkのルーターを使用

17. 超簡単

18. サプリカントを接続してみよう！

19. None

20. 接続完了！

21. 設定ファイルの解説

22. client.conf • 接続を許可するネットワークや、 Radiusサーバに接続する際に必要 なシークレットを記述

23. raddb/mods-config/files/authorize • サプリカントの認証に使用するユー ザー名とパスワードを記述

24. 今後の展望

25. オレオレ証明書 • 認証サーバがオレオレ証明書になってる • 実家にPKI構築してるので、ちゃんと証明 書を発行したい

26. ユーザー認証基盤を作成 • ユーザー認証情報を設定ファイルにベタ書きしてる • LDAPとかで認証基盤つくって連携させたい

27. ガチ適当なLTになってごめんなさい🙏