ネットワーク ユーザーがワイヤレス ネットワークに安全に認証できるようにすることは、組織全体の安全性とセキュリティにとって最も重要です。 現在、最も広く使用されているワイヤレスネットワークプロトコルは、WPA2-Enterpriseで使用されているEAP（Extensible Authentication Protocols）です。 EAP認証方法を利用することで、ユーザーの情報は暗号化を使用して無線で送信され、傍受を回避できます。

最も一般的なEAP方法の2つ、EAP-TLSとPEAP-MSCHAPv2は、一般的に使用されている安全な認証方法として認められていますが、これらはどのように機能するのでしょうか。 また、セキュリティを提供する上で、両者はどのように異なるのでしょうか。

セキュア EAP メソッドの設定

EAP-TLS、PEAP-MSCHAPv2 とも設定プロセスは異なりますが、共通するのは、ユーザーがネットワーク アクセス用に自分の機器を手動で設定できないようにすべき、ということです。 EAP-TLS のプロセスには、デジタル証明書の登録とインストールが含まれ、両方のプロトコルとも、無線によるクレデンシャル盗難攻撃に対して有効であるように、サーバー証明書の検証設定が必要です。 そして、これは関係するすべてのステップをカバーすることはほとんどありません。 平均的なネットワーク ユーザーにとって、プロセスはどちらも複雑であり、手動設定は絶対に避けるべきです。

手動設定によるサポート チケットやセキュリティ リスクを回避するには、新しいユーザーを自動的に設定するオンボーディング ソフトウェアを導入することが推奨されます。 SecureW2のJoinNowオンボーディング・ソリューションは、数ステップでユーザーを正確に設定します。 ユーザは本人確認を行い、承認されると、EAP-TLSまたはPEAP-MSCHAPv2認証を使用して、ネットワーク・アクセス用にデバイスが安全に設定されます。

EAP-TLS および PEAP-MSCHAPv2 による認証

両プロトコルは EAP 方式とみなされ、それぞれ暗号化された EAP トンネルを通じて識別情報を送信します。 この暗号化トンネルにより、外部のユーザーは無線で送信される情報を読み取ることができません。

しかし、エンドユーザーのプロセスは、2つのプロトコル間で大きく異なっています。 PEAP-MSCHAPv2 では、ユーザーは資格情報を入力して RADIUS サーバーに送信する必要があり、このサーバーは資格情報を検証して、ネットワーク アクセスのためにユーザーを認証します。 EAP-TLS は、証明書ベースの認証を使用します。 RADIUSサーバに認証情報を無線で送信するのではなく、認証情報は1回限りの証明書登録に使用され、その証明書は認証のためにRADIUSサーバに送信されます。

EAP-TLS と PEAP-MSCHAPv2 では、クライアントデバイス、アクセスポイント（AP）、RADIUS サーバーの間で交換される情報が異なる場合がありますが、両方とも TLS ハンドシェイクを受けます。 これは、サーバーとクライアントが識別情報を交換する通信プロセスです。 両者は互いの身元を確認し、暗号化アルゴリズムを確立し、セッションキーに合意して、ネットワークへの認証を安全に行います。 以下は、Certified Wireless Security Professional Study Guide から、両方の認証プロトコルのプロセスの詳細を説明した画像です。

上記の認証プロセス間で強調すべき主な違いは、関連するステップの数です。 EAP-TLS プロセスは、認証のためのステップ数がほぼ半分です。

個々の認証ベースでは、これは非常に短い時間差です。 単一の認証ユーザーでは、この差はほとんど感知できません。 この手順の違いが重要になるのは、大規模な認証イベントの場合です。

一度に多数のユーザーが認証を試みる状況では、プロセスの短縮が大きな利点になります。 認証の遅れが発生する可能性はかなり低くなります。 さらに、RADIUSが認証リクエストで過負荷になり、冗長化対策をしていない場合、ネットワークはリクエスト拒否や時間のかかる遅延を経験する可能性があります。 生産性のためには、より短いプロセスが大きな違いになります。

Where Are Authentication Methods at Risk?

Certificate-based authentication と Credential-based authentication のセキュリティ リスクを比較すると、Certificate が Credential よりもはるかに安全であることが明らかになります。 IDの観点からは、クレデンシャルは信頼できません。 一方、盗まれたクレデンシャルは、認証されたユーザーが実際に主張する人物であるかどうかを識別する方法なしに使用できる。

IDの問題以外にも、有効なクレデンシャルを盗むためのいくつかの攻撃方法がある。 中間者攻撃は、不正なネットワークに認証されたユーザーからクレデンシャルを採取するために使用できる。 辞書攻撃は、正しいパスワードが送信されるまで、無数の認証要求を送信することにより、リモートで実行できます。 また、フィッシングは、ユーザーを騙してパスワードを吐かせる、極めて一般的な心理的攻撃方法です。 全体として、弱いパスワードと単純なハッキング攻撃は、安全なネットワークの完全性を脅かします。

対照的に、証明書は無線で盗まれたり、外部のアクターに使用されたりすることはありません。 証明書は秘密鍵の暗号化で保護されており、別のデバイスで使用することはできません。 証明書のセキュリティを回避する唯一の正当な悪用は、ハッカーが従業員になりすまし、PKI ベンダーをだまして有効な証明書を配布させるという複雑なプロセスです。 このプロセスは非常に困難であり、ベンダーを換気し、基本的なセキュリティのベスト プラクティスを確実に使用することで回避できます。

どちらの EAP 方式も無線で送信されるデータを保護しますが、全体的なセキュリティ、効率、およびユーザー エクスペリエンスにおいて違いがあります。 証明書ベースの認証を使用する EAP-TLS は、単純により安全で、効率と保護における利点で優れたユーザー エクスペリエンスを提供します。 認証のゴールドスタンダードをお探しなら、SecureW2は、デバイスオンボーディングソフトウェア、マネージドPKIサービス、クラウドRADIUSサーバーを含むターンキーEAP-TLSソリューションを提供しています。 SecureW2のソリューションがお客様の組織に適しているかどうかを確認するには、価格ページをご覧ください。

***これはSecureW2によるSecurity Bloggers Networkのシンジケートブログで、Jake Ludinが執筆しています。 元の記事はこちらでお読みください。 https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/