リモートアクセスと認証
公衆回線網を通じて、遠隔地から会社などのLANやコンピュータに接続し、ファイルへのアクセスやコンピュータの操作を行う技術をリモートアクセスといいます。
リモートアクセスでは、ユーザはLANに設置されたリモートアクセスサーバに接続して、認証を受けた上でそのコンピュータシステムを利用します。
PPPの認証技術
リモートアクセスとして使われるPPP(Point to Point Protocol)は、電話回線で二点間の通信を行うためのデータリンク層のプロトコルです。
PPPで利用される認証プロトコルには、PAPとCHAPがありますが、現在、ほとんどのPPP対応通信機器は、CHAPをサポートしているため、PPPでは認証プロトコルにCHAPを使うことが一般的です。
PAP (Password Authentication Protocol)
PPPで利用される最も基本的な認証プロトコル。平文のまま認証データを送信するため、盗聴に弱いという短所をもつ。
CHAP (Challenge Handshake Authentication Protocol)
チャレンジハンドシェイク認証プロトコルの略。PAPの盗聴に対する脆弱性を補うために登場したプロトコル。チャレンジレスポンス認証を利用して暗号化された認証データを送信する。
RADIUS認証
リモートアクセスにおいて、アクセスサーバは外界に対してアクセス経路を開いており、認証のためのユーザIDやパスワード情報が蓄積されているため、クラッキング時の被害が大きくなります。
RADIUS(Remote Authentication Dial-In User Service)はアクセスサーバ(RADIUSクライアント)と認証サーバ(RADIUSサーバ)を分離することでこの脆弱性を緩和するものです。
ユーザはアクセスサーバにアクセスし、アクセスサーバが認証サーバに認証を要求することで、ユーザ認証を行います。
これによって、アクセスサーバに不正に侵入されても、直接ユーザ情報を取得することはできません。このようにアクセスサーバと認証サーバを分けることでセキュリティの向上、さらにユーザの一元管理が実現できます。
IEEE802.1X
イーサネットや無線LANにおけるユーザ認証のための規格です。認証のしくみとしてRADIUSを採用し、認証プロトコルにはPPPを拡張したEAP(Extended Authentication Protocol)が使われます。
なお、EAPにはクライアント証明書で認証するEAP-TLSやハッシュ関数MD5を用いたチャレンジレスポンス方式で認証するEAP-MD5など、いくつかのバリエーションがあります。