平成17年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問Ⅰ設問4解答と解説

Table of Contents

解答

(1)使用する認証方式の種類
(2)電子証明書の発行と配布処理
電子証明書の有効期限の管理
(3)階層:データリンク層
根拠:IPアドレス取得前に認証が行われている

解説

(1)
IEEE802.1xの認証プロセスの手順についての問題です。IEEE802.1xは、ある程度細かい仕組みまで知っておいた方がいいでしょう。問題文の図4の【a】の部分を埋めた図は次のようになります。

TENW-H17-PM2-05.jpg
※( )内はEAPのフレーム名を表しています。

基本的にサプリカントから認証を開始します。サプリカントから認証を開始するEAPフレームはEAPOL(EAP over LAN)-Startと呼ばれます。オーセンティケータがEAPOL-Startを受信すると、EAP-Requestフレームを送信します。これは、どのような種類の認証方式を行うかを示す情報が含まれています。EAP-Requestフレームを受信したサプリカントは返事としてEAP-Responseフレームを返します。ここには使用する認証方式の種類が示されています。このようにEAP-RequestフレームとEAP-Responseフレームで、その後に使用する認証方式をネゴシエーションしています。

(2)
EAPの認証方式にはいくつか種類があります。どのような情報で認証するかが異なり、それにともなって管理のしやすさ、認証の安全性が違ってきます。Windows XPのサプリカントで利用できるEAPの種類は、次の3つです。

  • EAP-MD5

ユーザIDとパスワードによる認証です。クライアントとサーバともに電子証明書を必要としない方式です。運用は楽ですが、認証の安全性は高くはありません。Windows XP SP2では無線LAN接続ではEAP-MD5を選択できなくなっています。

  • EAP-TLS

クライアントとサーバともに電子証明書を必要とする方式です。認証時にユーザIDやパスワードの入力を必要としません。PCに電子証明書をインストールしておけば、認証処理自体が自動的に行われるようになります。非常に安全な認証方式であるといえますが、電子証明書の管理など運用負荷が大きくなります。

  • EAP-PEAP

EAP-MD5と同様にユーザIDとパスワードによる認証です。SSLと同じ仕組みで認証の通信を暗号化できるので、高いセキュリティを保つことができます。なお、認証サーバ側では、電子証明書による認証が必要です。

ちなみに、Windows XPのサプリカントでEAPの種類を設定するには、下記のようにネットワーク接続のプロパティから選択します。

TENW-H17-PM2-06.jpg

「MD5-Challenge」はEAP-MD5です。「スマートカードまたはその他の証明書」はEAP-TLSです。「保護されたEAP(PEAP)」はEAP-PEAPです。

もし、EAP-TLSを選択した場合、一番の管理上の運用負荷は電子証明書についてです。クライアントすべてに電子証明を発行して配布しなければいけません。スマートカードに電子証明書を保存してユーザに配布したり、各PCに電子証明書をインストールしたりが必要になります。
そして、電子証明書には有効期限があるので、有効期限の管理も必要です。最初はすべての電子証明書の有効期限は統一されているでしょう。しかし、中途入社の社員が入ってきたりすると、電子証明書の有効期限がバラバラになってしまいます。

(3)
IEEE802.1xのユーザ認証の動作の仕組みがわかっていればすぐに解答できる問題です。根拠を問題文から探さなくてはいけないっていうことがありますが・・・

IEEE802.1xは、有線LAN、無線LANでのユーザ認証です。これですぐにデータリンク層という解答が出てくるでしょう。有線LANの場合はPCが接続されたポートを利用させるか、利用させないかということを決めるだけです。そして、無線LANの場合は無線LANアクセスポイントに接続させるか、接続させないかを決めるだけです。

問題文からIEEE802.1xのユーザ認証のユーザ認証がデータリンク層レベルである根拠を探します。T氏が検疫システムの手順を説明している(1)~(11)のところです。

(4) 認証スイッチは、PCに認証許可を通知する

(5) PCは、DHCPサーバに対してIPアドレスなどの必要な情報の配布を要求する

(4)の手順までがIEEE802.1xのユーザ認証です。その後、PCがTCP/IPの通信を行うためにIPアドレスやサブネットマスクなどの情報が必要です。それを(5)の手順でDHCPによって取得しようとしているわけです。
IPアドレスを取得するまではレイヤ3の通信はできません。従って、IPアドレスを取得する前にIEEE802.1xのユーザ認証が終わっていることから、データリンク層であると判断することができます。

【参考URL】

written by Gene


解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!