Fortinet FortiGate-60C/ FortiAP-220B

無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、FortiGate-60Cの設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。

検証結果

FortiGate-60Cでの無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。

クライアント 認証
ID / パスワード 証明書
iPad 2
LifeTouch

iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。

担当者に聞いた製品の特徴

FortiGate-60Cはセキュリティ機能だけでなく、無線LANコントローラ機能も備えている。専用のアクセスポイントForti APと組み合わせて、無線LANのネットワークを構築する。つまり、FortiGate-60C×1台で、リモートアクセス、有線LAN、無線LANのセキュリティを確保できる。無線LANクライアントのトラフィックをFortiGate-60Cで集約して、セキュリティのチェックを行うことで、無線LANのセキュリティを確保し、UTM機能と併用した強固な多層防御が可能となる。

無線LANの展開時にはアクセスポイントの配置フロアプランの検討が非常に重要だ。そこでFortinetは、「FortiPlanner」と呼ばれるサイトサーベイツールを無償提供している。これは、ビル内に必要なFortiAPの台数を算出し、FortiAP設置フロアプランを提供するものだ。

フォーティネットジャパン マーケティング プロダクトマネージメントディレクター 根岸 正人氏

Meru MC1500/AP320

無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、MC1500の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。

検証結果

MC1500での無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。

クライアント 認証
ID / パスワード 証明書
iPad 2
LifeTouch

iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。

担当者に聞いた製品の特徴

MC1500で構築する無線LANは「Virtual Cell」機能によって単一のチャネルでの運用が可能だ。通常、隣り合うアクセスポイントは電波が干渉しないように、異なるチャネルで運用する。その際、アクセスポイント間の電波出力の調整などチャネルの設計が複雑になる。Virtual Cell機能によって、すべてのアクセスポイントで単一のチャネルを利用することができ、複雑なチャネル設計が不要になる。つまり、アクセスポイントが複数あっても、仮想的に広い範囲をカバーできる単一のアクセスポイントのような構成となる。

そして、無線LANのクライアントには、専用の「Virtual Port」が割り当てられ、帯域やセキュリティの制御ができる。Virtual Portによって、本来は共有メディアである無線LANをイーサネットスイッチと同じように利用できる。

メルー・ネットワークス システムエンジニア 中西 良夫氏

検証結果のまとめ

ここまで2回にわたって、さまざまなベンダのSSL-VPN機器、無線LAN機器でのユーザ認証をNetAttest EPSと連携して行うことができるかを検証した。以下に各機器との間の検証結果をあらためてまとめておこう。

まず前回、検証を行ったSSL-VPNのユーザ認証の結果が以下のとおりだ。

機器 クライアント 認証 VPNクライアント
ソフトウェア
SSL-VPN方式
ID / パスワード ワンタイムパスワード 証明書
CheckPoint 2200
アプライアンス
iPad 2 標準Webブラウザ リバースプロキシ
LifeTouch 標準Webブラウザ リバースプロキシ
Cisco ASA5510 iPad 2 AnyConnect トンネル
Galaxy AnyConnect トンネル
F5 BIG-IP 6900 iPad 2 F5 Edge Client トンネル
LifeTouch
Fortinet FortiGate-60C iPad 2 Fortimobile SSL-VPN リバースプロキシ
LifeTouch FortiClient トンネル
FortiClient Lite SSL-VPN Proxy Mode
Juniper MAG2600 iPad 2 Junos Pulse トンネル
LifeTouch Junos Pulse トンネル
SonicWALL Aventail
E-Class SRA EX7000
iPad 2 SonicWALL mobile connect トンネル /
リバースプロキシ
LifeTouch SonicWALL Aventail Connect Mobile トンネル /
リバースプロキシ

また、今回行った無線LANのユーザ認証の結果は以下のとおりだ。

機器 クライアント 認証
ID / パスワード 証明書
Aruba651 iPad 2
LifeTouch
CheckPoint Safe@Office 1000NW iPad 2
LifeTouch
Cisco 2500 Wireless Controller iPad 2
LifeTouch
Fortinet FortiGate-60C iPad 2
LifeTouch
Meru MC1500 iPad 2
LifeTouch

SSL-VPNにおけるユーザ認証は、ワンタイムパスワードやクライアント証明書で一部動作しなかった機器があった。SSL-VPNはクライアントソフトウェアや対応している方式も機器によってまちまちで、相性の問題があるのかもしれない。今回の検証では動作しなかった機器も、今後のバージョンアップなどで変わってくる可能性がある。

一方、基本的なユーザID / パスワードによる認証は、すべての機器でNetAttest EPSと連携できることを確認した。

無線LANのユーザ認証は、すべての機器でNetAttest EPSと連携できることがわかった。

以上、NetAttest EPSを利用したユーザ認証は、一部の認証方式を除いてSSL-VPNでも無線LANでも問題なく行うことができた。ユーザ認証の仕組みは標準化されているので、この結果は当然といえば当然だが、実際に検証して確認できたことは大きな意味を持つだろう。

ここまでの内容により、NetAttest EPSを導入すれば、ネットワークの入り口を守るための認証を手軽に導入できることがわかるだろう。ネットワークのセキュリティを強化するために、認証の一元化を考えているシステム管理者は、NetAttest EPSの導入を検討する価値があるだろう。

連載タイトル

第1回 事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える

第2回 事例検証 : NetAttest EPSとVPNゲートウェイ機器との認証

第3回 事例検証 : NetAttest EPS無線LANコントローラ / アクセスポイント機器との認証

今回の事例検証はソリトンシステムズをはじめ、各ベンダーの協力によって実現しました。ご協力頂いたベンダーの皆様には、この場を借りて御礼申し上げます。

[PR]提供:ソリトンシステムズ