- 締切済み
有線LAN802.1x認証の盲点?
皆さんこんにちわ。 有線LANにおける802.1x認証についてなのですが、Cisco製品を使った場合は、サプリカント(PC)~ハブポート間は1対1で接続することが条件と思います。 RADIUS---802.1x対応SW(C2970等)---サプリカント 認証プロセス上、以下のような形で適正な証明書を持たないサプリカントも侵入できてしまうと思います。 RADIUS---802.1x対応SW(C2970等)---ノンインテリS/Hub---サプリカント、非認証PC このような構成は、たとえばユーザーが自分のPCに挿すLANケーブルにちょいとHubをつないで会社のPCをつなぎ、ついでに家から持ってきた自分のPCもつなぐ・・・といった場合が考えられます。個人的にはつなぐのはかまわないのですが、ウィルス対策などを施していないPCだったりした場合、中から大流行する恐れがあると思います。 これを許さないためには各社員の倫理観に訴えることはもとより、システム的に1つのポートで複数のサプリカントを認証してくれる802.1x対応SWを導入するということになると思いますが、このようなSWはシスコにはないと思います。勿論他メーカーには少数ながらあるにはあるのですが、シスコではどのような構成をとるべし、ということになっているのでしょうか?
- thaithai
- お礼率0% (0/2)
- ネットワーク
- 回答数2
- ありがとう数0
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- atsukichi
- ベストアンサー率50% (2/4)
ciscoの考える一つの選択肢が下記かと(やっとですが)。 来週渋谷に行けば解るでしょう http://www.cisco.com/japanese/warp/public/3/jp/news/pr/2005/056.shtml でも今回要件ではこのアプライアンスをセグメント毎1台なので その前にポート毎にmacアドレス決めうちかな・・・監視系は どうされてますか?
- qaaq
- ベストアンサー率36% (146/404)
# 具体的な検討は、SEさんに費用を払ってね。 802.1xのホストモードを単一ホストモードで使用するんじゃないですかね。
補足
具体的な検討をベンダーにさせましたが、彼らの主張は”こういう仕様です”との一言でした。 ご指摘の単一ホストモードは1対1以外でポートとPCがつながっている状況しか想定していません。なので、ポート下にリピータハブなどのレガシーハブがつながり、その下にPCがつながっているということを検知できません。なので×です。 適正な証明書を持っているPCが先にログインしてしまうと、そのポートは空きっぱなしになります。 また、再認証の時間を縮めるという方法が使えるのではという私の質問に対して、再認証はユニキャストで認証した機械の存在確認として使われるため、ほかに機械がつながっていても、再認証時にチェックされることはない、というのがベンダーの回答でした。
関連するQ&A
- IEEE802.1xの認証設定
現在無線LANのIEEE802.1xの認証設定を下記環境で行おうとしています。 RADIUSサーバ:Windows2000Server IAS EAP:TLS方式 アクセスポイント:BUFFALO WLM2-G54 無線端末:PDA 東芝e750 ActiveDirectory構成にはしたくないのですが、 上記のEAP-TSL方式の場合はWindows2000ServerはActiveDirectoryを設定し、かつ、エンタープライズCAを設定しなくてはいけないのでしょうか? EAPをMS-PEAP方式にした場合は、ActiveDirectory構成ではなくてもいいのでしょうか? 無線LANの認証の設定は初めてなので、何がなんだかさっぱりな状態です。 宜しくお願いいたします。
- ベストアンサー
- ネットワーク
- 802.1xのコンピュータ認証とユーザ認証の違い
802.1xの上記2つの認証方式の違いがよくわかりません。 ≪コンピュータ認証≫ ・PCがドメインに参加している必要がある ・ドメインアカウントでWindowsにログオンしなければネットワークに接続できない ・PC起動時(OSが起動してきたタイミング)にコンピュータ名で認証実行 ・RADIUSではなくADを使用して認証 ・不特定多数の人がPCを使用する場合に向いている(共用PCなど) ≪ユーザ認証≫ ・PCはワークグループでもよい ・ドメインアカウントではWindowsにログオンできない ・ローカルアカウントでWindowsにログオンしても、ネットワークに接続する際にドメインアカウントで認証すれば、ネットワークに接続できる ・Windowsのスタート時(ログオン後デスクトップが起動したタイミング)に認証するための資格情報入力を求められる ・ADではなくRADIUSを使用して認証 ・PCを使用する人が特定されている場合に向いている(個人PCなど) 上記のような認識で大丈夫でしょうか? 職場に802.1xのセグメント(持ち込みPC用)と、ケーブルを差せば繋がるといったセグメント(固定設置PC用)とありまして、 固定設置PC用のセグメントにいたPCを、持ち込みPC用のセグメントでも使用できるようにする際に、 コンピュータ認証かユーザ認証のどちらを使用すればいいのかが わからなくて・・・
- ベストアンサー
- その他(ITシステム運用・管理)
- RADIUS認証に関しましての質問です。
RADIUS認証が利用されている場合には、 BBルータを経由させずに無線での広帯域接続を叶えさせているのでしょうか。 オーセンティケータとサプリカントとの連携の仕組みが分からない段階での質問ですから、質問文の中に謬見が含まれているのかも知れませんが、諒察の上での御指導を御願い致します。
- ベストアンサー
- その他([技術者向] コンピューター)
- 無線LANのAP間をハンドオーバする際の認証
企業向けの無線LANのAPをRADIUSクライアントとして動作させている場合、 AP間をハンドオーバする際の認証は、 毎回RADIUS認証が動作するのでしょうか? それともAP間で「認証済み」を共有するような仕組みがあって 認証は1度だけなのでしょうか? RADIUSサーバへのトラフィック負荷低減やハンドオーバ遅延を防ぐことはできますか?
- 締切済み
- ネットワーク
- Windows XPログイン時のRADIUS認証
Windows XPを使用しているPCのログイン時に、RADIUS認証がしたいのですが、可能でしょうか(PCを立ち上げて、初めに聞かれるID/Passwordです)? アクセスポイント等や認証スイッチは使用しない方法で実現しなくてはなりません。 可能であれば、その方法か、参考URLを教えてください。 【環境】 ・PC=Windows XP Professional ・RADIUS Server=Cisco Secure ACS(Version4.0) 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- 有線LAN を無線LANに変えたい。
ノートPCを持参して支店サーバーに入力されている記録と作業所の台帳を、作業所に移動して、比較しています(約50カ所)。作業所は、それぞれ別々のIPアドレスを使用しているため、IPアドレス半自動入力(末尾2桁のみ手入力)ツールで、毎回、設定変更をしています。ここまでは、特に問題なく、とても助かるツールです。作業所はすべてLANケーブルを使用されていますので、HUB などからLAN接続しているのですが、予備席の関係で、LANケーブルが5m/10m となる事があり、通路をまたぐ時もあり、時々、職員さんが足に引っ掛けて、とても危険な状態です。IP半自動ツールの作成元に、HUBから無線LAN で接続して、このツールを使用可能か確認したところ、無線LANは別の認証があるため、使用できないとの事でした、何か対処方法は無いものでしょうか?ノートPCは、無線LAN対応可能です。作業所内全体を無線LAN 対応は難しい状態です。
- 締切済み
- Wi-Fi・無線LAN
- 無線LANよりも有線LANの速度が遅い・・
こんばんは。 現在下記のような構成で家庭内LANを構築しています。 ------------------------------------------------------ 光フレッツONU ↓ 無線ルータ(WZR-HP-G300NH) ↓ ↓ ↓ 無線接続PC×2台 HUB(Gbit対応) ファイルサーバ(有線) ↓ 有線接続PC、TV ------------------------------------------------------- 上記の内の有線接続している1台のPCのインターネット接続速度やファイルサーバーへのファイル転送速度が他のPCに比べて異常に遅いんです。 該当のPCは DELL OPTIPLEX GX280 OS:Windows Vista Home Premium LAN:1000BASE-T対応 で、無線ルータ、HUB、LANケーブル全てGbit対応でHUBのステータスランプやVista側からもGbitでのリンクを確認しています。 しかしそれでも他の無線接続PC(n接続)に比べファイルサーバーへのファイル転送速度、インターネット接続速度が約半分に落ち込み、どこがボルトネックになっているのかよく解りません。 どなたかお知恵をお貸しください。
- ベストアンサー
- ルーター・ネットワーク機器
- ドラクエXを有線LANで
ドラクエXを同じ部屋で友達とプレイしたいのですが、家には1つの有線LANのノートPCしかありません。同じ部屋で2人でしたかったら、もう1つwiiを買って無線LANを契約するしかないでしょうか?ノートPCは2000年~2002年の物なのですが、無線LAN対応にはなりそうですが、古いノートPCで無線LANだとドラクエのプレイが遅くなりますか?友達も私もネットにうとくwiiも初めてで、どうしていいか…ご教授よろしくお願いいたします。
- ベストアンサー
- オンラインゲーム
- ユーザ認証について質問があります
お恥ずかしい質問ですが… 社内のファイルサーバへ、ユーザ毎のアクセス制御を行いたいと考えています。 Windows Server 2003(もしくは2000Server)でActive Directoryを構成しドメイン認証をするのと、レイヤ2スイッチに接続している端末をIEEE802.1xとRADIUSサーバの連携でユーザ認証するのと、どこが違うのでしょうか?その仕組みの差がよく分かりません。 どなたか教えてください!
- ベストアンサー
- ネットワーク
補足
atsukichiさま お返事ありがとうございます。 macアドレスきめうちは間違いない方法ですが、誰がメンテするのか?という問題が出てきます。 やはり、”こういうものだ”というのが現状の正解のようですね。他社L2スイッチのようにEAPパケットをマルチキャストで一定時間毎(例えば30秒毎など)に吐き続けるような形をとらない限り、導入する意味があるのか?という気がしてならないのです。安いわけでもないですしね。 監視系というネットワーク監視ツールのことですよね?それならばCisco Worksを使う予定です。ほかは何も考えていません(多分考えていません)。ただ、監視用の要員が特にいる訳でもないので、インストールしてもどのくらい実効力があるのか疑問です。それとも侵入を防ぐ別の監視ソフトをまた入れなくてはいけないということならば、コスト的に見合わないので別の方法を考えるかな・・・とベンダーとは相談しているのですが・・・。