脆弱性を緩和する!PPPとRADIUSの深い関係
前回記事からの続きです。
前回は、IEEE802.1X認証の大きな流れを解説するとともに、使われるプロトコルが「EAP」であるという話をしました。EAPによる方式は、たくさんあり、それを後日紹介していく予定です。
さて、今回は、EAPは、何かを拡張して作られたプロトコルでした。それが、「PPP(Point to Point Protocol)」です。EAPの各認証方式に突入する前に、このPPPというものが一体何なのかを抑えておきましょう。さらに、RADIUSとの関係もお話しします。
それによって、EAPへの理解も容易になるはず!
ということでいってみよう!
PPPとは何か?
PPPとは、覚えやすい名前ですね。ピーピーピーと発音することが多いようです。トリプル・ピーみたいな呼び方は聞いたことがないです。1990年代から広く普及しました。
Point to Point という名前がついているように、PPPでは、1対1での通信に利用されます。
このPPPは、OSI参照モデルの第2層、データリンク層のプロトコルです。データリンク層のプロトコルと言えば、「イーサネット」ですよね。しかし、イーサネットはLANの中で使うのが原則で、公衆電話網では使えません。
この公衆回線網を通じて、ユーザがLANにあるRAS(リモートアクセスサーバ)にリモートアクセスするときに、PPPが利用されるんです。
PPPとRADIUSの深い関係?
RASにリモートアクセスするには、もちろん「認証」が必要です。誰でもアクセスしていいわけではないです。
他方、RASは、リモートアクセスの接続先であるがゆえに、外部からの攻撃にさらされやすいです。となると、認証情報という機微な情報の管理をRASが行うのは、セキュリティ上、望ましくないですね。
これに対処するためには、RASと認証機能を分離するように構成すればよいわけです。
その認証機能を担当するのがRADIUSサーバです。RADIUSは、Remote Authentication Dial-In User Serviceの略です。名が示す通り、電話回線網を通じでリモートアクセスの認証を行うためのプトロコルといえます。
このRADIUSは、アクセスの受けつけ役と、認証役を分離することで、リモートアクセスの安全性を高めます。
RADIUSサーバは、RASの背後に控えます。そして、RADIUSサーバの受けつけ役として機能することとなったRASは、「RADIUSクライアント」と位置づけられます。
ここでRASを、アクセスポイントに置き換えてイメージしてください。そうするとどっかで見た絵になるはずです。そうEAPの基本構成に近いです(こちらは無線ですが)。
これでPPPが拡張されてEAPになった雰囲気が分かるかと思います。
はい、本日は、ここまで!今回は、PPPとは何か、RADIUSとどう関係しているかについてお話ししました。
次回は、PPPでの認証方式についてお話しします。
では!