有線LAN802.1x認証の盲点？

皆さんこんにちわ。

有線LANにおける802.1x認証についてなのですが、Cisco製品を使った場合は、サプリカント（PC）～ハブポート間は1対1で接続することが条件と思います。

RADIUS---802.1x対応SW(C2970等)---サプリカント

認証プロセス上、以下のような形で適正な証明書を持たないサプリカントも侵入できてしまうと思います。

RADIUS---802.1x対応SW(C2970等)---ノンインテリS/Hub---サプリカント、非認証PC

このような構成は、たとえばユーザーが自分のPCに挿すLANケーブルにちょいとHubをつないで会社のPCをつなぎ、ついでに家から持ってきた自分のPCもつなぐ・・・といった場合が考えられます。個人的にはつなぐのはかまわないのですが、ウィルス対策などを施していないPCだったりした場合、中から大流行する恐れがあると思います。

これを許さないためには各社員の倫理観に訴えることはもとより、システム的に1つのポートで複数のサプリカントを認証してくれる802.1x対応SWを導入するということになると思いますが、このようなSWはシスコにはないと思います。勿論他メーカーには少数ながらあるにはあるのですが、シスコではどのような構成をとるべし、ということになっているのでしょうか？

No.2 回答者： atsukichi 回答日時： 2005/10/14 06:56

ｃｉｓｃｏの考える一つの選択肢が下記かと（やっとですが）。

来週渋谷に行けば解るでしょう

http://www.cisco.com/japanese/warp/public/3/jp/n …

でも今回要件ではこのアプライアンスをセグメント毎１台なので
その前にポート毎にｍａｃアドレス決めうちかな・・・監視系は
どうされてますか？

この回答への補足

atsukichiさま
お返事ありがとうございます。

macアドレスきめうちは間違いない方法ですが、誰がメンテするのか？という問題が出てきます。

やはり、”こういうものだ”というのが現状の正解のようですね。他社L2スイッチのようにEAPパケットをマルチキャストで一定時間毎（例えば30秒毎など）に吐き続けるような形をとらない限り、導入する意味があるのか？という気がしてならないのです。安いわけでもないですしね。

監視系というネットワーク監視ツールのことですよね？それならばCisco Worksを使う予定です。ほかは何も考えていません（多分考えていません）。ただ、監視用の要員が特にいる訳でもないので、インストールしてもどのくらい実効力があるのか疑問です。それとも侵入を防ぐ別の監視ソフトをまた入れなくてはいけないということならば、コスト的に見合わないので別の方法を考えるかな・・・とベンダーとは相談しているのですが・・・。

補足日時：2005/10/14 13:56

No.1 回答者： qaaq 回答日時： 2005/10/13 02:11

# 具体的な検討は、SEさんに費用を払ってね。

802.1xのホストモードを単一ホストモードで使用するんじゃないですかね。

参考URL：http://www.cisco.com/japanese/warp/public/3/jp/s …

この回答への補足

具体的な検討をベンダーにさせましたが、彼らの主張は”こういう仕様です”との一言でした。

ご指摘の単一ホストモードは1対1以外でポートとPCがつながっている状況しか想定していません。なので、ポート下にリピータハブなどのレガシーハブがつながり、その下にPCがつながっているということを検知できません。なので×です。

適正な証明書を持っているPCが先にログインしてしまうと、そのポートは空きっぱなしになります。
また、再認証の時間を縮めるという方法が使えるのではという私の質問に対して、再認証はユニキャストで認証した機械の存在確認として使われるため、ほかに機械がつながっていても、再認証時にチェックされることはない、というのがベンダーの回答でした。

補足日時：2005/10/13 11:49