【EAP-TLS】Wi-Fiの場合(続・備忘録)

ついでなので、Wi-Fiの場合もRADIUS認証(EAP-TLS)での接続方法を記録しておく。

まずは、Wi-Fiアクセスポイント(オーセンティケータ)の設定。ここでは、Aruba Instant On AP22 を使っている。

ネットワーク名(SSID)は好きに設定。セキュリティはWPA2エンタープライズを選択。RADIUSサーバーとしてYAMAHA SWX3100-10GのIPアドレスを指定。秘密共有キーは、SWX3100で指定したRADIUSクライアントの物(SWX3100に設定した「シークレット文字列」)を使う。内部RADIUSサーバーに接続するときのデフォルトシークレットキー(secret_local)ではないので注意。

Wi-Fi APのIPアドレスが固定じゃなかったら「ネットワークアドレスを指定する」の方でも良い。

次にWindowsの設定から、「ダイヤルアップ→新しい接続を設定する」に進む。ネットワーク名はオーセンティケータに設定したSSIDを、セキュリティの種類はWPA2-エンタープライズを選択して次へ。(余談だが、Windows10でWPA3エンタープライズを設定しようとするとなぜかダイアログがエラー終了するので、WPA2にしておく。まあ、PSKじゃないからWPA2もWPA3も変わんないだろう…)

正常に終了した後、設定を変更するか聞かれるので、そのまま変更へ進む。

するとワイヤレスネットワークのプロパティが開くので、「セキュリティ」タブをクリック。ここから先は有線LANの場合と変わらない。ネットワークの認証方法の選択に「Microsoft: スマートカードまたはその他の証明書」を選択し、YAMAHAオレオレ証明局にチェックを入れ、認証モードをユーザーまたはコンピューターの認証に変更する。

以上で、Wi-Fi接続の設定は終了。

OS標準の操作で設定したSSIDに接続しようとすると、「パスワードが必要です」と通知が出てくるが、実はパスワードではなくて証明書の選択が必要になる。選ぶだけでOK。

あ、もちろんクライアント証明書のインストールは、有線LANの場合と同じように事前にすませておく。じゃないと、ここで証明書がないので未認証になるからね。

さらに、既存のWi-Fi接続設定を設定変更でここまで持っていくのは不可能なので、途中でミスしたり既存の設定を変更しようと思ったら、毎回「ダイヤルアップ→新しい接続を設定する」からやり直す必要がある。なんでだろう?

セキュリティはめんどくさいなあ…と思ったそこのあなた、そうですセキュリティはめんどくさいんです。

【EAPoL-TLS】有線LANにおける証明書を使ったRADIUS認証(備忘録)

ついにねんがんのYAMAHAスイッチを手に入れたぞ! しかもインテリジェントL2スイッチでよかったのに無駄にライトL3スイッチ、SWX3100-10Gだ!(だって、安かったから…)…というわけで、境界防御に頼りきりだった我がLAN環境にRADIUS認証を導入することにした。これでYAMAHAスイッチを経由する通信は、RADIUSサーバーで認証された機器のみに限られることになるので、LANの安全性が高まる(はず)。流行りのゼロトラストセキュリティへの一歩を踏み出し始めたのだ。この果てしなく遠い道をよ…

ところで、Wi-Fi環境にRADIUS認証を設定する話はネットにたくさん転がってるのだが、有線LAN環境に導入する話はあまり聞かない。ちょこちょこはあるけど、詳しい情報がまったく見つからない。なので、今回開通したやり方を記録していく。

まずは認証スイッチの設定から。ここはYAMAHAで公開されてる設定例を見ればだいたいわかる。基本的には設定例通りに行えば良いので、ここではスクリーンショットを掲載するだけに留めておく。

ダウンロードしたクライアント証明書をWindowsにインストールすることころまではYAMAHAの例(IEEE802.1X認証の場合)でOK。その先のWindows設定にコツがいるので備忘録としてここに記す。

まず、サービスのWired AutoConfigのスタートアップの種類が「無効or手動」になっているので、ここを「自動」に変更して保存する。こうすると、ネットワークのアダプターのプロパティを表示した時に、「認証」タブが出てくるようになる。

イーサネットのプロパティを開いたら「認証」のタブに移り「IEEE 802.1X認証を有効にする」にチェックを入れ、ネットワークの認証方法の選択を「Microsoft: スマートカードまたはその他の証明書」にして、まずは右側の「設定」ボタンをクリックする。

スマートカードまたはその他の証明書のプロパティが出てくるので、「このコンピューターの証明書を使う」にチェックを入れ、信頼されたルート証明機関のリストから、自分で作ったYAMAHAオレオレ証明局の名前(デフォルトだとYAMAHA_SWITCH、ここではLADS3100)を見つけ、チェックを入れてOKボタンをクリックする。
ひとつ戻って、次に「追加の設定」ボタンをクリックすると、802.1Xの設定タブが出てくるので、「認証モードを指定する」にチェックを入れて「ユーザーまたはコンピューターの認証」を選択する。以上で、ここでの設定は完了。OKボタン→OKボタンとたどって、ネットワークアダプターのプロパティ画面を閉じる。

すると、ネットワークアダプタアイコンが「認証中…」の画面になり、うまく行けば最後にWindowsから証明書の選択についてのポップアップ画面があるので、OKを激しくクリックして完了。

よくやった!!
お前には社内の全端末を
RADIUS認証に
対応させる権利をやる!

※8/10追記 Windows11の場合は、上記画面の代わりに「サインイン」しないとネットワークのすべてを使えないよ!と警告が出るので、サインインをクリックすると設定ダイアログに飛ばされて、同じように証明書を選択する画面になるようです。ただ、設定ダイアログがポップアップしたりしなかったり、動作が安定しない…Windows11だからか?

念願の称号を手に入れたぞ!

ねんがんのネットワークスペシャリストになれたぞ! コロしてでもうばいとる、のはカンベンしてくれ!

本日の発表で、IPAの令和3年春期ネットワークスペシャリスト試験に合格が判明しました。来月には経済産業大臣署名入りの合格証書が送られてくるぜ!(欲を言えば世耕さんの揮毫が良かったのだが、在任当時は不合格だったものでね…)

官報にも公示されるらしいぞ、ワクワク!

※官報は受験番号だけの掲載だった…_| ̄|○

そして、高度試験群で一番受かりそうなNWを終えてしまったので、あとはどうするか迷っている俺様。情報処理安全確保支援士試験はNWと試験範囲がだいぶ重なるので80%ぐらい行けるかと思うが、データベースとかになるとわかるのは半分以下、システムアーキテクトとかエンベデットシステムになるとさらにその半分、サービスマネージャ・プロジェクトマネージャ・ITストラテジストの文系群にいたってはハァーサッパリサッパリてなもんだからな。

誰か安全確保支援士の登録料と研修料(3年で16万?)出してくれないかな。出してもらえたら受験のモチベーションが上がる…。

IKE めんどくさ。

NEC の UNIVERGE IX2105 というルータを新品で買ったので、最新のファームウェアをダウンロードしてアップデートしました。

Ver.9.7.16 にしたついでに、事務所と自宅の間に張っていた VPN を IKE version1 から IKE version 2 へと張り直しました。IKEv2 はデフォルトプロファイルでネゴシエーションしてくれるので楽ちんだという話だったんですが、何度やってもつながらない…そして、三日目にしてつ・い・に! source address と destination address が違っていたことが発覚しました。そりゃ、ログを調べてみても NO RESPONSE になるはずですね(笑)

ちょこちょこっと直してやったら、無事 IPv4 over IPv6 の ipsec-ikev2 トンネリングが動作しました(^-^)

CTS Labs のレポート~金のニオイがプンプンするぜ…

3/14のブログで書いた AMD プロセッサの脆弱性に関する CTS Labs のレポートですが、案の定あちこちからツッコミが入り、とても信頼に値するものではないと言えそうです。

およそ、業界で公に認識された脆弱性には CVE-ID という通し番号がつくのですが、上記の CTS Labs が主張する13もの脆弱性には、ひとつとして CVE-ID は発行されていません。Meltdown(CVE-2017-5754)やSpectre(CVE-2017-5753,CVE-2017-5715)にはあるのに。

このレポートの目的は結局、内容が正しいかどうかを議論したいのではなく、センセーショナルな情報を効果的なタイミングで流すことによる株価操作を狙ったものではないか、とする説が現在主流を占めているようです。株価操作目的でガセ情報を流すの、今回が初めてじゃないようですしね…。

eLTAX ばりおせえ

給与支払報告書(統括表、個人別明細書)と普通徴収申請書を提出しようと思って、eLTAX なるものに手を出してみましたよ。先年のうちに使えるようにはしておいたはずなんですが…いざ今日やろうと思ったら、ク○おせえ!

おっと、お下品だったので、方言で言い直しますね。ばりおせえ!

バージョンアップ処理中の間に、印刷した紙を久留米市役所市民税課に持っていって提出して、もう帰ってきたではないか。しかも、ブログ書いてる間にもまだバージョンアップ処理終わらんし…

ちなみに、似たようなシステムの e-TAX はここまで時間かかりませんでしたよ(*sigh*)

WG1800HPにファームウェアアップデートが来た

http://www.aterm.jp/product/atermstation/info/2017/info1130.html

正直、諦めていた。1800HP2が発売されてから、1800HPはなかったもの扱いされていたので。機能アップのファームウェアもHP2には提供されるのにHPには提供されなかったり。でも、今回のKRACKs騒動は大々的に報道されたので、全機種網羅的に対応したのかな。日本企業の底力を感じた。(おおげさ?)

その Wi-Fi 危ないってよ!(WPA2に脆弱性発覚)

昨日、栃木県在住の妹家から、無線LANルーターを買い換えるので機種選定をやってほしいとの依頼があり、快く引き受けたところです。しかし、時期が悪い。冗談じゃなくて、時期が悪い。
↓こういう記事がちょうど出回っているタイミングだからです。

Wi-Fiを暗号化するWPA2に脆弱性発見 ~対応のあらゆる機器が影響(PC Watch)

昔から無線LANのセキュリティと、それを突破しようとする技術とはいたちごっこの関係ではありますが、ついに現時点で最強の無線セキュリティであるはずの WPA2 に、脆弱性が発覚しました。後継規格が決まる前に WPA2 が完全突破されるようなことになると大変まずいのではないかと、あちこちで大騒ぎです。

上記の記事にさらっと書いてありますが、今回脆弱性が発見されたのは WPA2 の暗号技術の核である AES暗号ではなく、暗号の鍵を配布するプロトコルに不備があったのだというお話です。これがなぜいけないかというと、同じ鍵をずっと使い続けている暗号は、傍受され続けることで解読のヒントを与えてしまうからです。大量のデータを傍受した上に、暗号鍵が同一であることを仮定すると、統計的に暗号を解くヒントが得られます。

これはかつての WEP のときからあった問題です。WEP では常に同一の鍵を使うので、解読が容易になる(後発の規格に比べて)という問題がありました。その為、パケットごとに鍵を変更する TKIP を採用した WPA、さらに暗号を強化した WPA2 と進化してきたわけですが、ついにその最強の牙城が崩れたことになります。

元記事の最後には、影響範囲についての記述があります。

また、今回発見された攻撃手法は、クライアントを対象としたものであり、家庭向けのアクセスポイントやルーターは影響を受けない可能性はあるという。ルーターによっては脆弱性を持つものもあるが、クライアント機能および802.11r機能を無効にすることで、ある程度問題を緩和できるとしている。

当初の影響範囲はやや限定的なようですが、安心はできません。ご使用の機器にメーカーからのファームウェアアップデートの提供があった場合は忘れずに適用しましょう。え? メーカーがアップデートしてくれないんならどうするかって? そりゃあ買い換えるしかないでしょうね。世の中には、無線LANケーブルと呼ばれる不思議な商品があるらしいですよ、有線なのか無線なのか、はっきりしろ!ってね(^-^;)

※正式名称は「漏洩同軸ケーブル(LCX)無線LANシステム」というらしいです。

たまには技術的な話をしようか~ mod_pagespeed の話

今、ウェブサイト制作のお客様第1号のサイトを鋭意制作中です。日夜残業して作業した結果だいたい形にはなって来たのですが、今日、突然テストサイトで画像が縦長に(縦だけおよそ3倍ほど?)なるという怪現象が発生しました。キャッシュをクリアしても治りません。コーディングを見直したり、差し戻したりしても治りません。ウソだろ、もう完成間近だったのに…

背中にいやな汗が流れますが、ここは慌てず騒がず、Google先生に尋ねることにします。なかなか苦労したのですが、ついに原因がわかりました。「エックスサーバーで Google が作った高速化プラグインの mod_pagespeed をONにしている場合、画像の大きさが乱れることがある」…なんだよ!Google先生のせいかよ!

Google謹製の mod_pagespeed の中で画像の width をごにょごにょしてるらしいんですが、height は放って置かれるためにこの現象が発生するとのこと。具体的にいうと私の場合は、大きな画像をやや縮小して表示していたのですが、mod_pagespeed が勝手に max-width:100% で上書きして横幅を決め打ちするのに対して、縦幅はもとの大きさのままになるために、「横だけ縮小されたのに、縦は縮小されずに(つまりは縦長に)表示される」という現象になったわけです。

せっかくごにょごにょするんだったら自動的にアスペクト比(縦横比)を保存してくれればいいのにね。というわけで、対策としては、IMG タグの height 属性に auto を指定します。

おそらくこれで大丈夫?