メインコンテンツへスキップ

MACアドレス認証とMACアドレスランダム化の影響

  • 更新

はじめに

エンタープライズネットワークへの接続は厳密に制限する必要があります。主に以下のような要件を満たす必要があり、何よりもまず接続ユーザ(デバイス)の特定が重要です。

  • 真正性の担保
    接続ユーザ(デバイス)の真正性を担保すること
  • 適切な権限の付与/アクセス制限
    真正性が担保された接続ユーザ(デバイス)に対して適切な権限を付与し、アクセスを制限すること
  • 責任追跡性(追跡可能性)
    情報資産に対するアクセスを過去に遡って一意に特定できること

 

MACアドレス認証

ID/Password認証のみでは不特定のデバイスが接続されてしまう可能性があり、特定デバイスのみの接続を許可する目的として長くMACアドレス認証が行われてきました。

MACアドレス自体は通信で暗号化されないため、誰でも知ることが可能です。偽装も容易であり、MACアドレスのみの認証では安全性は担保されないため、従来より推奨されていません。一般に、その他の認証と組み合せて補助的に用いられるべきものとされています。

 

MACアドレスランダム化

デバイスに紐づく固有のMACアドレスが継続して利用されていれば、アクセスポイントを管理する観点では、行動履歴や位置情報が追跡(トラッキング)が容易に可能となります。しかしながら、プライバシー意識の高まりやセキュリティ上の懸念が広がり、スマートフォンを始めMACアドレスのランダム化が導入されました。当初、アクセスポイントを探索するProbe Requestに使用されるMACアドレスがランダム化され、その後、接続に使用するMACアドレスもランダム化されるようになりました。現在、iOS 14以降、Android 10以降、Windows 10/11では、デフォルトでMACアドレスのランダム化がされています。そのためデバイス固有のMACアドレスによる認証や制限、デバイスの特定について再考する必要があります。

 

参考:  

Appleプラットフォームのセキュリティ > Wi-Fiのプライバシー
Android オープンソース プロジェクト > MAC アドレス ランダム化の実装

 

Mistでは、Marvis QueryでMACアドレスランダム化しているクライアントの一覧を表示できます。

LIST Clients WITH RandamMac True

※ MACアドレスランダム化されていると2文字目が2,6,a,eになります

 

Mist

Mistで提供可能な関連機能について紹介します。

MACアドレス制限

依然、MACアドレス制限による接続禁止は一定の需要があります。Mistでは、Radiusサーバ不要でランダム化されていないMACアドレスの制限が可能です。(いわゆるブラックリスト方式の接続制限)

1. [Site] > [Security] > [View Client Classification] > [Banned Clients] で制限を行うMACアドレス登録

    ※ CSVファイルのインポートも可

2. [Site] > [WLAN] > {SSID名} > [Security]  にて [Prevent banned clients from associating] にチェック

 

参考: Ban/Block a Client

 

MPSK(Multi PSK)

Mistでは、MPSK(Multi PSK)により、PSKとMACアドレス認証(ホワイトリスト)の連携を簡単に実現できます。MPSKは以下のような特徴があります。

  • 一つのSSIDで複数のPSK(Multi PSK)を作成、キー名設定し、Mistで一元管理
  • PSKはローカル、または、Radiusで管理
  • CSVファイルによる、import/exportが可能
  • パスフレーズの自動生成
  • メール通知(QRコード)
  • MACアドレス認証
  • パーソナルWLAN機能により固有セグメントを作成、デバイス間の接続を制限
  • IoT機器など802.1X認証をサポートしない機器に最適
  • PSKが漏洩・侵害された場合の影響範囲を最小化(当該キー名のユーザのみに影響)
  • サイト毎に5,000PSK管理

参考:  2-08_無線LANの設定 セキュリティ WPA2-PSK Multi PSKの設定

 

802.1X認証

エンタープライズネットワークへの接続は厳密に制限する必要があり、802.1X認証(EAP)が多くの企業で用いられています。導入や運用管理の負担が比較的大きいですが、EAP-TLSではサーバ証明書とクライアント証明書により相互に認証されるため最も安全性が高いとされています。また、証明書によりユーザの真正性の確認や行動履歴の追跡(トラッキング)が可能です。

 

参考:  

2-07_無線LANの設定 セキュリティ WPA2-EAP(802.1X)の設定
2-08_無線LANの設定 セキュリティ WPA2-PSK Multi PSKの設定

 

 

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
ページの先頭へ戻る

関連記事