2
05
2025
ArubaのAPを用いて認証VLANを実装してみる#1(Instant Onの概要)
Aruba Instant On APとオープンソースの組み合わせで認証VLANを実装してみる
リビングルームの壁面に設置されたAruba Instant On AP22
Aruba Networksは企業や組織などのエンタープライズ用途で使われているネットワーク機器メーカーで、現在はHPE社に買収されてHPEの一部門 Aruba Networking となっている.エンタープライズ系のWi-Fiシステムとしては、このAruba Networkingの製品とCisco Systemsの製品が2大メジャー無線LANシステムとして市場を支配している.
エンタープライズ系のWi-Fiシステムでは数百〜数千という単位でAPを管理する必要があることから、専用の管理システム(物理的なコントローラやクラウドベースのコントローラなど)を用いて集中管理を行っている.これらの専用システムは高価で、かつAPの数に応じたライセンス料が発生するので、規模の小さな企業や組織での導入はとても敷居が高い.
情報システム部門がないよう小さな会社や組織では、家庭用の安価なWi-Fi APを用いて何とか無線LANシステムを構築しているのが一般的だろう.まともに管理されていない無線LANルータや野良APの氾濫による電波の干渉や盗聴など、無線LANの安定性そのものに問題が生じるばかりではなく、セキュリティー問題を引き起こす温床となっている.このような会社や組織では所謂一人情シスと呼ばれているような人達は日々無線LANシステムと格闘しているのではないかと思う.
今回は、このような孤軍奮闘している一人情シスの皆さんが、少しでも無線LANの管理の手間を減らすことが可能となるように、Arubaの Instant On という比較的安価な製品を用いた無線LANの管理方法について紹介しようと思う.
先ず最初の記事では、Arubaの Instant On 無線LANシステムにはどのような機能があり、Instant Onの機能だけでどのような事が実現可能なのかについて簡単に紹介することにする.
次にこの Instant On に備わっているRadius認証機能とオープンソースベースの認証系ソフトウェア(FreeRADIUS, OpenLDAP)の組み合わせを用いて、ユーザ認証結果に基づいて無線LANへ接続させる802.1x方式を利用したよりセキュアな無線LANシステムを実現する方法についても説明することにする.
また、ArubaのInstant Onのホームページや各種ドキュメントでは説明されていないが、エンタープライズ系のAruba無線LANシステムで実装されている認証VLAN機能が、安価なArubaのInstant OnのAPでも実現可能であることが、実際に検証してみて確認することができたので、ArubaのInstant OnのAPとFreeRadius + OpenLDAP を組み合わせた認証無線LANシステムの実装についても説明する予定だ.
認証VLANは大きな組織では導入していることが多いが、小さな組織では導入が難しいため、殆ど普及していないのが実情だ.無線LANで認証VLANが使えるようになると、ユーザが無線LANに接続した時点で自動的に適切なネットワークセグメント(VLAN)に収容されるので、セキュリティーの強化を図ることが可能だ.
ユーザの属性やロール(役割)に基づいたネットワークアクセスはセキュアなネットワークを実現する上で要となる要素だが、これを実現するにはHPEのClearPassの様な専用のソリューションを用いてITベンダーのエキスパートに設計して貰わなければ構築が難しいが、今回紹介する方法であれば、殆ど費用を掛けずに(なんちゃって)ロールベース無線LANネットワークシステムを構築することが可能だ.
認証VLANは有線ネットワークでは比較的古くから実装されてはいるが、無線LANでの認証VLANを中小レベルの組織で実装しているところは少ないのではないかと思う.無線LANの利用はセキュリティー上のウイークポイントとなることは避けられないが、今回紹介する方法によって少しでもよりセキュアな無線LANネットワークを構築する手助けとなれば幸いだ.
Aruba Instant On 製品は小規模事業者向けの手頃なソリューション
Arubaのエンタープライズ向けの無線LANシステムは手が出せないが、家庭用とエンタープライズ用の中間的な位置づけの “Aruba Instant On” という製品群がある.私は4〜5年位前に自分の家のAPをCisco WAP571から、”Aruba Instant On” AP22 に変更し、現在は2台のAP22を用いて自宅のWi-Fiネットワークを構築している.
私が使っているAP22は古い製品なので、Wi-fi6 にしか対応していないが、最新のAP32ではWi-fi6Eに対応しているようだ.AP32の価格は、59,400円(公式ストア価格)なので、家庭用として導入するには少し高いが、仕事用として使う分には抜群のコストパフォーマンスが得られるだろう.ゲーマーをターゲットとしたスピードだけが売り物のバカ高い不安定な信頼性の低い最新Wi-Fi APを買うより、業務用としての利用も想定されているAruba Instant On製品の方がシステムの安定性や信頼性が高いのは言うまでもないだろう.何よりも嬉しいのは、APの数に応じたライセンス料が不要で、クラウドベースの管理機能も無料で利用できることだ.
Aruba Instant On : https://instant-on.hpe.com/ja/products/access-points/
“Aruba Instant On”製品の最大の特徴は、クラウドサービスベースの集中管理機能が使えることで、家中の各APを簡単なWEB管理コンソールを用いて簡単に管理することができとても重宝している.一般家庭で”Aruba Instant On”製品を導入している人は少ないと思うが、小規模な事業所などで利用する分には申し分の無い機能が備わっている.
クラウドサービスベースのWi-Fi管理機能を試してみる
Aruba Instant Onの売りであるクラウドサービスベースのWi-Fiネットワーク管理機能にアクセスするには、HPE Arubaのサイトにアカウントを作成する必要がある.クラウドサービスなので重要な機密を扱うような用途では、このAruba Instant Onのクラウドサービスは使うべきではないだろう.米国の大企業のサービスなので、アジアの某国に較べれば多少は信頼できるだろうが、国のトップがあのような有様なのでジャイアン理論で情報を搾取される危険性は大いにある.
ログイン後に最初にする作業としては、管理アカウントの作成や組織名など管理上必要な情報を登録する必要がある.これらの作業を終えると、先ずはデバイス(AP)を登録していくことになる.今回の対象はAPだけだが、Instant Onに対応したNW機器であれば登録して管理が可能なようだ.私の家には複数台のAPが設置されているが、AP22は2台だけなので、集中管理しているという実感は薄いが、仕事場の方では十数台のAPを管理しているので、このクラウドベースの管理機能が使えないと大変面倒なことになる.(USBタイプの特殊な専用シリアルコンソールケーブルを用いてコンソール接続できるようだが、エンタープライズ系のAP53x,AP63xのようにテキストコマンドレベルで操作できるかどうかは不明)
管理Webコンソールにログインした直後の様子
2台のAP22アクセスポイントが登録されている
一般的な家庭や小さなオフィスではネットワークセグメントが一つだけで、インターネット接続用のルータがLAN内のDHCPサーバとなってLAN内のデバイスのIPアドレスを管理していることだろう.このような場合は、単純にDHCPによる割り当てで問題ないだろう.上記の画面では、既に2台のAPが登録されている状態なので、デバイスを登録させる手順を示すことができないが、デバイス登録の方法については、下記のページを参考に登録作業を進めて行けば簡単に登録できるだろう.一般的な家庭のインターネット環境では、下記の説明の『プライベートネットワークモード』によるデバイス検出方法が適用できるだろう.
『AP 動作モード』 https://instant-on.hpe.com/techdocs/ja-jp/content/get-started/ap-conf-mode.htm
登録したAPのIPネットワーク情報を設定する(ここではマニュアル設定を行っている)
デバイスの登録が済んだら、次に “Networks” の設定を行う.ここで言う”Networks” はIPアドレスなどの設定では無く、無線LANの SSID による無線ネットワークの事だと思えば良いだろう.複数の “Netwrks”(SSID) を設定できるので、仕事用のSSIDや家族用のSSID、子供用のSSIDなどを設定すると良い.それぞれのSSID毎に セキュリティ方式(WPA2 Personal/WPA 2 Enterprise)やWPAのパスフレーズなどを設定可能だ.
下記の例は、我が家の “Networks”(SSID) の構成で、VL100, VL102, …, Y2HAの5つのSSIDが設定されている.複数のVLANを使い分けているのでこのような構成になっているが、一般的な家庭ではVLANは使用していないので、VLANの数字は全てデフォルトのVLAN番号1となるだろう.
ここでは “VL250” がデフォルトのネットワーク(無線LANのAPのEthernetポート側ではVLANの設定は行っていない)で、我が家ではこのセグメントをネットワークやデバイス管理専用のネットワークセグメントとして利用している.無線LANでVLANを設定する方法については別途説明することにする.
我が家では複数のVLANに対応した “Networks”(SSID) を設定してある
“Networks”の一覧から”VL250″ を選ぶと、”VL250″の詳細な設定画面が現れる.”Overview” で、名前やセキュリティー方式、ネットワークパスワード(PSKパスフレーズ)を設定する.”IP Assignment” ではdefaultの “Same as a Local Network” に設定し、その下にあるVLANのフィールドには何も記載しない.普通の家庭のネットワークはこの設定なので、”IP Assignment”に関しては設定不要だ.
Networks Assignment は “VL250″(SSID) の無線LANネットワークに対して、使用する周波数帯域(2.4GHz/5GHz)とこの”VL250″(SSID) の電波を送出するAPを選択する.使用する可能性のないSSIDについては、不必要な電波を出さないというのが無線LANセキュリティー対策の鉄則だ.
Access Control もセキュリティー強化にはとても効果的で、”Network Destinations” で通信先をIPアドレスで限定したり、登録済みの特定の無線LANクライアント(PCやタブレットなど)からしか接続できないようにするというようなアクセス制限が可能だ.
Schedule機能はある一定の時間帯しか無線LANに接続させないなどの運用法新を設定することが可能で、オフィスのオペレーションアワー以外は無線LANの電波を出さないというような設定ができる.
例えば子供専用の “Network”(SSID) を用意して、スケジュールを設定したポリーシーを作成しておき、特定の曜日や時間帯だけ子供が無線LANを利用できるようにするなどの対策が可能だ.
これ以外にも、子供が有害なコンテンツにアクセスできないようにする機能が備わっており、ポリシーの設定画面で “Adult Content”, “Gaming” などを細かく設定できるが、コンテンツの検出(フィルタリング)精度はあまり良くないようなので、期待しない方が良いだろう.
最後のWireless Optionsは無線LANの帯域をコントロールしたり優先度を調整する機能で、一般家庭では何も設定しなくても問題なく使えることと思うので、設定の意味が分からない場合は弄らない方が良いだろう.
“VLAN250″の基本設定
IP Settings はVLANを利用しない場合は、何も設定する必要は無い
ポリシー設定でコンテンツフィルタリング機能も設定できるがどの程度実用性があるかは不明
Aruba Instant on 製品のクラウドベースの管理機能を用いると、GUIベースの直感的なユーザインタフェースを用いて無線LANの機能を集中管理できることがお分かりいただけたのではないかと思う.画面は全て英語表記となっていたが、日本語の環境ではきちんと日本語表記される筈なので、英語が苦手な人でも問題はないだろう.
これまではこのような機能を無線LANシステムで実現するためには何百万円もする専用ハードウェアやソフトウェアを揃えて、時間を掛けてSIerさんに構築をお願いしないと実現できなかったが、Aruba Instant on製品ではハードウェアの機器代金程度でにわか一人情シスさんでも簡単に構築できてしまうところがすごいところだ.
クラウド利用による情報の漏洩という懸念がなければ手放しで喜べるところだが、一般の家庭で使う分には問題はないだろう.
次回は、VLANを利用したネットワークの分離や無線LANでの認証について説明しようと思うが、VLANを家庭のネットワークで実現するには専用のネットワーク機器が必要になるのでかなり敷居が高いが、小規模な事業所などではVLANに対応した機器もそれなりに導入されていると思われるので、一人情シスの方は是非ともネットワークエンジニアリングの最も基本的な要素であるVLANによるネットワーク分離に挑戦してみてほしい.
