Radius通信は暗号化されている?インターネット越しのクラウドにRadiusサーバーを立てWiFi認証してみた

最終更新日付: 2021年12月8日

スマホ等のWiFiの認証でもradiusが使えますよね。
そんなネットワークにつなぐ手前で認証をするようなRadiusサーバーなのですが
インターネット越しのクラウド上にRadiusサーバーを構築すると、体感的にどうなのか確認してみました。

環境・前提条件

  • WiFi認証はスマホ(iPhone)で試した
  • クラウドのRadiusサーバーはAWSを利用(amazon linux)
  • 会社からAWSクラウドまではadsl回線で接続
  • WiFiルーターはMeraki(Radisuクライアント)

結論、スマホでは体感ストレスを感じないレベルでした

image

そもそも常にWiFiや4G回線といった無線を使っているスマホでは、
いつもインターネットしか使っておらず、そのインターネット接続(Webページを見るような)体感と比べたら、差は感じれませんでした。
今となっては遅いインターネット回線のadsl回線を使用していてでもです。

ただし、

  • 本当の業務(多数の社員がWiFi認証したわけではない)
  • インターネットが切断されるとWiFi認証が出来ない(社内に業務サーバー等があっても)

という懸念はありますが、インターネットが生命線のような業務の会社の場合は、
インターネット越しにRadiusサーバーが居ても体感的には特に問題はいレベルかもしれません。
(心配は、距離とか遅延ですね)

Radisuプロトコルのセキュリティは?パケット通信の中身は暗号化されている?

インターネット越しでradius認証するとなると、次に心配なのはセキュリティ面です。
radiusのセキュリティはどうなっているのでしょうか?パケットは暗号化されているのでしょうか?

image

上記、パケットキャプチャ画面を確認すると、実は平文で認証ユーザー名が流れていることがわかります。
しかし、さすがにパスワードは平文で流れていることを確認できませんでした。

実はRadiusではUDPパケットであるということもあり、共有暗号鍵で暗号化してやり取りしています。

これが、Radiusを設定する時に、Radiusサーバー側・Radiusクライアント側に同じものを設定する「Shared Secret」という鍵になります。
さすがに、平文で認証パスワードも流れているということはなかったです。

大丈夫だとは思いますがしかし、やはりクラウド上にRadiusサーバーを配置し、実業務でこの構成を実際に使い運用するのはハードルがありますね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です