スマホ等のWiFiの認証でもradiusが使えますよね。
そんなネットワークにつなぐ手前で認証をするようなRadiusサーバーなのですが
インターネット越しのクラウド上にRadiusサーバーを構築すると、体感的にどうなのか確認してみました。
環境・前提条件
- WiFi認証はスマホ(iPhone)で試した
- クラウドのRadiusサーバーはAWSを利用(amazon linux)
- 会社からAWSクラウドまではadsl回線で接続
- WiFiルーターはMeraki(Radisuクライアント)
結論、スマホでは体感ストレスを感じないレベルでした
そもそも常にWiFiや4G回線といった無線を使っているスマホでは、
いつもインターネットしか使っておらず、そのインターネット接続(Webページを見るような)体感と比べたら、差は感じれませんでした。
今となっては遅いインターネット回線のadsl回線を使用していてでもです。
ただし、
- 本当の業務(多数の社員がWiFi認証したわけではない)
- インターネットが切断されるとWiFi認証が出来ない(社内に業務サーバー等があっても)
という懸念はありますが、インターネットが生命線のような業務の会社の場合は、
インターネット越しにRadiusサーバーが居ても体感的には特に問題はいレベルかもしれません。
(心配は、距離とか遅延ですね)
Radisuプロトコルのセキュリティは?パケット通信の中身は暗号化されている?
インターネット越しでradius認証するとなると、次に心配なのはセキュリティ面です。
radiusのセキュリティはどうなっているのでしょうか?パケットは暗号化されているのでしょうか?
上記、パケットキャプチャ画面を確認すると、実は平文で認証ユーザー名が流れていることがわかります。
しかし、さすがにパスワードは平文で流れていることを確認できませんでした。
実はRadiusではUDPパケットであるということもあり、共有暗号鍵で暗号化してやり取りしています。
これが、Radiusを設定する時に、Radiusサーバー側・Radiusクライアント側に同じものを設定する「Shared Secret」という鍵になります。
さすがに、平文で認証パスワードも流れているということはなかったです。
大丈夫だとは思いますがしかし、やはりクラウド上にRadiusサーバーを配置し、実業務でこの構成を実際に使い運用するのはハードルがありますね。