質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

iPhone

iPhoneとは、アップル社が開発・販売しているスマートフォンです。 同社のデジタルオーディオプレーヤーiPodの機能、電話機能、インターネットやメールなどのWeb通信機能の3つをドッキングした機器です。

Q&A

2回答

377閲覧

スマホの無線LAN接続の端末認証どうされていますか?

odataiki

総合スコア938

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

iPhone

iPhoneとは、アップル社が開発・販売しているスマートフォンです。 同社のデジタルオーディオプレーヤーiPodの機能、電話機能、インターネットやメールなどのWeb通信機能の3つをドッキングした機器です。

0グッド

0クリップ

投稿2020/02/12 14:54

経緯

  • スマートフォンアプリ(Android,iPhone)開発を行っている会社の人間です。
  • 来客もあり、アプリ開発している会社はそれなりに何か対策すべきやろ
  • というわけでセキュリティ向上のため社内無線LAN環境にゲストWi-Fiを構築しようと考えました。

やりたいこと

以下の端末は社内LANの内側

  • 従業員が開発で使用するPC(公)
  • 開発用のスマホ(公)

以下の端末は社内LANの外側

  • 来客者のスマホやPC(公私問わず)
  • 従業員の個人スマホ(私)


考えてみたルール

有線LANについて

  • 制限はしない
  • ケーブルに限りありますので

無線LANについて

従業員PC用SSID(パスワード+Macアドレス制限あり)を作る

  • 従業員の開発に使用するPCが接続する(ほとんどが有線接続ですが一部無線あり)
  • アプリ開発に利用するスマートフォン(Android、iPhone)
  • 無意味と言われるMacアドレス制限の目的は悪意のない(自覚のない)ウィルス感染来訪者を防ぐものです。
  • 悪意があるものには無意味というのは承知しております)

ゲスト用SSID(パスワードのみ)

  • 来客者のPCやスマホ
  • 従業員のスマホやタブレットなど
  • 悪意のないウィルス感染者が入ってきても社内LANには影響が来ないように

設定した機器

  • ELECOM製 無線AP WAB-I1750-PS
  • これのゲストネットワーク機能を利用して、従業員用とゲスト用を切り分けました。

やってみた

起こった問題

  • 開発用のiPhone端末から社内LAN上のDBサーバへ接続したい。
  • iPhoneの仕様でMacアドレスがランダムに変更されるため
  • 開発に使用するiPhone端末が従業員PC用SSIDに接続できない。

結果

  • Macアドレス制限を解除しました。
  • 結局SSIDが異なるだけでパスワードを知ってしまえば悪意のない来客者が社内LANに接続できてしまう状況に。

聞きたいこと

  • スマホアプリ開発している方、無線LAN接続の端末認証はどの様に運用されてますか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hoshi-takanori

2020/02/12 15:22

WPA2エンタープライズにして、従業員ごとに個別のIDとパスワードで認識すべきでは?
over

2020/02/13 01:47

> 結局SSIDが異なるだけでパスワードを知ってしまえば悪意のない来客者が社内LANに接続できてしまう状況に 上記を制約と感じているのであれば、どんな施策も無意味に感じます。このような事例を運用回避するような回答をご期待しているのでしょうか?
odataiki

2020/02/18 03:49

ご回答ありがとうございます。 どんな施策も抜け穴があるということですね・・・ 落とし所を切り分けたいと思います。
guest

回答2

0

すでに出ているようにWPA/WPA2エンタープライズで1x認証が良いかなと。

社員用は毎回ID/パスワードを打つのが面倒なので
証明書を使ったEAP-TLSで認証するトコが多い気がします。
逆にゲストは証明書を入れてもらうのが面倒なので
ゲストID/パスワードを発行しているトコが多い気がします。

投稿2020/02/19 16:22

nakagoshi999

総合スコア15

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

現状、WPA/WPA2パーソナルで、社員みんなが一つのパスワードを共有していて、例えばお客さんにパスワードを見られたり、誰かがが退職したら、一つしかないパスワードを変更して、全員パスワード入力し直しになることが問題なんですよね?
WPA/WPA2エンタープライズにすれば、社員 A さんは A さんのパスワード、B さんは B さんのパスワード、… にできます。(会社の PC と私物のスマホを分ける利点はあまりないと思います。)仮に C さんが退職されても C さんのアカウントだけ無効にすれば、A さんと B さんのパスワードはそのまま使えます。
もちろん、社員それぞれが自分のパスワードをちゃんと管理するという前提ですが、アプリ開発会社ならそのくらいは当然…ですよね?

WPA/WPA2エンタープライズの導入については、この記事が参考になるのでは?
Mac OS X Server をRADIUSサーバとしてAirMacでWPA/WPA2エンタープライズネットワークを構築する - Qiita

投稿2020/02/12 21:22

編集2020/02/18 04:10
hoshi-takanori

総合スコア7893

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

odataiki

2020/02/18 03:47

参考記事ありがとうございます。 色々調査してみます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問