【EAP-TLS】Wi-Fiの場合(続・備忘録)

ついでなので、Wi-Fiの場合もRADIUS認証(EAP-TLS)での接続方法を記録しておく。

まずは、Wi-Fiアクセスポイント(オーセンティケータ)の設定。ここでは、Aruba Instant On AP22 を使っている。

ネットワーク名(SSID)は好きに設定。セキュリティはWPA2エンタープライズを選択。RADIUSサーバーとしてYAMAHA SWX3100-10GのIPアドレスを指定。秘密共有キーは、SWX3100で指定したRADIUSクライアントの物(SWX3100に設定した「シークレット文字列」)を使う。内部RADIUSサーバーに接続するときのデフォルトシークレットキー(secret_local)ではないので注意。

Wi-Fi APのIPアドレスが固定じゃなかったら「ネットワークアドレスを指定する」の方でも良い。

次にWindowsの設定から、「ダイヤルアップ→新しい接続を設定する」に進む。ネットワーク名はオーセンティケータに設定したSSIDを、セキュリティの種類はWPA2-エンタープライズを選択して次へ。(余談だが、Windows10でWPA3エンタープライズを設定しようとするとなぜかダイアログがエラー終了するので、WPA2にしておく。まあ、PSKじゃないからWPA2もWPA3も変わんないだろう…)

正常に終了した後、設定を変更するか聞かれるので、そのまま変更へ進む。

するとワイヤレスネットワークのプロパティが開くので、「セキュリティ」タブをクリック。ここから先は有線LANの場合と変わらない。ネットワークの認証方法の選択に「Microsoft: スマートカードまたはその他の証明書」を選択し、YAMAHAオレオレ証明局にチェックを入れ、認証モードをユーザーまたはコンピューターの認証に変更する。

以上で、Wi-Fi接続の設定は終了。

OS標準の操作で設定したSSIDに接続しようとすると、「パスワードが必要です」と通知が出てくるが、実はパスワードではなくて証明書の選択が必要になる。選ぶだけでOK。

あ、もちろんクライアント証明書のインストールは、有線LANの場合と同じように事前にすませておく。じゃないと、ここで証明書がないので未認証になるからね。

さらに、既存のWi-Fi接続設定を設定変更でここまで持っていくのは不可能なので、途中でミスしたり既存の設定を変更しようと思ったら、毎回「ダイヤルアップ→新しい接続を設定する」からやり直す必要がある。なんでだろう?

セキュリティはめんどくさいなあ…と思ったそこのあなた、そうですセキュリティはめんどくさいんです。

【EAPoL-TLS】有線LANにおける証明書を使ったRADIUS認証(備忘録)

ついにねんがんのYAMAHAスイッチを手に入れたぞ! しかもインテリジェントL2スイッチでよかったのに無駄にライトL3スイッチ、SWX3100-10Gだ!(だって、安かったから…)…というわけで、境界防御に頼りきりだった我がLAN環境にRADIUS認証を導入することにした。これでYAMAHAスイッチを経由する通信は、RADIUSサーバーで認証された機器のみに限られることになるので、LANの安全性が高まる(はず)。流行りのゼロトラストセキュリティへの一歩を踏み出し始めたのだ。この果てしなく遠い道をよ…

ところで、Wi-Fi環境にRADIUS認証を設定する話はネットにたくさん転がってるのだが、有線LAN環境に導入する話はあまり聞かない。ちょこちょこはあるけど、詳しい情報がまったく見つからない。なので、今回開通したやり方を記録していく。

まずは認証スイッチの設定から。ここはYAMAHAで公開されてる設定例を見ればだいたいわかる。基本的には設定例通りに行えば良いので、ここではスクリーンショットを掲載するだけに留めておく。

ダウンロードしたクライアント証明書をWindowsにインストールすることころまではYAMAHAの例(IEEE802.1X認証の場合)でOK。その先のWindows設定にコツがいるので備忘録としてここに記す。

まず、サービスのWired AutoConfigのスタートアップの種類が「無効or手動」になっているので、ここを「自動」に変更して保存する。こうすると、ネットワークのアダプターのプロパティを表示した時に、「認証」タブが出てくるようになる。

イーサネットのプロパティを開いたら「認証」のタブに移り「IEEE 802.1X認証を有効にする」にチェックを入れ、ネットワークの認証方法の選択を「Microsoft: スマートカードまたはその他の証明書」にして、まずは右側の「設定」ボタンをクリックする。

スマートカードまたはその他の証明書のプロパティが出てくるので、「このコンピューターの証明書を使う」にチェックを入れ、信頼されたルート証明機関のリストから、自分で作ったYAMAHAオレオレ証明局の名前(デフォルトだとYAMAHA_SWITCH、ここではLADS3100)を見つけ、チェックを入れてOKボタンをクリックする。
ひとつ戻って、次に「追加の設定」ボタンをクリックすると、802.1Xの設定タブが出てくるので、「認証モードを指定する」にチェックを入れて「ユーザーまたはコンピューターの認証」を選択する。以上で、ここでの設定は完了。OKボタン→OKボタンとたどって、ネットワークアダプターのプロパティ画面を閉じる。

すると、ネットワークアダプタアイコンが「認証中…」の画面になり、うまく行けば最後にWindowsから証明書の選択についてのポップアップ画面があるので、OKを激しくクリックして完了。

よくやった!!
お前には社内の全端末を
RADIUS認証に
対応させる権利をやる!

※8/10追記 Windows11の場合は、上記画面の代わりに「サインイン」しないとネットワークのすべてを使えないよ!と警告が出るので、サインインをクリックすると設定ダイアログに飛ばされて、同じように証明書を選択する画面になるようです。ただ、設定ダイアログがポップアップしたりしなかったり、動作が安定しない…Windows11だからか?

Wライセンス

やったぜ!
これでぼくも情報処理安全確保支援士、略してJSAKS、長いのでJSでいいです(嘘です)

登録情報セキュリティスペシャリスト(Registered Information Security Specialist?)になるには登録料やら年会費やら3年毎の集会研修費など、3年でざっと15~20万くらいかかるみたいなので、本登録するかどうかは検討中…。
会社が費用負担してくれるわけでもなし、ずっと未登録セキスペのままやっていくほうがコスパが良いのかも。

念願の称号を手に入れたぞ!

ねんがんのネットワークスペシャリストになれたぞ! コロしてでもうばいとる、のはカンベンしてくれ!

本日の発表で、IPAの令和3年春期ネットワークスペシャリスト試験に合格が判明しました。来月には経済産業大臣署名入りの合格証書が送られてくるぜ!(欲を言えば世耕さんの揮毫が良かったのだが、在任当時は不合格だったものでね…)

官報にも公示されるらしいぞ、ワクワク!

※官報は受験番号だけの掲載だった…_| ̄|○

そして、高度試験群で一番受かりそうなNWを終えてしまったので、あとはどうするか迷っている俺様。情報処理安全確保支援士試験はNWと試験範囲がだいぶ重なるので80%ぐらい行けるかと思うが、データベースとかになるとわかるのは半分以下、システムアーキテクトとかエンベデットシステムになるとさらにその半分、サービスマネージャ・プロジェクトマネージャ・ITストラテジストの文系群にいたってはハァーサッパリサッパリてなもんだからな。

誰か安全確保支援士の登録料と研修料(3年で16万?)出してくれないかな。出してもらえたら受験のモチベーションが上がる…。

ノブの HERO を改造する話

あけましておめでとうございます。約30ヶ月ぶりの投稿になります。L.A.デジタルサポート代表のノブ です。私がブログ投稿をさぼっている間に、自作PC市場ではRyzenが大躍進し、Ryzenにあらずんばハイエンドにあらずとも言える状態で、すっかりIntelは落ちぶれてしまいましたね、自業自得です。(←Meltdownパッチをすぐ出してもらえなかったことを未だに根に持っている。)

ところで昨年末に私の大好物なマザーボード、ROG CROSSHAIR VIII DARK HERO が発売になったのですが残念ながら少量入荷の為に手に入りませんでした。DARK な HERO ってところが私の繊細な心にビンビンヒットしていたのですが、入手できないのでは仕方ありません。ウズウズと蠢く右腕の衝動を抑える為に、現在使用中のマザーボード、ROG CROSSHAIR VIII HERO (以下C8H)の改造に着手することにしました。ブラックジャックの爪の垢と言われた俺様の改造技術が火を吹くぜ!(※火を吹いたら電子機器はふつう壊れます。)

大仰な書き出しで始めましたが何がしたいのかというと、負荷時の動作温度が高いことに定評のあるX570チップセットの冷却を強化すべく、C8H のチップセットヒートシンクとチップセット間のサーマルペーストを改善するのが目的です。

まず、取り外すのは右記画像の赤い線で囲った部分。マザーボードをひっくり返すとネジ穴の周りが灰色の部分が4つあるのでこれを外します。するとプラスチック製のカバーがとれて、ファン付きヒートシンクが露わになります。

(下の左図、右図参照)

チップセットファンはマザーボード裏から4つのネジで固定されています。(右図赤丸の部分)ワッシャー的なものが付属していますのでなくさないようにしましょう。無理に取り外さなければ大丈夫だと思いますが…。

ファンの電源ケーブルはマザーボード表のコネクタに接続されています。引きちぎらないように注意しましょう。私は老眼でノッチがよく見えない(あるのかないのかよくわからなかった)ので、ケーブルは接続したままヒートシンクをひっくり返して作業しました。

チップセット(写真撮り忘れました笑。チップ外形24mm×24mm、コア外形が11mm×14mmぐらいでした)が露出したら、絶縁とサーマルマテリアルの埋め込みを始めます。厚みの大部分は銅板で埋めることにしていましたが、その他の部分で悩みます。グリスは繰り返し塗り直す必要があることを考えると毎回ここまでマザーボードをバラバラにするのは手間ですし。グラファイトシートを使おうか?と思って以前購入しておりましたが、これは残念ながら導電性があるため、ボード表面のチップコンデンサとの接触が気になります。放熱接着剤でチップを絶縁するか?とも思いましたが、いらちな私は硬化時間を待つことができそうにありません。そこで、チップのコア部分には0.5mm厚のシリコン放熱パッドを敷き詰め、周囲には0.5~1mm厚のシリコン放熱パッドでボードと絶縁するようにして、銅板(20mm×20mm)を3枚敷き詰めました。

その後、銅板がずれてショートしないように、周囲を放熱パッドを重ね敷きして壁を作り、最後に銅板とヒートシンクの間のグリス代わりにグラファイトシート(32mm×32mm)を配置します。シートはずれやすいので、一部放熱パッドで挟み込んで、少々のことではずれないようにしております。

さて、ここまで適当にサイズを書いてきましたが、狙ってこれらを購入したわけではありません。いつか使うこともあるかな~と手元に置いておいた端材が色々溜まっていたのでそれらを流用しました。最初からこのオペを目的にするなら、もうちょっと寸法に合わせたパッドや銅板を用意したほうがいいかもしれませんね(笑)

肝心の手術結果は…なんと動作温度の5℃低下を確認。オペは大成功でした\(^o^)/ …いや、実はオペのせいか同時に外して放置したプラカバーのせいかわからないんだけども。まあ結果良ければいいじゃんね。

現在室温12~15℃くらいでチップセット温度が47~50℃くらいだったものが、現在42~43℃が天井に。去年の夏場は60℃前後くらいだったので、今夏はこのまま50℃ちょいくらいまで抑え込められればいいなと夢想中。

プラカバーは導風板のつもりか、風が下のSSDにしか向かわないようになってる(赤丸がファン、水色の線がプラの壁)ので、思い切って外した

もうだめだ…

このブログの更新は、これで最後にするかもしれないという話。

誰かに拒絶されると、誰も自分のことなんて気にしていないと思うようになるので、やる気がなくなります。一人や、ほんの数人に拒絶されたからと言って、どんな状況でもすべての人に拒絶されることにはならないと思いますが、そのように感じると、同じようにやる気がなくなります。

https://www.lifehacker.jp/2013/06/130618recharge_motivation.html

久留米の中心で SDC FORCE MODE ENUMERATION を叫ぶ

遅らせていた Windows10 April 2018 Update を行なったので、ついでに Radeon のドライバも更新してみた。新しいドライバのバージョンは、Radeon Software Adrenalin Edition 18.4.1。リリースノートに、”Initial support for Windows10 April 2018 Update”って書いてあるので、やっといたほうがいいかと思って。

結論から言うと、罠だった(笑)

省電力モードになって画面がブラックアウトすると、デバイスの接続音がえんえんと鳴り続けるようになってしまった。何をそんなに叫びたいんだ RX!クライシスはもうたくさんだ!

イベントビューアー(システム)を見ると、「呼び出し元が SetDisplayConfig() API への呼び出しに SDC_FORCE_MODE_ENUMERATION フラグを指定しました」という項目がえんえんと続いていた。なんのことだかよくわからんが、よーくわかった。ディスプレイを2台、拡張モードで接続してるのがいけないんだな。

→ クローンモードにしてみる。省電力モードでも音は鳴らない。
→ Eyefinity で単一デスクトップモードにしてみる。音は鳴らない。
→ドライバをひとつ前のバージョン(Adrenalin Edition 18.2.1)に戻す。音は鳴らない。

わお!やってくれるね!だから、自宅のシングルディスプレイ環境では同じ問題は起こらなかったわけだ。

省電力モードに付随するこの癖のあるトラブルの感じからすると、Displayport接続してるのがいけないような気もしてきたが…いまさらケーブル敷設をやり直すのはめんどくさいので、検証ごと放置すること決定。

ついにコピー機を導入…断念した話

約1年前、事務所をオープンしたての頃に最初に営業に来られたのはご存知キヤノンさんでした。コピー機をリース契約して下さい!っていう例のアレです。貧乏所帯のうちにはもちろんコピー機リースなんて用はないので、A4カラーレーザープリンタ&A4インクジェット複合機のみで営業開始しました。

その後レーザープリンタはすぐに A3 に更新したのですが、コピー枚数がかなり少ないこともあって、コピー機の導入(中古orリースの決断)や A3スキャナー導入は躊躇していました。しかしこの度開店一周年を迎えるにあたり、ついに A3→A3 の100%コピーを可能にすべく、NEC の MultiSc@nner(PR-MW-SC51) を導入しました。定価はなんと 298,000円! それを中古で 25,000円!(送料込み)

コピースタートから印刷終了まで、少し動作がトロくはありますが、コピー機リースに比べれば格安のお値段。もう、コピー機はいらない。

純正スキャナー台の定価は 50,000円もするので、アホらしくてホームセンターの木材で製作。制作費約2000円。機材が重すぎて足がぐらつくので、後ほど筋交いをいれて補強する予定。

試運転は一応済ませたけど、ちゃんと動くのかな?(^-^;)

IKE めんどくさ。

NEC の UNIVERGE IX2105 というルータを新品で買ったので、最新のファームウェアをダウンロードしてアップデートしました。

Ver.9.7.16 にしたついでに、事務所と自宅の間に張っていた VPN を IKE version1 から IKE version 2 へと張り直しました。IKEv2 はデフォルトプロファイルでネゴシエーションしてくれるので楽ちんだという話だったんですが、何度やってもつながらない…そして、三日目にしてつ・い・に! source address と destination address が違っていたことが発覚しました。そりゃ、ログを調べてみても NO RESPONSE になるはずですね(笑)

ちょこちょこっと直してやったら、無事 IPv4 over IPv6 の ipsec-ikev2 トンネリングが動作しました(^-^)