Meraki

KazuhiroIkeda · ‎7 3 2023

" SSID(PSK認証)　→サインオンスプラッシュページ(Merakiクラウド認証) 　→ネットワーク使用可能となる "

というゲスト用無線ネットワークを運用予定です。そこでセキュリティ面から質問なのですが、

・過去に上記の流れでネットワークを使用した人が、サインオンスプラッシュページのURLを記録し、

　外部からURLを直接入力してアクセスしようとした際、アクセス可能でしょうか

・(アクセス可能だとして) サインイン可能でしょうか　また、その後の考えられる影響は

一応下記のページは確認しております

「スプラッシュページが、Cookie を使用して個々のクライアントセッションを追跡している」との事なので

外部からアクセス自体できないのでは、と思っているのですが、いまいち確信が持てず質問しています

勉強不足で申し訳ございませんが、どなたか回答をよろしくお願いいたします

MyHomeNWLab · ‎7 5 2023

Splash Pageを有効化すると、端末がMeraki MRに無線LAN接続している状態であれば、
1. 認証が通る前 (Before)は、"Meraki MR経由"の通信がブロックされて、
2. 認証が通った後 (After)は、"Meraki MR経由"の通信が許可される挙動になっています。

そのため、仰られていることが「社外 (Internet)からゲスト用無線ネットワークへの"外部アクセス"」の観点であれば、

そもそもMeraki MRを起点とした通信ではないためSpash Pageのアクセス制御対象にはならなくなっております。
そして、Splash PageのURLを控えていても、(VPNトンネルを張るような仕組みではないので、)外部からゲスト用無線ネットワークへは侵入できない仕組みです。

また、Splash Pageのリダイレクトに用いられるURL (例: https://nXXX.network-auth.com/splash/ ... )に関しては、
Internet上に公開されているので外部からのアクセスはできます。

実機で試しましたが、ゲストアカウントの認証自体は通るように見えました。

ただ、時間経過によるタイムアウトなどで挙動は変わるかもしれません。内部的な動作の話なのであまり深くは追及しない方がいいとは思います。

※備考: Splash PageのURL後半部分はMACアドレスやIPアドレスなどが変数情報として入ります。

私の質問意図の解釈が違っていた場合は、想定されている侵入シナリオなどを補足頂くと
他の方からも返信がつきやすくなるかなと思います。

ゲスト用無線ネットワークとなるとユーザーの使い勝手に影響する点があるので、
Merakiの営業担当者に検証機の貸し出しを相談して、事前に挙動を見て導入リスクを低減する方法もあるかなと思います。

MyHomeNWLab · ‎7 5 2023