Transcript 情報コンセントサービスにおける利用者認証

２００２／２／２
明治大学情報技術研究会
情報コンセントサービスにおける
利用者認証
明治大学 情報システム管理課
服部裕之
( [email protected] )
1
本日の話題
 情報コンセント接続サービスの概要・問題点
 明治大学の解決法
 今後の情報コンセント接続サービスの展望
2
背景

昨今、各大学では情報コンセントサービスが大流行。




学生がノートパソコンを大学に持ち込み、
大学が教室やラウンジに用意した情報コンセントへ
一時的に接続。
ブラウザ＆メール etc. の利用。
本学の場合...

１９９９年４月よりサービスを開始

情報コンセント(10/100BaseT)を駿河台地区リバティタワー内に設置




すべての教室 （学生用机も含む）
共同研究室、ゼミ室、学生ラウンジ
図書館
２０００年１０月からは
和泉地区でもサービスを開始
3
情報コンセントサービスの悩み
セキュリティが気になる。

無資格者（学外者）が接続して、学内ネットワークをモニタされ
ては困る。

大学内のネットワーク施設から不正行為が行われても困る。
情報コンセントの利用制限が必要
4
情報コンセントの利用制限
どのような方法が可能か？
 物理的制限


情報コンセントの施錠
データリンク／ネットワーク層での制限

マシンレベルの認証



マシンに搭載しているLANインターフェースのMACアドレスを
事前登録。
DHCPの接続制限機能を利用。
利用者レベルの認証

利用者のアカウントを事前登録。
FireWall などを用いて認証を行う。
5
FireWallによる利用者認証
認証サーバ
×
FireWallの認証×
×
○
情報コンセント
（モバイル用）
Web
学内幹線LAN
＆
インターネット
サーバ等
FireWallの認証OK！
FireWall
6
明治大学の例
（利用までの流れ）
1. MINDモバイルアカウント の取得
 FireWall
の認証に用いるアカウント
2. パソコン の設定
 ＬＡＮカード
(10/100BaseT)
 ＤＨＣＰ機能オン
3. 利用開始
10
システム構成（サーバ構成）
情報コンセント
情報コンセント
（モバイル用）
DHCP
サーバ
FireWall
認証サーバ
(radiusサーバ）
Web
サーバ
学内幹線
ネットワーク
11
情報コンセントの接続から利用まで
DHCP
サーバ
FireWall
認証
サーバ
Web
サーバ
12
情報コンセントの接続から利用まで
DHCP
サーバ
FireWall
認証
サーバ
Web
サーバ
13
情報コンセントの接続から利用まで
（１） DHCPによる
ＩＰアドレスの取得
DHCP
サーバ
FireWall
認証
サーバ
Web
サーバ
14
情報コンセントの接続から利用まで
（２） Webサーバへのアクセス要求 （ｈｔｔｐ）
（１） DHCPによる
ＩＰアドレスの取得
DHCP
サーバ
FireWall
認証
サーバ
Web
サーバ
15
情報コンセントの接続から利用まで
（２） Webサーバへのアクセス要求 （ｈｔｔｐ）
（３） 認証要求
（１） DHCPによる
ＩＰアドレスの取得
DHCP
サーバ
FireWall
（５） 認証チェック
(radius)
認証
サーバ
Web
サーバ
16
情報コンセントの接続から利用まで
（２） Webサーバへのアクセス要求 （ｈｔｔｐ）
（３） 認証要求
（４） MINDモバイルアカウント入力
（１） DHCPによる
ＩＰアドレスの取得
DHCP
サーバ
FireWall
認証
サーバ
Web
サーバ
17
情報コンセントの接続から利用まで
（２） Webサーバへのアクセス要求 （ｈｔｔｐ）
（３） 認証要求
（４） MINDモバイルアカウント入力
（１） DHCPによる
ＩＰアドレスの取得
DHCP
サーバ
FireWall
（５） 認証チェック
(radius)
認証
サーバ
Web
サーバ
18
情報コンセントの接続から利用まで
（２） Webサーバへのアクセス要求 （ｈｔｔｐ）
（３） 認証要求
（４） MINDモバイルアカウント入力
（１） DHCPによる
ＩＰアドレスの取得
（６） Webサーバへのアクセス成功
DHCP
サーバ
FireWall
（５） 認証チェック
(radius)
認証
サーバ
Web
サーバ
19
FireWall方式の特徴
○PC側で認証用の専用ソフトを追加インストール
する必要が無い。
×パフォーマンス（通信速度）的にはVLAN方式
（後述）よりも劣る。
×PC切断を正しく検知できない場合がある。
（マシン断検出問題）
20
FireWallのマシン断検出方法

マシンがネットワークから切り離されたこと
を、ファイアウォールはどうやって検出す
るのか！！！
→ マシンの無通信状態を内部タイマー
で監視。
21
FireWallのマシン断検出方法
モ
バ
イ
ル
用
コ情
ン報
セ
ン
ト
FireWall
認証済IPアドレスリスト
IPアドレス
133.26.226.234
133.26.226.112
133.26.226.15
無通信時間 ／
タイムアウト(秒)
222 / 900
15 / 900
120 / 900
学
内
ネ幹
ッ線
ト
ワ
ー
22
問題となるケース

一台のPCを共同で使用している場合


マシンXをA氏が利用。ネットワーク利用時に認証を行う。利用終了後、
マシンの電源を切断。
A氏の後、すぐにB氏がマシンXを起動。ところが認証なしでネットワーク
の利用ができてしまった！！！
（問題の背景）



DHCPサーバは、IPアドレスを配布したことのあるマシンに対しては、極力、
同じIPアドレスを再割り当てする。 （RFC2131、DHCPの仕様）
よってマシンをリブートしても同じIPアドレスが割り当てられる場合が多い
ファイアウォールは、無通信タイムアウトになるまでは、認証済IPアドレスか
らのパケットは、無条件に通過。
↓
ファイアウォールの無通信タイムアウトの設定値 ＞ マシンの再起動時間
の場合に問題発生！
23
明治大学の対策
対策１．
ファイアウォールの無通信タイムアウト値
を、極力短い時間に設定する。 （実施済）
対策２．
インテリジェントハブの、リンク断アラーム
(snmp trap) を活用する。 （実験中）
24
対策１.
タイムアウトによる対策
 ファイアウォールの無通信タイムアウト値
を １５分（デフォルト値） から ４分 に変更。
↓
ところが...
↓
接続中のマシンで、４分間、ネットワークを使
用しないだけで、再認証が必要！ 不便！
25
モ
バ
イ
ル
用
コ情
ン報
セ
ン
ト
reset-timer
３． 返答(echo-reply)
（返答があればFWタイマーはリセット）
FireWall
認証済
IPアドレスリスト
133.26.226.234
133.26.226.112
133.26.226.15
２． ping (echo-request) を送出
タイマー
222 / 240
15 / 240
120 / 240
（２分おきに起動）
reset-timer
１．認証済IPアドレスリストを取得
26
学
内
ネ幹
ッ線
ト
ワ
ー
対策２.
アラーム(trap) による対策

インテリジェントハブ(SNMP機能つきハブ）を利用。

インテリジェントハブは、リンクダウンを検出すると、あらかじめ指
定したサーバへSNMPを用いて通知する機能を搭載している。

SNMPメッセージの例（SH2510、富士通製）
133.26.209.1: Link Down Trap (0)
Name: interfaces.ifTable.ifEntry.ifIndex.3

SNMPメッセージの例（Catalyst2900、Cisco製)
04:23:23: %LINK-3-UPDOWN: Interface FastEthernet0/15, changed
state to down
04:23:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/15, changed state to down
27
watch-portd
モ
バ
イ
ル
用
コ情
ン報
セ
ン
ト
インテリジェントハブ
×
FireWall
認証済
IPアドレスリスト
133.26.226.234
133.26.226.112
133.26.226.15
１．LinkDown をsnmpで送出
タイマー
222 / 240
15 / 240
120 / 240
watch-portd
2．LinkDownポートに接続されていたマシンの
IPアドレスを認証済IPリストから削除
28
学
内
ネ幹
ッ線
ト
ワ
ー
アラーム（trap）による対策の特徴
×インテリジェントハブに直結したマシンしか
接続断を検出できない！
○それでも、コスト的にはVLAN認証（後述）
よりも有利か。
 「インテリジェントハブ」
＝ SNMP機能のついたハブならOK
↓
当面は、モバイル用情報コンセントの想定利用形態を考慮
して、２つの対策（タイマー＆アラーム）を組み合わせる
のが（本学の場合は）良さそう。
29
情報コンセント認証技術の今後

意識したいこと
 高速LAN
 無線LAN
 スケーラビリティ
 新OSへの即時対応
 IPｖ６
 利用者支援に要するコスト
（利用者の負担小。シンプルなシステム）

ほかにどんな技術が？？
30
情報コンセントの利用者認証
技術
VLAN方式
 VPN方式
 FireWall方式

31
VLAN方式
VLAN機能を搭載したスイッチングハブを用いる。
 認証の有無によって、ポートの所属するVLANを
ダイナミックに変化。

 ２つのVLANを準備
→ 未認証VLANと、認証済
VLAN
 大阪市立大学
(LANA、 専用クライアント)
 広島大学 （PortGuard、 Web,telnet,専用クライアント）
 Cisco （URT- User Registration Tool、専用クライアン
ト）
32
VLAN方式
DHCP
サーバ
VLAN１（未認証マシン用VLAN)
認証
サーバ
１．IPアドレス取得
２．認証(telnet/web)
３．ルータ超え可能
学内幹線LAN
＆
インターネット
認証済
VLAN２（認証済マシン用VLAN)
VLAN機能つき
スイッチングハブ
33
VLAN方式の特徴
○ネットワークのパフォーマンス（通信速度）的には
もっとも優れている。
×モバイル用情報コンセントは、すべてVLAN機能
(802.1Q)に対応したスイッチングハブに直結する
必要がある。
×HUBのカスケード接続をされたらアウト。
→
対策
MACアドレス、IPアドレスを併用して認証。
(LANA, PortGuard)
 → 副作用として、パケット転送能力が低下。

34
VPN方式
PPPoE, PPTP, L2TPなどの認証技術を用いる。
 認証の有無によって、ルータを通過させるか否
かを決定する。

 名古屋大学
(Nortel社製専用機、フリーソフト)
35
VPN方式
DHCP
サーバ
認証
サーバ
１．IPアドレス取得
２．VPN認証
VPN認証
３．ルータ超え可能
学内幹線LAN
＆
インターネット
情報コンセント
（モバイル用）
VPNルータ
PPTP,L2TP,PPPoE
36
VPN方式の特徴
×暗号処理方式によってはパフォーマンス
に難。
○（情報コンセント側の）HUBのカスケード接
続はOK。
△PC側でVPNソフトウェアを起動する必要が
ある。
 Windows
2K,XPでは標準装備。
他は要追加インストール。
37
比較
高速LAN対応
無線LAN対応
ボトルネック
多種OSへの対応
IPｖ６
利用者支援のコスト
FireWall VLAN
VPN
方式
方式
方式
△
◎～○
○
○
△～○
○
(802.1q) (802.1x)
FireWall
装置
VLAN対応
HUB
VPN装置
◎
×→○
ー
○
△→○
ー
△→○
△→○
ー38
おわりに
～ちょっと気になる認証方式～

佐賀大学 （Opengateシステム）
 Webでの認証時に、マシン側へ認証用Javaアプレット
を自動的にダウンロード。自動的に起動。
 Javaアプレットが動作している間は、ファイアウォール
を越えることができる。
↓
Javaが実行不可能なマシンがあると適用できないが...
↓
明治大学でも現状方式の補強に利用できそう。
（今後の楽しい課題）
（新しいクライアント認証を目指す）
39