情報コンセントサービスにおける利用者認証 2002/2/2 明治大学情報技術研究会 情報コンセントサービスにおける利用者認証 明治大学 情報システム管理課 服部裕之 ( hhat@isc.meiji.ac.jp )
本日の話題 情報コンセント接続サービスの概要・問題点 明治大学の解決法 今後の情報コンセント接続サービスの展望
背景 昨今、各大学では情報コンセントサービスが大流行。 本学の場合... 学生がノートパソコンを大学に持ち込み、 大学が教室やラウンジに用意した情報コンセントへ 一時的に接続。 ブラウザ&メール etc. の利用。 本学の場合... 1999年4月よりサービスを開始 情報コンセント(10/100BaseT)を駿河台地区リバティタワー内に設置 すべての教室 (学生用机も含む) 共同研究室、ゼミ室、学生ラウンジ 図書館 2000年10月からは 和泉地区でもサービスを開始
情報コンセントサービスの悩み セキュリティが気になる。 情報コンセントの利用制限が必要 セキュリティが気になる。 無資格者(学外者)が接続して、学内ネットワークをモニタされては困る。 大学内のネットワーク施設から不正行為が行われても困る。 情報コンセントの利用制限が必要
情報コンセントの利用制限 FireWall などを用いて認証を行う。 どのような方法が可能か? 物理的制限 情報コンセントの施錠 データリンク/ネットワーク層での制限 マシンレベルの認証 マシンに搭載しているLANインターフェースのMACアドレスを 事前登録。 DHCPの接続制限機能を利用。 利用者レベルの認証 利用者のアカウントを事前登録。 FireWall などを用いて認証を行う。
× FireWallによる利用者認証 ○ × FireWall 認証サーバ FireWallの認証× FireWallの認証OK! Web サーバ等 学内幹線LAN & インターネット 情報コンセント (モバイル用) ○ FireWallの認証OK! FireWall
FireWall (サインアップ) 利用に先立ち、指定されたサーバにアクセスする。 そのサーバでの認証に成功すると、以後、ファイアウォールを超えることができる。 (例) 山口大学 (Webでサインアップ) 慶応大学(三田) (xfw, ssh/telnetでサインアップ) 東京電機大学 (FireWall-1, telnetでサインアップ)
FireWall (専用クライアント) 自分のマシンに、あらかじめ認証用の専用クライアントソフトを導入する。 専用クライアント上での認証に成功すると、以後、ファイアウォールを越えることができる。 (例) 麗澤大学 (FireWall-1)
FireWall (自動認証) 未認証マシンから、ファイアウォールを越えようとすると、そのパケットをファイアウォールが横取りをし、強制的に認証ダイアログを表示する。 その認証に成功すると、以後、ファイアウォールを越えることができる。 (例) 明治大学 (FireWall-1) 佐賀大学 (opengate)
明治大学の例 (利用までの流れ) 1. MINDモバイルアカウント の取得 2. パソコン の設定 3. 利用開始 明治大学の例 (利用までの流れ) 1. MINDモバイルアカウント の取得 FireWall の認証に用いるアカウント 2. パソコン の設定 LANカード (10/100BaseT) DHCP機能オン 3. 利用開始
システム構成(サーバ構成) FireWall 情報コンセント 情報コンセント (モバイル用) DHCP サーバ 学内幹線 ネットワーク 認証サーバ (radiusサーバ) Web サーバ
情報コンセントの接続から利用まで DHCP サーバ FireWall 認証 サーバ Web サーバ
情報コンセントの接続から利用まで DHCP サーバ FireWall 認証 サーバ Web サーバ
情報コンセントの接続から利用まで FireWall Web 認証 サーバ サーバ (1) DHCPによる IPアドレスの取得 DHCP
情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) Web 認証 サーバ サーバ (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall 認証 サーバ Web サーバ
情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ
情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall 認証 サーバ Web サーバ
情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ
情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 (6) Webサーバへのアクセス成功 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ
FireWall方式の特徴 ○PC側で認証用の専用ソフトを追加インストールする必要が無い。 ×パフォーマンス(通信速度)的にはVLAN方式(後述)よりも劣る。 ×PC切断を正しく検知できない場合がある。 (マシン断検出問題)
FireWallのマシン断検出方法 マシンがネットワークから切り離されたことを、ファイアウォールはどうやって検出するのか!!! → マシンの無通信状態を内部タイマーで監視。
FireWallのマシン断検出方法 FireWall モバイル用情報 コンセント 学内幹線 ネットワーク 認証済IPアドレスリスト コンセント FireWall 認証済IPアドレスリスト 無通信時間 / タイムアウト(秒) IPアドレス 133.26.226.234 222 / 900 133.26.226.112 15 / 900 133.26.226.15 120 / 900 学内幹線 ネットワーク
問題となるケース 一台のPCを共同で使用している場合 マシンXをA氏が利用。ネットワーク利用時に認証を行う。利用終了後、マシンの電源を切断。 A氏の後、すぐにB氏がマシンXを起動。ところが認証なしでネットワークの利用ができてしまった!!! (問題の背景) DHCPサーバは、IPアドレスを配布したことのあるマシンに対しては、極力、同じIPアドレスを再割り当てする。 (RFC2131、DHCPの仕様) よってマシンをリブートしても同じIPアドレスが割り当てられる場合が多い ファイアウォールは、無通信タイムアウトになるまでは、認証済IPアドレスからのパケットは、無条件に通過。 ↓ ファイアウォールの無通信タイムアウトの設定値 > マシンの再起動時間 の場合に問題発生!
明治大学の対策 対策1. ファイアウォールの無通信タイムアウト値を、極力短い時間に設定する。 (実施済) 対策2. インテリジェントハブの、リンク断アラーム(snmp trap) を活用する。 (実験中)
接続中のマシンで、4分間、ネットワークを使用しないだけで、再認証が必要! 不便! 対策1. タイムアウトによる対策 ファイアウォールの無通信タイムアウト値を 15分(デフォルト値) から 4分 に変更。 ↓ ところが... 接続中のマシンで、4分間、ネットワークを使用しないだけで、再認証が必要! 不便!
reset-timer FireWall reset-timer モバイル用情報 コンセント 学内幹線 ネットワーク コンセント 3. 返答(echo-reply) (返答があればFWタイマーはリセット) FireWall 2. ping (echo-request) を送出 認証済 IPアドレスリスト タイマー (2分おきに起動) reset-timer 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 1.認証済IPアドレスリストを取得 学内幹線 ネットワーク
対策2. アラーム(trap) による対策 インテリジェントハブ(SNMP機能つきハブ)を利用。 SNMPメッセージの例(SH2510、富士通製) 133.26.209.1: Link Down Trap (0) Name: interfaces.ifTable.ifEntry.ifIndex.3 SNMPメッセージの例(Catalyst2900、Cisco製) 04:23:23: %LINK-3-UPDOWN: Interface FastEthernet0/15, changed state to down 04:23:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/15, changed state to down
watch-portd FireWall watch-portd モバイル用情報 コンセント × 学内幹線 ネットワーク コンセント インテリジェントハブ × FireWall 1.LinkDown をsnmpで送出 認証済 IPアドレスリスト タイマー watch-portd 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 2.LinkDownポートに接続されていたマシンの IPアドレスを認証済IPリストから削除 学内幹線 ネットワーク
当面は、モバイル用情報コンセントの想定利用形態を考慮して、2つの対策(タイマー&アラーム)を組み合わせるのが(本学の場合は)良さそう。 アラーム(trap)による対策の特徴 ×インテリジェントハブに直結したマシンしか接続断を検出できない! ○それでも、コスト的にはVLAN認証(後述)よりも有利か。 「インテリジェントハブ」 = SNMP機能のついたハブならOK ↓ 当面は、モバイル用情報コンセントの想定利用形態を考慮して、2つの対策(タイマー&アラーム)を組み合わせるのが(本学の場合は)良さそう。
情報コンセント認証技術の今後 意識したいこと ほかにどんな技術が?? 高速LAN 無線LAN スケーラビリティ 新OSへの即時対応 IPv6 利用者支援に要するコスト (利用者の負担小。シンプルなシステム) ほかにどんな技術が??
情報コンセントの利用者認証 技術 VLAN方式 VPN方式 FireWall方式
VLAN方式 VLAN機能を搭載したスイッチングハブを用いる。 認証の有無によって、ポートの所属するVLANをダイナミックに変化。 大阪市立大学 (LANA、 専用クライアント) 広島大学 (PortGuard、 Web,telnet,専用クライアント) Cisco (URT- User Registration Tool、専用クライアント)
VLAN方式 認証済 学内幹線LAN & インターネット VLAN機能つき スイッチングハブ 認証 サーバ DHCP サーバ VLAN1(未認証マシン用VLAN) 1.IPアドレス取得 2.認証(telnet/web) 3.ルータ超え可能 学内幹線LAN & インターネット 認証済 VLAN2(認証済マシン用VLAN) VLAN機能つき スイッチングハブ
VLAN方式の特徴 ○ネットワークのパフォーマンス(通信速度)的にはもっとも優れている。 ×モバイル用情報コンセントは、すべてVLAN機能(802.1Q)に対応したスイッチングハブに直結する必要がある。 ×HUBのカスケード接続をされたらアウト。 → 対策 MACアドレス、IPアドレスを併用して認証。 (LANA, PortGuard) → 副作用として、パケット転送能力が低下。
VPN方式 PPPoE, PPTP, L2TPなどの認証技術を用いる。 認証の有無によって、ルータを通過させるか否かを決定する。 名古屋大学 (Nortel社製専用機、フリーソフト)
VPN方式 VPN認証 PPTP,L2TP,PPPoE 認証 サーバ VPNルータ DHCP サーバ 1.IPアドレス取得 2.VPN認証 3.ルータ超え可能 学内幹線LAN & インターネット 情報コンセント (モバイル用) VPNルータ PPTP,L2TP,PPPoE
VPN方式の特徴 ×暗号処理方式によってはパフォーマンスに難。 ○(情報コンセント側の)HUBのカスケード接続はOK。 △PC側でVPNソフトウェアを起動する必要がある。 Windows 2K,XPでは標準装備。 他は要追加インストール。
比較 FireWall 方式 VLAN VPN 高速LAN対応 △ ◎~○ ○ 無線LAN対応 △~○ (802.1q) (802.1x) ボトルネック 装置 VLAN対応HUB VPN装置 多種OSへの対応 ◎ △→○ IPv6 ×→○ 利用者支援のコスト ー
明治大学でも現状方式の補強に利用できそう。 おわりに ~ちょっと気になる認証方式~ 佐賀大学 (Opengateシステム) Webでの認証時に、マシン側へ認証用Javaアプレットを自動的にダウンロード。自動的に起動。 Javaアプレットが動作している間は、ファイアウォールを越えることができる。 ↓ Javaが実行不可能なマシンがあると適用できないが... 明治大学でも現状方式の補強に利用できそう。 (今後の楽しい課題) (新しいクライアント認証を目指す)