情報コンセントサービスにおける利用者認証

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

既存ネットワークとの高親和性を持 つ ノードグルーピング機構に関する研 究 さだ. 2.背景 2.1 インターネットの普及 –IP アドレスが足りなくなるくらい多くのノードが インターネットを介した通信を実現 – ノードには 2 種類 IP ホスト:一般的な PC のように,ソフトウェアを容易に 更新できるノード.
ご提案書 『ホテル インターネットサービスソリューション』
Linuxを組み込んだマイコンによる 遠隔監視システムの開発
Global Ring Technologies
ファイアウォール 基礎教育 (4日目).
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第一回 プロキシサーバーを駆使したセキュリティシステムの構築
校内ネットワーク運用講座 「校内ネットワークの管理と運用」 -校内ネットワーク模擬実習-
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第4回ネットワーク講習会 医中誌・JCRのセットアップと利用方法
CCP Express 3.1 初期設定ガイド(WAN/LAN)
GoNET ~ Ver 2.3 新機能紹介 ~ ネットワーク接続制御アプライアンス 2013年11月リリース 2013年10月
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
無線LANセキュリティの救世主 IEEE802.1xについて
Private SIP サーバを用いた VoIP環境構築の試み
2004年11月19日 情報メディア教育研究センター 吉田 朋彦
EPnetFaN 座学編 第12回 北海道大学大学院 理学研究科 地球惑星科学専攻 森川 靖大
“All your layer are belong to us” 君達の「階層」は全て我々が戴いた
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
概要 認証システム ネットワーク接続 メールシステム Webサービス(ホームページ) 実習室システム 印刷システム.
心理学情報処理法Ⅰ コンピュータネットワーク概論.
授業を始める前に 諸注意 無線LANを使用できない学生(主に4年生?)は2階の事務室へ行ってLANケーブルを借りてきて下さい。
ファイアウォール 基礎教育 (1日目).
ネットワーク機器接続 2SK 情報機器工学.
総合情報処理センター 利用ガイド(2017年度新入生版)
情報コミュニケーション入門 総合実習(1) 基礎知識のポイント(2)
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
ファイアウォール 基礎教育 (2日目).
「コンピュータと情報システム」 06章 通信ネットワーク
IPv6アドレスによる RFIDシステム利用方式
インターネット接続制御アプライアンス ~ 製品説明 ~ 2013年06月 アイビーソリューション株式会社 Ver
情報検索概説II(99秋) 第3回 1999/10/21 インターネットの仕組み(2).
VMware社製vSphereによるHigh Availability構成専用 VMware社 vCenter Server
Ibaraki Univ. Dept of Electrical & Electronic Eng.
いつでも! どこでも! 『働き方改革』 が解決します!! SMA100シリーズで安心・安全リモートアクセス
学校におけるネットワークの運用と技術 解説編.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
7. セキュリティネットワーク (ファイアウォール)
スタックなし、電源冗長なしのシンプルな筐体で、
イーサネットフレームの構造とデータリンク層アドレス
セキュリティ(6) 05A2013 大川内 斉.
第15章 TFTP:トリビアル・ファイル転送プロトコル
インターネットにおける真に プライベートなネットワークの構築
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
システム全体構成図 センター計算機室 附属学校 DMZ 東北大シナジー
Cisco Configuration Professional Express 3.3 アップデート
教室における無線LANの実験 予告編 (Part 2)
GoNET-MIS のご紹介 2015年04月 アイビーソリューション株式会社 Ver 2.1.
Minecraft: Education Edition インターネット経由で共同活動する方法 HW-02G編
IDSとFirewallの連携によるネットワーク構築
gate登録システム: 設計ポリシーから使い方まで
6 インターネット(2) 6.1 インターネットへの接続 ネットワークにつなげば  →ブラウザや電子メールなどのアプリ   ケーション使用可.
スイッチングハブの入替・増設による不正侵入リスクを低減します
授業が始まる前に 諸注意 以下の人は2階の事務室へ行ってケーブルを借りてきて下さい。 Ethernetケーブルを持っていない
Step.8 ファイアウォール PC 3 PC 1 PC 2 許可したアクセス のみ通過させる アクセスする ファイアウォール
Ibaraki Univ. Dept of Electrical & Electronic Eng.
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
TCP/IPの通信手順 (tcpdump)
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

情報コンセントサービスにおける利用者認証 2002/2/2  明治大学情報技術研究会 情報コンセントサービスにおける利用者認証 明治大学 情報システム管理課 服部裕之 ( hhat@isc.meiji.ac.jp )

本日の話題 情報コンセント接続サービスの概要・問題点 明治大学の解決法 今後の情報コンセント接続サービスの展望

背景 昨今、各大学では情報コンセントサービスが大流行。 本学の場合... 学生がノートパソコンを大学に持ち込み、 大学が教室やラウンジに用意した情報コンセントへ   一時的に接続。 ブラウザ&メール etc. の利用。 本学の場合... 1999年4月よりサービスを開始 情報コンセント(10/100BaseT)を駿河台地区リバティタワー内に設置 すべての教室 (学生用机も含む) 共同研究室、ゼミ室、学生ラウンジ 図書館 2000年10月からは   和泉地区でもサービスを開始

情報コンセントサービスの悩み セキュリティが気になる。 情報コンセントの利用制限が必要  セキュリティが気になる。 無資格者(学外者)が接続して、学内ネットワークをモニタされては困る。 大学内のネットワーク施設から不正行為が行われても困る。 情報コンセントの利用制限が必要

情報コンセントの利用制限 FireWall などを用いて認証を行う。 どのような方法が可能か? 物理的制限 情報コンセントの施錠 データリンク/ネットワーク層での制限 マシンレベルの認証 マシンに搭載しているLANインターフェースのMACアドレスを 事前登録。 DHCPの接続制限機能を利用。 利用者レベルの認証 利用者のアカウントを事前登録。 FireWall などを用いて認証を行う。

× FireWallによる利用者認証 ○ × FireWall 認証サーバ FireWallの認証× FireWallの認証OK! Web サーバ等 学内幹線LAN     & インターネット 情報コンセント (モバイル用) ○ FireWallの認証OK! FireWall

FireWall (サインアップ) 利用に先立ち、指定されたサーバにアクセスする。 そのサーバでの認証に成功すると、以後、ファイアウォールを超えることができる。 (例) 山口大学 (Webでサインアップ) 慶応大学(三田) (xfw, ssh/telnetでサインアップ) 東京電機大学 (FireWall-1, telnetでサインアップ)

FireWall (専用クライアント) 自分のマシンに、あらかじめ認証用の専用クライアントソフトを導入する。 専用クライアント上での認証に成功すると、以後、ファイアウォールを越えることができる。 (例) 麗澤大学 (FireWall-1)

FireWall (自動認証) 未認証マシンから、ファイアウォールを越えようとすると、そのパケットをファイアウォールが横取りをし、強制的に認証ダイアログを表示する。 その認証に成功すると、以後、ファイアウォールを越えることができる。 (例) 明治大学 (FireWall-1) 佐賀大学 (opengate)

明治大学の例 (利用までの流れ) 1. MINDモバイルアカウント の取得 2. パソコン の設定 3. 利用開始 明治大学の例 (利用までの流れ) 1. MINDモバイルアカウント の取得 FireWall の認証に用いるアカウント 2. パソコン の設定 LANカード (10/100BaseT) DHCP機能オン 3. 利用開始

システム構成(サーバ構成) FireWall 情報コンセント 情報コンセント (モバイル用) DHCP サーバ 学内幹線 ネットワーク 認証サーバ (radiusサーバ) Web サーバ

情報コンセントの接続から利用まで DHCP サーバ FireWall 認証 サーバ Web サーバ

情報コンセントの接続から利用まで DHCP サーバ FireWall 認証 サーバ Web サーバ

情報コンセントの接続から利用まで FireWall Web 認証 サーバ サーバ (1) DHCPによる IPアドレスの取得 DHCP

情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) Web 認証 サーバ サーバ (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall 認証 サーバ Web サーバ

情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ

情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall 認証 サーバ Web サーバ

情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ

情報コンセントの接続から利用まで FireWall (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 (6) Webサーバへのアクセス成功 DHCP サーバ FireWall (5) 認証チェック (radius) 認証 サーバ Web サーバ

FireWall方式の特徴 ○PC側で認証用の専用ソフトを追加インストールする必要が無い。 ×パフォーマンス(通信速度)的にはVLAN方式(後述)よりも劣る。 ×PC切断を正しく検知できない場合がある。 (マシン断検出問題)

FireWallのマシン断検出方法 マシンがネットワークから切り離されたことを、ファイアウォールはどうやって検出するのか!!!   → マシンの無通信状態を内部タイマーで監視。

FireWallのマシン断検出方法 FireWall モバイル用情報 コンセント 学内幹線 ネットワーク 認証済IPアドレスリスト      コンセント FireWall 認証済IPアドレスリスト 無通信時間 /     タイムアウト(秒) IPアドレス 133.26.226.234       222 / 900 133.26.226.112       15 / 900 133.26.226.15       120 / 900 学内幹線   ネットワーク

問題となるケース 一台のPCを共同で使用している場合 マシンXをA氏が利用。ネットワーク利用時に認証を行う。利用終了後、マシンの電源を切断。 A氏の後、すぐにB氏がマシンXを起動。ところが認証なしでネットワークの利用ができてしまった!!!  (問題の背景) DHCPサーバは、IPアドレスを配布したことのあるマシンに対しては、極力、同じIPアドレスを再割り当てする。  (RFC2131、DHCPの仕様) よってマシンをリブートしても同じIPアドレスが割り当てられる場合が多い ファイアウォールは、無通信タイムアウトになるまでは、認証済IPアドレスからのパケットは、無条件に通過。 ↓ ファイアウォールの無通信タイムアウトの設定値 > マシンの再起動時間  の場合に問題発生!

明治大学の対策 対策1. ファイアウォールの無通信タイムアウト値を、極力短い時間に設定する。 (実施済) 対策2.   インテリジェントハブの、リンク断アラーム(snmp trap) を活用する。 (実験中)

接続中のマシンで、4分間、ネットワークを使用しないだけで、再認証が必要! 不便! 対策1. タイムアウトによる対策 ファイアウォールの無通信タイムアウト値を 15分(デフォルト値) から 4分 に変更。 ↓ ところが... 接続中のマシンで、4分間、ネットワークを使用しないだけで、再認証が必要! 不便!

reset-timer FireWall reset-timer モバイル用情報 コンセント 学内幹線 ネットワーク      コンセント 3. 返答(echo-reply)    (返答があればFWタイマーはリセット) FireWall 2. ping (echo-request) を送出 認証済 IPアドレスリスト タイマー (2分おきに起動) reset-timer 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 1.認証済IPアドレスリストを取得 学内幹線   ネットワーク

対策2. アラーム(trap) による対策 インテリジェントハブ(SNMP機能つきハブ)を利用。 SNMPメッセージの例(SH2510、富士通製) 133.26.209.1: Link Down Trap (0) Name: interfaces.ifTable.ifEntry.ifIndex.3 SNMPメッセージの例(Catalyst2900、Cisco製) 04:23:23: %LINK-3-UPDOWN: Interface FastEthernet0/15, changed state to down 04:23:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/15, changed state to down

watch-portd FireWall watch-portd モバイル用情報 コンセント × 学内幹線 ネットワーク      コンセント インテリジェントハブ × FireWall 1.LinkDown をsnmpで送出 認証済 IPアドレスリスト タイマー watch-portd 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 2.LinkDownポートに接続されていたマシンの   IPアドレスを認証済IPリストから削除 学内幹線   ネットワーク

当面は、モバイル用情報コンセントの想定利用形態を考慮して、2つの対策(タイマー&アラーム)を組み合わせるのが(本学の場合は)良さそう。 アラーム(trap)による対策の特徴 ×インテリジェントハブに直結したマシンしか接続断を検出できない! ○それでも、コスト的にはVLAN認証(後述)よりも有利か。 「インテリジェントハブ」       = SNMP機能のついたハブならOK ↓ 当面は、モバイル用情報コンセントの想定利用形態を考慮して、2つの対策(タイマー&アラーム)を組み合わせるのが(本学の場合は)良さそう。

情報コンセント認証技術の今後 意識したいこと ほかにどんな技術が?? 高速LAN 無線LAN スケーラビリティ 新OSへの即時対応 IPv6 利用者支援に要するコスト (利用者の負担小。シンプルなシステム) ほかにどんな技術が??

情報コンセントの利用者認証 技術 VLAN方式 VPN方式 FireWall方式

VLAN方式 VLAN機能を搭載したスイッチングハブを用いる。 認証の有無によって、ポートの所属するVLANをダイナミックに変化。 大阪市立大学 (LANA、 専用クライアント) 広島大学 (PortGuard、 Web,telnet,専用クライアント) Cisco (URT- User Registration Tool、専用クライアント)

VLAN方式 認証済 学内幹線LAN & インターネット VLAN機能つき スイッチングハブ 認証 サーバ DHCP サーバ VLAN1(未認証マシン用VLAN) 1.IPアドレス取得 2.認証(telnet/web) 3.ルータ超え可能 学内幹線LAN     & インターネット 認証済 VLAN2(認証済マシン用VLAN) VLAN機能つき スイッチングハブ

VLAN方式の特徴 ○ネットワークのパフォーマンス(通信速度)的にはもっとも優れている。 ×モバイル用情報コンセントは、すべてVLAN機能(802.1Q)に対応したスイッチングハブに直結する必要がある。 ×HUBのカスケード接続をされたらアウト。 → 対策 MACアドレス、IPアドレスを併用して認証。 (LANA, PortGuard) → 副作用として、パケット転送能力が低下。

VPN方式 PPPoE, PPTP, L2TPなどの認証技術を用いる。 認証の有無によって、ルータを通過させるか否かを決定する。 名古屋大学 (Nortel社製専用機、フリーソフト)

VPN方式 VPN認証 PPTP,L2TP,PPPoE 認証 サーバ VPNルータ DHCP サーバ 1.IPアドレス取得 2.VPN認証 3.ルータ超え可能 学内幹線LAN     & インターネット 情報コンセント (モバイル用) VPNルータ PPTP,L2TP,PPPoE

VPN方式の特徴 ×暗号処理方式によってはパフォーマンスに難。 ○(情報コンセント側の)HUBのカスケード接続はOK。 △PC側でVPNソフトウェアを起動する必要がある。 Windows 2K,XPでは標準装備。 他は要追加インストール。

比較 FireWall 方式 VLAN VPN 高速LAN対応 △ ◎~○ ○ 無線LAN対応 △~○ (802.1q) (802.1x) ボトルネック 装置 VLAN対応HUB VPN装置 多種OSへの対応 ◎ △→○ IPv6 ×→○ 利用者支援のコスト ー

明治大学でも現状方式の補強に利用できそう。 おわりに ~ちょっと気になる認証方式~ 佐賀大学 (Opengateシステム) Webでの認証時に、マシン側へ認証用Javaアプレットを自動的にダウンロード。自動的に起動。 Javaアプレットが動作している間は、ファイアウォールを越えることができる。 ↓ Javaが実行不可能なマシンがあると適用できないが... 明治大学でも現状方式の補強に利用できそう。 (今後の楽しい課題) (新しいクライアント認証を目指す)