1 / 36

情報コンセントサービスにおける利用者認証

2002/2/2  明治大学情報技術研究会. 情報コンセントサービスにおける利用者認証. 明治大学 情報システム管理課 服部裕之 ( hhat@isc.meiji.ac.jp ). 本日の話題. 情報コンセント接続サービスの概要・問題点 明治大学の解決法 今後の情報コンセント接続サービスの展望. 背景. 昨今、各大学では情報コンセントサービスが大流行。 学生がノートパソコンを大学に持ち込み、 大学が教室やラウンジに用意した情報コンセントへ   一時的に接続。 ブラウザ&メール etc. の利用。 本学の場合 ...

saeran
Download Presentation

情報コンセントサービスにおける利用者認証

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 2002/2/2  明治大学情報技術研究会 情報コンセントサービスにおける利用者認証 明治大学 情報システム管理課 服部裕之 ( hhat@isc.meiji.ac.jp )

  2. 本日の話題 • 情報コンセント接続サービスの概要・問題点 • 明治大学の解決法 • 今後の情報コンセント接続サービスの展望

  3. 背景 • 昨今、各大学では情報コンセントサービスが大流行。 • 学生がノートパソコンを大学に持ち込み、 • 大学が教室やラウンジに用意した情報コンセントへ   一時的に接続。 • ブラウザ&メール etc. の利用。 • 本学の場合... • 1999年4月よりサービスを開始 • 情報コンセント(10/100BaseT)を駿河台地区リバティタワー内に設置 • すべての教室 (学生用机も含む) • 共同研究室、ゼミ室、学生ラウンジ • 図書館 • 2000年10月からは   和泉地区でもサービスを開始

  4. 情報コンセントサービスの悩み  セキュリティが気になる。 • 無資格者(学外者)が接続して、学内ネットワークをモニタされては困る。 • 大学内のネットワーク施設から不正行為が行われても困る。 情報コンセントの利用制限が必要

  5. 情報コンセントの利用制限 どのような方法が可能か? • 物理的制限 • 情報コンセントの施錠 • データリンク/ネットワーク層での制限 • マシンレベルの認証 • マシンに搭載しているLANインターフェースのMACアドレスを事前登録。 • DHCPの接続制限機能を利用。 • 利用者レベルの認証 • 利用者のアカウントを事前登録。 • FireWall などを用いて認証を行う。

  6. FireWallによる利用者認証 認証サーバ × FireWallの認証× × Web サーバ等 学内幹線LAN     & インターネット 情報コンセント (モバイル用) ○ FireWallの認証OK! FireWall

  7. 明治大学の例 (利用までの流れ) 1. MINDモバイルアカウント の取得 • FireWall の認証に用いるアカウント 2. パソコン の設定 • LANカード (10/100BaseT) • DHCP機能オン 3. 利用開始

  8. システム構成(サーバ構成) 情報コンセント 情報コンセント (モバイル用) DHCP サーバ FireWall 学内幹線 ネットワーク 認証サーバ (radiusサーバ) Web サーバ

  9. 情報コンセントの接続から利用まで DHCP サーバ FireWall Web サーバ 認証 サーバ

  10. 情報コンセントの接続から利用まで DHCP サーバ FireWall Web サーバ 認証 サーバ

  11. 情報コンセントの接続から利用まで (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall Web サーバ 認証 サーバ

  12. 情報コンセントの接続から利用まで (2) Webサーバへのアクセス要求 (http) (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall Web サーバ 認証 サーバ

  13. 情報コンセントの接続から利用まで (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) Web サーバ 認証 サーバ

  14. 情報コンセントの接続から利用まで (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall Web サーバ 認証 サーバ

  15. 情報コンセントの接続から利用まで (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 DHCP サーバ FireWall (5) 認証チェック (radius) Web サーバ 認証 サーバ

  16. 情報コンセントの接続から利用まで (2) Webサーバへのアクセス要求 (http) (3) 認証要求 (4) MINDモバイルアカウント入力 (1) DHCPによる IPアドレスの取得 (6) Webサーバへのアクセス成功 DHCP サーバ FireWall (5) 認証チェック (radius) Web サーバ 認証 サーバ

  17. FireWall方式の特徴 ○PC側で認証用の専用ソフトを追加インストールする必要が無い。 ×パフォーマンス(通信速度)的にはVLAN方式(後述)よりも劣る。 ×PC切断を正しく検知できない場合がある。 (マシン断検出問題)

  18. FireWallのマシン断検出方法 • マシンがネットワークから切り離されたことを、ファイアウォールはどうやって検出するのか!!!   → マシンの無通信状態を内部タイマーで監視。

  19. FireWallのマシン断検出方法 モバイル用情報      コンセント FireWall 認証済IPアドレスリスト 無通信時間 / タイムアウト(秒) IPアドレス 133.26.226.234 222/900 133.26.226.11215/900 133.26.226.15 120/900 学内幹線   ネットワーク

  20. 問題となるケース • 一台のPCを共同で使用している場合 • マシンXをA氏が利用。ネットワーク利用時に認証を行う。利用終了後、マシンの電源を切断。 • A氏の後、すぐにB氏がマシンXを起動。ところが認証なしでネットワークの利用ができてしまった!!!  (問題の背景) • DHCPサーバは、IPアドレスを配布したことのあるマシンに対しては、極力、同じIPアドレスを再割り当てする。  (RFC2131、DHCPの仕様) • よってマシンをリブートしても同じIPアドレスが割り当てられる場合が多い • ファイアウォールは、無通信タイムアウトになるまでは、認証済IPアドレスからのパケットは、無条件に通過。 ↓ ファイアウォールの無通信タイムアウトの設定値 > マシンの再起動時間 の場合に問題発生!

  21. 明治大学の対策 対策1. ファイアウォールの無通信タイムアウト値を、極力短い時間に設定する。 (実施済) 対策2.   インテリジェントハブの、リンク断アラーム(snmp trap) を活用する。 (実験中)

  22. 対策1.タイムアウトによる対策 • ファイアウォールの無通信タイムアウト値を 15分(デフォルト値) から 4分 に変更。 ↓ ところが... ↓ 接続中のマシンで、4分間、ネットワークを使用しないだけで、再認証が必要! 不便!

  23. reset-timer モバイル用情報      コンセント 3. 返答(echo-reply)    (返答があればFWタイマーはリセット) FireWall 2. ping (echo-request) を送出 認証済 IPアドレスリスト タイマー (2分おきに起動) reset-timer 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 1.認証済IPアドレスリストを取得 学内幹線   ネットワーク

  24. 対策2.アラーム(trap) による対策 • インテリジェントハブ(SNMP機能つきハブ)を利用。 • インテリジェントハブは、リンクダウンを検出すると、あらかじめ指定したサーバへSNMPを用いて通知する機能を搭載している。 • SNMPメッセージの例(SH2510、富士通製) 133.26.209.1: Link Down Trap (0) Name: interfaces.ifTable.ifEntry.ifIndex.3 • SNMPメッセージの例(Catalyst2900、Cisco製) 04:23:23: %LINK-3-UPDOWN: Interface FastEthernet0/15, changed state to down 04:23:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/15, changed state to down

  25. watch-portd モバイル用情報      コンセント インテリジェントハブ × FireWall 1.LinkDown をsnmpで送出 認証済 IPアドレスリスト タイマー watch-portd 133.26.226.234 222 / 240 133.26.226.112 15 / 240 133.26.226.15 120 / 240 2.LinkDownポートに接続されていたマシンの IPアドレスを認証済IPリストから削除 学内幹線   ネットワーク

  26. アラーム(trap)による対策の特徴 ×インテリジェントハブに直結したマシンしか接続断を検出できない! ○それでも、コスト的にはVLAN認証(後述)よりも有利か。 • 「インテリジェントハブ」       = SNMP機能のついたハブならOK ↓ 当面は、モバイル用情報コンセントの想定利用形態を考慮して、2つの対策(タイマー&アラーム)を組み合わせるのが(本学の場合は)良さそう。

  27. 情報コンセント認証技術の今後 • 意識したいこと • 高速LAN • 無線LAN • スケーラビリティ • 新OSへの即時対応 • IPv6 • 利用者支援に要するコスト (利用者の負担小。シンプルなシステム) • ほかにどんな技術が??

  28. 情報コンセントの利用者認証技術 • VLAN方式 • VPN方式 • FireWall方式

  29. VLAN方式 • VLAN機能を搭載したスイッチングハブを用いる。 • 認証の有無によって、ポートの所属するVLANをダイナミックに変化。 • 2つのVLANを準備 → 未認証VLANと、認証済VLAN • 大阪市立大学 (LANA、 専用クライアント) • 広島大学 (PortGuard、 Web,telnet,専用クライアント) • Cisco (URT- User Registration Tool、専用クライアント)

  30. VLAN方式 DHCP サーバ 認証 サーバ VLAN1(未認証マシン用VLAN) 1.IPアドレス取得 2.認証(telnet/web) 3.ルータ超え可能 学内幹線LAN     & インターネット 認証済 VLAN2(認証済マシン用VLAN) VLAN機能つき スイッチングハブ

  31. VLAN方式の特徴 ○ネットワークのパフォーマンス(通信速度)的にはもっとも優れている。 ×モバイル用情報コンセントは、すべてVLAN機能(802.1Q)に対応したスイッチングハブに直結する必要がある。 ×HUBのカスケード接続をされたらアウト。 • → 対策 • MACアドレス、IPアドレスを併用して認証。(LANA, PortGuard) • → 副作用として、パケット転送能力が低下。

  32. VPN方式 • PPPoE, PPTP, L2TPなどの認証技術を用いる。 • 認証の有無によって、ルータを通過させるか否かを決定する。 • 名古屋大学 (Nortel社製専用機、フリーソフト)

  33. VPN方式 DHCP サーバ 認証 サーバ 1.IPアドレス取得 2.VPN認証 VPN認証 3.ルータ超え可能 学内幹線LAN     & インターネット 情報コンセント (モバイル用) VPNルータ PPTP,L2TP,PPPoE

  34. VPN方式の特徴 ×暗号処理方式によってはパフォーマンスに難。 ○(情報コンセント側の)HUBのカスケード接続はOK。 △PC側でVPNソフトウェアを起動する必要がある。 • Windows 2K,XPでは標準装備。他は要追加インストール。

  35. 比較

  36. おわりに~ちょっと気になる認証方式~ • 佐賀大学 (Opengateシステム) • Webでの認証時に、マシン側へ認証用Javaアプレットを自動的にダウンロード。自動的に起動。 • Javaアプレットが動作している間は、ファイアウォールを越えることができる。 ↓ Javaが実行不可能なマシンがあると適用できないが... ↓ 明治大学でも現状方式の補強に利用できそう。 (今後の楽しい課題) (新しいクライアント認証を目指す)

More Related