情报ー利用者认证.pptVIP

情報コンセントサービスにおける利用者認証 明治大学 情報システム管理課 服部裕之 ( hhat@isc.meiji.ac.jp ) 本日の話題 情報コンセント接続サービスの概要?問題点 明治大学の解決法 今後の情報コンセント接続サービスの展望 背景 昨今、各大学では情報コンセントサービスが大流行。 学生がノートパソコンを大学に持ち込み、 大学が教室やラウンジに用意した情報コンセントへ 　　一時的に接続。 ブラウザ＆メール etc. の利用。 本学の場合... １９９９年４月よりサービスを開始 情報コンセント(10/100BaseT)を駿河台地区リバティタワー内に設置 すべての教室 （学生用机も含む） 共同研究室、ゼミ室、学生ラウンジ 図書館 ２０００年１０月からは 　　和泉地区でもサービスを開始 情報コンセントサービスの悩み 　セキュリティが気になる。 無資格者（学外者）が接続して、学内ネットワークをモニタされては困る。 大学内のネットワーク施設から不正行為が行われても困る。 情報コンセントの利用制限 どのような方法が可能か？ 物理的制限 情報コンセントの施錠 データリンク／ネットワーク層での制限 マシンレベルの認証 マシンに搭載しているLANインターフェースのMACアドレスを事前登録。 DHCPの接続制限機能を利用。 利用者レベルの認証 利用者のアカウントを事前登録。 FireWall などを用いて認証を行う。 FireWallによる利用者認証 FireWall　（サインアップ） 利用に先立ち、指定されたサーバにアクセスする。 そのサーバでの認証に成功すると、以後、ファイアウォールを超えることができる。 （例） 山口大学　（Webでサインアップ） 慶応大学（三田）　(xfw, ssh/telnetでサインアップ) 東京電機大学　（FireWall-1, telnetでサインアップ） FireWall　（専用クライアント） 自分のマシンに、あらかじめ認証用の専用クライアントソフトを導入する。 専用クライアント上での認証に成功すると、以後、ファイアウォールを越えることができる。 （例） 麗澤大学　(FireWall-1) FireWall　（自動認証） 未認証マシンから、ファイアウォールを越えようとすると、そのパケットをファイアウォールが横取りをし、強制的に認証ダイアログを表示する。 その認証に成功すると、以後、ファイアウォールを越えることができる。 （例） 明治大学　(FireWall-1) 佐賀大学　(opengate) 明治大学の例 （利用までの流れ） 1. MINDモバイルアカウント の取得 FireWall の認証に用いるアカウント 2. パソコン の設定 ＬＡＮカード (10/100BaseT) ＤＨＣＰ機能オン 3. 利用開始 システム構成（サーバ構成） 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで 情報コンセントの接続から利用まで FireWall方式の特徴 ○PC側で認証用の専用ソフトを追加インストールする必要が無い。 ×パフォーマンス（通信速度）的にはVLAN方式（後述）よりも劣る。 ×PC切断を正しく検知できない場合がある。 （マシン断検出問題） FireWallのマシン断検出方法 マシンがネットワークから切り離されたことを、ファイアウォールはどうやって検出するのか！！！ 　　→　マシンの無通信状態を内部タイマーで監視。 FireWallのマシン断検出方法 問題となるケース 一台のPCを共同で使用している場合 マシンXをA氏が利用。ネットワーク利用時に認証を行う。利用終了後、マシンの電源を切断。 A氏の後、すぐにB氏がマシンXを起動。ところが認証なしでネットワークの利用ができてしまった！！！ 　（問題の背景） DHCPサーバは、IPアドレスを配布したことのあるマシンに対しては、極力、同じIPアドレスを再割り当てする。　　（RFC2131、DHCPの仕様） よってマシンをリブートしても同じIPアドレスが割り当てられる場合が多い ファイアウォールは、無通信タイムアウトになるまでは、認証済IPアドレスからのパケットは、無条件に通過。 ↓ ファイアウォールの無通信タイムアウトの設定値　＞　マシンの再起動時間　 の場合に問題発生！ 明治大学の対策 対策１． ファイアウォールの無通信タイムアウト値を、極力短い時間に設定する。 （実施済） 対策２． 　　インテリジェントハブの、リンク