Opengate Q & A
意義
-
そもそも何故認証などが必要なのですか。誰でもネットワークが使えて良いではないですか。
各ネットワークは、その設置趣旨と経費負担に従った利用が求められます。決して自由利用が前提ではありません。さらに、インターネッ
ト上では、誹謗中傷や詐欺、不正アタック等の反社会的行動が発生しています。組織としてはそのような行動を構成員に起こして欲しくあ
りません。各自が責任を持って行動していただくための一つの方法として本システムがあります。
-
端末のOSに付随する認証を利用するのではダメなのですか。
統一したPC環境の構築と維持が可能なシステムの場合には、端末OSの認証システムを利用した方が良いと思います。しかし不特定多数
が不特定機器を接続するような環境では機能しません。
-
アクセスされる側のサーバが各自で被害を受けないように、認証その他のセキュリティ保持を行うことが本来ではないですか。
それも必要でしょう。しかし大学のように多数の多様な人間が比較的自由に利用できるネットワーク環境を提供している組織では、外部に
対して様々なトラブルを起こし苦情が寄せられる可能性が高くなります。その責任はトラブル原因を作った本人に取っていただく必要があ
ります。また、ネットワーク利用には、その目的に合った利用者の制限があることが通常だと思います。よってアクセスする側での認証も
必要と考えます。
-
何故、公開固定端末と情報コンセントの両方を対象とする必要があるのですか。公開固定端末は端末OSの認証が可能ではないですか。
全ての公開固定端末をネットワーク管理部門が統一的に配置し、そのハードウェアを不正操作から守れる状況が可能であればそれでも良い
と思います。しかし現実的には拡散した公開場所へ多数配置することが多く、様々な困難が伴います。また既に配置された認証機能の無い
端末や不十分な管理下の端末が数多くあります。これらにも対応する必要があります。
-
ルータやファイアウオール等、通過点での記録取得ではいけないのですか。
この記録ではIPアドレスは分かります。しかし不特定多数が出入りする場所の場合は誰が利用したのか分かりません。利用者が特定でき
る部屋の場合はこのような記録でも良いでしょう。
-
MACアドレスで個人識別をする方式もあるようですが。
Opengateは個人識別をユーザIDとパスワードで行っています。この認証入力の代わりにMACアドレスを使うことは可能でしょ
う。
しかしMACアドレスを利用する方式は、MACアドレスとその所有者との関係を前もって登録する必要があります。また機器譲渡・廃棄
の際に登録消去、機器更新の際に登録更新を行う必要がありますが、利用者に登録消去を励行させるのは難しいと思われます。これらの運
用上の問題点を解決しなければなりません。またMACアドレスはイーサネット接続端末のみに存在する点、ルータを超えて伝わらない
点、偽装が可能である点なども難点と言えます。
追記:Opengateの利用が困難な端末に対して、MACアドレスで個人識別をするOpengate補完認証システム
OpengateMを公開しました。このシステムでは、MACアドレス登録・更新・ルータ挿入・偽装について一定の考慮を行っていま
す。
-
最近、さまざまなネットワーク認証システムが発表されているようですが。
Opengateは以下の点を満たしている点が特徴と考えます。端末に対するソフト、ハード、設置形態、接続方法などの制限が少ない
事。利用者の指導や管理が最小限で済む事。一般的なソフト/ハードで構成されており、既存ネットワークへの導入が容易である事。利用
開始/終了に際して即座にネットワークの開放/閉鎖が行われる事。IPv4とIPv6の両方の通信を同時に開放閉鎖できること。
-
他の用途には利用できますか。
本システムは、ユーザIDとパスワードをWeb経由で受け付け、そのIPアドレスとのパケットの通過を許可するシステムです。その枠
組みの環境であれば利用できると思います。例えば、エクストラネットからイントラネットに対してアクセスするためのバイパス窓口を設
置することにも利用できるでしょう。当然ながら極めて高度なセキュリティレベルを必要とするネットワークでない場合ですが。
-
Javaが動かない端末もありますが。
Javaが動かないもしくはインストールされていない端末でも、利用者が認証ページにおいて要求した接続継続時間だけネットワークを
開放します。ただし、乗っ取りや放置に対応するため、一定時間間隔で、ARPコマンドとファイアウォール通過パケット数でチェックし
ます。また、許可ページの利用中断のリンクをクリックすることでネットワークを閉鎖できます。1.4版からJavaを用いず
JavaScriptを用いるようにしました。
利用
-
無線LANで使えますか。
使えます。ただし、親局内でNAT等によるIPアドレス変換がなされていないことが必要です。
-
DHCPやNATとの共用はできますか。
できます。そのような使い方が多いと思います。ただしNATは同一ゲートウェイマシン上で動かす場合です。本ゲートウェイと端末群と
の間にNAT装置を挟むことはできません。同じIPアドレスを多人数が使用する形になるためです。
-
MACアドレスは取得できますか。
Ver0.53にて対応しました。ただし、サーバ側でARPから取得するため、サーバ側から見えるアドレスのみです。代理ARPがあ
るとその中継アドレスとなります。また、当然ながら、イーサネットでのみ有効です。
-
一部のサービスは認証無しにしたいのですが。もしくは認証後も一部のサービスを制限したいのですが。
初期状態のファイアウオールルールに必要なものを追加すれば可能です。Opengateはこの初期状態にルールを挿入・削除します。
よって、追加位置を工夫すれば様々な制御が可能です。例えば、特定のサイトをアクセス許可もしくは不許可に固定することもできます。
-
利用者のレベルによってサービスを制限したいのですが。
設定ファイルにおいてExtraSetの設定をしてください。ExtraSetの条件に合うユーザはExtraSetで指定した設定
値を上書きします。
またはPerlスクリプトの使用を有効にして、スクリプト中で制御ください。
-
一時的利用者への対応はどうしますか。
認証サーバへの一時的な利用者登録が必要です。Opengateは、複数の認証サーバにユーザを振り分けるように指定できますので、
別途に一時利用者のための認証サーバを設置することもできます。ftpサーバが動けば良いのでWindowsなどの簡易サーバでも可
能と考えます。
当大学では、現在のところ、図書館外部利用者や学会参加者などの一時的利用者に対して以下の運用を行っています。一時利用者用の認証
サーバを用意する。必要数の利用者IDを利用期限付きで登録し、同時に利用者IDとパスワードおよび利用上の注意を書いた用紙を利用
者ID毎に印刷する。利用希望者が来訪すれば、身元を確認して用紙を1枚渡す。当然ながら本利用者IDは学内のサーバへのログイン等
には利用できません。
-
パスワードの守秘は保てますか。
端末とゲートウェイ間はWeb通信でパスワードを送ります。よってWebサーバをSSL化すれば守秘が保てます。ゲートウェイと認証
サーバの間は、守秘機能のある認証プロトコルによれば可能です。Opengateは、pop3s,ftps,Radius,PAMに
対応しています。PAMは多くの認証プロトコルをサポートします。
-
スケーラビリティはどうですか。パフォーマンスはどうですか。
数十台の使用では問題無く使えています。クラスC程度の利用はできると思います。本システムは、ファイアウオールソフトのパケット
フィルタリング規則を追加・削除する方式であり、各クライアントからの利用開始要求時を別にすれば殆ど負荷となりません。利用中のパ
フォーマンスは、パケットフィルタリングやパケット転送の処理能力に依存すると思います。なお量的な制限としては、利用クライアント
毎に1プロセスが常駐することがあります。しかしプロセス数の最大値はカーネルで調整できますし、クラスC程度毎に分割してシステム
運用する方がゲートウェイにおけるパケットフィルタリング等の能力からすると現実的でしょう。
-
Web以外の利用には対応しますか。
まずWebブラウザで認証を受けて、そのブラウザを最小化してから使います。なお、ファイアウォールルールリストにおいて、
Opengateが挿入するルール番号より前にルールを設定すれば、一部プロトコルに対する無条件拒否や無条件許可も設定可能です。
-
端末の接続状況を調べることはできますか。
開放と閉鎖の履歴は、syslog経由で/var/log/opengate.logに保存されます。端末ごとに一つのプロセスで監
視しており、現在接続中の端末状況は、「ps -axww | grep
opengate」で見ることが出来ます。このPSコマンドはプロセスID、ユーザID、IPアドレス、ファイアウォールルール番号を表示します。もし、
あるOpengateのプロセスをkillすれば、対応ファイアウォールルールも削除されます。ファイアウォールの開放状況は
「ipfw list」と「ip6fw list」で見ることが出来ます。
導入・開発
-
インストールしたが動きません。
多数のソフトウェアの仲介をするシステムですのでデバッグは面倒だと思います。別途に用意したチェック項目記述のファイルを見てくだ
さい。
-
利用・改変・配布は可能ですか。
GPL下で可能です。今後の開発のために、開発者まで連絡頂ければ幸いです。バグ・要望・改変報告を歓迎します。
-
認証Webページのデザインを変えたいのですが。
各WebページはHTMLファイルとして独立しています。これを書きかえることで簡単にできます。
-
英語、日本語以外の表示にしたいのですが。
en,jaのディレクトリが、英語と日本語の記述です。これを参考にして同じディレクトリ構成でHTMLファイルを作成してくださ
い。さらに、設定ファイル中の言語設定とindex.html.varを追加変更してください。
-
IPアドレスにより相手を確認しているようですが、IPスプーフィングは問題ではないですか。またサービス妨害攻撃には対応できますか。
その他のアタックに対してはどうですか。
IPスプーフィングはファイアウオールの方の設定で避けられると思います。またOpengateは、正しいパスワードを送ってきたア
ドレスに対して穴を開けるので、IPアドレスを偽ってもあまり得にはなりません。他が認証を受けて使っている同じIPアドレスを詐称
してパケットを流すことは可能でしょうが、現実的な利用は難しいと思っています。サービス妨害については、各IPアドレスに対して独
自のポート番号を一つ送りつけ交信する形態ですので避けられると思います。妨害を完全に除去することは難しいですが、セキュリティ
ホールがあればご教示下さい。悪意を持った利用に対しては、対策として考えられている機能などを組み合わせることも可能であろうと思
います。
-
サーバはFreeBSD以外で動きますか。
現状では、FreeBSD専用のファイアウオールツールipfwを利用しているので、他のOSでは動きません。同等の機能を持つファ
イアウオールツールがあれば、対応するように書きかえることは可能です。例えばLinuxのipchainsに書き換えることは可能
です。
-
端末毎にプロセスが生成されて大量に常駐し気持ち良くありません。一つにまとまりませんか。
アルゴリズムを簡単にするために今の方式を取りました。監視プロセスを一つにまとめることも可能でしょうが、多数の時間待ちとアクセ
ス待ちを制御するのは、サービス妨害その他の考慮点もあり、かなり面倒です。外部条件を勘案すると一つにまとめる緊急度が低いと考え
て後回しにしています。
-
IPv6に対応できますか。
Version 1.2.0において対応しました。