OpengateMホームページ

OpengateM - A MAC address based network user authentication system for campus-wide network

注：プロジェクトのメインページはhttp://opengatem.osdn.jp に移りました。当サイトの情報はメインページの更新に追随できない場合があります。

概要

ここは、OpengateMというオープンソースソフトウェアの開発と公開のためのページです。
OpengateMは、利用者が持ち込む端末に対するネットワーク利用の制限と記録を行うシステムです。Opengateと異なり共用端末には対応しません。
OpengateMは端末のMACアドレスに基づく制御をしており、利用が容易で、多様な端末で利用できます。さらに通常のMACアドレスベースのシステムに比較して、管理負担が低いこと、大規模運用が可能なことを特徴とします。
OpengateMは、多様な利用者が多様な端末を持ち込むキャンパスネットワーク環境を想定しています。高いセキュリティが必要な環境のシステムではありません。
OpengateMは、ゲートウェイを通過するパケットを監視し、その送信元MACアドレスが、DBへ事前登録されたアドレスと一致したらファイアウォールを開放するシステムです。大量に端末が登録されても、ゲートウェイの負荷はネットワークを使用している端末にのみ関係します。
Web機能を持つ端末は、自動的に表示される登録ページを使って、利用者自身が自分の端末を登録できます。
Opengateシステムとの比較、および単純なMACアドレスによる利用制限との比較は下に示します。
OpengateMは佐賀大学にて開発し、キャンパス全域での運用を行っています。

下図に使用方法を示します。Web機能付きの端末で任意ページをアクセスすると、その端末が登録済みであれば普通に使えます。未登録のときは登録ページが、期限切れのときは更新ページが表示されます。他プロトコルのネットワーク利用も可能ですが、登録時はWebを使います。Web機能を持たない端末の登録手順も用意しました。

MAC登録ページ MAC更新ページ

特徴

Opengateと同じゲートウェイ上で併用できます。また単独使用も可能です。Opengateからのスムーズな移行もできます。
端末に要求するのはネットワーク接続機能のみです。WiFi機能を持つ多様な機器（例：スマートフォン、タブレット、ノートPC、オーディオ・ビデオプレイヤ等）に対応します。
膨大な登録利用者数でも適用可能です。ただし同一ネットワークで同時に利用される端末数はゲートウェイ・ファイアウォールの処理能力に制限されます。
負荷実験では、1Gbpsネットワーク上での数千台以上からの同時アクセスを処理できました。もし膨大な数のパケットが到着したときは、パケットのキャプチャ漏れのためにネットワークの開放が遅れることがありますが、一度解放されると問題なく利用できます。過負荷で破たんすることはありません。
パスワード要求はアドレスの登録と更新時点です。利用時にはパスワード入力なしで利用できます。利用が容易であり利用指導が最少で済みます。
利用者管理はデータベースに集約されており容易です。各アクセスポイントやファイアウォールなどへのアドレス登録管理作業は不要です。
MACアドレス登録方法に、複数の平易な方法を用意しています。ほとんどの方法においてアドレスは自動検出されます。また各種の認証方式(FTP, POP3, POP3S, FTPS, RADIUS, LDAP, PAM, shibboleth, HttpBasic)によりユーザIDと紐付けできます。
ユーザ認証をせず、利用当初に利用ポリシーなどをスプラッシュ表示するだけの運用も可能です。この場合も、MACアドレスでの利用記録を取れます。また、定期的に表示したり、指定した端末を拒否することもできます。
Web機能のある端末においては、Captive Portal型の認証とMACアドレス自動取得を行うことで、利用者自身が管理者の手を煩わせることなく、正確な登録することが可能です。
汎用のハードウェアとオープンソースソフトウェアを利用しています。
ファイアウォールルールを工夫することで、特定のポートやサイトの許可や不許可なども制御が可能です。
利用者ごとの利用記録を取れます。
利用期限を設定しており、期限前には警告メールが届きます。利用者自身が利用記録をチェックの上で期間の延長を行う方式としており、不正利用に気付きやすいです。
ゲートウェイ下にNAT・ルータが挿入されると端末のMACアドレスを正しく認識できないため、この対策としてNAT・ルータ挿入を検出して拒否する機能を持ちます。
GPL(GNU General Public License)下で配布や改造が可能です。

変更履歴

Ver.1.0.0を公開しました。
- コメントを修正しました(all)。
VirtualBoxを使ったシステムイメージを更新しました。
Ver.0.9.7を公開しました。
- 認証なし、スプラッシュ表示のみの運用を可能としました(opengatemown)。
VirtualBoxを使ったシステムイメージとその構築手順を公開しました。
Ver.0.9.6を公開しました。
- CLangの警告メッセージに対応しました(all)。
- PHPスクリプトを修正しました(opengatemmng)。
Ver.0.9.5を公開しました。
- 登録・更新ページを修正しました(opengatemreg/mown/mup)。
Ver.0.9.4を公開しました。
- 更新ページを修正しました(opengatemup)。同一アドレス・同一期限の更新メールを集約しました(opengatemmail)。
Ver.0.9.3を公開しました。
- 検知したユーザに報告メールを送るPHPを加えました。Ver.0.9.1の監視との連携で動作します(phpsrc)
Ver.0.9.2を公開しました。
- 機器名とメールの編集を加えました(opengatemup)。strncpyをstrlcpyに代えました(all)
Ver.0.9.1を公開しました。
- 特定アドレスの監視機能を加えました。詳細はopengatemdのページ(opengatemd)
Ver.0.9.0を公開しました。
- 利用履歴表示をチャート様式にしました。状態P(=Pause)を加えました。(opengatemup)

システム概観

システム概観を図に示す。Web機能付きの端末は自分で登録する。非Web端末は管理者が介在して登録する。登録の更新はWeb機能を持つPCなどを使って自分で行う。

ブロック図

ブロック図を示す。ゲートウェイ上において、デーモンがパケットをキャプチャし、そのアドレスがデータベースに有ればファイアウォールを開放する。一定時間、使用が無ければ閉鎖する。他に、データベースのアドレス登録を管理する諸システムがある。

非Web端末の登録と使用

Web機能を持たない端末は、管理者に依頼して登録する。管理者は自動取得したアドレス一覧から試行により特定して登録する。更新はWeb機能を持ったPCを使って利用者自身が行う。

MAC調査ページ MAC登録ページ

Opengateとの相違

Opengate	OpengateM
不特定多数が利用する端末および個人が利用する端末	個人が利用する端末
標準Webと監視ページ保持の機能が必要	インターネット接続機能のみ必要
毎回の利用開始時にパスワード入力が必要	アドレスの登録・更新時にのみパスワード入力が必要
即時閉鎖：利用終了を検知して閉鎖	遅延閉鎖：一定時間利用が無いとネットワーク閉鎖

単純MACアドレス制限との相違

単純MACアドレス制限 (一般的な場合、構成によっては相違)	OpengateM
制御機器の登録可能アドレス数制限で利用者数が限定	制御ルールを動的に登録削除のため多数利用者可
利用者ごとの利用記録不可	利用者ごとの利用記録可 (UserID, MAC address, IP address, Time)
多数の制御機器を操作必要	集中データベースで制御
利用期限無し	利用期限あり、延長可能
不正利用の発見難	延長時に、利用者本人が利用記録を確認
MACアドレスは別途に取得・登録必要	MACアドレス取得・登録処理を含む
MACアドレスの誤入力の可能性あり	MACアドレスの自動取得
MACアドレス登録に管理者関与が必要	Web機能を持つ端末は管理者関与が不要
未登録者の誘導無し	未登録者を登録ページや別認証へ誘導可
一律制御（ファイアウォールで拒否制限の追加は可）	特定サイト・ポートの拒否・通過を制御可能（例：特定サイト・ポートは認証無しで利用）

サブシステム

システムは下記のサブシステムから構成される。

用途	設置場所	概要	説明
ネットワーク開閉システム	認証ゲートウェイの全て	ゲートウェイを通るパケットのMACアドレスを見てネットワーク開閉を行うデーモン	OpengateMd
管理データベース	認証ゲートウェイから見えるサーバ	許可したいMACアドレスと所有するユーザIDを登録するDB	OpemgateMsql
MACアドレス登録システム	認証ゲートウェイの内の任意個	管理担当者が、登録を要望する端末を確認して登録するWebシステム(非Web端末用)	OpengateMreg
MACアドレス更新システム	管理データベースが見えるサーバ	利用者本人が、登録端末の利用期限延長と削除を行うWebシステム	OpengateMup
MACアドレス自己管理システム	認証ゲートウェイの内の任意個	管理者抜きに所有者が端末の登録と更新を行うWebシステム	OpengateMown
管理用php諸システム	管理データベースが見えるサーバ	管理のために必要と思われるPHPによる雑プログラム（Optional）	OpengateMphp

使用方法

登録
1. 端末所有者による登録（Web有りの端末）
  1. 登録ページをWebアクセスすると、MACアドレスが自動取得されるので認証情報とともに登録する。登録ページをCaptive Portal として提示することもできる。
2. 管理者による登録
  1. 利用者は、使用したい端末を持って登録場所へ行き、管理担当者に登録を依頼する。
  2. 利用者端末のMACアドレスが自動取得されるので確認し、ユーザIDとともに登録する。
3. バッチ登録
  1. アーカイブに、バッチ登録のためのSQLスクリプトサンプルを含めている。これを編集して実行する。
利用
1. 利用者が使用を開始すると、デーモンがMACアドレスを確認して、ファイアウォールに通過ルールを挿入する。また利用開始をログに記録する。
2. 一定時間（例：3時間）連続してネットワーク利用が無いと、デーモンがファイアウォールから通過ルールを削除する。また利用終了をログに記録する。
3. 承認できないMACアドレスからWebアクセスがあった場合に、ID/パスワードを確認して登録・更新ページを表示するように設定できる。またOpengate認証を表示するようにも設定できる。
更新
1. 一定期間（例：一ヶ月）経つと利用期限が切れる。期限前には警告メールが届く。
2. 利用者はWebにより更新処理を行う。

Q and A

想定質問と回答をQandA集に記述しました。

発表

Opengate補助認証システムの運用に向けた改良、中林淳一、渡辺義明、電気関係学会九州支部連合大会、佐賀大学、 2011.9.27,03-2P-12(2011.9)
Opengateを補完するMACアドレス認証システムOpengateM、渡辺義明、大谷誠、江藤博文、只木進一、渡辺健次、情報処理学会研究報告, 2011-IOT-16, pp.1-6, 北海道大学(2012.03.16) 原稿PDF
MACアドレスによるネットワーク利用者認証システムOpengateMの負荷テスト、中林淳一、渡辺義明、電気関係学会九州支部連合大会、長崎大学、 2012.9.24,08-1P-09(2012.9)原稿PDF
キャンパス規模で運用可能なMACアドレス認証システムOpengateM、大谷誠、江藤博文、渡辺健次、只木進一、渡辺義明、情報処理学会研究報告, 2012-IOT-19, pp.1-6, テクノアークしまね (2012.09.28) 原稿PDF
A MAC address based authentication system applicable to campus-scale network, Yoshiaki Watanabe, Makoto Otani, Hirofumi Eto, Kenzi Watanabe and Shin-ichi Tadaki, The 15th Asia-Pacific Network Operations and Management Symposium (APNOMS2013), Hiroshima, Japan (2013.09.27) 原稿PDF

もうひとつのシステム : Opengate

Webベースのネットワーク利用者認証システムです。詳しくは Opengateホームページ. Opengateホームページ. を参照ください。

このページに関する要望・質問等は以下までお願いします。
渡辺義明 : watanaby(at)users.osdn.me
大谷　誠 : otani(at)cc.saga-u.ac.jp