中継サーバを用いたセキュアな遠隔支援システム

Similar documents
本資料について

MPサーバ設置構成例

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

_mokuji_2nd.indd

IPsec徹底入門

製品概要

MC3000一般ユーザ利用手順書

プロキシ・ファイアウォール       通信許可対象サーバリスト

2

中村隼大 鈴木秀和 内藤克浩 渡邊晃 名城大学理工学部愛知工業大学情報科学部

Infiniiumオシロスコープ Webコントロール手順書

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

Web会議システム IC3(アイシーキューブ)│FAQ│IC3:キヤノンITソリューションズ株式会社

Web会議システム IC3(アイシーキューブ)│FAQ│IC3:キヤノンITソリューションズ株式会社

発表の流れ 1. 研究の背景と目的 2. 相互接続の概観 3. ワームホールデバイスの動作の概要 4. 実験 性能評価 5. まとめ DICOMO2007 2

Mobile Access IPSec VPN設定ガイド

目次 目次... 1 本書の見かた... 2 商標について... 2 オープンソースライセンス公開... 2 はじめに... 3 概要... 3 使用環境について... 4 対応している OS およびアプリケーション... 4 ネットワーク設定... 4 Google クラウドプリントの設定...

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

ロイロノートスクールクラウド版表 クラウド サービス利 弊社が 意しているクラウドサービスへ接続し利 するシンプルなプランです サービスだけで利 することができます プラン 保存可能な容量 / ユーザー 額の場合 / ユーザー 年額の場合 / ユーザー 共 タブレット向け 1 0.8GB 40 円

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

PowerPoint Presentation

Mobile Access簡易設定ガイド

PowerPoint プレゼンテーション

Microsoft Word - 参考資料:SCC_IPsec_win7__リモート設定手順書_

PowerPoint プレゼンテーション

VPN 接続の設定

第 69 回情報処理学会全国大会 情報家電ネットワークの遠隔相互接続のためのネットワークアーキテクチャ 武藤大悟 吉永努 電気通信大学大学院情報システム学研究科 2007/11/28 The 69th National Convention of IPSJ 1

適応型セキュリティ アプライ アンスの設定

適応型セキュリティ アプライ アンスの設定

SCC(IPsec_win10)_リモート設定手順書.doc

クラウド時代のセキュリティ運用課題 従来 主流であったオンサイト作業は 少なくなり インターネット経由 VPN 経由によるリモート運用が中心となってきています オンプレミス プライベートクラウド パブリッククラウド A 社システム部門運用代行業者システム開発ベンダ 作業立会いができない 無断作業 D

拡大するビジネスモビリティ ニーズ 国内ビジネスモビリティ PC ユーザ数の推移 ビジネスモビリティとは PC やスマートフォンなどを利用し 社外で必要なデータやアプリケーションにアクセスでき あたかも自席のように仕事ができること 出展 :IDC 国内ビジネスモビリティ市場 2009 年の分析と 2

Microsoft PowerPoint - RemoteGuide pptx

PowerPoint Presentation

V.O.Anywhere ご利用の手引き ~ macOS編 ~

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

Microsoft Word - winscp-LINUX-SCPを使用したファイル転送方法について

ESET Smart Security 7 リリースノート

conf_example_260V2_inet_snat.pdf

Systemwalker Live Help V13.6 機能紹介資料

シナリオ:サイトツーサイト VPN の設定

UPS管理システムSAN GUARD IV

Microsoft Word - SSL-VPN接続サービスの使い方

これだけは知ってほしいVoIPセキュリティの基礎

Microsoft Word - u-CAT’Ý™è…K…C…

UCSセキュリティ資料_Ver3.5

R80.10_FireWall_Config_Guide_Rev1

導入ドキュメント

Microsoft PowerPoint - SSO.pptx[読み取り専用]

wdr7_dial_man01_jpn.indd

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

ポリシー保護PDF閲覧に関するFAQ

iStorage ソフトウェア VMware vCenter Plug-in インストールガイド

ブラウザ Internet Explorer 7 の設定について 第3版

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

モバイル統合アプリケーション 障害切り分け手順書

Master'sONEセキュアモバイル定額通信サービス(MF120)設定手順書(Ver1_2).doc

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Microsoft Word - Release_IDS_ConnectOne_ _Ver0.4-1.doc

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

Microsoft Word - Gmail-mailsoft_ docx

情報漏洩対策ソリューション ESS REC のご説明

<4D F736F F F696E74202D AD955C A91E F B F91CE8FA48ED C81458B5A8F F A8893AE95F18D90>

/ /24 SSH ADSL NAT /23 SSH PPP PPP NAT にルーティングしまし

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

2 SmaSvr SmaSvr システムの概要 テクノベインズでは 業務系周辺機器 業務系周辺機器が操作できる スマート端末 が操作できる スマート端末 が操作できる スマート端末アプリ環境 アプリ環境の提供 提供 を実現できる方法 実現できる方法 実現できる方法について研究してきた 研究してきた

VPNマニュアル

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

マイナンバー対策マニュアル(技術的安全管理措置)

第5回_ネットワークの基本的な構成、ネットワークの脆弱性とリスク_pptx

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

3. クラスリンク ( 先生の IP アドレス >:< ポート >) を生徒と共有して生徒がブラウザーから接続できるようにします デフォルトのポート番号は 90 ですが これは [Vision 設定 ] から変更できます Netop Vision Student アプリケーションを使

IPMATE1600RD.book

赤堀蒼磨, 納堂博史, 鈴木秀和, 内藤克浩, 渡邊晃 名城大学理工学部 愛知工業大学情報科学部

Microsoft Word - ID32.doc

センターでは,WAP からの位置情報を受信し, WAP が適切に設置されたかどうかを確認する 提案システムのシーケンス概要 図 2 に提案システムのシーケンスを示す. 携帯端末は,WAP から無線 LAN の電波を受信すると, DHCP サーバに対して IP アドレスを要求する. この要

目次 目次... 本書の見かた... 商標について... 重要なお知らせ... はじめに... 4 概要... 4 使用環境について... 5 サポートされている OS... 5 ネットワーク設定... 5 印刷... 8 ipad iphone ipod touch から印刷する... 8 OS

PowerPoint プレゼンテーション

2. FileZilla のインストール 2.1. ダウンロード 次の URL に接続し 最新版の FileZilla をダウンロードします URL: なお バージョンが異なるとファイル名が

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

HDE Controller X HDE Controller 設定

ガイドブック A4.indd

コースの目標 このコースを修了すると 下記のことができるようになります : 1. WebDAV の基本的理解を深める 2. WebDAV 経由で ASUSTOR NAS に接続する 前提条件 受講前提条件 : なし 次の項目についての知識を持つ受講生を対象としています :s 該当なし 概要 1. W

AirPrint ガイド Version A JPN

Vista IE7 ブラウザの設定手順

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

WLX302 取扱説明書

Microsoft Word - クライアントのインストールと接続設定

InfoPrint 5577/5579 ネットワーク設定ガイド(第3章 Windows 98/Me環境で使用する)

Microsoft PowerPoint - BizComクイックセットアップforUSB_ pptx

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

Microsoft PowerPoint - ã•’Newlineã•‚TRUCAST_ã†fl紹仉è³⁄挎_ pptx

SFTPサーバー作成ガイド

Transcription:

本資料について 本資料は下記文献を基にして作成されたものです. 文書の内容の正確さは保障できないため, 正確な知識を求める方は原文を参照してください. 著者 : 三代沢正厚井裕司岡崎直宣中谷直司亀山渉文献名 : 中継サーバを設けたセキュアな遠隔支援システムの開発と展開出展 : 情報処理学会論文誌 Vol. 48 No. 2 pp.743 754 Feb. 2007 1

中継サーバを用いたセキュアな遠隔支援システム 名城大学理工学部 若原宏太 2

はじめに 近年, 広帯域のアクセス回線が普及 企業, 家庭でのインターネットに常時接続する環境 ユーザの多くはPCやそのソフトウェアを購入したものの, なかなかその活用ができない ウイルスやDoS 攻撃等のインターネット上での安全に対するさまざまな脅威 適切な安全対策が強く求められる しかし, 安全対策は初期ユーザにとっては有効な対策がたてられていない 3

はじめに 初期ユーザでも PC を利用して各種ソフトウェアの操作やトラブルの解決, 保守等の支援を低コストで手軽に安心して受けられる リモートアクセス技術遠隔操作機能 遠隔から PC の画面を直接操作するリモートアクセス技術を用いたユーザ支援 VNC(Virtual Network Computing) しかし, 現在の VNC はネットワークの設定や画面の制御が複雑 初心者にはレジストリ操作によるパラメータ設定が困難 ユーザ管理機能が実装されていない 大規模なシステムを構築しにくい 4

既存リモートアクセス機能の比較 既存の主要なリモートアクセスソフトウェア WindowsXPリモートデスクトップ WinVNC リモートアクセス機能の要件 (1) ユーザ / 支援者の同時操作 ユーザと支援者が画面を共有して, 同時に作業を進められる. (2) 簡単操作 ユーザにはソフトウェアのインストールからリモートアクセス機能の利用まで極力単純な操作しか受け入れられない.NAT,FW, プロキシサーバに関連したネットワークの設定等は苦手. (3) 支援時の安全性 不正アクセス対策として登録されたユーザ / 支援者以外の接続を拒否, 通信内容を暗号化する対策を行う必要. ユーザは, 支援者がリモートアクセスする機能レベルを選択可能 5 比較項目 リモートデスクトップ WinVNC (1) 同時操作 (2) 簡単操作 (3) 支援時の安全性

モデル構築 ユーザ側のPCがNAT,FW, プロキシサーバを経由してインターネットに接続された場合, インターネットを利用している支援者はこれらのネットワーク機器を越えてユーザのPCにリモートアクセスする必要. ユーザにとってこれらの存在をなるべく意識することなく, 困ったときにすぐに支援を得られることが望ましい. リモートアクセスソフトウェアとして VNC 等を使い, アプリケーションによるトンネリングにより, ネットワーク機器の乗り超えをするモデルを構築する. 6

モデル 1 SSHにはポート転送と呼ばれるほかのアプリケーションの通信を暗号化して安全に通信を行うためのトンネリング機能がある. リモートアクセスソフトウェアのサーバ側にSSHサーバ (SSHd) を設置するモデル しかし, このモデルをそのままユーザ支援に利用すると, ユーザ側にSSH サーバを設置する必要 SSHサーバのIPアドレスが変わるたびに支援者に伝える必要 ユーザの PC が NAT,FW の内側にある場合, 外部から SSH によるコネクションが確立できない ユーザ SSHd NAT インターネット 支援者 SSH クライアント 7 リモートアクセスサーバ リモートアクセスクライアント :SSH コネクションの方向 : リモートアクセスの方向

モデル 2 モデル 1 に対して, 逆方向の SSH ポート転送を用いるモデル リモートアクセスクライアントソフトウェア側に SSH サーバ (SSHd) を設置 リモートソフトウェアのサーバへの接続は NAT の内側から一度 SSH のコネクションを確立した後に通信を行うため, ユーザの PC が NAT や FW の内側にある場合でも問題なく接続 ユーザ SSH クライアント NAT インターネット 支援者 SSHd リモートアクセスサーバ リモートアクセスクライアント :SSH コネクションの方向 : リモートアクセスの方向 8

モデル 3 SSH サーバを NAT や FW の内側に設置すると, ユーザまたは支援者がリモートアクセスが行えない IP アドレスが変更されるたびに,SSH クライアントの接続先の設定を変える必要がある SSH サーバをユーザ, 支援者とは別の場所に分散配置し, これを リレイ として用いるモデル ユーザ SSH クライアント NAT インターネット SSH サーバ SSHd NAT 支援者 SSH クライアント リモートアクセスサーバ :SSH コネクションの方向 リモートアクセスクライアント 9 : リモートアクセスの方向

モデル 4 企業などの組織内部から外部への通信 プロキシサーバがよく用いられる 対象プロトコル ほとんどの組織では HTTP や HTTPS が一般的 このような環境の組織内に所属するユーザ, 支援者がリモートアクセス機能を利用 モデル 3 を前提に, ユーザ, 支援者のクライアントソフトウェアを HTTPS に対応 プロキシサーバを乗り越える 10

遠隔支援システムの提案 モデル 4 をベースに中継サーバを リレイ として使い通信路は SSL(Secure Socket Layer) で暗号化 プロキシサーバの乗り越え アプリケーションにより暗号化が容易 支援センタ リレイ機能 ユーザ / 支援者管理機能 :SSL コネクションの方向 11 : リモートアクセスの方向

遠隔支援システム 支援者の選択 ユーザは問題解決に適した支援者を選択可能 ユーザは中継サーバのマッチング機能にマッチングコネクションを張る 支援者リストが表示され適した支援者を選択支援者と中継サーバのマッチング機能間にコネクションが張られる支援者がユーザからの依頼を受け付けるとVNCコネクションが支援者とユーザに対応したVNC ViewerとVNC Server 間に接続 12

遠隔支援システム NAT,FW, プロキシサーバの乗り越え 中継サーバにマッチング機能と VNC リレイ機能を配置 全てのコネクションの向きをユーザまたは支援者から中継サーバへ接続する 中継サーバは接続先がユーザ / 支援者か, コネクションがマッチングコネクション /VNCコネクションにかかわらず, 同一の接続処理たとえば, マッチングコネクション VNCコネクション :443 番ポート :80 番ポート 各々のプロトコルを SSL で暗号化した HTTPS に対応付け 13

遠隔支援システム 遠隔操作支援者の操作レベルの設定 通常モード どんな制限もなく, 支援者はマウスとキーボードで遠隔操作可能 見るだけモード 支援者の全ての遠隔操作を無効 支援者はユーザの画面を見るだけ 従来の VNC から, これらのモード選択はレジストリの変更で可能であったが, ユーザに簡単にできるようにダイアログを設ける 14

遠隔支援システム 2 種類の VNC ソフトウェアの提供 VNC の種類 オリジナル :RealVNC 転送速度向上 :TightVNC TightVNCにファイル転送機能等を追加 :UltraVNC 支援者側 :UltraVNC ユーザ :TightVNC or UltraVNC TightVNC と UltraVNC の相互通信は TightVNC 相互の機能的範囲で可能 ユーザ 支援者 UltraVNC TightVNC TightVNC ユーザ 15 UltraVNC UltraVNC

まとめ NAT やプロキシサーバを, セキュリティを確保しながら乗り越える遠隔支援システムを開発した SSH のポート転送機能,SSH リモートポート転送を中継サーバに向けて行うモデルを構築 NAT を乗り越え ユーザ, 支援者のクライアントソフトウェアを HTTPS に対応 ユーザと支援者間のコミュニケーションを SSL で暗号化 プロキシサーバに対応 VNC には大規模なユーザ管理機能が実装されていないため, ユーザ管理機能の追加実装を行った 16

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック