PowerPoint プレゼンテーション - PDF 無料ダウンロード

国際学術無線 LAN ローミングサービス eduroam について 2016.5.30 改訂版中村素典 (NII) 後藤英昭 ( 東北大 ) 2016 年 5 月 26 日 NII 学術情報基盤オープンフォーラム http://www.eduroam.jp/

802.11 無線 LAN 規格高速化の歴史 (Mbps) 802.11 2Mbps 802.11b 11/22M 802.11g 54Mbps 802.11n 65-600M 802.11ad 4.6-6.8Gbps 802.11ac wave2 290M-6.9Gbps 10000 1000 100 10 1 802.11a 54Mbps 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2.4GHz 帯 5GHz 帯 60GHz 帯 2007 2008 2009 (MIMO) 2010 802.11ac wave1 290M-1.6Gbps 2011 2012 2013 ( 第 5 世代 ) 高速化の技術 : 変調データの多ビット化待ち時間削減フレームサイズ拡張フレームアグリゲーション帯域幅の拡張 (~x8) MIMO( 複数ストリーム ~x8) ビームフォーミング 2014 2015 2

ネットワーク環境整備環境整備のトレンドは有線から無線にシフト無線 LAN 対応端末の普及ネットワーク構築運用コストの低減化認証によるセキュリティの確保大学学会等の大人数が集まる会場での安定した運用への要求大講義室大会議室ホールなど (100~1000 人規模 ) 企業等の大規模オフィスなども検討項目モバイル端末の増加により一人が複数の端末を接続することも端末収容能力安定性の高い機器の採用アクセスポイントの数 ( チャネル割り当てに応じて ) チャネル割り当て出力調整壁床天井の透過性干渉源の検出排除古い規格 (802.11b 等 ) の利用制限 ( 切り捨て ) によるパフォーマンス向上セキュリティ ( 認証方式なりすまし盗聴対策 ) 3

アクセスポイント管理の効率化スタンドアロン管理が面倒機種の統一が不要無線 LAN コントローラ (2004 年頃 ~) チャネル割り当ての最適化カバレッジ調整ロードバランシング ( スムーズなローミング ) 大規模ネットワーク向き ( 基地局が安くなる?) コントローラのクラウド化 (2013 年頃 ~) コントローラ導入が容易に管理のアウトソーシングマネージドサービス WaaS Wireless (WiFi) as a Service 4

国際学術無線 LAN ローミング基盤 eduroam 欧州 TERENA ( 現 GÉANT) で開発された教育研究用の学術無線 LAN (Wi-Fi) ローミング基盤国際的デファクトスタンダード互恵の精神に基づくサービス基地局を運用提供している機関だけがその構成員に利用させることができる日本から eduroam JP の名称で参加 (2006~) 原則として学術研究機関が対象 ( 参加費不要 ) 訪問先の無線 LANが無料で利用可能 ESSIDは eduroam で統一 IDは user@ 大学名.jp 関東の貸会議室やカフェ等の一部でも利用可能 ( 約 130か所 ) 海外では駅や空港でつかえる国も世界 75 か国地域に展開 https://www.eduroam.org/ index.php?p=where 150 100 50 0 参加機関数の推移 ( 16/4 現在 ) 126 141 87 57 43 10 17 27 09 10 11 12 13 14 15 16.4 5 by TECHORUS & KDDI ( 旧 DATAHOTEL) JP サーバ JP サーバ eduroam 上位サーバ (Asia-Pacific) eduroam トップレベルサーバ www.eduroam.jp

利用可能な場所を地図上で確認できます 6 基地局所在地情報の提供にご協力をお願いします

eduroam JP の事業化について NII による事業化 (2016/04~) これまで認証作業部会が提供してきた eduroam JP は NII による正式事業となります運営体制が新しくなります実施要領等を整備します新しい各種申請フォームを準備しています参加機関の皆様へ新しい実施要領に基づくサービスに移行します参加費は引き続き無料です実施要領の内容に同意いただけるか 7 月をめどに継続参加の意思を確認させて頂きます参加機関側のシステムはそのまま利用できます設定変更や継続申請などお手数をおかけすることになるかもしれませんがご協力をお願いいたします 7

eduroam JP 月間アクセス数認証回数 ( 万 ) 400 350 300 250 200 150 100 50 ユーザ数 30000 25000 海外ユーザ含む 20000 JP ユーザのみ 15000 10000 5000 0 0 8 8 2008 年 10 月 2009 年 4 月 2009 年 10 月 2010 年 4 月 2010 年 10 月 2011 年 4 月 2011 年 10 月 2012 年 4 月 2012 年 10 月 2013 年 4 月 2013 年 10 月 2014 年 4 月 2014 年 10 月 2015 年 4 月 2015 年 10 月 2016 年 4 月

eduroam の仕組みとメリット訪問先の無線 LANが無料で利用可能互恵の精神に基づくサービス ( 訪問先での利用 +ゲストへの提供 ) 来訪者向けネットワークを毎回構築する必要なし会議用一時アカウント発行も提供中 ( 試行サービス ) 所属する大学のアカウントがそのまま利用できるレルムに基づく user@ 大学名.jp GÉANT 運用認証サーバの探索学認とも連携可能 TLR NII 運用国際標準 IEEE 802.1x 方式 AU JP による安全なユーザ認証 Windows/Mac/ スマートフォン等に対応 A 大 B 大 C 大 D 大 Web 認証より安全なりすまし基地局によるパスワード漏洩対策クライアント証明書による認証も利用可能 AP user@d 大.jp ローミング大学運用国際 RADIUS 認証プロキシ (TLR: Europe, Asia-Pacific) 国内 RADIUS 認証プロキシ (FLR: 国地域ごとに設置 ) 機関 RADIUS 認証サーバ無線 LAN アクセスポイント RADIUS 認証要求 RADIUS 認証応答 9 訪問先レルム (realm) 所属機関

無線 LAN セキュリティ規格の変遷 WEP (802.11 規格の一部, 1999) 暗号化 2001 年以降容易に解読できることが明らかに解読ツールで数分以内に解読できてしまう WPA (802.11i のサブセット 2002) 鍵の更新による対策 2008 年以降 WPA-TKIP に脆弱性が指摘される 10 分程度で攻撃が成功する WPA2 (802.11i- 2004) 暗号強度の向上 (AES の実装を義務化 ) 認証方式 10 PSK (Personal) EAP/802.1x (Enterprise) ユーザごとに異なるパスワードまたは証明書を用いる

2 通りのユーザ認証方式 Web 認証 (Captive Portal) 認証前のユーザへの情報提供が容易 APのなりすましへの注意が必要 ( パスワード等の漏洩中間者攻撃ウィルスの挿入など ) SSLサーバ証明書の確認が重要だが徹底が困難クライアント証明書認証はパスワード漏洩対策 802.1x 認証 11 外部の認証サーバ (RADIUS 等 ) に問い合わせパスワード認証 PEAP / MS-CHAPv2 (RFC 2759) による相互認証暗号通信 (TLS) の内側で用いることで脆弱性 (2012 年に指摘 ) を回避 EAP-TTLS クライアント証明書認証 ( パスワードの漏洩がない ) EAP-TLS サーバ証明書による認証サーバの確認が可能

Web 認証と 802.1x 認証 Web 認証訪問先毎に証明書が異なりなりすまし盗聴ウィルス挿入の危険性なりすまし認証サーバ所属組織の認証サーバ訪問先の認証サーバ 802.1x 認証所属組織の認証サーバパスワードが見える訪問先の認証サーバの証明書を確認しパスワードを送信 ( 暗号通信 ) 訪問先の認証サーバ常に同じ証明書であることを確認証明書の準備クライアント証明書認証ならどちらの場合も安心 12 パスワード盗聴不可所属組織の認証サーバを確認しパスワードを送信 ( 暗号通信 ) 相互認証によるサーバ確認が可能

eduroam への参加方法 : 訪問先での利用自機関構成員向けアカウントの準備 (3 つの選択肢 ) 1. RADIUS サーバを構築運用 ( クラウドも利用可 ) 学内アカウントをそのまま利用することが可能原則はこちらです 2. 代理認証システムを利用 eduroam 専用アカウント発行サービス 3. 仮名アカウント発行サービス ( 学認連携 ) を利用学認用の ID を用いて eduroam 用一時アカウントを発行 13

代理認証システム (2008 年 ~) オンラインサインアップクライアント証明書発行にも対応代理認証システム (DEAS) RADIUS server account DB Web UI 各機関 2016.5 現在 40 機関が利用中 ( 全参加機関の約 28%) ID 配布アカウント発行ウェブサービス ( ウェブ画面 ) または Shibbolethによるシングルサインオン ( 開発中 ) 認証連携なしのシステムは既にサービス提供中! ID 取得だけで管理者がアカウントをバルク請求発行可能ゲスト用アカウントの発行も可能 14

会議向け期間限定 eduroam アカウントの試行 (2014.7~) 国内の eduroam 対応大学会議施設などで開催される学術系の会議シンポジウムミーティングが対象 eduroam 対応だが大学会議場がゲストアカウントを発行できない例がある代理認証システムを利用会議 / シンポジウム / ミーティングを仮想機関 (VO) とみなし機関管理者用アカウントを発行会議開催ごとに申請が必要現在提供条件を検討しながら試行中偽の会議の申請を排除したい eduroam JP 事務局の負担が増えないようにしたい利用資格の基準をどのように設定するか? 15

eduroam 仮名アカウント発行サービス SP Shibboleth 認証し eduroam 一時アカウントを発行匿名ネットワークアクセスを実現インシデント発生時は特定可能パスワード漏洩対策 ID: komura@kyoto-u.ac.jp 仮名 ID: KA8zveT3g 2010/03/01 18:10 @JP Server A2S0513@upki.eduroam.jp eduroam ワールドワイド認証ネットワーク (RADIUS) 所属組織 IdP 2) 認証 16 仮名アカウント発行 SP 3) 仮名 ID 通知 4)ID/PW 通知 7) 認証要求 upki.eduroam.jp のRADIUSサーバ仮名 ID: KA8zveT3g 1) 申請 eduroam-id: A2S0513@upki.eduroam.jp 5) 移動 6) 接続要求

学術認証フェデレーション学認クラウド活用を支援 LoA 認定による PubMed e-radアクセス学割サービス SP 図書館システム Web メールグループウェア E ラーニング GakuNin 運営組織フェデレーションポリシーの策定 IdP 運用評価広報普及ディスカバリーサービスメタデータリポジトリ電子ジャーナル学認申請システム情報提供サイト多要素認証個人情報保護 Virtual Organization フェデレーションの構築は世界各国で進行中! IdP 大学 A 大学 B 大学 C 個人認証で学外からも快適アクセス ID 管理工数の低減セキュリティレベルの底上げ個人情報保護シングルサインオンでスムーズなアクセスコンテンツ系サービス Most of Major Publishers 各種基盤系サービス学内事務サービス elearning eportfolio 17 Foodle

eduroam への参加方法 : ゲストへの提供無線アクセスネットワーク ( アクセスポイント ) の準備ゲスト用に用いる IP アドレスの主な選択肢 ( 多くの機関では機関内からのアクセスのみを許可しているサービスが運用されておりゲストには同じ IP アドレスを利用させたくないという要求がある ) 自機関が保有する IP アドレスブロックを利用 (eduroam 用の IP アドレスブロックの切り出し ) 新たに IP アドレスブロックを取得して利用ア ) 新たに商用回線等を導入しその回線に付随する IP アドレスを利用イ ) 既接続回線提供者 (SINET 含む ) から IP アドレスブロックの割り当てを受け当該回線で利用 ( ただし最近は IPv4 で十分なサイズの IP アドレスブロックの割り当てを受けることは非常に困難 ) 18 ウ ) eduroam.jp から SINET 接続による eduroam サービス提供用として割当を受けたアドレス (IPv4/IPv6) を利用 ( 前項のIPアドレスブロック割り当て手続きの簡略化ただし接続形態を規定詳細は次ページ参照 )

SINET による eduroam アクセスネットワーク収容のイメージ (SINET5 でも継続提供 ) IPv4 アドレスの割当 (/30) by eduroam.jp (IPv6 も提供可 ) DHCP/NAPT ログの一定期間の保存が必要 192.168.XXX.1/24 SINET SINET Router xxx.xxx.xxx.a/30 NAPT Router eduroam SINET 接続回線 xxx.xxx.xxx.b/30 eduroam ゲスト用ネットワーク 192.168.XXX.X/24 L2 SW IPdual サービス Tag VLAN 既設 Router 既存学内ネットワーク前頁 B-2- ウの事例 Tag VLAN を用いずに個別接続とすることも可能大学詳細は次のURLをご参照ください IPv4プライベートアドレスの利用 (DHCP) http://www.eduroam.jp/docs/sinet5-eduroam-connect.pdf 19

ダイナミック VLAN で eduroam に一元化同一 SSID eduroam を用いて大学関係者とゲストで接続先の VLAN を変えるレルムに基づく接続先の指定 IP アドレス等によりアクセス可能なリソースの範囲を制御したい常に eduroam の設定のままでネットワークを利用したいさらに教員と学生とで接続先の VLAN を変えるなど認証 DB の属性情報に基づく接続先の指定ゲスト用教員用学生用 SSID: eduroam 20

eduroam で提供すべきプロトコル / ポート原則としてプロトコル / ポート制限をかけないことステートフルインスペクションや OP25B 等の防御的セキュリティ対策は可ファイアウォールで制限する場合でも以下は通すこと VPN (NAPT 等で技術的な制約がない限り ) Standard IPsec VPN IP/50(ESP),51(AH), UDP/500(IKE) OpenVPN 2.0 UDP/1194 IPv6 Tunnel broker service IP/41 IPsec NAT-Traversal UDP/4500 Cisco Ipsec VPN over TCP TCP/10000 PPTP VPN IP/47(GRE), TCP/1723 ( 必ず許可 ) HTTP TCP/80,443 Mail TCP/143,993,110,995,465,587 やむを得ず制限する場合は内容を eduroam JP 事務局に連絡すること 21

大学での eduroam システム構成例 ( 基本 ) etlr 海外への認証要求 *.jpへの認証要求 FLR: Federation Level RADIUS JP FLR Internet 学外への認証要求 A 大学.jp への認証要求 Access NW A 大学.jp への認証要求 Server side RADIUS と Client side RADIUS は同一サーバに集約可能 Access Point Access Point 22 A 大学 LDAP

大学での eduroam システム構成例 ( 他の選択肢 ) etlr JP FLR FLR: Federation Level RADIUS Internet 選択肢 (B) Access NW 選択肢 (A) 代理認証システム Access Point Access Point 選択肢 (C) 学認 23 A 大学 LDAP 学認 IdP 仮名アカウント発行 SP (eduroamshib)

大学での eduroam システム構成例 ( 冗長構成 ) etlr JP FLR 冗長構成 FLR: Federation Level RADIUS Internet 選択肢 (B) Access NW 選択肢 (A) 代理認証システム Access Point Access Point 選択肢 (C) 学認 24 A 大学 LDAP 学認 IdP 仮名アカウント発行 SP (eduroamshib)

アクセスポイントネットワークの基本設計 DHCP DNS Access Network Router (NAT) Access Point Management Network eduroam JP RADIUS RADIUS Proxy (client side) DMZ RADIUS Server (server side) LDAP/AD インシデント対応のために RADIUS (ID/MAC) DHCP (MAC/IP) NAT (IP/port) などのログを取得することも検討が必要 25

eduroam の参加申請方法認証サーバに関する項目 1. RADIUS サーバを構築運用する場合レルム RADIUS サーバのアドレスパスワード 2. 代理認証サービス利用の場合レルム ( 代理認証サービスの申請 ) 3. 仮名アカウント発行サービス利用の場合 ( 別途学認への参加 IdP リストへの登録依頼 ) 認証プロキシ ( アクセスポイント ) に関する項目 1. アクセスポイントを独自に運用 RADIUSプロキシのアドレスパスワード必要に応じてSINETによるeduroam 用アドレスを申請 2. マネージド Wi-Fi サービスプロバイダーを含め調整 3. 準備中の場合予定について記載 ( 時期台数など ) 26 詳細については以下を参照ください http://www.eduroam.jp/join.html eduroam 全般のお問い合わせ先 : tech@eduroam.jp

NII が提供するセキュアアクセスを支援するサービスの大学における活用イメージ NII UPKI 証明書発行クラウドサービス Internet / SINET ダイレクトコネクト Eduroam 用アクセス回線大学資産 NW DNS 管理 DB 各種 Web サーバ Shibboleth IdP Web サービスにおける認証の集約と高度化 RADIUS アクセスポイント学生 Trusted DB ( 学籍 DB) LDAP 教職員 Trusted DB ( 人事 DB) 27

トラブルシューティング端末が eduroam に繋がらないときは? 所属組織を離れる前に利用予定の端末での接続テストをしておくことをお勧めします訪問先でうまく繋がらない場合の問題の切り分けが容易になります ( 以下の1~3の問題でないことの確認 ) 問題の切り分けのポイント 1. アカウント自体が有効かどうか ( 他の端末で使えるか?) 2. 端末での設定方法に問題がないか ( パスワードの打ち間違い認証方式の選択サーバ証明書の確認方法など ) 3. 端末の機能に問題がないか ( バージョンが古いアクセスポイントとの相性が良くないなど ) 4. 認証サーバに障害が発生していないか ( 発行元が同じである他のアカウントは他の場所でも使えているか?) 5. 訪問先大学のアクセスポイントに障害が発生していないか ( 周辺にいる人は使えているか?) 6. 認証連携ネットワークに障害が発生しているのか ( 上記のいずれにも当てはまらないとき ) 28