無線・有線LANローミングシステム「どこでもTAINS 2」

東北大学情報シナジーセンター・スーパーコンピューティング研究部 後藤英昭
東北大学情報シナジーセンター・ネットワーク研究部 水木敬明
東北大学情報シナジーセンター・ネットワーク研究部 曽根秀昭

1 はじめに

 東北大学では,情報シナジーセンターが中心となって,学内ネットワークTAINS (Tohoku University Academic/All-round/Advanced Information Network System) を利用した,無線・有線LAN ローミングシステム「どこでもTAINS」を展開しています[1, 2]。「どこでもTAINS」はVPN ベースのローミング方式で,学内の部局間で無線LAN( 有線接続にも対応可)のローミングを実現するものです。「どこでもTAINS」方式に準拠したアクセスポイントが近くにあれば,自分の所属する部局のアカウントを用いて,自由に学内ネットワークTAINS やインターネットに接続が可能です。
 2004 年のサービス開始以来,各部局の担当者の方の多大なご協力により,「どこでもTAINS」は正式に登録があったものだけで9 部局,13 サイト(2007 年9 月現在)まで拡大いたしました。詳細は「どこでもTAINS」のサイト(下記アドレス)およびSENAC Vol.38, No.1 の記事[1] をご覧ください。
 これまで「どこでもTAINS」を展開・運用していく上で,部局のネットワーク担当者や一般利用者から,PPTP 以外のVPN 方式は利用できないか,という相談を受けることが何度かありました。元の「どこでもTAINS」方式は,利用のしきいを下げて,利用者にとってやさしいシステムを構築するために,MS Windows標準の機能だけで使えることを前提に設計されました。そのため,PPTP 方式しか規格に盛り込まれていませんでした。しかしながら,幾つかの条件が満たされていれば,他のVPN 方式も利用可能とすることに支障はないと考えられます。
 本稿では,より使いやすく安全なローミングシステムの構築を目指して,従来方式を拡張した「どこでもTAINS 2」方式を提案します。

2 「どこでもTAINS 2」

 従来の「どこでもTAINS」方式では,PPTP 方式のみの利用が可能です。セキュリティ対策のうち,特に偽アクセスポイントへの対策のために,認証方式はMS-CHAPv2 に限定されています。MS-CHAPv2 では,VPN サーバ側で暗号化されていないパスワード(平文パスワード)を保持しておく必要があり,この点が管理者から不安材料として指摘されました。もちろん,サーバ側に強固なセキュリティ対策が施されていれば安全性は十分に確保できますが,二重三重のセキュリティを考えると,できることならば平文パスワードは保持したくないものでしょう。
 管理者と利用者の両方から,ID とパスワードを使う認証方式ではなく,公開 ( かぎ ) 暗号基盤(PKI) を利用したいという意見もいただきました。これには,PKI に対応したVPN 方式が必要になります。

表1: 「どこでもTAINS 2」の対応VPN 方式とポート番号
VPN 方式通過させるポートどこでもTAINS のレベル
MS PPTP1723/tcp, GRE protocol (47)DT1, DT2
OpenVPN1194/udp, 1194/tcpDT2
Secure Shell (SSH)22/tcpDT2
IPsec NAT-traversal4500/udp, 4500/tcp, 500/udpDT2
L2TP, L2F1701/udpDT2

 既存の様々なVPN 方式を検討した結果,よく普及している幾つかのVPN 方式を追加することによって,上記問題に対処することにしました。新しいローミング方式を「どこでもTAINS 2」と呼称し,従来の「どこでもTAINS」の上位互換の方式として,学内で展開・運用します。
 「どこでもTAINS 2」の違いは,アクセスポイント( またはイーサネットジャック)で通信を許可するVPN 方式が増えたことだけです。具体的には,表1 のとおりのVPN 方式を許可します。
 VPN 方式の取捨にあたって,標準的なIPsec は除外して,NAT-traversal のみ採用しました。アクセスポイントの設置ではNAT (NAPT) が利用されることが多いのですが,標準のIPsec で使われるAH やESPのプロトコルはそのままではNAT を通すことができないためです。もっとも,一口にIPsec と言っても様々な方式があり,利用者にとってはしきいが高いことが多いので,IPsec はあまり使われる機会がないと思われます。
 ポート番号443 (HTTPS) を使うSSL-VPN も除外しました。その理由は,ポート443 ではユーザ認証のないオープンなサービスが提供されるのが一般的で,このポートを解放することは,ウェブサービスの不正利用につながると考えられるからです。
 セキュリティ上の理由により,アクセスポイント(無線・有線とも)からのアクセスを学内ネットワークの範囲に限定し,学外にはVPN セッションを張れないようにする点は,従来と同様です。この点は重要なので,必ず[1] などを参考にルータやファイアウォールでアクセス制限をかけてください。なお,東北大学の学内アドレスの範囲は,130.34.0.0/16 (グローバルアドレス)と192.168.0.0/16 (TAINS 内流通用プライベートアドレス)です[3]。後者は部局間の通信などで使われているので,「どこでもTAINS 2」でも両方のネットワークに対して通信を通す必要があることに注意してください。
 VPN サーバについては,表1 のいずれか一つのVPN 方式がサポートされていればよく,すべての方式をサポートする必要はありません。一般のTCP/IP 接続( インターネット接続)を実現する目的では,実用的なのはPPTP とOpenVPN だろうと思います。

3 おわりに

 従来の「どこでもTAINS」から「どこでもTAINS 2」への移行は,ルータやファイアウォールに幾つかのtcp/udp ポートの通過ルールを追加するだけで済みます。既に無線LAN システムを構築しているサイトでは,なるべく「どこでもTAINS 2」にも対応していただくようにお願いします。情報シナジーセンター,情報科学研究科,および工学研究科機械系のアクセスポイントは,既に「どこでもTAINS 2」に対応しています。
 これから大規模な無線LAN システムを導入しようとしている部局では,ぜひマルチSSID 対応のアクセスポイントを選び,国際無線LAN ローミング基盤eduroam などにも対応できるようなシステムを構築することをお奨めします[4]
 「どこでもTAINS 2」方式だけで良いのであれば,市販の家庭用ブロードバンドルータを用いて小規模なサイトを作ることも可能です。PPTP のマルチセッションに対応し,パケットフィルタの機能を有するような機種を選ぶ必要があります(*1)。
 「どこでもTAINS 2」方式は,国内他大学や海外とのローミングに対応できないという欠点はありますが,学内で利用する限りにおいては,他のローミング方式と比べて導入が容易でコストが低く,管理も楽だという利点を有しています。文献[4] で紹介したeduroam と併せて,「どこでもTAINS 2」の利用およびサービス提供をよろしくお願いします。

参考文献

[1]今野将, 水木敬明, 後藤英昭, 曽根秀昭, “TAINS/G における無線LAN ローミングシステムの構築について,” 東北大学情報シナジーセンター大規模科学計算機システム広報SENAC, Vol.38, No.1, pp.41-45,2005. (http://www.cc.tohoku.ac.jp/refer/pdf_data/v38-1p41-45.pdf)
[2]後藤英昭, “情報科学研究科における無線LAN システムの運用について(2) -「どこでもTAINS」への対応,” TAINS ニュース, No.33, pp.10-14, 2005. (http://www.tains.tohoku.ac.jp/news/news-33/1014.html)
[3]水木敬明, “TAINS 内流通用のプライベートアドレスについて,” TAINS ニュース, No.34, pp.9-10, 2007. (http://www.tains.tohoku.ac.jp/news/news-34/0910.html)
[4]後藤英昭, 今井哲郎, 曽根秀昭, “eduroam とキャンパスユビキタスネットワーク,” TAINS ニュース,No.34, pp.5-8, 2007. (http://www.tains.tohoku.ac.jp/news/news-34/0508.html)

(*1)センターで利用実績のあるモデルとして,ブロードバンドルータではBuffalo BBR-4HG (他に無線AP が必要),無線ルータではBuffalo WHR-HP-G54, WHR-AM54G54 などがあります。PPTP サーバとしてはBuffalo BHR-4RV などが使えます。なお,特定のメーカーの製品を推奨する意図はありません。