FreeRadiusを利用した認証システム改善支援
ソリューション開発部 丸吉 祐也
今回は、教育機関(大学)様への改善支援コンサルティングの事例です。大学内で認証システムとして利用しているFreeRADIUSに脆弱性が見つかり、その影響と対策について知りたいというご相談をいただきました。
お客様が悩まれていた課題
お客様からは以下の内容でご相談をいただきました。
- FreeRADIUSに関連する脆弱性が見つかり、その影響が判断できていない
- 脆弱性の内容を見ても、対策として何をすれば良いのかわからない
- FreeRADIUSを設計・構築した者が現在いないため、内容を把握している人がいない
デージーネットのコンサルティング
デージーネットでは、今回見つかったFreeRADIUSの脆弱性について調査すると共に、現在のお客様環境のヒアリングを行いました。ヒアリングの内容をもとに脆弱性の影響と対策を検証し、お客様の疑問点や今後の対策についてご説明しました。また、今後の運用・対策に活かせるよう、現在の認証システムに関する基本的な用語の説明も行いました。
コンサルティング内容
実際のコンサルティングでは、以下の内容を行いました。
脆弱性の情報を読み込む
まず、今回見つかったFreeRADIUSの脆弱性の情報を読み込み、どのような脆弱性か、どのような場合に影響を受けるのかを理解しました。また、実際にお客様環境で脆弱性を受けるケースを想定し、どのような事例が発生するかを挙げました。
お客様環境のヒアリング・説明資料の作成
現行のOSやソフトウェアのバージョンをヒアリングし、検証環境を構築する際の参考としました。また、ヒアリングした内容と脆弱性の情報を整理し、脆弱性の影響と対策方法、用語を資料にまとめて、お客様へ説明を行いました。
検証環境を構築し、動作を確認
お客様環境のヒアリング内容をもとに、検証環境を構築しました。脆弱性そのものの動作検証はできませんでしたが、動きを確かめて以下の質問に回答しました。
- 特定の認証方式を利用している時にログに記録がされるか?
- 特定のクライアントだけ、特定の認証方式を許可するように設定ができるか?
コンサルティング導入後の結果
コンサルティングを行ったことで、脆弱性の内容を把握し、対策が必要であることが分かりました。また、問題の影響を把握するためのログの調査方法や、影響を小さくする回避策も理解していただきました。
コンサルティングを行ったことで、脆弱性の内容を把握し、対策が必要であることが分かりました。また、問題の影響を把握するためのログの調査方法や、影響を小さくする回避策も理解していただきました。
関連ページ
事例:認証システムFreeRadiusの脆弱性改善支援
今回は、大学様へ認証システムの改善支援コンサルティングを行った事例です。学内で認証システムとして利用しているFreeRADIUSに脆弱性が見つかり、その影響と対策について知りたいというご相談をいただきました。
デージーネットからのお知らせ
業務効率を上げる社内のナレッジ共有とは?ナレッジ共有のメリットや活用方法の紹介セミナー
今回は、社内でナレッジ共有を行うためのメリットや、この取り組みを効率化するシステム「phpMyFAQ」をご紹介します。
- 日程:2022年9月16日(金)
- 時間:15:00〜16:00
詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=74
無料資料ダウンロードに【OpenSearch調査報告書】を掲載しました。
OpenSearchは、高速検索が可能な全文検索・分析エンジンです。「ドキュメント」と呼ばれるJSON形式のデータを各「インデックス」内に格納し、検索対象とします。本書は、OpenSearchについて調査した内容をまとめたものです。
https://www.designet.co.jp/download/#information
『企業が今後利用したいLinuxOS利用調査』についてのプレスリリースが、@ITに取り上げられました!
https://www.designet.co.jp/info/?id=545
『企業が今後利用したいLinuxOS利用調査』についてのプレスリリースが、TECH+に取り上げられました!
https://www.designet.co.jp/info/?id=544
メールサーバの安全性を無料でチェックできるサイトを公開しています。
メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。
