情報環境機構について
コンテンツ
- ホーム
- 情報環境機構について
- 参考資料
- kuins_news
- KUINS ニュース 36
KUINS ニュース 36
目次
- KUINS-IIIの運用について
- スーパーSINET運用開始について
- WCN線を増速
- KUINSターミナルサーバ用電話回線廃止のお知らせ
- スパムメール不正中継対策フィルタの実施のお知らせ
- KUINS-IIのWebサーバ届出のお願い
- KUINS 接続状況
- KUINS-II 接続機器の管理体制について
- KUINS-IIIの利用について
- コンピュータ不正アクセス対応連絡要領の改訂について
- KUINS 会議日誌
- お知らせ
KUINS news 36 [2001.11.20]
表紙写真: 学術情報ネットワーク機構の看板(大型計算機センター玄関)
KUINS-III 運用開始に向けてのお知らせ
学術情報ネットワーク機構
KUINSの新しいキャンパスネットワーク「安全なギガビットネットワークシ ステム(KUINS-III)」
の機器が平成13年10月末に納入されました.
現在,平成14年1月からの試験運用に向けての準備作業中です. 本運用は平成14年4月からの予定ですので,もうしばらくお待たせすること になり申し訳ありませんが,ご理解のほどをよろしくお願いします.
スーパーSINET運用開始について
学術情報ネットワーク機構
国立情報学研究所が新しく構築するネットワーク「スーパーSINET」(基幹部分: 10Gbps)が,平成14年1月から運用開始となります。 スーパーSINETは主に研究プロジェクト 等に利用されますが, 京都大学のキャンパスLAN(KUINS)と1Gbps(Gigabit Ether)の回線で 接続予定となっております.
WCN 線を増速
KUINS ニュース No.26,No.32 でお知らせ しましたように, KUINSは商用インターネットサービスプロバイダ WCN (World Computer Network) への 対外接続線(専用線 4.5Mbps)を持っていますが,その回線速度が11月より 6Mbpsに増速されました. なお,これまで WCN として OMP から提供されていたこのサービスは, 10月の会社再編に伴い,パワードコム(PNJコミュニケーションズ)による サービスとなっています.
KUINSターミナルサーバ用電話回線廃止のお知らせ
学術情報ネットワーク機構
KUINSネットワーク接続用にサービスしていましたKUINSターミナルサーバ用電 話回線ですが,セキュリティ面の問題から,平成13年9月末日を持って 廃止いたしました.長い間,ご利用いただきありがとうございました.
スパムメール不正中継対策フィルタの実施のお知らせ
学術情報ネットワーク機構
前号のKUINSニュースでお願いしました スパムメール不正中継対策の 徹底に関して,スパムメール不正中継対策済みの届け出がないサブネットに ついては2001年9月末をもってSMTP(25/TCP)を遮断することをお知らせ していましたが, 未だに約50のサブネットからの対策済みの届け出がないた め,実施しておりません.
現状を放置すると,学内からのスパムメール不正中継が大量発生する 恐れがあるため,2001年11月末をもって,全てのサブネットにSPAMメール 不正中継対策のフィルタ設定を行います. このフィルタ設定の内容は, すでに届出のあったSPAMメール不正中継対策済み メールサーバ (SMS) 以外への学外からの SMTP(25/TCP)を遮断します。 なお,届出済みの SMS に対しては, 学外からのメールも従来通り着信します.
この件に関する連絡先は次の通りです.
学術情報ネットワーク機構情報システム管理掛 ((075)753-7841)
(大型計算機センター等ネットワーク掛 ((075)753-7432)
spamfilt@kuins.kyoto-u.ac.jp
KUINS-IIのWebサーバ届出のお願い
学術情報ネットワーク機構
本年の春以降,Code Red, Code Red II, Nimda などのワーム,ウィルスが 大流行しました.KUINS 機構にも,学内の計算機にもいくつか感染の被害が 発生したとの報告が寄せられております.幸いにも現在では学内での感染は 生じていないようですが,ウィルスに冒された学外の計算機からの攻撃は, いまだ継続的に観測されております.
これらのワームは,特定の Web サーバソフトウェアのセキュリティホール を狙って攻撃を行いますが,KUINS-II では学内外間の (80/TCP) 通信に対して 何ら制限を設けていないため,KUINS-II に Web サーバを立ち上げ ると同時に これらの攻撃に曝されることになります.
実際,一連の Code Red (I, II) や,Nimda の被害に遭った学内の計算機の うちで,管理者が無意識のうちに Web サーバソフトウェアが起動されてお り, それがもとで感染に至ったケースがかなりの部分あります.
このように半ば無意識のうちに感染した計算機が学内外に攻撃を開始するケー スでは, そもそもサーバとして利用する意図がないため接続届が提出されて いない, あるいは計算機管理者にサーバを動作させているという意識がない などの理由で, 該当する計算機の調査と原因究明に非常に多大な時間と労力 が費やされました.
そこで,KUINS では,KUINS-III の運用開始と同時に,KUINS-II に接続し 学外へ情報発信を行う Web サーバをあらかじめ届出ていただくという, Web サーバ登録制の運用を開始いたします.
登録制のポイントは次の通りです.
・HTTP (80/TCP) サービスを 学外に開放している計算機の IP アドレス,サーバソフトウェア名,
管理者名などの情報を KUINS にお知らせいただきます.
・登録された Web サーバ以外が感染し,学内外への攻撃が観測される,
あるいは外部から攻撃の苦情が寄せられることがあれば,当該計算機への
HTTP 接続を各サブネットのルータで遮断したうえで,サブネット管理者に 調査依頼を行います.
・登録された Web サーバが感染した場合には,当該管理者に直接通知 した上で,
管理者からの要望があれば通信遮断を行います.
・さらにご希望がある場合には,登録された Web サーバ以外への HTTP 通信を
サブネットのルータにおいて遮断します.
届出については,2001年11月現在行っております KUINS-II に関する調査に対し, 該当する計算機を「Web サーバとして利用」と回答していただければ, KUINS-II 上の Web サーバとして登録いたします.また,電子メールを用い た登録申請窓口も今後整備し, ご案内する予定です. 皆様のご理解とご協力をお願いします.
KUINS接続状況
平成13年11月1日現在の,KUINS-II/ATM への端末の接続状況をお知らせします.
| 吉田地区 | 13231(358)端末 |
| 宇治地区 | 2009 (53)端末 |
| 遠隔地(全て) | 821 (11)端末 |
| (合計) | 16061 (422)端末 |
( )内がIP over ATMでの接続数です。
接続申請や申請様式の取得については以下のURLをご参照下さい.
http://www.kuins.kyoto-u.ac.jp/applications/
KUINS-II 接続機器の管理体制について
学術情報ネットワーク機構
最近,本学で実際に発生した事例ですが,
「130.54.x.xの計算機を使った者が,Web掲示板にある人の個人情報を暴露し,
中傷する内容を掲載した. 警察への被害届は提出済みで,さらなる法的手段も検討中なので,
実行者を特 定して欲しい.」
との問い合せが被害者の代理人から本学にありました(注1).
これに対して,該当する講座の教官が
「大変ご迷惑をおかけしました. ただ,本当に申し訳ないのですが,
このIPアドレスはDHCPによって発行してお り,今回の行為に使用された計算機が分からないため,
実行者の特定は困難で す.」
と回答しました.
今後,不正アクセス防止法に加え,ネットワークおよびその上での情報交換に関 する数々の法律が施行されていきます. KUINSに接続される情報機器および部局で設置された ネットワークの管理責任は それぞれの管理責任者にあり,「専門家じゃないから知らなかった」 では免罪さ れない状況となりつつあります.また,「単語の意味が全く分からない」と言 う方は, デジタル用語辞典等を 参照しながら読んでください. 「今どきそんな言訳をしたら,恥をかくよな」 と思われた方,別の記事を先に読まれて,暇なときにざーっと斜め読みして 頂いて結構・・・かも知れません.
(DHCP)
さて,先程の回答のどこが恥をかくかと言うことですが,
・登録済みのMACアドレス(注2)に対してのみIPアドレスを発行するDHCPサーバプログラム
・IPアドレスの不正利用を検出するプログラム
が無償で公開され,その使用が常識となりつつある時代に,最先端の研究をして
いる大学が時代遅れの手法でネットワークを運用していると明言していることで
す.最近では,インターネットに直結する計算機については,MACアドレスと
IPアドレスは1対1に対応するか,DHCPの場合は発行状況を把握することで,
不正アクセスが発生した場合,その行為者を特定できることが求められます.
これらを実現するものとしては,
・Internet Software ConsortiumのDHCP
・Lawrence Berkeley National Laboratory のarpwatch
等があります.
ソースプログラムは上記のWebサイトを参照し,また,OS毎のバイナリパッケー
ジは検索エンジン等で探してください.
(NAT装置)
また,NAT装置も徐々にですが,そのままでは使えない時代になってきています. NATは装置の内側のIPアドレス(通常はprivate IPアドレス)を本学のIPアドレス に変換することで,枯渇状態にあるglobal IPアドレスを有効利用できる便利な ものですが,一般的なNAT装置では「何時,どのprivate IPアドレスを,どの global IPアドレスに変換し(または,どのポート番号を割り当て),どこのIPア ドレスに接続した」 といった記録はできません. そうすると, DHCPと同様にNAT装置を介して法に触れる行為があった場合, 実行者が特定できないことになります.
このため,変換記録を取得できるNAT装置(注3) を導入されるか, application proxy(application gateway)によって,どの private IPアドレスがどこにアクセスしていたかを把握することが常識になりつ つあります.例えば,Web proxyやSymantec Enterprise Firewallも application proxyの一種です.
また,NAT装置をfirewallとして利用されている場合は,firewallとしての利用 に耐える仕様になっているかを確認してください. 例えば,一部のNATでは, private IPアドレス側で最初にWebにアクセスした計算 機に対して, 外部からWebアクセスが可能なように作られていて,不正アクセス にさらされるものがあります.
(無線LAN)
さらに今回は,無線LAN基地局についても調査いたします. 無線LANは非常に便利なものですが,
現在一般に普及している規格(IEEE802.11b)で は,WEPによる暗号化やクローズドネットワーク
による無線LANの存在遮蔽機能を用 いても,その存在を暴いて暗号を解読することは極めて
簡単に行うことができます. このため,個人情報やプライバシー情報を扱うネットワークでは
無線LANの使用 を控えてください. また,一般用途で使用される場合も,private IPアドレスを使用し,
先に延べた 不正アクセス防止策を講じたNATと併用してください.
また最近の無線LANの普及にともない,顕在化しつつある問題として, チャンネル 割当て混乱があり,本学でも無線LANの混信が多発する傾向にあります. 無線LANのチャンネルは1~14chで,それぞれを自由に使えるとの誤解があるよう ですが, 実は表1のように周波数帯域が重なるように割り当てら れています. 例えば, 1chと2chを使用する基地局が隣接して設置されている場合,混信等の障 害を起こします.
表1: 無線LANチャンネルと周波数割り当て
| チャンネル | 中心周波数(GHz) | 占有周波数帯域(GHz) | 可能な組み合わせ |
| 1ch | 2.412 | 2.401~2.423 | ○ |
| 2ch | 2.417 | 2.406~2.428 | △ |
| 3ch | 2.422 | 2.411~2.433 | □ |
| 4ch | 2.427 | 2.416~2.438 | ☆ |
| 5ch | 2.432 | 2.421~2.443 | ◎ |
| 6ch | 2.437 | 2.426~2.448 | ○ |
| 7ch | 2.442 | 2.431~2.453 | △ |
| 8ch | 2.447 | 2.436~2.458 | □ |
| 9ch | 2.452 | 2.441~2.463 | ☆ |
| 10ch | 2.457 | 2.446~2.468 | ◎ |
| 11ch | 2.462 | 2.451~2.473 | ○ |
| 12ch | 2.467 | 2.456~2.478 | △ |
| 13ch | 2.472 | 2.461~2.483 | □ |
| 14ch | 2.484 | 2.473~2.495 | - |
厳密に言えば,基地局のカバーエリアが重なる場合,「可能な 組み合わせ」
で同じ記号になっている3チャンネルしか利用できないことにな ります(注4).
ただし,14chだけは他のチャンネルと若干ずれた周波数が割り当てられています ので,
○のグループとしても,12または13chの代わりに使用することもでます.
このほかに,この周波数帯域はBluetooth,電子レンジ,医療機器等が使用する ため,その影響も大きく受けます. さらに,柱のそばに基地局を設置したため, 建物の鉄筋が外部アンテナとして機能 してしまい,離れた階にまで無線LANが届いて 通信障害が発生した事例もあります. KUINS機構では,今回の調査を元に無線LANの チャンネル割当てを調整することは ありませんが,混信が発生した際に, 原因究明の資料として使用させていただき ます.
(モデム・ISDN/TA装置,学外接続ルータ)
モデム・ISDN/TA装置,学外接続ルータの調査が必要な理由は次の通りです.
最近,発信元が130.54.x.xであるパケットが学外から学内へ流入しようとする事
象が発生しております. IPアドレスの偽造も考えられるのですが,パケットの挙動から推測して,
これら の機器が本来流してはならない本学へのルーティング情報等を漏らしている可能性
が高いと考えています. このためルータ等に利用しているIPアドレスを把握させていただきます.
また,これらの機器で直接,学外と通信されると,不正アクセスを受けた場合
でもKUINS機構による保護や対策は行なえません.
これらの機器に関わる不正アクセスは設置者の責任で対処してください.
以上に列挙した機器で,十分な不正アクセス防止策が取られていないものについ ては,近い将来KUINS-IIおよびIIIへの接続を禁止する予定です. これらの機器の他に,来年度以降もKUINS-IIに存続する情報機器については, MACアドレスに基づく乗取り防止策を施す予定ですので,必ず提出してください. 現在のところ,これらの対策は平成15年4月1日の実施を予定しておりますが, 不 正アクセスやIPアドレスの乗取りが急増するなど情勢の急変により, 前倒しで実 施することもあり得ますので,皆様のご理解とご協力をお願いします.
(注1)KUINS機構には,被害者本人だけでなく,警察,弁護士など から,
このような問い合せが月に1回程度寄せられております.
(注2)MAC(Media Access Control)アドレスとは自動車で言えば車台 番号のことで,
Ethenetカードごとに世界で唯一の番号が与えられています.
IPアドレスはナンバープレートに該当すると考えてください.
(注3)ざっと調査したかぎりでは,実用に耐えてそのような機能
を持つNAT装置は現時点ではなさそうです.
(注4)実際には,占有周波数帯域の端の方は互いに重なっても 影響は小さいため,
1chと5chを併用することも可能なものもあります.
KUINS-IIIの利用について
学術情報ネットワーク機構 (大型計算機センター)
ここでは,KUINS-IIIを利用するにあたって,どのような機器が必要になるかに ついて解説します.
まずは一般的な使い方をされる場合に必要となる物は,
・10Base-Tまたは100Base-Tイーサネットのインタフェースを持つ計算機
(1台だけを情報コンセントに接続する場合)
・10Base-Tまたは100Base-Tイーサネットのインタフェースを持つハブやス
イッチ(複数の計算機やプリンタを情報コンセントに接続する場合)
最近のデスクトップパソコンやA4サイズノートパソコンでは,100Base-Tイーサ ネットインタフェースは 標準装備されているものが多くなりました. 搭載されていない場合でも,数千~1万円程度で イーサネットインタフェースボー ド(カード)が入手できます. また,イーサネットハブも数千円から 製品があります.
これらの機器を使用する際に必要となる各種サーバ(DHCP,DNS,Webやftpのため のproxyサーバ)は KUINS機構で設置致しますので,部局のみなさまが用意する必 要はありません. ただし,KUINS機構ではメールサーバは用意しませんので,部局や総合情報メディ アセンターなどの メールサーバを利用してください. なお具体的な設定方法については,次号以降の KUINSニュースで解説していきます. 講義室などのオープンスペースやアクセス制限を申請された部屋を除けば, KUINS-IIIからKUINS-IIの計算機へのアクセスは今まで通り自由に行えます. 一方, KUINS-IIIから利用可能な学外のネットワークサービスはWebとftpのみで す. このため,これ以外のアプリケーションを使用する場合は,部局でKUINS-IIと KUINS-IIIの間に何らかの変換装置を設置していただく必要があります. ただし,今号の「KUINS-II 接続機器 の管理体制について」 の解説にあるように, この機器はKUINS-IIにも接続することになるため,万全のセキュリティ 対策が施されなければなりません. 以下に揚げる例は,それぞれ数十万円~数百万円の導入費用と,これを維持管理 する人件費と保守費が 必要となります. 単なるルータや安価なNAT装置を設置されますと,KUINS-III全体のセキュリティ を脅かすだけでなく,不法行為があった場合の責任がVLAN管理責任者と当該機器 の管理責任者に及びますので, これらの機器を設置される前にKUINS機構にご相 談下さい.
・KUINS-II-KUINS-III間に部局でアプリケーションproxyを設置
一般的な通信はKUINS-IIIのルータを経由し,特定のアプリケーションのみ KUINS-IIを経由する必要がある場合は,
KUINS-IIとKUINS-IIIの間にアプリケー ションproxy(アプリケーションゲートウェイ)を設置し,
KUINS-IIIから学外に対 するアクセスを中継させてください. ただし,アプリケーションproxyは「
何時,どのKUINS-III側のIPアドレスがどこ にアクセスした」という記録を保持できるものに限ります.
このような機能を持つものとしては,Web proxyの他に,MicrosoftのInternet Security and Acceleration
(ISA) ServerやSymantecのEnterprise Firewallがあ ります. また,ルーティングを行なわないように
設定した計算機をKUINS-IIと KUINS-IIIの両方に接続し,この計算機にログインして,学外・KUINS-IIと
KUINS-IIIの相互乗り入れをするものも一種のアプリケーションproxyです.
・KUINS-IIIをレイヤー2(VLAN)としてのみ使用
アプリケーションproxyで対応できない場合,KUINS-IIIの回線とVLANだけを利用 し,
KUINS-IIや学外とのルーティングは部局の責任で行うことも可能です. この場合は,
当該VLANでKUINS-IIIと異なるprivate IPアドレスを使用し, KUINS-IIとKUINS-IIIの間に
NAT/IP masquarade装置を設置してください. 当該VLANのIPアドレスは部局で管理して頂き,
KUINS-IIIのDHCPサービスを停止 する必要がありますので,事前にKUINS機構に相談してください.
また,NAT/IP masquarade装置はMACアドレスとIPアドレスの対応状況の管理,お よび,
「何時,どのprivate IPアドレスがどこにアクセスした」という記録を装 置単体で保持できるか,
保持できる仕組みが構築されているものに限ります.
不正アクセスがあれば,当該VLANの管理責任者に全ての対応(調査や関係者との 対応)
をお願いすることになりますが,NAT/IP masquaradeでは,不正アクセス実 行者の特定が極めて困難ですので,
この手法はあまり推奨できません.
・オープンスペースからKUINS-IIのサーバを利用
オープンスペースからKUINS-IIに設置した計算機を利用したい場合,KUINS-IIに MicrosoftのPPTPを
稼働させたサーバを設置してください. PPTPは暗号通信により,レイヤー2としてのVirtual Private Network
(VPN)を実現 します. PPTPにより,オープンスペースの計算機を仮想的にPPTPサーバが設置されている
LANに接続することができます. 例えば,オープンスペースから研究室のファイルサーバやプリンタを利用できま
す.
これを応用すれば,ルーティングを行なわない ように設定した計算機を KUINS-IIとKUINS-IIIの両方に接続し,
この上でPPTPを稼働させれば,異なる KUINS-IIIのVLAN間でもVPNを構築することができます.
繰り返しになりますが,単にKUINS-IIとKUINS-IIIの間をルーティングする装置 の接続は禁止します. そのような装置を設置したKUINS-III VLANは,他のKUINS-IIIセキュリティ維持 のため,発見次第,事前警告無しにKUINS-IIIから切り離させていただきます.
なお,KUINS-IIIのDHCPサービスでは,IPアドレス発行の際に,当該IPアドレスを 使用したMACアドレス を記録します. このため,何らかの不正アクセスが発生した場合,KUINS機構はMACアドレスによっ てVLAN管理責任者に照会いたしますので,VLAN管理責任者はMACアドレスの管理を 徹底していただく ようお願いします.
コンピュータ不正アクセス対応連絡要領の改訂について
情報ネットワーク危機管理委員会
標記のことについて, 平成12年10月16日付け経情処第72号「コンピュータシステムの不正アクセ
ス等への対応について(通知)」でお知らせしました「コンピュータ不正アク セス対応連絡要領」
を情報ネットワーク危機管理委員会において 次のとおり改訂しましたので,今後はこの要領により
対応の方よろしくお願いします.
コンピュータ不正アクセス対応連絡要領」
「不正アクセス報告書」
KUINS会議日誌
平成13年8月6日~平成13年11月19日
KUINSネットグループ連絡会議
平成13年8月28日(第93回)
・KUINS接続端末数について
・KUINS接続状況報告
・KUINS障害報告
・セキュリティ関連報告について
・KUINS機器の管理体制の調査について
・KUINSダイヤルアップ回線の廃止について
・その他
平成13年10月10日(第94回)
・KUINS接続端末数について
・KUINS接続状況報告
・KUINS障害報告
・セキュリティ関連報告について
・KUINS機器の管理体制の調査について
・その他
平成13年11月16日(第95回)
・KUINS接続端末数について
・KUINS接続状況報告
・KUINS障害報告
・セキュリティ関連報告について
・その他
お知らせ
KUINSニュースへの寄稿を歓迎します.詳細は kuins-news@kuins.kyoto-u.ac.jp または下記までお問い合わせください.
問い合わせ先
学術情報メディアセンター 情報サービス部 ネットワーク担当 ((075) 753-7841)
(学術情報メディアセンター等事務部 ネットワーク掛 ((075) 753-7432))
