情報環境機構について
コンテンツ
- ホーム
- 情報環境機構について
- 参考資料
- kuins_news
- KUINS ニュース 38
KUINS ニュース 38
目次
- 学術情報ネットワーク機構と学術情報メディアセンター
- KUINS-III 運用に関するおわび
- KUINS の新しい対制について
- KUINS接続機器データベース登録認証用アカウント情報の配布について
- KUINS-III 運用開始に伴う部局運用のサーバ設定変更のお願い
- Super SINET に接続切替
- KUINS-III での NAT の利用
- ウィルスチェック機能つきメールサーバ運用開始について
- プロキシによるトンネリングについて
- SSH ダウンロードサービスに関するおわび
- KUINS-III 利用ガイドのホームページ
- 大学における情報セキュリティポリシーの考え方について
- 「京都ONE」について
- 情報学研究科 無線LANの使用について
- みあこネット
- KUINS 会議日誌
- 吉田構内高圧幹線定期点検に伴う停電のお知らせ
- KUINS 関連メールアドレス一覧
- お知らせ
KUINS news 38 [2002.9.16]
表紙写真: KUINS-III 導入ルータ機器類
学術情報ネットワーク機構と学術情報メディアセンター
学術情報メディアセンター
センター長 松山隆司
京大広報 No.569(2002年6月)でお知らせしましたように,本年4月1日より, 大型計算機センターと総合情報メディアセンターを廃止, 統合して 学術情報メディアセンターが設置されました.センターの使命や構成, 研究目標などについては,広報に書かせて頂きましたので,ここでは, 学術情報ネットワーク機構(以下,KUINS機構)とセンターとの関係について, 現状および今後の展望を述べさせて頂きます.
KUINS機構(機構長:総長)は本学の学術情報ネットワークの整備・管理・運用を 行うための学内組織として1990年に設置され,以来本学の 情報ネットワークの整備, 拡充に大きな貢献をしてきました.しかし,この機構には専任の教官,技官, 事務官がおらず,学内関連部局 の教職員の兼務によってその活動が支えられてきたのが現状で, これからの学術情報ネットワークの大規模化,高機能化,さらには情報 セキュリティに関する 問題の深刻化に対応するには体制の見直しが強く望まれるようになっていました.
こうした状況を踏まえ,学術情報メディアセンターの設置に際しては,研究開発部に 高機能ネットワーク研究分野(岡部教授)および セキュリティ研究分野(北野教授, 併任)からなるネットワーク研究部門を置き,ネットワーク研究の専門家集団を組織するとともに, 情報サービス部にネットワーク担当を設け,教官・技官の連携によるネットワークサービス業務の 強化を図りました. さらに,今後は外部委託による派遣技術者を組織して, 日常的なネットワーク管理やセキュリティ・モニタリング,利用者に対する コンサルタントを 行う情報拠点の設置も検討しています.
一方,KUINS機構は,当初の案ではセンター設置に合わせて廃止される予定でしたが, 今後の本学の情報基盤を支える全学的体制としては, センターだけでなく他の情報 関連部局をも含めたより広汎な組織(「情報環境機構(仮称)」)を整備する必要があるとの 意見が出され, 当分の間現在のKUINS機構を存続させることになりました.この結果, 現在本学の学術情報ネットワークは,全学組織であるKUINS機構と 学術情報メディアセンターの 両者が管理・運営するという多少分かりにくい状況になっています.ただ,こうした体制はあくまでも 経過措置的なもので,近い将来には明確な全学的体制が整備されるものと考えています.
センター設置以来半年が過ぎ,徐々にネットワークの管理・運用体制が整ってきていますが, センターの設置と時期を合わせて KUINS-IIIの導入・運用が行われることになったため, 利用者の方々には色々な面でご迷惑をお掛けすることになってしまいました. 本学のネットワークの規模および利用者が要望されている多様な情報サービスの種類からすると 現在のセンターの人員は決して 十分なものとは言えませんが,安全で快適なネットワーク環境を構築し ,運用することは本センターに与えられた重要な使命と 思っており,教職員一同精一杯の努力を 続けておりますので,何卒ご支援のほど宜しくお願い致します.
KUINS-III 運用に関するおわび
KUINSの新しいキャンパスネットワークシステム「KUINS-III」は, 平成14年1月からテスト運用,平成14年4月から本運用の予定で, システムの設定作業等を進めてきました. しかし,設定作業が予定よりも大幅に 遅れたため4月1日に全構内で 運用を開始することが出来ず,平成14年6月初めに 全構内にて本格的に 運用開始となりました.
しかし運用開始以来,通信が止まるなどネットワークの状態が安定せず,
トラブルも多数発生し,また設定に関しても「ユーザの意図通りになってい ない」
などのご指摘を受け,現在も随時修正している状況です.
これらにつきましては,ユーザの皆様に大変ご迷惑をかけたことを 改めてお詫び申し上げます.
KUINS-IIIの運用に関しては学術情報メディアセンターとしまして,
一日も早 い安定稼働を目指しまして努力いたしますので、皆様方のご協力よろしく お願いいたします.
なお,以下に各構内の運用開始日を記載しておきます.
| 北部構内,本部北構内,本部南構内,宇治地区 | 平成14年4月1日 |
| 総合人間学部構内 | 平成14年4月9日 |
| 薬学部・病院西構内 | 平成14年4月12日 |
| 医学部構内 | 平成14年4月19日 |
| 病院東構内 | 平成14年4月25日 |
| 熊取地区・犬山地区・大津地区 | 平成14年5月10日 |
KUINSの新しい体制について
(1) はじめに
今年4月に学術情報メディアセンターが発足し, 旧 大型計算機センター,
旧 総合情報メディアセンター, および学術情報ネットワーク機構(KUINS機構; 学内措置)
の業務は新しいセンターに引き継がれました.
KUINS(学術情報ネットワークシステム)関係は, 新センターの「情報サービス部 ネットワーク担当」の所管となりました. 情報サービス部ネットワーク担当はKUINSのいわゆる インフラをサービスする 担当者として教官5名(うち1名は併任),技官・事務官6名が配置されています.
(2)"安全なネットワーク"KUINS-III
従来本学で運用されてきたキャンパスネットワークは, 平成7年度導入のATMネットワークを
バックボーンとし, 平成10年度導入のATMルータに各建物のサブネットがつながるのが
基本の構成となっています.これを便宜的にKUINS-IIと呼びます
従来のKUINS-IIの問題は,KUINS機構が管理するのは建物の入り口となる ルータまでで, その先の建物内配線は部局任せであったことです. すなわち,ネットワークのトラブルが 生じたときでも, KUINS機構側では障害が建物内で発生しているというところまでしか 掴めませんでした.建物内の配線がきちんと工事され,図面が保管されて いるような場合には よいのですが,教官や学生が手作業で引いた線に 頼っていて当事者の転出により 状況をわかっている人がいなくなっている ケースも稀ではありません.このことは 障害の切り分けやセキュリティ 対応を著しく困難にします.また,改組や建物の建て替えにより, 一つのサブネットに複数の部局の構成員が雑居しているケースもあり, サブネットを単位として ポリシーを統一しセキュリティレベルを高めて 行くことが困難でした.
そこで,全学のセキュリティレベルの向上を主目的とするKUINS-IIIでは, 原則として 既設の配線には頼らず,新しいネットワークKUINS-IIIを新規 に配線することにし, 各部屋の情報コンセントまでKUINSが管理することにしました. そして,各コンセントを VLANと呼ばれる論理的なサブネットに割り当てて, VLANごとにポリシーを決定できるようにしました. さらに,KUINS-IIIではDHCPにより個々の端末に対する登録手続きなしで 使用できるようにしました.その代わり,KUINS-IIIに接続された端末からは, 学外との直接の(すなわちIPレベルの)接続性はないものとし, 学外との通信はすべてアプリケーションゲートウェイを介することにしました.
あわせて従来のKUINS-IIは,厳格な登録制に移行し, 計算機ごとの管理責任者を 明確化することにしました. ルータでのフィルタリングにより未登録端末からの利用を排除し, 特に,従来なし崩し的に利用がなされてきたKUINS-IIにおける DHCPの利用を禁止する (正確には,IPアドレスとMACアドレスの対応関係を事前登録しての運用のみ認める) ことにしました.
(3)KUINSの利用負担金
前述の通り,従来のKUINS-IIでは建物の入り口までとしていた KUINSとユーザとの
責任分界点をKUINS-IIIでは各部屋に設置された情報コンセ ントまでとしました.
すなわち従来は,全学で高々百数十箇所の接続端子を管理しておれば よかったものが,
KUINS-IIIでは一万六千ポートの情報コンセントについて 責任が及ぶことになりました.
また,5000を超えるVLANを情報コンセントに対応づけ, かつVLANごとにきめ細かなポリシ設定が
できるようにしたこと, KUINS-IIも端末ごとの厳格な登録性とし各ルータでフィルタ設定を管理する
必要が生じたことなど,業務量は従前の何倍にもなっています.
さらに,昨今の不正アクセスの急増にともない, セキュリティに関する監視や 緊急対応の業務も増加しています. KUINSでは,平成11年より IDS(侵入検知装置)を 運用してきましたが, KUINS-IIIの導入とあわせてそれを強化した結果,警報数は10倍以上にも なっています. 加えてネットワークの障害に際して現場での障害切り分けに加え さまざまなコンサルタント業務を行うことも,検討されてきました.
以上は新センターへの改組に伴う定員増では対応不可能であり, 業務の外注を前提としてきたことです. その一方で,これまで KUINS がもつ財源は,ハードウェア保守契約のための費用 のみでした. KUINSの運用のための財源をどうするかは,昨年度,新センター 設立の準備と並行して 学術情報システム整備委員会で検討され, KUINS-IIについてはホスト単位,KUINS-IIIについては 情報コンセント単位での 利用負担金の形でユーザにも負担を求める方針が打ち出されています. さらに,その検討はセンターの学内共同利用運営委員会に 引き継がれ,現在は,KUINS-IIにおいて 提供するサービスの明文化と 今年度のKUINS-IIの負担金について素案がまとまったところです.
これまで9月中を目処にKUINS-IIIへの移行を進めていただいてきました. 10月からは, オンラインデータベースによりKUINS-IIに残る端末の接続登録 をお願いすることになります. また,10月以降,遅くとも年内に,準備のできたサブネットから, KUINS-IIでの未登録ホストの 接続遮断の設定を追加していきます. 負担金については,正式に決まり次第,文書にて 各部局にお知らせいたします とともに,KUINSのホームページ等で広報致します. 検討中の今年度のKUINS-IIの負担金案については, 部局選出の本センター学内共同利用 運営委員の方にお尋ねいただくか, q-a@kuins.kyoto-u.ac.jp までメールでお問い合わせください.
(4) おわりに
4月からこれまでに, KUINS-III運用開始が遅れ,さらに安定運用までに時間を要してしまいました.
その上利用者の方々との連絡に抜けや遅れも目立ち, さらに不信を招いてしまいました.
また,KUINS-IIIという新しいコンセプトのネットワークであるにもかかわらず,
KUINS-IIIへの移行の具体的な方法やKUINS-IIとKUINS-IIIの使い分けについての
広報活動が十分でなかったことも反省点です. そのような状況で負担金とはなにごとか,
とのお怒りがまったくごもっともであること承知しておりますが, 以上のような状況をご賢察の上,
負担金導入についてのご理解とご協力をお願いします. 至らぬ点については遠慮なくご叱責下さい.
学術情報メディアセンター情報サービス部ネットワーク担当
Last modified: Thu Sep 26 16:34:52 2002
KUINS接続機器データベース登録認証用アカウント情報の配布について
KUINSでは,ネットワークの円滑な運用とセキュリティ強化のため, KUINS-II に接続される 計算機に関する情報を必ず登録して頂くようにかねて よりお願いしておりますが,平行して 皆様からの情報の登録を確実かつ迅速に 行うために新たなデータベースシステムの準備を進めております.
これまで,このデータベースに皆様からの情報を安全に登録する方法について 検討を行っておりましたが, 個人毎に設けたアカウントを利用して登録して 頂く結論に達しました.
つきましては,各自でご利用になる計算機をデータベースに登録して頂くため のアカウント情報 (アカウント名およびパスワード)をお送り致しますので ご確認頂きますようお願い致します (ご利用になる計算機のデータベースへの 登録方法等については改めてご案内致します).
一方,KUINS-III に関しても,現在の各部局のVLAN設定情報(情報コンセント の情報,
通信可能なKUINS-II セグメント及びKUINS-III VLAN)についても オンラインで閲覧可能となりました.
URLは, http://webdb.kuins.kyoto-u.ac.jp/KUINS-III/ です.
本件に関するお問合わせは,
学術情報メディアセンター ネットワーク掛
電話:075-753-7432 または 内線 7432
メール:q-a@kuins.kyoto-u.ac.jp
へお願い致します.
KUINS-III 運用開始に伴う部局運用のサーバ設定変更のお願い
KUINS-III 運用開始以来,KUINS-III に接続されている端末から 各部局で運用しているKUINS-II に接続されている各種サーバへのアクセスの 際に様々な不具合が指摘され,利用者の皆様にご迷惑をおかけしております.
これに伴い,KUINS-III から円滑なアクセスが可能になるように, KUINS 管理の機器類につきましては 設定変更を行っておりますが, それと同時に,各部局で運用されている各種サーバにて, 下記の設定変更を行っていただく必要があります.
1.DNSサーバの設定変更について
KUINSでは,KUINSニュース No.35 でお知らせしましたように,RFC1918で定められたプライベート
アドレスの一部を学内で重複なく利用できるよう に管理させて頂いており, KUINS-IIIに接続される
計算機に割り当てを 始めています(KUINS-IIIに接続される計算機には,管理上,原則として kuins.net
ドメインにて対応付けを行っています).
プライベートアドレスを利用するKUINS-IIIでは,従前のKUINS-II(KUINS-Iは KUINS-IIに収容済み)との間で, 割り当てられたプライベートアドレスを 用いて相互に通信できるようになっていますが(KUINS-IIIのVLAN申請時に 通信不可を要求した場合を除く),通信開始時やアクセス制限時等には KUINS-II側の計算機において, kuins.netドメイン配下のホスト名を指定した り,KUINS-III側からのアクセスを,IPアドレスからホスト名への 逆引きに よって確認したりできるようにしておくことも必要であると考えます.
しかし,プライベートアドレスを利用するkuins.netドメインの情報は, 学内に閉じた情報であるため, これらの情報を参照するためには,KUINS-II側 の計算機が参照するネームサーバに, KUINS-III側の情報を持つネームサーバ を登録しておく必要があります. 逆に,KUINS-II側のネームサーバに, KUINS-III側の情報を持つネームサーバを 登録せずにおくと,解決不能な 問い合わせがインターネット に流出してしまい,インターネットに無駄な トラフィックを発生させることになります.
そこで,各部局で独自に運用して頂いているDNS(ネーム)サーバの管理者の方々には
(KUINS内におけるネームサーバの設定に関するお願い)
http://www.kuins.kyoto-u.ac.jp/announce/local/dns.html
に掲載されている設定変更を実施していただくことをお願いします.
2.WWWサーバの設定変更について
KUINS-III では, Web閲覧用としてWeb プロキシサーバを運用していますが,
平成14年7月現在,プロキシを自動設定で利用する際には,学内及び学外の ページとも,
プロキシ経由でアクセスするような設定になっておりました.
そのため部局限定のWebページにアクセスできない問題が 生じ,
利用者の皆様に御迷惑をおかけしている現状でした. そこで8月より,
学内のホームページ(***.kyoto-u.ac.jp)については, プロキシを経由せずに直接アクセスするよう,
自動設定ファイル(proxy.pac) の設定を8月1日より変更しました. それに伴い,
各部局で運用しているWWWサーバの管理者の方々には,
・学内限定のWebページについて,KUINS-III のIPアドレス(10.224/11)に 対してアクセス許可の設定を追加して下さい.
・該当部局の KUINS-III VLAN からアクセス可能にする場合については 該当部局で使用しているKUINS-III のアドレス範囲を追加して下さい. また,KUINS のホームページの「KUINS-III に接続された計算機に付与さ れるIPアドレスのDNS逆引について」にあるドメイン名でもアクセス制限は 可能になります.
設定方法の詳細につきましては,以下のURL を参照下さい.
(KUINS-III Web プロキシサーバの設定切替えに伴う設定変更のお願い)
http://www.kuins.kyoto-u.ac.jp/announce/local/proxy-modify.html
(KUINS-III に接続された計算機に付与されるIPアドレスのDNS逆引について)
http://www.kuins.kyoto-u.ac.jp/announce/local/rev-dns.html
Super SINET に接続切替
この度,KUINSでは スーパーSINETとの接続を完了し,6月12日より利用を開始しました.
スーパーSINETは,10Gbpsの大容量バックボーンを中心に国内の大学等の 研究拠点を最低でも
1Gbpsの速度で結ぶネットワークで,文部科学省国立情報 学研究所が平成14年1月より運用を開始しました.
これまで,KUINSとSINETとの間は100MbpsのFDDIで接続されていましたが, スーパーSINETとの接続により,
回線容量が1Gbpsにまで増強されています.
KUINS-IIIにおけるNATの利用
KUINS-IIIでは,学外との接続性を持たないプライベートIPアドレスを用い, 学外との通信は,例えば Webの場合にはHTTPプロキシサーバを介して行うよう になっています. 一方,家庭でも普及しつつあるADSLやCATVインターネットなどの広帯域インター ネット接続では, いわゆるブロードバンドルータを介してパソコン側にはプラ イベートIPアドレスが割り当てられるのが普通ですが, 家庭の外と特別な設定 なく通信できます. これは,ブロードバンドルータが NAT(Network Address Translation)とよば れるプライベートIPアドレスとグローバルIPアドレスの変換の処理を行って くれているからです.
本稿では,KUINS-IIIではなぜNATが提供されていないのか,では部局側で KUINS-IIIにNATの機能を持つルータ (NATルータ)を導入するにはどうすれば よいかについて解説します.
NATとセキュリティ
そもそもなぜKUINS-IIIではプライベートIPアドレスを採用したのでしょうか.
これは,グローバルIPアドレスが不足していて, KUINS-IIIのような新しい空
間に割り当てるだけの余裕がなかったからにすぎません.
プライベートIPアドレスを用いると,外部との直接の接続性が無くなって セキュリティ面で優れているという解説がされることがありますが,これは 必ずしも本当ではありません.グローバルIPアドレスを用いても,対外接続 ルータのところで外部との接続をフィルタリングしてやれば,ほとんど同じ ことだからです.
プライベートIPアドレスを用いて外部との接続にNATを介することにすることは, 直接グローバルIPアドレスで接続するのに比べ,プライバシーの観点からは優 れています. すなわち,外部にはNATルータのIPアドレスから接続しているよ うにしか見えないので, NATルータの内側にどのような機器があってそのうち どの機器から接続されてきたかということが, 外側からは知る方法がないのです.
このことは,家庭などでネットワークを構成する場合にはメリットですが, 大学のようなところでNATルータを導入する場合には注意しなければなりません. 例えば,もしNATの内側でウイルスに感染したパソコンが外に対して不正アク セスを繰り返しているような状況になったとしましょう.外からは,不正アク セスはすべてNATルータから行われているとしかわからず,NATの内側でどの パソコン (1台とは限りません) が不正アクセスを行っているかを特定するま では,NATルータそのものを停止して配下の全端末の通信を停止せざるを得な いようなことも起こります.
なぜKUINS-IIIではNATを提供しないのか
KUINS-IIIの設計段階において,NATの機能を提供するかどうかは慎重に検討さ れ,結論としては見送られました.
第一の理由は,NATの処理はルータに取って負荷の重い処理であることです. KUINSでの利用においては百歩譲っても10Mbps以上の性能が必須と考えられますが, KUINS-IIIの設計時点では,その性能を実現できるNATルータは非常に高価で, 比較的安価なものは数Mbpsが限界でした.さらに,後述のようにNAT処理ごと のログを取ることにするとさらに厳しくなります. しかし,家庭へのブロードバンドサービスの普及とともに, この状況は 変わってきています.
第二に,KUINS-IIIのハードウェア構成との親和性の問題があります. KUINS-IIIでは,機器のコストおよび管理のコストを削減するために, ルーティングの処理を,全学で8台の基幹スイッチとよばれる高速のL3スイッ チに集約せざるを得ませんでした. これにNATの処理を加えるためには,基幹スイッチ自体にNAT処理をやらせるか, 基幹スイッチの周りにVLANの数だけNATルータを並べるかのいずれかになり ますが, 前者は性能的に無理があり,後者は機器の管理ができなくなります.
第三に,ログの管理の問題があります. 前節で述べたように,NATルータを介して外部に 不正アクセスがあった場合に 問題のある機器を特定できるようにするには,すべての通信に対して NATによるアドレス変換がどのように行われたかをログとして記録しておく ことが必須です. ログの保存期間について法律上の明確な定めはありませんが,最低3ヵ月は 保存しておくことが必要と言われています. KUINSにおいて全通信でそのようなログを取ると膨大な量になり,現実的では ありません.
以上のことから,KUINS-IIIにおいては, NATではなくアプリケーションゲートウェイを 介して学外と通信することを 基本とし,KUINSとしてWebプロキシサーバ,メールサーバ, SOCKSプロキシ サーバ等を提供することにしました.これに加え,部局で準備するアプリケーションサーバや, SSHによるユーザレベルでのポートフォーワーディングにより ほとんどのアプリケーション はKUINS-IIIにおいても利用できるようになります(図1).
図1: KUINS-III の通常の利用
部局でのNATルータの設置
しかし,アプリケーションあるいはOSによっては,アプリケーションゲート ウェイでは
どうしても対応できないものがあります. KUINSではそのような場合に部局でKUINS-IIと
KUINS-IIIを橋渡しするように NATルータを設置することを禁止はしません.
前置きが長くなりましたが,KUINS-IIIに接続された端末から, NATを介して学外へ
接続できるようにするための方法を以下に解説します.
部局でNATルータを設置する場合には,以下の2点に注意していただくことが条件となります.
・必ず事前にKUINSに相談すること
・責任の所在を明確にし,NATルータにおけるログの管理をきちんと行うこと
NATルータを不適切な設定でKUINS-IIIにつないでしまうと,うまく通信できな いばかりでなく
KUINS全体に波及するトラブルを発生させる可能性があります.
事前に調整の上必要な設定項目をご連絡致しますので,接続の前に必ず事前に
ご相談ください.将来的には簡単な届出のみでNATルータの設置ができるよう にする予定です.
NATルータを設置する際の注意点の第二は,法的責任に関してです. ここで示す方法では, KUINS-IIIに接続された端末から学外へのアクセスは, すべてNATルータのKUINS-IIの側の IPアドレスを使って行われます. 学外からはNATルータのKUINS-IIの側のIPアドレスで 接続されたということ以上は わかりません.もし不正アクセスその他法律上の責任が 問われるようなことになった場合,実際にそのアクセスがどの端末から行われたかを 特定する責任が,NATルータの管理者,すなわちKUINS-II側のIP addressについて 責任者として届け出ている人にかかります.
したがって,このようなNATルータを設置する場合には, NATルータにおけるアドレス変換毎に, グローバル側とプライベート側での IPアドレスとポート番号の対応関係がきちんとログに 取れるようにすることが 必要です.また,対象とするKUINS-III側のVLANを, 責任者が本当に責任が取 れる小さな範囲,典型的には研究室単位くらいにしておき, 接続される端末の 台数も必要以上に増やさないことを強くお勧めします.
NATルータの導入方法と製品例
NATルータの導入方法としては,次のようになります. まず,NATルータの2つのネットワーク
インターフェースのグローバルIPアドレ ス側にKUIN-IIのIPアドレス,プライベートIPアドレス側に
接続するKUINS-III の固定IPアドレスを振ります.また,KUINS-IIIではKUINS-III用のDHCPサーバ
が動作しているため,NATルータのDHCPサーバの機能は必ず停止します(図2).
KUINSのDHCPサーバは,NATがない場合と同じようにdefault gatewayとして KUINSのルータ(基幹スイッチ)のIPアドレスを付与します.KUINSのルータでは, 学内向けのパケットは通常通り配送します.一方学外へのパケットは通常であ れば, ルータで破棄されるところ,代わりにNATルータへredirectされます(図3).
これにより,学外との通信のパケットのみがNATルータを通過することになり, NATの負荷やログの管理の点で有利になります.また万一NATルータが停止して も, 学内との通信は(NATルータのない)通常のKUINS-IIIと同様にできます.
図2: NATルータの導入方法
図3: NATルータ使用時の動作
NATルータとしては,「ブロードバンドルータ」のような名前で売られている専用のルータを用いる方法と, PCにUNIXあるいはWindowsNT serverを載せて動作させる方法があります.
プロードバンドルータを利用する場合には,NAT処理でのアドレス変換毎のグローバル側とプライベート側の IPアドレスとポート番号の対応関係がすべてログに残せることが条件です. また, ブロードバンドルータそのものはハードディスクなどの二次記憶を持たずメモリ容量も限られているため, 必ずログを管理するためのサーバを別に用意して,そこへsyslogというプロトコルでログが飛ばせるよう になっていることが必要です.syslogログ対応とうたっていても,アドレス変換ごとのログがきちんと 取れるものは 限定されるようです.こちらで確認している製品例としては YAMAHA RTA55i があります.
PCやワークステーションにNATルータをさせる場合,きめ細かいログが取れる こと, ログの蓄積もそれ自身が行うことができる点で有利です.ただし,停電 などの対策が必要になり長期安定運用のためにはそれなりの手間がかかります
おわりに
以上,KUINS-IIとKUINS-IIIをNATルータでつないで利便性を高くする方法に ついて述べました.
しかしながら利便性の向上はセキュリティレベルの低下と表裏一体であること
を常に意識しておいてください.
最近のNATルータは,UPnP対応やVPN対応など高機能を売りにしていますが, これらの機能が予期せぬ不正侵入経路をつくってしまうことが稀ではありません. NATルータの設定の際には,使わなさそうな機能,よく理解できない機能は できるだけ停めた状態で運用なさるようご配慮下さい.
ウィルスチェック機能つきメールサーバ運用開始について
KUINS では,8月1日よりKUINS-III に接続された計算機から利用可能なメール サーバを正式に運用開始しましたので,お知らせします.
このメールサーバは,ウィルスチェック機能を持っており, ウィルスが検出さ れた場合は,ウィルスの含まれる添付ファイルを削除するとともに, その旨の 通知を行います.(脚注: このウィルスの情報は自動的に最新版に更新される ようになってはいますが,削除すべきウィルスに関する情報の更新は, 一般にウィルスの発見より必ず後になってしまうため,油断は禁物です.)
送信用サーバとして,このメールサーバを利用する場合は,送信用メールサー バとして, sendmail.kuins.net を指定します. このメールサーバはKUINS-III からのみでなく, KUINS-II から発信されたメールの 中継も行うように設定されていますので,KUINS-II からも自由に利用して頂 けます.なお,すでに sendmail.kuins.kyoto-u.ac.jp という 名前で暫定的 に送信メールの中継サービスを開始していますが,これについてもウィルス チェック機能を持つサーバに切り替える予定です.
部局にて運用されているメールサーバから,KUINS の提供するウィル スチェック機能つき メールサーバを中継用に利用する方法については 別途御相談下さい.
また, KUINSニュース No.30 でお知らせしました KUMX についても, 今回準備を完了したウィルスチェック機能を持ったサーバによる中継 に変更する予定です.もし,中継時のウィルスチェックを希望しない 場合は,KUMX を利用しないように設定を変更して頂く必要がありま す. KUMX によるウィルスチェックの開始は,10月1日を予定しています.
プロキシによるトンネリングについて
現在,KUINS-IIIのプロキシにおいて,httptunnelまたは類似のソフトウェア(以下, トンネリングソフトウェアと表記します)による通信が頻繁に記録されています. 一般には,ftpやメール送受信を中継するソフトウェアが多いのですが,任意のプロ トコルを中継できるものも見られるようなりました. トンネリングソフトウエアの利用により, KUINS-IIIのプライベートIPアドレス空間 に設置された機器(以下,内側機器と表記します)でも, グローバルIPアドレスを必須 とするアプリケーションが利用可能となります.
その仕組みですが,内側機器から送信される通信は,まず,トンネリングソフトウエ アにより内側機器でhttpプロトコルに変換されます. 次に,Webプロキシを介して, インターネットに設置されたサーバ(本学のものとは限 りません)に送信されます. サーバではトンネリングソフトウエアの逆変換によりhttpプロトコルを元の通信プロ トコルに戻し,インターネット上の任意の計算機にアクセスします. 内側機器での受信は送信の逆の手順を行います. この仕組みから, トンネリングソフトウエアの利用には以下の危険性があることが判 ります.
1.内側機器はKUINS-IIIの保護下に置かれないことになります.
httpプロトコル変換/逆変換により,内側PCは実質的にインターネットに直結された
状態に置かれますので,あらゆる不正アクセスに曝されることとなります.
2.その他の機器もKUINS-II/IIIの保護下に置かれなくなります.
内側機器はKUINS-IIIの裏口となりますので,乗っ取られた場合,
その機器が接続さ れているVLAN,さらにはそのVLANから到達可能な機器(KUINS-IIおよびKUINS-III
VLANに設置)が不正アクセスを受けることになります.
現在,セキュリティ監視装置において不正アクセスを検出しているトンネリング ソフトウェアもあります.このため,トンネリングソフトウェアによる危険な通信を行っていると 判断される場合は, VLAN管理責任者に問い合わせをさせていただきます.
SSH ダウンロードサービスに関するおわび
KUINSニュースNo.33でもお知らせして いますが,KUINS では京都大学における 非営利目的利用に限定した SSH(Secure SHell) のサイトライセンス を取得し, 学内向けにダウンロードを可能としました.
しかし,KUINS側で京都大学向けアカデミックサイトライセンスの取得に手違 いがあり,SSH 3.1 以前のプログラムで一部 evaluation licence版を配布する 事態になり,ユーザに多大なご迷惑をおかけいたしました.
平成14年9月現在,配布しているバージョン(3.2.0)はアカデミックサイトライセン
スを取得しております.
ご使用の際には,お手数をかけることになって大変申し訳ありませんが,
現在使用されている以前のバージョン(evaluation license 版も含む)をアンインストー
ルしてから,最新バージョンをインストールして下さい.
なお,本バージョン(3.2.0)では,SSH Secure Shell for Windows Server
に 関しては,アカデミックサイトライセンスの適用範囲外となっています.
KUINS-III 利用ガイドのホームページ
KUINS-III が本格的に運用開始し,KUINS-II からの移行作業も進みつつある 状況かと思いますが,この期間に利用者の皆様から KUIN-III に関する利用方 法及び端末の設定方法について,数多くの質問やご指摘をいただきました.
KUINS側で行った検証や利用者からの数多くの報告を基にして,KUINS-III
利用ガイドを KUINS ホームページ上にて,学内限定で公開しております.
URLは以下の通りで,KUINS のトップページからリンクしていますので,
ご参照いただければと思います.
http://www.kuins.kyoto-u.ac.jp/KUINS3/kuins3-guide/
なお,当ページに関する情報でご不明な点や,追加情報などが ありましたら,
q-a@kuins.kyoto-u.ac.jp までお知らせ願います.
大学における情報セキュリティポリシーの考え方について
近年は大学においても,大学の情報セキュリティ対策の強化が課題となっており, 研究,教育,事務活動などのために多数かつ多様な情報を扱うコンピュータが接続されていることから, 情報資産のセキュリティ確保に向けた取組の強化が重要とされます.
このほど,全国共同利用大型計算機センター長会議の下,「大学の情報セキュリティポリシー に関する研究会」では,大学の情報セキュリティポリシーの在り方について実践的な研究を行い, 「大学における情報セキュリティポリシーの考え方」がまとめられました.
今後, 各大学における情報セキュリティポリシーを策定する際の参考となる ように,
ご活用願いたく思います.
詳しい情報は以下のURLにあります.
http://www.kudpc.kyoto-u.ac.jp/Security/
「京都ONE」について
京都ONEは, 京都情報基盤協議会が京都市と連携して, 京都の情報通信ネットワークの向上を目指し 「地域IX(インターネット・エクスチェンジ)」 「iDC(インターネット・データ・センター)」 を整備,活用する構想です.
京都地域に開かれたWAN(ワイド・エリア・ネットワーク)を構築し,それを活用したASP(アプリケーション・ サービス・プロバイダ)などの様々なサービスを展開することにより,インターネットと言う共通の 基盤の上 で,市民生活や産業活動などの京都地域内の活動を一体的に向上させることを目指すものです.
京都ONEのテーマの一つに,『大学間情報ネットワークの構築』があります. これは,京都に数多く集積する「大学」を高速な情報通信ネットワークで結ぶことによ り, 大学間連携,学際研究のより一層の促進を図ろうとするものです.
この一貫として,本年4月に京都リサーチパーク(KRP)にある (財)京都高度技術研究所(ASTEM) と本学吉田キャンパスの間が,ATM OC-12c (622Mbps)で接続されました. さらに, (財)大学コンソーシアム 京都 や 京都デジタルアーカイブ研究センター のある キャンパスプラザ京都と本学との間も,近日中にATM OC-12c (622Mbps)で接続される予定です.
情報学研究科 無線LANの使用について
情報学研究科 計算機委員会
1. 情報学研究科 無線LANシステム
情報学研究科では,平成12年度より「情報学研究科教育計算機システム」の一 部として,
同研究科の構成員が使用するスペースを中心に無線LANシステ ムの設置・運用を行っています.
このシステムについて,主に講義室等の公共スペースをカバーするという性質 に鑑み, 情報学研究科内にとどまらず他部局の方にも利用いただけるよう,セ キュリティを考慮した ネットワーク設定と公開ポリシー策定とを行いました. 新たに無線LANアクセスポイント を設置される部局は電波干渉のないようご配慮下さい.
本稿では,同無線LANシステムをご利用いただく際のポリシーと, 利用のために必要な諸設定に関して説明いたします. なお,無線LANのアクセスポイント 設置場所については http://www.i.kyoto-u.ac.jp/informatics/MUSENAPCH1.PDF を参照してください. 表中「10号館」などとあるのは「工学部10号館」 をさします.
2. 公開ポリシー
情報学研究科無線LANシステムは,以下のポリシーのもとに公開するもの です.
これらに御同意の上,あくまでも自己責任においてご利用ください.
・情報学研究科無線LANシステムの利用において,利用者は情報学研究科に 登録を行うものとする.
無線LANカードを用いて http://172.16.7.252/cgi-bin/wireless.cgi で登録を行なって下さい.
なお,未登録の無線LANカードは,一定時間を過ぎると利用できなくなります.
・同システムを用いて生じた一切の不具合について, 情報学研究科はその責任を負わない.
・同システムは利用者にことわりなく停止することがある.
・端末および無線LANカードなどの機材は利用者が準備するものとする.
・無線LANシステムから外部への通信は SSH を用いた 学内への通信のみを許可する.
したがって,Web 閲覧等を行うためには, 学内にサーバを設置し,そこでユーザ認証を行った上で,
SSH による ポートフォワーディングなどを行う必要が ある.
・上記のポートフォワーディング等を行うのに必要な,SSH サーバや プロクシサーバの類は,
利用者の所属部局ないし研究室等において用意する ものとする.(情報学研究科として他部局向けに
サーバを用意すること などはしない)
補足:この件については,学術情報メディアセンターの教育用システムのサーバを
利用できる可能性が,KUINS-III に関する
Q&A http://www.kuins.kyoto-u.ac.jp/KUINS3/Q_and_A.html#Z9 でとりあげられています.
ただし,(本稿執筆段階では) サービスはまだ提供されていません.
・この公開ポリシーは情報学研究科において必要に応じて変更する.
3. 利用方法
情報学研究科無線LANシステムを利用するにあたっては,以下の機材および 設定が必要となります.
機材
・SSH サーバ:学内(KUINS-II内)に一つ.
・端末:ノートPCなど.
・無線LANカード:IEEE802.11bに準拠したもの(市販のものの大半は 準拠).
設定
1・SSH サーバに利用者のアカウントを作成する. 方法はサーバを用意した部局・
研究室の管理者に問合せる.
2・ 無線LANカードの設定を行う. 各々の方法は無線LANカードおよび端末のマニュアルを参照
情報学研究科で配布された SS Magic 11 の設定については 情報学研究科教育計算機システム
機器取扱説明 http://www.i.kyoto-u.ac.jp/informatics/の 「無線LAN関係」の項目を参照のこと.
i. ドライバのインストール.
ii. SSID の設定:SSID を "Wireless"(先頭のみ大文字.引用符は含まない) にする.
iii. 通信モードの設定:"Infrastracture" (または「インフラストラクチャ」) モード
での通信とする.
iv. 暗号化は使用しない.
3・SSH のポートフォワーディングの設定を行う.
◦ SSH によるポートフォワーディングに関する説明は」
http://www.i.kyoto-u.ac.jp/local/manual/ssh/portforwarding.htmlを参照のこと.
更新履歴
2001/11/26 新規作成
2002/07/08 改訂
みあこネット
京都街中無線インターネットプロジェクト みあこネット (Mobile Internet Access in KyotO)は, 特定非営利活動法人 日本サスティナブル・コミュニティ・センター (SCCJ)を中心に, 本学大学院情報学研究科知能情報学専攻,(財)京都高度技術研究所, モバイルインターネットサービス(株)などが協力して行っている公衆無線インターネットサービス の実験プロジェクトです.
京都駅ビル,四条大橋から鴨川沿い,百万遍交差点付近など 京都府下に150以上の 無線基地局が設置され, 実験期間中,ノートPCと無線LANカードを用いて 無料で無線モバイルブロードバンドの実験サービスを受けられます. 利用者一人一人にグローバル固定IPアドレスを割り当て, Mobile IPの技術を用いて 移動透過性を実現していることと, 無線環境でも安心して使えるセキュリティ技術が特徴です.
利用には事前のユーザ登録が必要ですが, 本学関係者はWebによるオンラインでの
アカウント取得が可能です.
http://register.miako.net/kyoto-u/ (本学学内LANからのみアクセス可能)
詳しくは同プロジェクトのWebページを御覧ください.
KUINS 会議日誌
平成14年3月25日~平成14年9月15日
学術情報システム整備委員会
平成14年5月23日(第35回)
・学術情報メディアセンター KUINS利用負担金規程について
・専門委員会について
・情報セキュリティポリシー策定について
KUINS 運用委員会
平成14年8月20日(第1回)
・KUINS-II,III 運用状況について
・学術情報メディアセンターパンフレットについて
・KUINS データベースについて
・遠隔地の通信状況について
・その他
平成14年9月5日(第2回)
・KUINS ニュース(No.38)発行について
・学術情報メディアセンター パンフレットについて
・KUINS-III パンフレットについて
・KUINS のセキュリティ対策について
・KUINS データベースについて
・その他
吉田構内高圧幹線定期点検に伴う停電のお知らせ
10月下旬から12月上旬にかけての週末に,吉田構内において停電が予定されて おり, これに伴い,KUINSのネットワークが大規模にわたって停止する恐れがあ ります. 詳細情報につきましては,文書と KUINS のホームページの方で後日アナウンス しますので, ご確認の方をよろしくお願いします.
KUINS 関連メールアドレス一覧
お知らせ
KUINSニュースへの寄稿を歓迎します.詳細は kuins-news@kuins.kyoto-u.ac.jp または下記までお問い合わせください.
問い合わせ先
学術情報メディアセンター 情報サービス部 ネットワーク担当 ((075) 753-7841)
(学術情報メディアセンター等事務部 ネットワーク掛 ((075) 753-7432))
