目次

• KUINS-II 利用負担金について
• KUINS-II 接続機器登録データベースについて
• KUINS-II 接続機器に対するフィルタリングの実施について
• ウィルスチェック機能つきメールサーバの部局サーバからの利用について
• WCN との対外接続線の廃止のお知らせ
• KUINS-III オープンスペースでの Web 閲覧方法について
• KUINS WWW キャッシュサーバ運用再開のお知らせ
• NAT機器のセキュリティについて
• IEEE1394 over IP による遠隔講義用高品位映像伝送システム
• KUINS 会議日誌
• お知らせ

KUINS news 39 [2002.11.25]

表紙写真: IEEE1394 over IP による遠隔講義用高品位映像伝送システム
( 日本学術振興会産学協力研究委員会『インターネット技術第163 委員会』(ITRC)
第12回研究会(11月13日～15日)においてデモ展示を行いました)

KUINS-II 利用負担金について

(1)はじめに
学術情報メディアセンター利用規程(平成14年4月2日 達示第23号制定)第二十一条では, KUINSのご利用に際して利用負担金をお願いできることがうたわれております. これに基づき, 「KUINS-II接続に対する提供サービス及び利用負担金規程」が,本センター学内共同利用運営委員会の議を経て 11月5日の部局長会議で了承され,11月22日に総長裁定制定されました.同規程では, 平成15年1月1日からKUINS-II利用負担金を頂くことになっており,センターではそのための準備を進めております. 本記事では,負担金額の計算方法及びお支払いの流れを説明致します.

(2)負担金の額
KUINS-IIでご利用になるグローバルIPアドレス1個につき,月額1,500円の負担金を頂きます. 従いまして,例えば一つの機器に複数のグローバルIPアドレスを付与されている場合は, そのIPアドレスの個数分の負担金を頂きます. これは月単位で扱い,日割り計算はしません. 基本的に,登録日の翌月から削除日を含む月までの間,負担金が発生します. 例えば, 7月10日に登録し,11月8日に削除したIPアドレスには,8,9,10,11と4ヶ月分の負担金(6,000円) が発生します. また,例えば7月10日に登録し,7月27日に削除した場合には,7月分の負担金 (1,500円)が発生します. ご利用になるIPアドレスの登録や削除は,別記事にある KUINS-II 接続機器登録データベースで行って頂きます.

なお,専用ルータやスイッチングハブなど,ネットワークの接続に必須である機器については, 一定の要件を満たした上で,負担金が免除されることがあります.

これに関しては,別記事(KUINS-II 接続機器登録データベースについて)を参照してください.

(3)負担金の支払い方法
負担金の計算は1ヶ月単位で行いますが,お支払は各四半期毎にまとめて行って頂きます. 四半期の最初の月に,その時点で登録されているIPアドレスを対象として,請求させて頂きます. こうすると,請求されたあと同じ四半期で新たな登録や削除が行われた場合は清算が必要となりますが, それは次の四半期で行います. すなわち,例えば10月に請求する分は,10月頭に登録されていた IPアドレスに対する10,11,12月分の負担金請求と,7,8,9月に行われた新規登録,削除, 支払費目の変更などにより発生する清算ということになります.

負担金は,文部科学省所管国立学校特別会計の歳出(国立学校校費,研究所校費,病院校費, および産学連携等研究費)でお支払い頂くことになります.各 IPアドレス毎に,誰が(支払責任者) どの費目から(支払費目)支払うかを決めて頂きます. 支払責任者や支払費目が月の途中で変わった場合には, その月の最終時点で登録されていた支払責任者/支払費目に基づいて請求します.

(4)負担金支払いの流れ
負担金は,別記事にあるKUINS-II 接続機器登録データベースの内容に基づいて計算されます. データ抽出のため,各月の変わり目にはデータベースを停止します. これは, 各月1日の午前0時から午前7時までです.この期間にデータベースの内容を変更することは出来ません.

データベースの停止期間中に,各月毎の「確認書」を作成します.この内容は,
・その月の間に行われた登録内容の変更一覧
・月の最初から最後まで変更のなかったIPアドレスの一覧
を含みます.

これを月の初めに各部局にお送りし,各IPアドレスに対して,
・登録された支払責任者が支払を了承していること (つまり,知らないうちに勝手に支払責任者に指定されていないこと)
・登録された支払責任者/支払費目で支払いが可能であること
を確認して,回答して頂きます.これら確認書の内容に基づき,四半期に一度請求書を発行して, 負担金振替えの手続きに入ります.

KUINS-II 接続機器登録データベースについて

(1)はじめに
KUINSでは,KUINS-II接続機器登録データベースを,本年10月2日より,ホームページにて公開しています.
http://www.kuins.kyoto-u.ac.jp/applications/kuins2db-man.html
に詳しい説明が書かれていますので,必ずこちらをお読み下さい.
ここではその要点のみをご説明します.

(2)導入の経緯
KUINS機構では,本学の学術情報ネットワーク(KUINS)に接続される機器に関する情報を登録して頂くよう, かねてよりお願いして参りました. これは,接続されている機器の管理者をKUINSで把握し, 機器のトラブルや不正アクセスなどの際すぐに連絡が取れるようにするという, 運用上およびセキュリティ上の理由によるものです. また一昨年度からは, SPAMメール不正中継対策として,SMTP (TCPポート番号 25)については届出制とし, 届出のないIPアドレスに対しては KUINS のルータでフィルタリングを行ってきました.

本年 4月の学術情報メディアセンターの発足に伴い,この登録が,学術情報メディア センター利用規程で明文化され,KUINS-II に接続してご利用されるすべての機器を教職員の 皆様の責任で登録頂くことになっております. さらに,KUINS-III への移行とあわせて, KUINS-IIにおいては,接続登録時にお知らせいただいたIPアドレスとMACアドレスの組で フィルタリングすることにより IP アドレスの不正利用を防ぐことを予定しています. 今回のKUINS-II 接続機器登録データベースは,この登録作業を確実かつ円滑に行って 頂くためにご用意したものです.

(3)登録する機器
上述のように,KUINS-IIでご利用になる機器は,全て登録して頂くことになりますので 漏れなくご記入下さい. なお,5月に一度登録して頂いたIPアドレスでも,追加となる 情報を登録して頂く必要がありますので,追加作業をお願いします.

ネットワークの接続に必須である専用ルータやスイッチ類にグローバル IPアドレスを 付与することが必要な場合は,以下の条件に当てはまれば,「KUINSの機器の一部」とみなして, 登録なしでKUINS-IIに接続頂くことができます.

・KUINS-II のサブネットに対してのみインターフェースを持つ機器であること.
・ルーティングの機能のみを持つ機器で,それ以外のサービスは行わないこと. ただし,ルーティング機能の管理に必要なサービスは行って良い.(例えば, 当該ルータにログインするための telnet や,ルータの設定をwebベースで行うための webサーバ等.)
・KUINSに当該機器の管理権限を認めること.即ち,当該機器のスーパーユーザになるための情報( rootのパスワード等)をKUINSに届け,変更のあった場合には速やかに変更情報をKUINSに届けること.

上記の条件を良くお読み頂いた上で,ご利用の機器が該当すると思われる場合は,
http://www.kuins.kyoto-u.ac.jp/applications/IItokubetukiki.html
にアクセスの上,申請書を提出して下さい.申請書に基づき,KUINS側で最終的に判断致します.

データベースの操作方法
データベースの操作方法,登録頂く項目の説明は,
http://www.kuins.kyoto-u.ac.jp/applications/kuins2db-man.html
に詳しく書かれていますので,こちらを参照してください.

KUINS-II 接続機器に対するフィルタリングの実施について

本号別記事「KUINS-II 接続機器登録データベースについて」にありますように, KUINS-IIに接続してご利用になる機器については,KUINS-II接続機器登録データベースに登録して頂き, その登録内容に基づいてフィルタリングを実施します. これは,登録されていない機器は通信を行えないようにし, また,登録された機器に対してもポート番号やMACアドレスによるフィルタリングを行うことで, 学内計算機のセキュリティ向上を図ろうというものです
以下,今回実施する各種フィルタリングついて,実施の理由とその内容についてご説明します.

---

(1) 未登録IPアドレスによるフィルタリング
部外者等が建物内に計算機を持ち込み,情報コンセントやハブに勝手に計算機を接続し, そのサブネットのIPアドレスを不正に利用する危険性が考えられます. KUINS-II 接続機器登録データベースに登録されていないIPアドレス(特別機器として登録免除認定されているものは除く) は通信を行えないようにし,この危険性を防止します.

(2) ポート番号によるフィルタリング
不正アクセスに利用されやすい危険なポートについては,データベース登録された機器についても 学外との通信を遮断することにより,学内計算機の安全性を向上させます. 現在 SMTP(ポート番号25番) については,セキュリティ対策を施した上でKUINSにご連絡頂いたメールサーバのみ, 学外とポート25番で通信できるようにしています.今回は,これをデータベース登録に基づいて行うものです. データベースに,利用するポート番号を記入する項目を設けていますので,その登録を基にフィルタリングを行います. 当面はSMTPのみ実施する予定ですが,将来的にはHTTP(ポート番号80番)やFTP(ポート番号21番) についても行う予定です.なお,25番ポートは,不正中継対策を行ったメールサーバのみ 利用申請してください.対策を行っていない計算機の25番ポートを通過させると, SPAMメールの不正中継の踏み台ににされます.

(3) IPアドレスとMACアドレスの組によるフィルタリング
データベースに登録されているIPアドレスに関しては,上記(1)の対策を行っていたとしても, 持ち込まれた計算機により不正利用される危険性が残ります. これを防止するため,各IPアドレスに対して, そのIPアドレスでご利用になる機器のMACアドレスを登録して頂き,そのIPアドレスに対しては 登録されたMACアドレスでしか通信できないようにします.なお,サーバ機器の故障により同じ IPアドレスで代替機器を使用する可能性も考慮し,1つのIPアドレスに対して複数のMACアドレスを ご登録頂けるようにしています.

---

フィルタリングは2段階に分けて実施します. 第一段階では (1) と (2) のフィルタリングを同時に行い, 第二段階で (3) のフィルタリングを行います. 第二段階のフィルタリングは来年になってからを予定 していますので,その時にご説明します. 第一段階のフィルタリングは,12月9日から12月20日までの間に, サブネット毎に実行します.各サブネットの実施日は,サブネット連絡担当者にメールでご連絡致します.

サブネット連絡担当者は,今年9月に各部局宛お問い合わせをしておりますが, 未だ回答を頂いていないサブネットもあります.実施スケジュールや設定完了のご連絡ができませんので, 早急に回答をお願い致します.

ご利用になる機器は,データベースへの登録及び特別機器として登録を免除される機器の申請
( http://www.kuins.kyoto-u.ac.jp/applications/IItokubetukiki.html を参照してください )を, 必ず12月8日までに行ってください.

また,このときまでに,データベースの入力項目を全て埋めておいてください. 「支払責任者」,「経理情報」等が空になっているIPアドレスは,未登録と同様の扱いをさせて頂きます.

なお,今回のフィルタリング実施は,負担金の算出とは無関係です.1月1日時点でデータベースに登録 されているものが1月分の負担金の対象となります.

ウィルスチェック機能つきメールサーバの部局サーバからの利用について

(1)メールの受信時に利用するための設定
部局外あるいは学外から発信されたメールを、部局に設置されたメールサーバで直接受信せず、 KUINS-III のウィルスチェック機能つきメールサーバを経由させて受け取りたい場合は、 DNS の設定を以下のように変更します。通常の場合、メールサーバ自体の設定変更は必要ありません。

ドメインに対する設定の場合:
$ORIGIN example.kyoto-u.ac.jp.
@ IN SOA .....
: IN MX 10 mx1.kuins.net.
IN MX 10 mx2.kuins.net.
IN A 130.54.XX.YY ; 部局メールサーバのアドレス
(すでに、ドメインに対する A レコードを別の意味で利用している場合は、別途御相談下さい。)

ホストに対する設定の場合:
$ORIGIN example.kyoto-u.ac.jp.
host IN A 130.54.XX.YY ; 部局メールサーバ
IN MX 10 mx1.kuins.net.
IN MX 10 mx2.kuins.net.

なお、従来の mx.kyoto-u.ac.jp. も引き続き有効ですが、今後、 KUINS-III 内にメールサーバが設置されるようになった場合に、 学内への中継ができなくなる可能性がありますので、速やかに (遅くとも12月までには)新しい設定に移行しておいて頂くようお願いします。

---

(2) メールの送信時に利用するための設定
部局に設置されたメールサーバから、部局外あるいは学外に向けてメールを送信する際に、 KUINS-III のウィルスチェック機能つきメールサーバを利用したい場合は、 メールの中継先ホストとして、mailrelay.kuins.net を指定してください。 また、この設定のためには、部局のメールサーバにおいてKUINS-III の DNS を参照している必要がありますのでご確認ください。

詳しくは、
「KUINS内におけるネームサーバの設定に関するお願い」
http://www.kuins.kyoto-u.ac.jp/announce/local/dns.html
をご覧下さい。

メールの中継先ホストとして、mailrelay.kuins.net を指定する方法ですが、 例えば sendmail の場合は以下のようにします。
a) .mc から sendmail.cf を生成する場合
mailertable 機能を利用していない場合は、.mc に以下の行を含めて sendmail.cf を生成する
FEATURE(`mailertable')dnl
/etc/mail/mailertable に
. smtp:mailrelay.kuins.net
という行(先頭の文字はピリオド)を含めた後、makemap で mailertable.db(BerkeleyDB利用の場合)を生成しておきます。 なお、mailertable を利用せずに、.mc に以下の行(SMART_HOSTの定義)を含めてから sendmail.cf を生成するという 方法もあります。
define(`SMART_HOST', `smtp:mailrelay.kuins.net')dnl

b) 未だに CF を利用している場合
例えば以下のように設定します。
DIRECT_DELIVER_DOMAINS='none'
DEFAULT_RELAY='smtp:mailrelay.kuins.net'
部局内は、KUINS-III のメールサーバを中継させずに直接配送したいような場合は、 それぞれの事情に合わせた設定の工夫をお願いします。
なお、ウィルスチェック機能つきメールサーバの利用にあたっての申請は特に不要です。 メールサーバを通過する時点で、InterScan というウィルスチェッカが動作します。 現在の設定では、ウィルスが発見された場合は、ウィルスが除去されるとともに、 通過したメールにウィルスが含まれていた旨を、メールの送信者と受信者に通知します。
また、KUINS-III へのメールサーバの設置や、部局メールサーバの冗長構成化に対応するため、 この設定方法は変更になる可能性があることを 予めお断りしておきます。変更の際には再度事前に ご案内致します。

WCN との対外接続接続線の廃止のお知らせ

これまで,京都大学の対外接続線の一つとして民間商用ネットワークプロバイダ WCN (現在はパワードコム)への接続回線(1998年4月に旧総合情報メディアセンターが開設, KUINSニュースNo.26 参照)を利用してきましたが,SINET(学術情報ネットワーク)の整備が 進んだことをはじめとする様々な状況の変化を踏まえて検討を行った結果, 2002年9月末日をもってこの対外接続線を廃止致しました.
学術情報メディアセンターでは,今後も対外接続の状況をみながら, 継続して対外接続線に関する調整を進めていく予定です.

KUINS-III オープンスペースでの Web 閲覧方法について

KUINS-III のオープンスペース(講義室など)に設置されている情報コンセントから, KUINS-II に設置している SSH サーバのトンネリングを利用して,Web プロキシを介して 学外の Web にアクセスが可能になる方法を KUINS のホームページ等で紹介しておりましたが,, このたび,学術情報メディアセンターの教育計算機システムで SSH Port forwarding サービスを開始しました.こちらのサーバは教育用計算機システムのアカウントで利用可能です (利用アカウントの取得方法などにつきましては, 教育用計算機システムのページをご参照下さい).

なお,詳しい利用方法につきましては,
「KUINS-III オープンスペースから Web アクセスする方法(教育用計算機システム SSH port forwarding サービスを利用)」
http://www.kuins.kyoto-u.ac.jp/KUINS3/kuins3-guide/open-web/
をご覧いただくようお願いします.

KUINS WWW キャッシュサーバ運用再開のお知らせ

7月末に開催した「KUINSーIII移行のための説明会」でアナウンスがありましたように, マシンリソースの都合でサービスを一時停止していた KUINS WWW キャッシュサーバ (www-cache.kuins.kyoto-u.ac.jp)の運用再開の準備が整いましたので,お知らせいたします (大変長らくお待たせしたことを,深くお詫び申し上げます).

なお,www-cache.kuins.kyoto-u.ac.jp は,KUINS-II からのみ利用可能で, KUINS-III からは利用できませんのでご注意下さい. KUINS-III では,proxy.kuins.net (こちらは,KUINS-II から利用できません)を指定して下さい.

利用方法は,お使いのブラウザのプロキシ(proxy)サーバとして,

ホスト名	www-cache.kuins.kyoto-u.ac.jp
ポート番号	8080

と設定して下さい.
自動設定をご利用の場合は,自動設定ファイルとして,
http://www.kuins.kyoto-u.ac.jp/misc/proxy.pac
を指定して下さい.

NAT機器のセキュリティについて

最近,NAT装置の内側に設置された機器に対して不正アクセスを行う手口が web上で公開されはじめました. 具体的には,ftpのデータ送信に対応するための 機能が問題となります. まず,例として,NATの内側にあるクライアントから, 外側にあるサーバへのftpを考えましょう.

通常のftpは
1.クライアントからサーバへデータを要求
2.サーバからクライアントへデータを送信
という操作を繰り返します.

1 はNAT装置の内側から外側への通信ですので何の問題もありませんが, 2 はよく見ればNATの外側から内側へ直接データを届けています. 2 を実現するため,外部からのデータ送信をクライアントへ直接届ける 仕組みをNAT装置が備えています. この仕組みは非常に複雑なため, NAT装置によっては,データ送信の際に外側のサーバが使用するポートが20番 (データ送信)であれば,通信要求を無条件に内側に中継することで簡素化したものもあります. これは.この仕組みの悪用により,NATの内側にある機器にtelnet可能となる NAT装置があることを意味します.

なお,passive modeによるftpは,
2. クライアントからサーバへデータを取りにいく
ことで,NAT装置での逆流を防いでいます.
passive modeでないftpが可能なNAT装置全てが該当する訳ではありませんが, この問題が潜在する可能性があります.

NAT装置を設置されている管理者におかれましては,このような危険性があることを 十分配慮の上 NAT装置を運用し,アクセスログの収集を徹底されるようお願いいたします.

IEEE1394 over IP による遠隔講義用高品位映像伝送システム

本号の表紙写真は,平成14年度教育基盤設備充実経費計画「キャンパス間遠隔講義実験システム」 (代表者: 佐藤亨 情報学研究科教授)で導入された,高品位映像伝送システムです. IEEE1394デジタルカメラからの非圧縮高解像度(横 1280×縦 960ドット)の動画像(毎秒7.5コマ) を画像処理用パソコンでIPパケットに変換し,Gigabit Ethernet上を約150Mbpsの速度で伝送します.

工学研究科および情報学研究科では,来年度から始まる桂キャンパスへの移転を控え, 学術情報メディアセンターと連携して,キャンパス間遠隔講義の本格運用に向けて準備中です.

従来の遠隔講義システムは,回線容量の制約から,伝送できる画像の分解能が最高でも 通常のテレビ映像の程度に抑えられていました. そのため,低解像度の画面を前提とした教材の準備や, オペレータによるカメラの操作などが必要でした. 本システムで用いられている画像伝送用ソフトウェアは, 実際の講義における板書をネットワーク経由でそのまま伝送,表示できるようにすることを目指して, 本学とソニーマーケティング(株)の共同開発により,ハイビジョンに迫る高品位画像の伝送を 低コストのハードウェア上で実現したものです.KUINS-IIIのキャンパス間の10ギガビットの 帯域をフルに活用します.

今年度はこれを用いて,実用的な解像度や有効撮影範囲,通常の授業と比較した 受講者の疲労度などを検証する予定です.今後は,SuperSINETなどの高速回線を利用して の他大学との遠隔講義等への利用や,高精細の遠隔監視や医療画像伝送など研究用途への 応用も期待されています.

KUINS 会議日誌

平成14年9月16日～平成14年11月24日

KUINS 運用委員会
・平成14年9月19日(第3回)
・KUINS ニュース 発行について
・KUINS-III パンフレットについて
・KUINS データベースについて
・吉田構内高圧幹線定期停電の対応について
・その他

平成14年10月17日(第4回)
・平成15年2月21日(第53回)
・KUINS データベースの運用状況について
・KUINS 利用負担金について
・KUINS ニュース(No.39) の発行について
・KUINS-III パンフレットについて
・桂キャンパスのネットワークについて
・京都大学の対外接続に関する情報調査について
・その他

平成14年11月12日(第5回)
・KUINS-III でのNAT 利用方法について
・KUINS-II 負担金免除の機器について
・KUINS-II 接続機器のフィルタリングについて
・KUINS-III 利用負担金について
・非常勤職員へのデータベース利用アカウント発行について
・KUINS ニュース(No.39) の発行について
・KUINS-III パンフレットについて
・その他

上へ戻る

お知らせ

KUINSニュースへの寄稿を歓迎します.詳細は kuins-news@kuins.kyoto-u.ac.jp または下記までお問い合わせください.

問い合わせ先
学術情報メディアセンター 情報サービス部 ネットワーク担当 ((075) 753-7841)
(学術情報メディアセンター等事務部 ネットワーク掛 ((075) 753-7432))

PDF版 KUINSニュース No.39