「ネットワークの管理」の版間の差分
Shitami.junichiro (トーク | 投稿記録) |
|||
(同じ利用者による、間の15版が非表示) | |||
2行目: | 2行目: | ||
__TOC__ | __TOC__ | ||
+ | |||
+ | == 概要 == | ||
+ | |||
+ | 理学系研究科では専攻施設ごとにネットワーク委員を中心としてネットワークの管理・利用者の管理を行う体制となっています。 | ||
+ | |||
+ | * ネットワークの管理 | ||
+ | ** IP アドレスの利用状況の管理 | ||
+ | ** ネットワークに接続されている機器の管理 | ||
+ | ** インシデントを起こした機器の特定 | ||
+ | |||
+ | * 利用者の管理 | ||
+ | ** アカウントの管理 | ||
+ | ** インシデントを起こした利用者への対応 | ||
+ | |||
+ | == 理学系研究科アカウントの管理 == | ||
+ | |||
+ | 理学系研究科で提供されるサービスは理学系研究科アカウントで認証を行います。 | ||
+ | アカウントの申請や配布のほかに、無線LANやVPNで利用者が接続するネットワークの設定を行う必要があります。 | ||
+ | |||
+ | 詳しくは以下のページを参照してください。 | ||
+ | * [[理学系研究科アカウントの管理]] | ||
== ネットワークの管理 == | == ネットワークの管理 == | ||
11行目: | 32行目: | ||
接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。 | 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。 | ||
− | === | + | === 各部屋の情報コンセントの設定について === |
各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 | 各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 | ||
− | + | メールにてどのネットワークを利用するかご連絡ください。 | |
+ | |||
+ | 部屋の工事だけ行って情報コンセントを増設してもネットワークに接続できるわけではありません。 | ||
+ | 基幹機器側に空きがない場合もありますので、事前にご相談ください。 | ||
+ | また、今後の管理の問題もありますので、業者に配線工事を依頼する場合には実施した内容について図面を提出してもらうようにしてください。 | ||
=== ファイアウォールについて === | === ファイアウォールについて === | ||
− | + | 理学系研究科の各ネットワークのデフォルトの設定は、内部から外部は通信可能、外部から内部は通信不可能で、外部からの通信が必要な部分については申請いただいて設定するという形になっています。 | |
+ | 外部からの接続が必要となるサーバについては個別にIPアドレスおよび使用するポート番号をご連絡ください。 | ||
+ | |||
+ | ESPやUDPを利用する通信についてはそういった方向の区別がありませんので、内部から通信可能にすると外部からも通信可能になる都合上、内部から通信する場合についても個別に申請いただいて必要な部分のみ設定を行っています。 | ||
+ | |||
+ | '''特に外部に公開したウェブサーバについてはセキュリティ問題が増加しておりますので管理者を登録していただきセキュリティ情報の通知や管理状況の問い合わせなどを行わせていただいております。''' | ||
=== DNS・DHCP について === | === DNS・DHCP について === | ||
28行目: | 58行目: | ||
=== P2P の対応について === | === P2P の対応について === | ||
− | + | 利用しているソフトウェアがP2P技術を用いているかどうかで問題かどうかの判断がされることはなくなってきています。 | |
− | + | UTokyo-CERTにより不適切なソフトウェアの利用が検出されたと連絡があった場合には利用者に対して該当ソフトウェアの利用をやめるようにご指導ください。 | |
− | |||
− | |||
− | |||
=== NATの対応について === | === NATの対応について === | ||
39行目: | 66行目: | ||
室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。 | 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。 | ||
− | どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT | + | どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。昨今のセキュリティ対応ではログ保存の目安は1年となっています。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同様に適切な管理が必要です。 |
− | |||
− | |||
== 端末の管理 == | == 端末の管理 == | ||
50行目: | 75行目: | ||
* [https://www.nc.u-tokyo.ac.jp/riyou/utnet-unyou-kisoku-h16.html 東京大学情報ネットワークシステム運用規則] | * [https://www.nc.u-tokyo.ac.jp/riyou/utnet-unyou-kisoku-h16.html 東京大学情報ネットワークシステム運用規則] | ||
− | |||
以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。 | 以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。 | ||
* [[端末の管理]] | * [[端末の管理]] | ||
− | |||
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。 | NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。 | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
== サーバの管理 == | == サーバの管理 == | ||
− | + | セキュリティ問題を起こさないためにサーバの適切な管理を行う必要があります。 | |
− | + | 特に外部からアクセスが可能なサーバは十分な注意が必要です。 | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | * [[サーバの管理]] | ||
== 障害の対応 == | == 障害の対応 == | ||
− | + | * [[困ったときは]]を参照してください。 | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
[[Category:情報システムチーム]] | [[Category:情報システムチーム]] |
2022年4月1日 (金) 11:07時点における最新版
目次
1 概要
理学系研究科では専攻施設ごとにネットワーク委員を中心としてネットワークの管理・利用者の管理を行う体制となっています。
- ネットワークの管理
- IP アドレスの利用状況の管理
- ネットワークに接続されている機器の管理
- インシデントを起こした機器の特定
- 利用者の管理
- アカウントの管理
- インシデントを起こした利用者への対応
2 理学系研究科アカウントの管理
理学系研究科で提供されるサービスは理学系研究科アカウントで認証を行います。 アカウントの申請や配布のほかに、無線LANやVPNで利用者が接続するネットワークの設定を行う必要があります。
詳しくは以下のページを参照してください。
3 ネットワークの管理
理学系研究科では専攻施設ごとにサブネットが分かれており、各サブネットについてはそれぞれ専攻施設の管理者に管理していただいています。 専攻施設によっては、専攻施設内に複数のサブネットがあり、それぞれのサブネットごとに管理者がいる場合もあるかと思います。
各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。
3.1 各部屋の情報コンセントの設定について
各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 メールにてどのネットワークを利用するかご連絡ください。
部屋の工事だけ行って情報コンセントを増設してもネットワークに接続できるわけではありません。 基幹機器側に空きがない場合もありますので、事前にご相談ください。 また、今後の管理の問題もありますので、業者に配線工事を依頼する場合には実施した内容について図面を提出してもらうようにしてください。
3.2 ファイアウォールについて
理学系研究科の各ネットワークのデフォルトの設定は、内部から外部は通信可能、外部から内部は通信不可能で、外部からの通信が必要な部分については申請いただいて設定するという形になっています。 外部からの接続が必要となるサーバについては個別にIPアドレスおよび使用するポート番号をご連絡ください。
ESPやUDPを利用する通信についてはそういった方向の区別がありませんので、内部から通信可能にすると外部からも通信可能になる都合上、内部から通信する場合についても個別に申請いただいて必要な部分のみ設定を行っています。
特に外部に公開したウェブサーバについてはセキュリティ問題が増加しておりますので管理者を登録していただきセキュリティ情報の通知や管理状況の問い合わせなどを行わせていただいております。
3.3 DNS・DHCP について
各専攻施設でDNSおよびDHCPサーバを運用することも可能ですが、効率化のために理学系のサーバで一括して運用することを推奨しています。 (既に多くの専攻施設にはご協力いただいています。) 設定の変更が必要な場合にはメールにてご依頼ください。
3.4 P2P の対応について
利用しているソフトウェアがP2P技術を用いているかどうかで問題かどうかの判断がされることはなくなってきています。 UTokyo-CERTにより不適切なソフトウェアの利用が検出されたと連絡があった場合には利用者に対して該当ソフトウェアの利用をやめるようにご指導ください。
3.5 NATの対応について
ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。
どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。昨今のセキュリティ対応ではログ保存の目安は1年となっています。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同様に適切な管理が必要です。
4 端末の管理
東京大学情報ネットワークシステム運用規則では学内のネットワークに接続する場合には申請を行い適切に管理を行うことが義務付けられています。 実際に全ての端末について申請や承認の作業を行うのは非常に大変ですが、少なくともネットワークに何が接続されていて、 問題が発生したときには誰のどの端末が問題を起こしているか把握できるためには何らかの管理を行う必要があります。
以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
5 サーバの管理
セキュリティ問題を起こさないためにサーバの適切な管理を行う必要があります。 特に外部からアクセスが可能なサーバは十分な注意が必要です。
6 障害の対応
- 困ったときはを参照してください。