「ネットワークの管理」の版間の差分
細 |
細 |
||
10行目: | 10行目: | ||
各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 | 各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 | ||
接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。 | 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。 | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
=== VLAN の設定について === | === VLAN の設定について === | ||
39行目: | 33行目: | ||
こちらを利用いただければ個別のユーザに対してP2Pの対応を行う手間の削減が可能かと思います。 | こちらを利用いただければ個別のユーザに対してP2Pの対応を行う手間の削減が可能かと思います。 | ||
各サブネットごとに特定のIPの範囲は遮断の対象外などの設定も可能ですので、導入をご検討ください。 | 各サブネットごとに特定のIPの範囲は遮断の対象外などの設定も可能ですので、導入をご検討ください。 | ||
+ | |||
+ | === NATの対応について === | ||
+ | |||
+ | ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。 | ||
+ | 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。 | ||
+ | |||
+ | どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。目安としては最低 3 か月は保存してください。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同 | ||
+ | 様に適切な管理が必要です。 | ||
2011年11月10日 (木) 17:52時点における版
目次
1 ネットワークの管理
理学系研究科では専攻施設ごとにサブネットが分かれており、各サブネットについてはそれぞれ専攻施設の管理者に管理していただいています。 専攻施設によっては、専攻施設内に複数のサブネットがあり、それぞれのサブネットごとに管理者がいる場合もあるかと思います。
各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。
1.1 VLAN の設定について
各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 メールにて設定をご依頼ください。
1.2 ファイアウォールについて
基本的には外部からの接続はすべてブロックされています。外部からの接続を行うサーバについては個別にIPアドレスおよび使用するポートをご連絡ください。
1.3 DNS・DHCP について
各専攻施設でDNSおよびDHCPサーバを運用することも可能ですが、効率化のために理学系のサーバで一括して運用することを推奨しています。 (既に多くの専攻施設にはご協力いただいています。) 設定の変更が必要な場合にはメールにてご依頼ください。
1.4 P2P の対応について
理学系ではP2Pの利用は禁止されています。UT-CERTにより利用が検出された場合には、その端末の利用者に対してP2Pの利用をやめるようにご指導ください。
また、サブネット全体の P2P 通信をファイアウォールで遮断するというサービスも行っております。 こちらを利用いただければ個別のユーザに対してP2Pの対応を行う手間の削減が可能かと思います。 各サブネットごとに特定のIPの範囲は遮断の対象外などの設定も可能ですので、導入をご検討ください。
1.5 NATの対応について
ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。
どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。目安としては最低 3 か月は保存してください。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同 様に適切な管理が必要です。
2 端末の管理
東京大学では学内のネットワークに接続する場合には申請を行うことが義務付けられています。
各専攻施設ごとにユーザに接続する機器の情報などを申請していただき、管理を行ってください。
各端末について IP を固定で割り振ったり、または申請された端末以外の接続を拒否するなどの技術的な制限は必須としません。
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
3 ウイルス対策
東京大学ではネットワークに接続する全ての端末でウイルス対策が義務付けられています。
大学としてウイルス対策を行う必要がある場合については、理学系研究科では一括してライセンス契約を行っておりますのでソフトウェアライセンスのページをご参照ください。
4 サーバの管理
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。 パスワードでログイン可能なsshサーバを適切に管理するには、サーバに存在する全てのアカウントが適切なパスワードを付けていることを確認する必要があります。 適切な状態を維持するのは大変で、一時的に作ったアカウントの消し忘れなどからsshで侵入される事例が発生しています。 鍵認証でしかログインできない設定ではこういった問題は発生しません。
4.1 ユーザの設定
- ssh-keygen コマンドを実行します。
- 質問にエンターを入力します(ファイルの場所はデフォルト、パスフレーズなし)
- .ssh/id_rsa が秘密鍵、.ssh/id_rsa.pub が公開鍵です
- サーバの .ssh/authorized_keys に公開鍵を追加します
- サーバに id_rsa.pub をコピーしてから
cat id_rsa.pub >> .ssh/authorized_keys
- .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
4.2 サーバの設定
- /etc/ssh/sshd_config を編集してパスワード認証を禁止します
PasswordAuthentication no
4.3 運用に関する注意点
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、 管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。