ネットワークの管理
目次
1 ネットワークの管理
理学系研究科では専攻施設ごとにサブネットが分かれており、各サブネットについてはそれぞれ専攻施設の管理者に管理していただいています。 専攻施設によっては、専攻施設内に複数のサブネットがあり、それぞれのサブネットごとに管理者がいる場合もあるかと思います。
各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。
1.1 VLAN の設定について
各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 メールにて設定をご依頼ください。
1.2 ファイアウォールについて
基本的には外部からの接続はすべてブロックされています。外部からの接続を行うサーバについては個別にIPアドレスおよび使用するポートをご連絡ください。
1.3 DNS・DHCP について
各専攻施設でDNSおよびDHCPサーバを運用することも可能ですが、効率化のために理学系のサーバで一括して運用することを推奨しています。 (既に多くの専攻施設にはご協力いただいています。) 設定の変更が必要な場合にはメールにてご依頼ください。
1.4 P2P の対応について
理学系ではP2Pの利用は禁止されています。UT-CERTにより利用が検出された場合には、その端末の利用者に対してP2Pの利用をやめるようにご指導ください。
また、サブネット全体の P2P 通信をファイアウォールで遮断するというサービスも行っております。 こちらを利用いただければ個別のユーザに対してP2Pの対応を行う手間の削減が可能かと思います。 各サブネットごとに特定のIPの範囲は遮断の対象外などの設定も可能ですので、導入をご検討ください。
1.5 NATの対応について
ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。
どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。目安としては最低 3 か月は保存してください。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同 様に適切な管理が必要です。
2 端末の管理
東京大学情報ネットワークシステム運用規則では学内のネットワークに接続する場合には申請を行い適切に管理を行うことが義務付けられています。 実際に全ての端末について申請や承認の作業を行うのは非常に大変ですが、少なくともネットワークに何が接続されていて、 問題が発生したときには誰のどの端末が問題を起こしているか把握できるためには何らかの管理を行う必要があります。
以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
3 ウイルス対策
東京大学ではネットワークに接続する全ての端末でウイルス対策が義務付けられています。
大学としてウイルス対策を行う必要がある場合については、理学系研究科では一括してライセンス契約を行っておりますのでソフトウェアライセンスのページをご参照ください。
4 サーバの管理
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。 パスワードでログイン可能なsshサーバを適切に管理するには、サーバに存在する全てのアカウントが適切なパスワードを付けていることを確認する必要があります。 適切な状態を維持するのは大変で、一時的に作ったアカウントの消し忘れなどからsshで侵入される事例が発生しています。 鍵認証でしかログインできない設定ではこういった問題は発生しません。
4.1 ユーザの設定
- ssh-keygen コマンドを実行します。
- 質問にエンターを入力します(ファイルの場所はデフォルト、パスフレーズなし)
- .ssh/id_rsa が秘密鍵、.ssh/id_rsa.pub が公開鍵です
- サーバの .ssh/authorized_keys に公開鍵を追加します
- サーバに id_rsa.pub をコピーしてから
cat id_rsa.pub >> .ssh/authorized_keys
- .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
4.2 サーバの設定
- /etc/ssh/sshd_config を編集してパスワード認証を禁止します
PasswordAuthentication no
4.3 運用に関する注意点
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、 管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。
5 障害の対応
もっとも良く発生するネットワークの障害はユーザによるネットワークのループです。 通常LANケーブルはスイッチとパソコンの接続に利用しますが、1本のLANケーブルの両端をスイッチに接続してしまうことによって サブネット全体に障害を起こします。 接続の変更やケーブルの整理などのタイミングで障害が発生した場合にはLANケーブルがループする形で接続していないか確認してください。
次によく発生するネットワークの障害はユーザによるDHCPサーバの不正接続です。 まず、基本的に理学系ではユーザによるNATの利用は禁止となっています。 有線ルータや無線ルータ(Time Capsule等含む)を間違った設定でネットワークに接続すると サブネット全体に障害を起こします。
ネットワークに接続できない等の障害が発生している場合には、 問合せの際に以下の情報をご連絡ください。 特に無線LANでの障害の場合には利用者情報から調査が可能ですのでご協力お願いいたします。
5.1 有線LANの場合
- 日時
- 場所
- 利用している情報コンセント
- MAC アドレス
- 症状
5.2 無線LANの場合
- 日時
- 場所(おおまかな)
- 利用者
- MAC アドレス
- 症状